SlideShare una empresa de Scribd logo
1 de 229
Descargar para leer sin conexión
® 
COBIT 
DIRECTRICES DE AUDITORIA 
Julio de 2000 
3a Edición 
Emitido por el Comité Directivo de COBIT y 
El IT Governance Institute TM 
La Misión de COBIT: 
Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-trol 
en tecnología de información con autoridad, actualizados, de carácter in-ternacional 
y aceptados generalmente para el uso cotidiano de gerentes de 
empresas y auditores.
ARGENTINA 
ARUBA 
AUSTRALIA 
AUSTRIA 
BAHAMAS 
BAHRAIN 
BANGLEDESH 
BARBADOS 
BÉLGICA 
BERMUDA 
BOLIVIA 
BOSTSWANA 
BRASIL 
BRUENI 
CANADÁ 
CHILE 
CHINA 
COLOMBIA 
COSTA RICA 
CROATA 
CURAZAO 
CYPRUS 
REPÚBLICA CHECA 
DINAMARCA 
REPÚBLICA DOMI-NICANA 
ECUADOR 
EGIPTO 
ESTONIA 
ISLAS FAEROE 
FINLANDIA 
FRANCIA 
ALEMANIA 
GHANA 
GRECIA 
GUAM 
GUATEMALA 
HONDURAS 
HONG KONG 
HUNGRÍA 
ISLANDIA 
INDIA 
INDONESIA 
IRLANDA 
ISRAEL 
ITALIA 
IVORY COAST 
JAMAICA 
JAPÓN 
JORDÁN 
KENYA 
COREA 
KUWAIT 
LATVIA 
LEBANON 
LIECHTENSTEIN 
LITUANIA 
LUXEMBURGO 
MALASIA 
MALTA 
MALAWI 
MÉXICO 
PAÍSES BAJOS 
NUEVA GUINEA 
NUEVA ZELANDA 
NIGERIA 
NORUEGA 
OMÁN 
PAKISTÁN 
PANAMÁ 
PERÚ 
FILIPINAS 
POLONIA 
PORTUGAL 
QATAR 
RUSIA 
SAIPAN 
ARABIA SAUDITA 
ESCOCIA 
SEYCHELLES 
SINGAPUR 
REP. ESLOVACA 
ESLOVENIA 
SUDÁFRICA 
ESPAÑA 
SRI LANKA 
ST. KITTS 
ST. LUCIA 
SUECIA 
SUIZA 
SIRIA 
TAIWAN 
TANZANIA 
TASMANIA 
TAILANDIA 
TRINIDAD & TO-BAGO 
TURQUÍA 
UGANDA 
EMIRATOS ARAB 
UNIDOS 
REINO UNIDO 
ESTADOS UNI-DOS 
URUGUAY 
VENEZUELA 
VIETNAM 
GALES 
YEMEN 
ZAMBIA 
ZIMBABWE 
INFORMATION SYSTEMS AUDIT AND 
CONTROL ASSOCIATION 
Una sola Fuente Internacional para los Controles 
de la Tecnología de Información 
Information Systems Audit and Control 
Association es una organización global 
líder de profesionales que representa a 
individuos en más de 100 países y compren-de 
todos los niveles de la tecnología de 
información  Dirección ejecutiva, geren-cia 
media y practicantes. La Asociación 
está únicamente posesionada para cubrir el 
papel de generador central que armoniza 
los estándares de las prácticas de control 
de TI a nivel mundial. Sus alianzas estraté-gicas 
con otros grupos dentro del ámbito 
profesional financiero, contable, de audito-ría 
y de TI aseguran a los dueños del proce-so 
del negocio un nivel sin paralelo de inte-gración 
y compromiso. 
Programas y Servicios 
de la Asociación 
Los Programas y Servicios de la Asociación 
han ganado prestigio al establecer los nive-les 
más altos de excelencia en certificación, 
estándares, educación profesional y publici-dad 
técnica. 
• su programa de certificación (el Audi-tor 
de Sistemas de Información Certi-ficado) 
es la única designación global 
en toda la comunidad de control y 
auditoría de la TI. 
• sus actividades estándar establecen la 
base de calidad mediante la cual otras 
actividades de control y auditoría de TI 
se miden. 
• su programa de educación profesional 
ofrece conferencias técnicas y adminis-trativas 
en cinco continentes, así como 
seminarios en todo el mundo para 
ayudar a los profesionistas de todas 
partes a recibir educación continúa de 
alta calidad. 
• su área de publicidad técnica propor-ciona 
materiales de desarrollo profe-sional 
y referencias con el fin de au-mentar 
su distinguida selección de 
programas y servicios. 
La Information Systems Audit and Control 
Association se creó en 1969 para cubrir las 
necesidades únicas, diversas y de alta tecno-logía 
en el naciente campo de la TI. En una 
industria donde el progreso se mide en na-nosegundos, 
ISACA se ha movido ágil y 
velozmente para satisfacer las necesidades 
de la comunidad de negocios internaciona-les 
y de la profesión de controles de la TI. 
Para más Información 
Para recibir información adicional, puede 
llamar al (+1.847.253.1545), enviar un e-mail 
a (research@isaca.org) o visitar los 
siguientes sitios web: 
www.itgovernance.org 
www.isaca.org
CONTENIDO 
Reconocimientos 4-5 
Resumen Ejecutivo 7-8 
Antecedentes 9-10 
El Marco Referencial de COBIT 
Estableciendo la escena.........................................11-13 
Los Principios del Marco Referencial...................14-18 
Guía para la utilización del Marco 
Referencial y Objetivos de Control.......................19-20 
Tabla Resumen 21 
Introducción a los Lineamientos 
de Auditoria 23-27, 29-31 
Lineamiento General de Auditoria 28 
Lineamientos de Auditoría 33 
Planeación y Organización....................................35-86 
Adquisición e Implementación............................87-118 
Entrega de Servicios y Soporte..........................119-188 
Monitoreo...........................................................189-204 
Apéndice I 
Lista de Dominios, Procesos y 
Objetivos de Control..........................................205-209 
Apéndice II 
Material de Referencia Primaria........................210-211 
Apéndice III 
Glosario de Términos................................................212 
Apéndice IV 
Proceso de Auditoría..........................................213-216 
Apéndice V 
Cumplimiento del Año 2000..............................217-219 
Índice 220-222 
DIIRECTRIICES DE AUDIITORIIA 
Límite de Responsabilidad 
La Information Systems Audit and Control Foundation, el IT Governance 
Institute y los patrocinadores de COBIT: Objetivos de Control para la Informa-ción 
y Tecnologías Relacionadas, han diseñado y creado las publicaciones 
tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Direc-trices 
Gerenciales, Directrices de Auditoría, y el Conjunto de Herramientas de 
Implementación (llamado colectivamente el “Producto”) principalmente como 
una fuente de instrucción para los profesionales dedicados a las actividades de 
control. La Information Systems Audit and Control Foundation, el IT Gover-nance 
Institute y los patrocinadores no garantizan que el uso de este producto 
asegurará un resultado exitoso. No deberá considerarse que este producto 
incluye todos los procedimientos o pruebas apropiados o que excluye otros 
procedimientos y pruebas que estén razonablemente dirigidos hacia la obten-ción 
de los mismos resultados. Para determinar la conveniencia de cualquier 
prueba o procedimiento específico, los expertos en control deberán aplicar su 
propio juicio profesional a las circunstancias de control especiales presentadas 
por cada entorno de sistemas en particular. 
Acuerdo de Licencia de uso (disclosure) 
Copyright 1996, 1998, 2000, de la Information Systems Audit and Control 
Foundation (ISACF). La reproducción para fines comerciales no está permitida 
sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para 
reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Con-trol, 
las Directrices Gerenciales y el Conjunto de Herramientas de Implemen-tación 
para uso interno no comercial, incluyendo almacenamiento en medios 
de recuperación de datos y transmisión en cualquier medio, incluyendo electró-nico, 
mecánico, grabado u otro medio. Todas las copias del Resumen Ejecuti-vo, 
el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales 
y el Conjunto de Herramientas de Implementación deben incluir el siguiente 
reconocimiento y leyenda de derechos de autor: “Copyright 1996, 1998, 2000 
Information Systems Audit and Control Foundation. Reimpreso con la autori-zación 
de la Information Systems Audit and Control Foundation, y el IT Go-vernance 
Institute”. 
Las Guías/Directrices de Auditoría no pueden ser usadas, copiadas, reproduci-das, 
almacenadas, modificadas en un sistema de recuperación de datos o trans-mitido 
en ninguna forma ni por ningún medio (electrónico, mecánico, fotoco-piado, 
grabado u otro medio) sin la previa autorización por escrito de la 
ISACF. Sin embargo, las Directrices de Auditoría pueden ser usadas con fines 
no comerciales internos únicamente. Excepto por lo indicado, no se otorga 
ningún otro derecho o permiso relacionado con esta obra. Todos los derechos 
de esta obra son reservados. 
Information Systems Audit and Control Foundation 
IT Governance Institute 
3701 Algonquin Road, Suite 1010 
Rolling Meadows, Illinois 60008 USA. 
Teléfono: 1+847.253.1525 
Fax: 1+847.253.1443 
E-mail: research@isaca.org 
Web sites: www.isaca.org 
www.Itgovernance.org 
ISBN 1-893209-18-0 (Audit Guidelines, English) 
ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD) 
Impreso en los Estados Unidos de América 
IT GOVERNANCE INSTITUTE 3
COBIIT 
RECONOCIMIENTOS 
COMITÉ DIRECTIVO DE COBIT 
ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA 
JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA 
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA 
JOHN BEVERIDGE, STATE AUDITOR´S OFFICE, MASSACHUSETTS, USA 
MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA 
GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO 
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA 
MARK STANLEY, SUN AMERICA INC., USA 
Especiales Agradecimientos a los miembros de la Mesa Directiva de la Information Systems Audit and 
Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, enca-bezados 
por el Presidente Internacional Paul Williams, por su contínuo y firme apoyo al Cobit 
4 IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIIVO 
Un elemento crítico para el éxito y la supervivencia de las 
organizaciones, es la administración efectiva de la informa-ción 
y de la Tecnología de Información (TI) Relacionada. En 
esta sociedad global (donde la información viaja a través del 
“ciberespacio” sin las restricciones de tiempo, distancia y ve-locidad) 
IT GOVERNANCE INSTITUTE 5 
esta criticidad emerge de: 
z La creciente dependencia en información y en los siste-mas 
que proporcionan dicha información 
z La creciente vulnerabilidad y un amplio espectro de ame-nazas, 
tales como las “ciber amenazas” y la guerra de 
información1 
z La escala y el costo de las inversiones actuales y futuras 
en información y en tecnología de información; y 
z El potencial que tienen las tecnologías para cambiar radi-calmente 
las organizaciones y las prácticas de negocio, 
crear nuevas oportunidades y reducir costos 
Para muchas organizaciones, la información y la tecnología 
que la soporta, representan los activos mas valiosos de la em-presa. 
Es más, en nuestro competitivo y rápidamente cambian-te 
ambiente actual, la Gerencia ha incrementado sus expectati-vas 
relacionadas con la entrega de servicios de TI. Por lo tan-to, 
la Administración requiere niveles de servicio que presen-ten 
incrementos en calidad, en funcionalidad y en facilidad de 
uso, así como un mejoramiento continuo y una disminución de 
los tiempos de entrega; al tiempo que demanda que esto se 
realice a un costo más bajo. 
Muchas organizaciones reconocen los beneficios potencia-les 
que la tecnología puede proporcionar. Las organizacio-nes 
exitosas, sin embargo, también comprenden y adminis-tran 
los riesgos asociados con la implementación de nuevas 
tecnologías. 
Hay numerosos cambios en TI y en su ambiente de operación 
que enfatiza la necesidad de un mejor manejo relacionado con 
los riesgos de TI. La dependencia en la información electróni-ca 
y en los sistemas de TI son esenciales para soportar los pro-cesos 
críticos del negocio. Adicionalmente, el ambiente regu-latorio 
demanda control estricto sobre la información. Esto a 
su vez conduce a un incremento de los desastres en los siste-mas 
de información y al incremento del fraude electrónico. La 
Administración de los riesgos relacionados con TI está siendo 
entendido como un aspecto clave en el gobierno o dirección 
empresarial. 
Dentro del Gobierno Empresarial, el Gobierno / Gobernabili-dad 
de TI2 se está volviendo mas y mas importante y está defi-nido 
como una estructura de relaciones y procesos para dirigir 
y controlar a la empresa con el fin que ésta pueda cumplir sus 
metas dando valor agregado mientras balancea sus riesgos 
versus el retorno sobre TI y sus procesos. El Gobierno de TI 
es parte integral del éxito de la Gerencia de la Empresa al ase-gurar 
mejoras medibles, eficientes y efectivas de los procesos 
relacionados de la empresa. El Gobierno de TI provee las es-tructuras 
que unen los procesos de TI, los recursos de TI y la 
información con las estrategias y los objetivos de la empresa. 
Además, el Gobierno de TI integra e institucionaliza buenas (o 
mejores) prácticas de planeación y organización, adquisición e 
implementación, entrega de servicios y soporte y monitorea el 
desempeño de TI para asegurar que la información de la em-presa 
y las tecnologías relacionadas soportan sus objetivos del 
negocio. El Gobierno de TI conduce a la empresa a tomar total 
ventaja de su información logrando con esto maximizar sus 
beneficios, capitalizar sus oportunidades y obtener ventaja 
competitiva 
GOBIERNO/ GOBERNABILIDAD DE TI 
Una estructura de relaciones y procesos para dirigir y con-trolar 
la empresa con el objeto de alcanzar los objetivos de 
la empresa y añadir valor mientras se balancean los ries-gos 
versus el retorno sobre TI y sus procesos. 
Las organizaciones deben cumplir con requerimientos de cali-dad, 
fiduciarios y de seguridad, tanto para su información, 
como para sus activos. La Administración deberá además 
optimizar el empleo de sus recursos disponibles, los cuales 
incluyen: personal, instalaciones, tecnología, sistemas de apli-cación 
y datos. Para cumplir con esta responsabilidad, así 
como para alcanzar sus objetivos, la Administración debe en-tender 
el estado de sus propios sistemas de TI y decidir el ni-vel 
de seguridad y control que deben proveer estos sistemas. 
Los Objetivos de Control para la Información y las Tecnologí-as 
Relacionadas (COBIT), ahora en esta tercera edición, ayuda 
a satisfacer las múltiples necesidades de la Administración 
estableciendo un puente entre los riesgos del negocio, los con-troles 
necesarios y los aspectos técnicos. Provee buenas prácti-cas 
a través de un dominio y el marco referencial de los proce-sos 
y presenta actividades en una estructura manejable y lógi-ca. 
Las “Buenas prácticas” de COBIT reúne el consenso de 
expertos - quienes ayudarán a optimizar la inversión de la in-formación 
y proporcionarán un mecanismo de medición que 
permitirá juzgar cuando las actividades van por el camino 
equivocado. 
1 Guerra de información (information warfare) 
2 Gobierno de TI (IT Governance) Governance es un término 
que representa el sistema que establece la alta gerencia para 
asegurar el logro de los objetivos de una Organización.
RESUMEN EJECUTIIVO 
La Administración debe asegurar que los sistemas de control 
interno o el marco referencial están funcionando y soportan 
los procesos del negocio y debe tener claridad sobre la forma 
como cada actividad individual de control satisface los reque-rimientos 
de información e impacta los recursos de TI. El im-pacto 
sobre los recursos de TI son resaltados en el Marco Re-ferencial 
de COBIT junto con los requerimientos del negocio 
que deben ser alcanzados: eficiencia, efectividad, confidencia-lidad, 
integridad, disponibilidad, cumplimiento y confiabilidad 
de la información. El control, que incluye políticas, estructu-ras, 
prácticas y procedimientos organizacionales, es responsa-bilidad 
de la administración. 
La administración, mediante este gobierno corporativo, debe 
asegurar que todos los individuos involucrados en la adminis-tración, 
uso, diseño, desarrollo, mantenimiento u operación de 
sistemas de información actúen con la debida diligencia. 
Un Objetivo de Control en TI es una definición del resultado o 
propósito que se desea alcanzar implementando procedimien-tos 
de control específicos dentro de una actividad de TI. 
La orientación al negocio es el tema principal de COBIT. Está 
diseñado no solo para ser utilizado por usuarios y auditores, 
sino que, lo más importante, esta diseñado para ser utilizado 
por los propietarios de los procesos de negocio como una guía 
clara y entendible. A medida que ascendemos, las prácticas de 
negocio requieren de una mayor delegación y empoderamien-to3 
de los dueños de los procesos para que estos tengan total 
responsabilidad de todos los aspectos relacionados con dichos 
procesos de negocio. En particular, esto incluye el proporcio-nar 
controles adecuados.. El Marco Referencial de COBIT 
proporciona, al propietario de procesos de negocio, herramien-tas 
que facilitan el cumplimiento de esta responsabilidad. El 
Marco Referencial comienza con una premisa simple y prácti-ca: 
Con el fin de proporcionar la información que la empresa 
necesita para alcanzar sus objetivos, los recursos de TI 
deben ser administrados por un conjunto de procesos de TI 
agrupados en forma natural. 
El Marco Referencial continúa con un conjunto de 34 Objeti-vos 
de Control de alto nivel, uno para cada uno de los Proce-sos 
de TI, agrupados en cuatro dominios: Planeación y Orga-nización, 
Adquisición e Implementación, Entrega de servicios 
y Soporte y Monitoreo. Esta estructura cubre todos los aspec-tos 
de información y de tecnología que la soporta. Adminis-trando 
adecuadamente estos 34 Objetivos de Control de alto 
nivel, el propietario de procesos de negocio podrá asegurar 
que se proporciona un sistema de control adecuado para el 
ambiente de tecnología de información. 
El Marco Referencial de COBIT provee además una guía o 
lista de verificación para el Gobierno de TI. El Gobierno de TI 
proporciona las estructuras que encadenan los procesos de TI, 
los recursos de TI y la información con los objetivos y las es-trategias 
de la empresa. El Gobierno de TI integra de una for-ma 
óptima el desempeño de la Planeación y Organización, la 
Adquisición e Implementación, la Entrega de Servicios y So-porte 
y el Monitoreo. El Gobierno de TI facilita que la empre-sa 
obtenga total ventaja de su información y así mismo maxi-miza 
sus beneficios, capitalizando sus oportunidades y obte-niendo 
ventaja competitiva 
Adicionalmente, correspondiendo a cada uno de los 34 objeti-vos 
de control de alto nivel, existe una Guía o directriz de 
Auditoría o de aseguramiento que permite la revisión de los 
procesos de TI contra los 318 objetivos detallados de control 
recomendados por COBIT para proporcionar a la Gerencia la 
certeza de su cumplimiento y/o sugerencias para su mejora-miento. 
Las Guías o Directrices Gerenciales de COBIT, desarrolladas 
recientemente, ayudan a la Gerencia a cumplir de una forma 
mas efectiva con las necesidades y requerimientos del Gobier-no 
de TI. Las Directrices son acciones genéricas orientadas a 
proveer a la Administración la dirección para mantener bajo 
control la información de la empresa y sus procesos relaciona-dos, 
para monitorear el logro de las metas organizacionales, 
para monitorear el desempeño de cada proceso de TI y para 
llevar a cabo un benchmarking de los logros organizacionales. 
Específicamente COBIT provee Modelos de Madurez para el 
control sobre los procesos de TI de tal forma que la Adminis-tración 
puede ubicarse en el punto donde la organización está 
hoy, donde está en relación con los “mejores de su clase” en 
su industria y con los estándares internacionales y así mismo 
determinar a donde quiere llegar; Factores Críticos de Éxito 
(Critical Success Factors), que definen o determina cuales 
son las mas importantes directrices que deben ser consideradas 
por la Administración para lograr control sobre y dentro de los 
procesos de TI. Indicadores Claves del logro de Objetivos o 
de Resultados (Key Goal Indicators) los cuales definen los 
mecanismos de medición que indicarán a la Gerencia— 
después del hecho– si un proceso de TI ha satisfecho los re-querimientos 
del negocio; y los Indicadores Clave de desem-peño 
(Key Performance Indicators) los cuales son indicado-res 
primarios que definen la medida para conocer qué tan bien 
se está ejecutando el proceso de TI frente o comparado contra 
el objetivo que se busca. 
3 Empoderamiento (empowerment) 
IT GOVERNANCE INSTITUTE 6
RESUMEN EJECUTIIVO 
Las Directrices Gerenciales de COBIT son genéricas y son 
acciones orientadas al propósito de responder los siguien-tes 
tipos de preguntas gerenciales: Qué tan lejos debemos 
ir y es el costo justificado para el beneficio obtenido? Cuá-les 
son los indicadores de buen desempeño? Cuáles son los 
factores críticos de éxito? Cuáles son los riesgos de no lo-grar 
nuestros objetivos? Qué hacen otros? Cómo nos po-demos 
medir y comparar? 
COBIT contiene adicionalmente un Conjunto de Herramien-tas 
de Implementación que proporciona lecciones aprendidas 
por empresas que rápida y exitosamente aplicaron COBIT en 
sus ambientes de trabajo. Incluye dos herramientas particular-mente 
útiles - Diagnóstico de Sensibilización Gerencial 
(Management Awareness Diagnostic) y Diagnóstico de Con-trol 
en TI (IT Control Diagnostic) - para proporcionar asisten-cia 
en el análisis del ambiente de control de TI en una organi-zación. 
En los próximos años las Directivas de las Organizaciones 
necesitarán demostrar que están logrando incrementar sus 
niveles de seguridad y control. COBIT es una herramienta que 
ayuda a los Directivos a colocar un puente entre los requeri-mientos 
de control, los aspectos técnicos y los riesgos del ne-gocio 
y adicionalmente informa a los accionistas o dueños de 
la empresa el nivel de control alcanzado. COBIT habilita el 
desarrollo de una política clara y de buenas prácticas de con-trol 
de TI a través de las organizaciones, a nivel mundial. 
Por lo tanto, COBIT está diseñado para ser la herramien-ta 
de gobierno de TI que ayude al entendimiento y a la 
administración de los riesgos así como de los beneficios 
asociados con la información y sus tecnologías relaciona-das. 
IT GOVERNANCE INSTITUTE 7
COBIIT 
PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS 
OOBBJJEETIVIVOOSS DDEE NNEEGGOOCCIOIO 
COBIIT 
RECURSOS DE TI 
• datos 
• sistemas de 
aplicación 
• tecnología 
• instalaciones 
• gente 
M1 Monitorear los procesos 
M2 Evaluar lo adecuado del control 
MONITOREO 
8 IT GOVERNANCE INSTITUTE 
PO1 Definir un Plan Estratégico de 
Tecnología de Información 
PO2 Definir la Arquitectura de Información 
PO3 Determinar la dirección tecnológica 
PO4 Definir la Organización y de las 
Relaciones de TI 
PO5 Manejar la Inversión en Tecnología de 
Información 
PO6 Comunicar la dirección y aspiraciones de 
la gerencia 
PO7 Administrar Recursos Humanos 
PO8 Asegurar el Cumplimiento de 
Requerimientos Externos 
PO9 Evaluar Riesgos 
PO10 Administrar proyectos 
PO11 Administrar Calidad 
PLANEACION Y 
ORGANIZACION 
ADQUISICION E 
ENTREGA Y IMPLEMENTACION 
SOPORTE 
AI1 Identificar Soluciones 
AI2 Adquirir y Mantener Software de 
Aplicación 
AI3 Adquirir y Mantener Arquitectura de 
Tecnología 
AI4 Desarrollar y Mantener Procedimientos 
relacionados con TI 
AI5 Instalar y Acreditar Sistemas 
AI6 Administrar Cambios 
DS1 Definir Niveles de Servicio 
DS2 Administrar Servicios prestados por Terceros 
DS3 Administrar Desempeño y Capacidad 
DS4 Asegurar Servicio Continuo 
DS5 Garantizar la Seguridad de Sistemas 
DS6 Identificar y Asignar Costos 
DS7 Educar y Entrenar a los Usuarios 
DS8 Apoyar y Asistir a los Clientes de TI 
DS9 Administrar la Configuración 
DS10 Administrar Problemas e Incidentes 
DS11 Administrar Datos 
DS12 Administrar Instalaciones 
DS13 Administrar Operaciones 
Interno 
M3 Obtener aseguramiento 
independiente 
M4 Proporcionar auditoría independiente INFORMACION 
• efectividad 
• eficiencia 
• confidencialidad 
• integridad 
• disponibilidad 
• cumplimiento 
• confiabilidad 
GOBIERNO DE TI
DIIRECTRIICES DE AUDIITORIIA 
EL MARCO REFERENCIAL DE COBIT 
LA NECESIDAD DE CONTROL EN TECNOLOGIA 
DE INFORMACION 
En los últimos años , ha sido cada vez más evidente la necesi-dad 
de un Marco Referencial para la seguridad y el control de 
tecnología de información (TI). Las organizaciones exitosas 
requieren una apreciación y un entendimiento básico de los 
riesgos y limitaciones de TI a todos los niveles dentro de la 
empresa con el fin de obtener un efectiva dirección y controles 
adecuados. 
LA ADMINISTRACION (MANAGEMENT) debe decidir 
cual es la inversión razonable en seguridad y en control en TI 
y cómo lograr un balance entre riesgos e inversiones en con-trol 
en un ambiente de TI frecuentemente impredecible. 
Mientras la seguridad y los controles en los sistemas de infor-mación 
ayudan a administrar los riesgos, no los eliminan. Adi-cionalmente, 
el exacto nivel de riesgo nunca puede ser conoci-do 
ya que siempre existe un grado de incertidumbre. 
Finalmente, la Administración debe decidir el nivel de riesgo 
que está dispuesta a aceptar. Juzgar cual puede ser el nivel 
tolerable, particularmente cuando se tiene en cuenta contra el 
costo, puede ser una decisión difícil para la Administración. 
Por esta razón, la Administración necesita un marco de refe-rencia 
de las prácticas generalmente aceptadas de control y 
seguridad de TI para compararlos contra el ambiente de TI 
existente y planeado. 
Existe una creciente necesidad entre los USUARIOS de los 
servicios de TI, de estar protegidos a través de la acreditación 
y la auditoría de servicios de TI proporcionados internamente 
o por terceras partes, que aseguren la existencia de controles y 
seguridades adecuadas. Actualmente, sin embargo, es confusa 
la implementación de buenos controles de TI en sistemas de 
negocios por parte de entidades comerciales, entidades sin 
fines de lucro o entidades gubernamentales. Esta confusión 
proviene de los diferentes métodos de evaluación, tales como 
ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones 
de control interno COSO, etc. Como resultado, los usuarios 
necesitan que se establezca una base general como un primer 
paso. 
Frecuentemente, los AUDITORES han tomado el liderazgo 
en estos esfuerzos internacionales de estandarización, debido a 
que ellos enfrentan continuamente la necesidad de sustentar y 
apoyar su opinión acerca de los controles internos frente a la 
Gerencia. Sin contar con un marco referencial, ésta se con-vierte 
en una tarea demasiado complicada. Incluso, la admi-nistración 
consulta cada vez más a los auditores para que la 
asesoren en forma proactiva en lo referente a asuntos de segu-ridad 
y control de TI. 
EL AMBIENTE DE NEGOCIOS: 
COMPETENCIA, CAMBIO Y COSTOS 
La competencia global es ya un hecho. Las organizaciones se 
reestructuran con el fin de perfeccionar sus operaciones y al 
mismo tiempo aprovechar los avances en TI para mejorar su 
posición competitiva. La reingeniería en los negocios, las 
reestructuraciones o right-sizing, el outsourcing, el empodera-miento, 
las organizaciones horizontales y el procesamiento 
distribuido son cambios que impactan la manera en la que 
operan tanto los negocios como las entidades gubernamenta-les. 
Estos cambios han tenido y continuarán teniendo, profun-das 
implicaciones para la administración y las estructuras de 
control operacional dentro de las organizaciones en todo el 
mundo. 
La especial atención prestada a la obtención de ventajas com-petitivas 
y a la eficiencia en costos implica una dependencia 
creciente en la tecnología como el componente más importan-te 
en la estrategia de la mayoría de las organizaciones. La 
automatización de las funciones organizacionales, por su natu-raleza, 
dicta la incorporación de mecanismos de control más 
poderosos en las computadoras y en las redes, tanto para las 
basadas en hardware como las basadas en software. Además, 
las características estructurales fundamentales de estos contro-les 
están evolucionando al mismo paso que las tecnologías de 
computación y las redes. 
Dentro del marco referencial de cambios acelerados, si 
los administradores, los especialistas en sistemas de in-formación 
y los auditores desean en realidad ser capa-ces 
de cumplir con sus tareas en forma efectiva , debe-rán 
aumentar y mejorar sus habilidades tan rápidamente 
como lo demandan la tecnología y el ambiente. Debe-mos 
comprender la tecnología de controles involucrada 
y su naturaleza cambiante si deseamos emitir y ejercer 
juicios razonables y prudentes al evaluar las prácticas de 
control que se encuentran en los negocios típicos o en 
las organizaciones gubernamentales. 
IT GOVERNANCE INSTITUTE 9
COBIIT 
APARICION DEL GOBIERNO4 DE LA EMPRESA Y 
DEL GOBIERNO DE TI 
Para lograr el éxito en esta economía de información, el Go-bierno 
de la empresa y el Gobierno de TI no pueden ser con-sideradas 
separadamente y en distintas disciplinas. El go-bierno 
efectivo de la empresa enfoca el conocimiento y la 
experiencia en forma individual y grupal, donde puede ser 
mas productivo, monitoreado y medido el desempeño así 
como provisto el aseguramiento para aspectos críticos. TI, 
por mucho tiempo considerada aislada dentro del logro de 
los objetivos de la empresa debe ahora ser considerada como 
una parte integral de la estrategia. 
El Gobierno de TI provee la estructura que une los procesos 
de TI, los recursos de TI y las estrategias y objetivos de la 
empresa. El Gobierno de TI integra e institucionaliza de una 
manera óptima la planeación y organización, la adquisición e 
implementación, la entrega de servicios y soporte y el moni-toreo 
del desempeño de TI. El Gobierno de TI es integral 
para el éxito del Gobierno de la Empresa asegurando una 
eficiente y efectiva medición para mejorar los procesos de la 
empresa. El Gobierno de TI le permite a la empresa tomar 
ventaja total de su información, al maximizar sus beneficios, 
capitalizar sus oportunidades y ganar ventaja competitiva. 
Observando en el contexto a la empresa y los procesos 
del Gobierno de TI con mayor detalle, el gobierno de la 
empresa, el sistema por el cual las entidades son dirigidas 
y controladas direcciona y analiza el Gobierno de TI. Al 
mismo tiempo, TI debería proveer insumos críticos y 
constituirse en un componente importante de los planes 
estratégicos. De hecho TI puede influenciar las oportuni-dades 
estratégicas de la empresa. 
Gobierno 
de la 
Empresa 
Direcciona y Prepara 
Gobierno de Tecnologia de 
Informacion 
Las actividades de la empresa requieren informa-ción 
de las actividades de TI con el fin de satisfa-cer 
los objetivos del negocio. Organizaciones exi-tosas 
aseguran la interdependencia entre su plan 
estratégico y sus actividades de TI. TI debe estar 
alineado y debe permitir a la empresa tomar ven-taja 
total de su información para maximizar sus 
beneficios, capitalizar oportunidades y ganar ven-taja 
competitiva. 
10 IT GOVERNANCE INSTITUTE 
Actividades de 
la empresa 
Requiere informacion de 
Actividades de Tecnologia 
de Informacion 
Las empresas son gobernadas por buenas (o me-jores) 
prácticas generalmente aceptadas para 
asegurar que la empresa cumpla sus metas ase-gurando 
que lo anterior esté garantizado por cier-tos 
controles. Desde estos objetivos fluye la di-rección 
de la organización, la cual dicta ciertas 
actividades a la empresa usando sus propios re-cursos. 
Los resultados de las actividades de la 
empresa son medidos y reportados proporcionan-do 
insumos para el mantenimiento y revisión 
constante de los controles, comenzando el ciclo 
de nuevo. 
4Gobierno (governance): sistema que 
establece la alta gerencia para asegurar el 
logro de los objetivos de una Organiza-ción.
DIIRECTRIICES DE AUDIITORIIA 
DIRIGIR 
Manejo de Riesgo Beneficios 
IT GOVERNANCE INSTITUTE 11 
Objetivos 
Gobierno de la Empresa 
Direcciona 
CONTROL Actividades de la 
Empresa Recursos 
Reportando Usando 
También TI es gobernado por buenas (o mejores) prácticas 
para asegurar que la información de la empresa y sus tec-nologías 
relacionadas apoyan sus objetivos del negocio, 
estos recursos son utilizados responsablemente y sus ries-gos 
son manejados apropiadamente. Estas prácticas con-forman 
una base para la dirección de las actividades de TI 
las cuales pueden ser enmarcadas en la Planeación y Orga-nización, 
Adquisición e Implementación, Entrega de Servi-cios 
y Soporte y Monitoreo para los propósitos duales co-mo 
son el manejo de riesgo (para obtener seguridad, con-fiabilidad 
y cumplimiento) y la obtención de beneficios 
(incrementando la efectividad y eficiencia). Los reportes 
son enfocados sobre los resultados de las actividades de TI, 
los cuales son medidos contra diferentes prácticas y con-troles 
y el ciclo comienza otra vez. 
Gobierno de TI 
PO 
AI 
DS 
MO 
Objetivos Actividades de TI 
Planea 
Hace 
Revisa 
Corrige 
REPORTAR 
• TI está alineado con el 
negocio, habilita al 
negocio y maximiza 
beneficios. 
• Los recursos de TI 
son utilizados 
responsablemente. 
• Los riesgos 
relacionados a TI son 
manejados 
apropiadamente. 
Decrementar 
Costos – ser 
eficiente 
Incrementar 
Automatización 
– ser efectivo 
• Seguridad 
• Confiabilidad 
• Conformidad-cumplimiento 
CONTROL 
Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para 
alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita 
identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las 
metas y determinando que tan bien se están desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de ava-luar 
el nivel de madurez de la organización contra las mejores practicas industriales y los modelos internacionales. Para 
soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado 
Factores Críticos de Exito específicos, Indicadores Claves de Logros e Indicadores Clave de Desempeño y un Modelo 
de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apédice I.
COBIIT 
a la Administración Indicadores Clave de Logros (KGIs— 
Key Goal Indicators), Indicadores Claves de Desempeño 
(KPIs— Key Performance Indicators), Factores Críticos de 
Éxito (CSFs—Critical Success Factors) y un Modelo de Ma-durez 
con el cual puede analizar el ambiente de TI y conside-rar 
opciones para la implementación y mejoramiento de los 
controles sobre la información de la organización y sus tecno-logías 
relacionadas. 
Por lo tanto, el objetivo principal del proyecto COBIT es el 
desarrollo de políticas claras y buenas prácticas para la seguri-dad 
y el control de Tecnología de Información, con el fin de 
obtener la aprobación y el apoyo de las entidades comerciales, 
gubernamentales y profesionales en todo el mundo. La meta 
del proyecto es desarrollar estos objetivos de control principal-mente 
a partir de la perspectiva de los objetivos y necesidades 
de la empresa. (Esto concuerda con la perspectiva COSO, que 
constituye el primer y mejor marco referencial para la admi-nistración 
en cuanto a controles internos.) Posteriormente, los 
objetivos de control fueron desarrollados a partir de la pers-pectiva 
de los objetivos de auditoría (certificación de informa-ción 
financiera, certificación de medidas de control interno, 
eficiencia y efectividad, etc.) 
AUDIENCIA: ADMINISTRACION, USUARIOS Y AU-DITORES 
COBIT está diseñado para ser utilizado por tres audiencias 
distintas: 
ADMINISTRACION/ GERENCIA (Management): 
Para ayudarlos a lograr un balance entre los riesgos y las in-versiones 
en control en un ambiente de tecnología de informa-ción 
frecuentemente impredecible. 
USUARIOS: 
Para obtener una garantía en cuanto a la seguridad y controles 
de los servicios de tecnología de información proporcionados 
internamente o por terceras partes. 
AUDITORES: 
Para soportar su opinión y/o proporcionar consejos a la Admi-nistración 
sobre los controles internos. 
RESPUESTA A LAS NECESIDADES 
En vista de estos continuos cambios, el desarrollo de este 
Marco Referencial de objetivos de control para TI, conjunta-mente 
con una investigación continua aplicada a controles de 
TI basada en este marco referencial, constituyen el funda-mento 
para el progreso efectivo en el campo de los controles 
de sistemas de información. 
Por otro lado, hemos sido testigos del desarrollo y publica-ción 
de modelos de control generales de negocios como CO-SO 
[Committee of Sponsoring Organisations of the Tread-way 
Commisssion Internal Control-Integrated Framework, 
1992] en los EUA, Cadbury en el Reino Unido, CoCo en 
Canadá y King en Sudáfrica. Por otro lado, existe un núme-ro 
importante de modelos de control más enfocados al nivel 
de tecnología de información. Algunos buenos ejemplos de 
esta última categoría son el Security Code of Conduct del 
DTI (Departamento de Industria y Comercio, Reino Unido) 
y el Security Handbook de NIST (National Institute of Stan-dards 
and Technology, EUA). Sin embargo, estos modelos 
de control con orientación específica no proporcionan un 
modelo de control completo y utilizable sobre tecnología de 
información como soporte para los procesos del negocio. El 
propósito de COBIT es cubrir este vacío proporcionando una 
base que esté estrechamente ligada a los objetivos de nego-cio, 
al mismo tiempo que se enfoca a la tecnología de infor-mación. 
(El documento que más se acerca al COBIT es una publica-ción 
reciente de AICPA/CICA Systrust TM Principios y Crite-rios 
para la Confiabilidad de los Sistemas. SysTrust es una 
autoridad que realiza publicaciones para el Comité Ejecutivo 
de Servicios de Aseguramiento de los Estados Unidos y para 
el Comité de Desarrollo de Servicios de Calidad de Canadá, 
basado en parte en los Objetivos de Control de COBIT. Sys- 
Trust está diseñado para incrementar el confort de la Admi-nistración, 
los clientes y los socios de negocios con los siste-mas 
que soportan un negocio o una actividad en particular. 
Los servicios de SysTrust incluyen al contador público pro-porcionándole 
un servicio de aseguramiento en el cual él o 
ella evalúa y prueba si el sistema es confiable cuando lo mi-de 
contra cuatro principios esenciales: Disponibilidad, segu-ridad, 
integridad y mantenimiento. 
Un enfoque hacia los requerimientos del negocio en cuanto 
a controles para tecnología de información y la aplicación de 
modelos de control emergentes y estándares internacionales 
relacionados incluyen los Objetivos de Control originales de 
la Information Systems Audit and Control Foundation como 
una herramienta usada por el Auditor y la Administración. 
Adicionalmente, el desarrollo de las Directrices Gerenciales 
de TI ha llevado al COBIT al siguiente nivel proporcionando 
12 IT GOVERNANCE INSTITUTE
DIIRECTRIICES DE AUDIITORIIA 
ORIENTACIÓN A OBJETIVOS DE NEGOCIO 
El CobiT está alineado con los Objetivos del Negocio. Los Ob-jetivos 
de Control muestran una relación clara y distintiva con 
los objetivos del negocio con el fin de apoyar su uso en forma 
significativa fuera de las fronteras de la comunidad de auditoría. 
Los Objetivos de Control están definidos con una orientación a 
los procesos, siguiendo el principio de reingeniería de negocios. 
En dominios y procesos identificados, se identifica también un 
objetivo de control de alto nivel para documentar el enlace con 
los objetivos del negocio. Adicionalmente, se establecen consi-deraciones 
y guías para definir e implementar el Objetivo de 
Control de TI. 
La clasificación de los dominios a los que se aplican los objeti-vos 
de control de alto nivel (dominios y procesos); una indica-ción 
de los requerimientos de negocio para la información en 
ese dominio, así como los recursos de TI que reciben un impacto 
primario por parte del objetivo del control, forman conjuntamen-te 
el Marco de Referencia de COBIT. El Marco de Referencia 
toma como base las actividades de investigación que han identi-ficado 
34 objetivos de alto nivel y 318 objetivos de control de-tallados. 
El Marco de Referencia fue presentado a la industria 
de TI y a los profesionales dedicados a la auditoría para abrir la 
posibilidad a revisiones, cambios y comentarios. Las ideas obte-nidas 
fueron incorporadas en forma apropiada. 
DEFINICIONES GENERALES 
Para propósitos de este proyecto, se proporcionan las siguientes 
definiciones. La definición de “Control” está adaptada del repor-te 
COSO [Committee of Sponsoring Organisations of the Tread-way 
Commission. Internal Control-Integrated Framework, 1992 
y la definición para “Objetivo de Control de TI” ha sido adapta-da 
del reporte SAC (Systems Auditability and Control Report, 
The Institute of Internal Auditors Research Foundation, 1991 y 
1994). 
Una sentencia del resultado o propó-sito 
que se desea alcanzar implemen-tando 
procedimientos de control en 
una actividad de TI particular. 
Una estructura de relaciones y pro-cesos 
para dirigir y controlar la em-presa 
con el fin de lograr sus objeti-vos 
al añadir valor mientras se equi-libran 
los riesgos contra el retorno 
sobre TI y sus procesos. 
Objetivo de 
control en TI 
se define 
Objetivo de 
control en TI 
se define 
como 
como 
IT GOVERNANCE INSTITUTE 13 
Control se 
define como 
Control se 
define como 
Las políticas, procedimientos, prácticas y 
estructuras organizacionales diseñadas 
para garantizar razonablemente que los 
objetivos del negocio serán alcanzados y 
que eventos no deseables serán preveni-dos 
o detectados y corregidos 
Gobierno de TI 
se define como
COBIIT 
LOS PRINCIPIOS DEL MARCO REFERENCIAL 
Existen dos clases distintas de modelos de control actual-mente 
disponibles, aquéllos de la clase del “modelo de con-trol 
de negocios” (por ejemplo COSO) y los “modelos más 
enfocados a TI” (por ejemplo, DTI). COBIT intenta cubrir la 
brecha que existe entre los dos. Debido a esto, COBIT se 
posiciona como una herramienta más completa para la Ad-ministración 
y para operar a un nivel superior a los estánda-res 
de tecnología para la administración de sistemas de infor-mación.. 
Por lo tanto, COBIT es el modelo para el gobier-no 
de TI! 
El concepto fundamental del Marco Referencial de COBIT se 
refiere a que el enfoque del control en TI se lleva a cabo 
visualizando la información necesaria para dar soporte a los 
procesos de negocio y considerando a la información como 
el resultado de la aplicación combinada de recursos relacio-nados 
con la Tecnología de Información que deben ser admi-nistrados 
por procesos de TI. 
Procesos de TI 
Para satisfacer los objetivos del negocio, la información ne-cesita 
concordar con ciertos criterios a los que COBIT hace 
referencia como requerimientos de negocio para la informa-ción. 
Al establecer la lista de requerimientos, COBIT combi-na 
los principios contenidos en los modelos referenciales 
existentes y conocidos: 
Calidad 
Costo 
Entrega o Distribución (de servicio) 
14 IT GOVERNANCE INSTITUTE 
Efectividad y eficiencia de las 
operaciones 
Confiabilidad de la información 
Cumplimiento de leyes y 
regulaciones 
Confidencialidad 
Integridad 
Disponibilidad 
La Calidad ha sido considerada principalmente por su aspec-to 
‘negativo’ (ausencia de fallas, confiabilidad, etc.), lo cual 
también se encuentra contenido en gran medida en los crite-rios 
de Integridad. Los aspectos positivos, pero menos tan-gibles, 
de la calidad (estilo, atractivo, “ver y sentir”, desem-peño 
más allá de las expectativas, etc.) no fueron, por un 
tiempo, considerados desde un punto de vista de Objetivos 
de Control de TI. La premisa se refiere a que la primera 
prioridad deberá estar dirigida al manejo apropiado de los 
riesgos al compararlos contra las oportunidades. El aspecto 
utilizable de la Calidad está cubierto por los criterios de 
efectividad. Se consideró que el aspecto de entrega o distri-bución 
del servicio, de la Calidad se traslapa con el aspecto 
de disponibilidad correspondiente a los requerimientos de 
seguridad y también en alguna medida, con la efectividad y 
la eficiencia. Finalmente, el Costo también es considerado, 
siendo cubierto por la Eficiencia. 
Para los requerimientos fiduciarios, COBIT no intentó reinven-tar 
la rueda – se utilizaron las definiciones de COSO para la 
efectividad y eficiencia de las operaciones, confiabilidad de 
información y cumplimiento con leyes y regulaciones. Sin 
embargo, confiabilidad de información fue ampliada para in-cluir 
toda la información – no sólo información financiera. 
Con respecto a los aspectos de seguridad, COBIT identificó la 
confidencialidad, integridad y disponibilidad como los ele-mentos 
clave— se encontró que estos mismos tres elementos 
son utilizados a nivel mundial para describir los requerimien-tos 
de seguridad. 
Comenzando el análisis a partir de los requerimientos de Cali-dad, 
Fiduciarios y de Seguridad más amplios, se extrajeron 
siete categorías distintas, ciertamente superpuestas. A conti-nuación 
se muestran las definiciones utilizadas por COBIT: 
Requerimientos 
de Negocio 
Recursos de TI 
Requerimientos 
Fiduciarios 
(COSO) 
Requerimientos 
de Seguridad 
Requerimientos de 
Calidad
DIIRECTRIICES DE AUDIITORIIA 
Se refiere a que la información relevan-te 
sea pertinente para el proceso del 
negocio, así como a que su entrega sea 
oportuna, correcta, consistente y de 
manera utilizable. 
Se refiere a la provisión de información 
a través de la utilización óptima (más 
productiva y económica) de recursos. 
Se refiere a la protección de informa-ción 
sensible contra divulgación no 
autorizada. 
Se refiere a la precisión y suficiencia 
de la información, así como a su vali-dez 
de acuerdo con los valores y expec-tativas 
del negocio. 
Se refiere a la disponibilidad de la in-formación 
cuando ésta es requerida por 
el proceso de negocio ahora y en el 
futuro. También se refiere a la salva-guarda 
de los recursos necesarios y 
capacidades asociadas. 
Se refiere al cumplimiento de aquellas 
leyes, regulaciones y acuerdos contrac-tuales 
a los que el proceso de negocios 
está sujeto, por ejemplo, criterios de 
negocio impuestos externamente. 
Se refiere a la provisión de información 
apropiada para la administración con el 
fin de operar la entidad y para ejercer 
sus responsabilidades de reportes finan-cieros 
y de cumplimiento. 
Efectividad 
Eficiencia 
Confidencialidad 
Los recursos de TI identificados en COBIT pueden explicarse/ 
definirse como se muestra a continuación: 
Son objetos en su más amplio sentido, 
(por ejemplo, externos e internos), es-tructurados 
y no estructurados, gráficos, 
sonido, etc. 
Se entiende como sistemas de aplicación 
la suma de procedimientos manuales y 
programados. 
La tecnología cubre hardware, sistemas 
operativos, sistemas de administración 
de bases de datos, redes, multimedia, 
etc. 
Recursos para alojar y dar soporte a los 
sistemas de información. 
Habilidades del personal, conocimiento, 
sensibilización y productividad para 
planear, organizar, adquirir, entregar, 
soportar y monitorear servicios y siste-mas 
de información. 
El dinero o capital no fue considerado como un recurso de TI 
para la clasificación de los objetivos de control porque el dine-ro 
puede ser considerado como una inversión dentro de cual-quiera 
de los recursos presentados. Además debe anotarse que 
el Marco Referencial no se refiere específicamente a la docu-mentación 
de todos los materiales relacionados con un proce-so 
de TI en particular. Como un aspecto de buenas prácticas, 
la documentación es considerada como un buen control, y por 
lo tanto la falta de documentación sería causa de una mayor 
revisión y análisis de los controles compensatorios en cual-quier 
área bajo revisión. 
Otra forma de ver la relación de los recursos de TI con respec-to 
a la entrega de servicios se describe a continuación: 
Daattooss 
SSiisstteemmaass ddee AApplliiccaacciióónn 
Con el fin de asegurar que los requerimientos del negocio 
para la información se cumplan, es necesario definir, imple-mentar 
y monitorear adecuadas medidas de control sobre esos 
recursos. ¿Cómo pueden entonces las empresas estar satisfe-chas 
respecto a que la información obtenida presente las ca-racterísticas 
que necesitan? Es aquí donde se requiere de un 
sano marco referencial de Objetivos de Control para TI. El 
siguiente diagrama ilustra este concepto. 
IT GOVERNANCE INSTITUTE 15 
Disponibilidad 
Cumplimiento 
Confiabilidad 
de la 
Información 
Datos 
Aplicaciones 
Tecnología 
Instalaciones 
Personal 
mensaje 
entrada 
servicio 
salida 
TECNOLOGIIA 
IINSSTALACIIONESS 
GENTE 
Eventos 
Objetivos de negocio 
Oportunidades de negocio 
Requerimientos externos 
Regulaciones 
Riesgos 
Información 
Efectividad 
Eficiencia 
Confidencialidad 
Integridad 
Disponibilidad 
Cumplimiento 
Confiabilidad 
Integridad
COBIIT 
Qué obtiene? Qué necesita? 
PROCESOS 
DE NEGOCIO 
INFORMACION 
RECURSOS DE TI 
•• datos 
•• sistemas de aplicación 
•• tecnología 
•• instalaciones 
•• gente 
El Marco Referencial consta de Objetivos de Control de alto 
nivel y de una estructura general para su clasificación y pre-sentación. 
La teoría subyacente para esta clasificación se re-fiere 
a que existen, en esencia, tres niveles de actividades de 
TI al considerar la administración de sus recursos. Comenzan-do 
por la base, encontramos las actividades y tareas necesa-rias 
para alcanzar un resultado medible. Las actividades 
cuentan con un concepto de ciclo de vida, mientras que las 
tareas son consideradas más discretas. El concepto de ciclo 
de vida cuenta típicamente con requerimientos de control 
diferentes a los de actividades discretas. Los procesos se 
definen entonces en un nivel superior como una serie de ac-tividades 
o tareas conjuntas con “cortes” naturales (de con-trol). 
Al nivel más alto, los procesos son agrupados de mane-ra 
natural en dominios. Su agrupamiento natural es confir-mado 
Criterios 
?¿ Concuerdan ? 
frecuentemente como dominios de responsabilidad en 
una estructura organizacional, y está en línea con el ciclo 
administrativo o ciclo de vida aplicable a los procesos de TI. 
Por lo tanto, el marco referencial conceptual puede ser enfo-cado 
desde tres puntos estratégicos: (1)criterios de informa-ción; 
(2) recursos de TI, (3) procesos de TI. Estos tres puntos 
de vista diferentes están descritos en el Cubo CobiT que se 
muestra a continuación: 
Dominios 
Procesos 
Actividades 
Dominios 
Procesos 
16 IT GOVERNANCE INSTITUTE 
•• efectividad 
•• eficiencia 
•• confidencialidad 
•• integridad 
•• disponibilidad 
•• cumplimiento 
•• confiabilidad 
Criterios de información 
Instalaciones 
Datos 
Gente 
Sistemas de Aplicación 
Tecnología 
Actividades 
Calidad 
Fiduciarios 
Seguridad 
Recursos de TI 
Procesos de TI
Con lo anterior cono marco de referencia, los dominios son 
identificados utilizando las palabras que la gerencia utilizaría 
en las actividades cotidianas de la organización –y no la 
“jerga5” del auditor -. Por lo tanto, cuatro grandes dominios 
son identificados: planeación y organización, adquisición e 
implementación, entrega y soporte y monitoreo. 
Las definiciones para los dominios mencionados son las si-guientes: 
Este dominio cubre la estrategia y las 
tácticas y se refiere a la identificación 
de la forma en que la tecnología de 
información puede contribuir de la me-jor 
manera al logro de los objetivos del 
negocio. Además, la consecución de la 
visión estratégica necesita ser planeada, 
comunicada y administrada desde dife-rentes 
perspectivas. Finalmente, debe-rán 
establecerse una organización y una 
infraestructura tecnológica apropiadas. 
Para llevar a cabo la estrategia de TI, 
las soluciones de TI deben ser identifi-cadas, 
desarrolladas o adquiridas, así 
como implementadas e integradas de-ntro 
del proceso del negocio. Además, 
este dominio cubre los cambios y el 
mantenimiento realizados a sistemas 
existentes. 
En este dominio se hace referencia a la 
entrega de los servicios requeridos, que 
abarca desde las operaciones tradicio-nales 
hasta el entrenamiento, pasando 
por seguridad y aspectos de continui-dad. 
Con el fin de proveer servicios, 
deberán establecerse los procesos de 
soporte necesarios. Este dominio inclu-ye 
el procesamiento de los datos por 
sistemas de aplicación, frecuentemente 
clasificados como controles de aplica-ción. 
Todos los procesos necesitan ser evaluados 
regularmente a través del tiempo para verifi-car 
su calidad y suficiencia en cuanto a los 
requerimientos de control. Este dominio 
también advierte a la Administración 
sobre la necesidad de asegurar procesos 
de control independientes, los cuales 
DIIRECTRIICES DE AUDIITORIIA 
son provistos por auditorías internas y 
externas u obtenidas de fuentes alterna-tivas. 
Debe tomarse en cuenta que estos procesos pueden ser aplica-dos 
a diferentes niveles dentro de una organización. Por ejem-plo, 
algunos de estos procesos serán aplicados al nivel corpo-rativo, 
otros al nivel de la función de servicios de información, 
otros al nivel del propietario de los procesos de negocio. 
También debe ser tomado en cuenta que el criterio de efectivi-dad 
de los procesos que planean o entregan soluciones a los 
requerimientos de negocio, cubrirán algunas veces los criterios 
de disponibilidad, integridad y confidencialidad. – en la prácti-ca, 
se han convertido en requerimientos del negocio. Por 
ejemplo, el proceso de “identificar soluciones automatizadas” 
deberá ser efectivo en el cumplimiento de requerimientos de 
disponibilidad, integridad y confidencialidad. 
En resumen, los Recursos de TI necesitan ser administrados 
por un conjunto de procesos agrupados en forma natural, con 
el fin de proporcionar la información que la empresa necesi-ta 
para alcanzar sus objetivos. 
Resulta claro que las medidas de control no satisfarán necesa-riamente 
los diferentes requerimientos de información del 
negocio en la misma medida. 
Primario es el grado al cual el objetivo de con-trol 
definido impacta directamente el 
requerimiento de información de inte-rés. 
Secundario es el grado al cual el objetivo de con-trol 
definido satisface únicamente de 
forma indirecta o en menor medida el 
requerimiento de información de inte-rés. 
Blanco (vacío) podría aplicarse; sin embargo, los re-querimientos 
son satisfechos más apro-piadamente 
por otro criterio en este 
proceso y/o por otro proceso. 
IT GOVERNANCE INSTITUTE 17 
Planeación y 
organización 
Adquisición e 
implementación 
Entrega y 
soporte 
Entrega y 
soporte 
Monitoreo 
5 Jerga (jargon)
COBIIT 
Similarmente, todas las medidas de control no necesariamente 
tendrán impacto en los diferentes recursos de TI a un mismo 
nivel. Por lo tanto, el Marco Referencial de COBIT indica es-pecíficamente 
la aplicabilidad de los recursos de TI que son 
administrados en forma específica por el proceso bajo consi-deración 
(no por aquellos que simplemente toman parte en el 
proceso). Esta clasificación es hecha dentro el Marco Referen-cial 
de COBIT basado en el mismo proceso riguroso de infor-mación 
proporcionada por los investigadores, expertos y revi-sores, 
utilizando las definiciones estrictas indicadas previa-mente. 
En resumen, con el fin de proveer la información que la or-ganización 
necesita para lograr sus objetivos, el Gobierno 
de TI debe ser entrenado por la organización para asegurar 
que los recursos de TI serán administrados por una colección 
de procesos de TI agrupados naturalmente. El siguiente dia-grama 
ilustra este concepto. 
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS 
CUATRO DOMINIOS 
OBJEIVOS DE NEGOCIO OBJETIVOS DE NEGOCIO 
COBIIT 
RECURSOS DE TI 
• datos 
• sistemas de 
aplicación 
• tecnología 
• instalaciones 
• gente 
M1 Monitorear los procesos 
M2 Evaluar lo adecuado del control 
MONITOREO 
18 IT GOVERNANCE INSTITUTE 
PO1 Definir un Plan Estratégico de 
Tecnología de Información 
PO2 Definir la Arquitectura de Información 
PO3 Determinar la dirección tecnológica 
PO4 Definir la Organización y de las 
Relaciones de TI 
PO5 Manejar la Inversión en Tecnología de 
Información 
PO6 Comunicar la dirección y aspiraciones de 
la gerencia 
PO7 Administrar Recursos Humanos 
PO8 Asegurar el Cumplimiento de 
Requerimientos Externos 
PO9 Evaluar Riesgos 
PO10 Administrar proyectos 
PO11 Administrar Calidad 
PLANEACION Y 
ORGANIZACION 
ADQUISICION E 
ENTREGA Y IMPLEMENTACION 
SOPORTE 
AI1 Identificar Soluciones 
AI2 Adquirir y Mantener Software de 
Aplicación 
AI3 Adquirir y Mantener Arquitectura de 
Tecnología 
AI4 Desarrollar y Mantener Procedimientos 
relacionados con TI 
AI5 Instalar y Acreditar Sistemas 
AI6 Administrar Cambios 
DS1 Definir Niveles de Servicio 
DS2 Administrar Servicios prestados por Terceros 
DS3 Administrar Desempeño y Capacidad 
DS4 Asegurar Servicio Continuo 
DS5 Garantizar la Seguridad de Sistemas 
DS6 Identificar y Asignar Costos 
DS7 Educar y Entrenar a los Usuarios 
DS8 Apoyar y Asistir a los Clientes de TI 
DS9 Administrar la Configuración 
DS10 Administrar Problemas e Incidentes 
DS11 Administrar Datos 
DS12 Administrar Instalaciones 
DS13 Administrar Operaciones 
Interno 
M3 Obtener aseguramiento 
independiente 
M4 Proporcionar auditoría independiente INFORMACION 
• efectividad 
• eficiencia 
• confidencialidad 
• integridad 
• disponibilidad 
• cumplimiento 
• confiabilidad 
Gobierno de TI
DIIRECTRIICES DE AUDIITORIIA 
HISTORIA Y ANTECEDENTES DE COBIT 
La tercera edición de COBIT es la mas reciente versión de los 
Objetivos de Control para la información y sus tecnologías 
relacionadas, que fue liberado primero por la Information 
Systems Audit and Control Foundation (ISACF) en 1996. La 
2da edición que refleja un incremento en el número de docu-mentos 
fuente, una revisión en el alto nivel y objetivos de 
control detallados y la adición del Conjunto de herramientas 
de Implementación fue publicado en 1998. La 3a edición 
marca el ingreso de un nuevo editor para COBIT: El Institu-to 
de Gobierno de TI (IT Governance Institute). 
El Instituto de Gobierno de TI fue formado por la Informa-tion 
Systems Audit and Control Association (ISACA) y su 
Fundación asociada en 1998 para avanzar en el entendimien-to 
y la adopción de principios de gobierno de TI. Con la adi-ción 
de las Directrices Gerenciales en la 3a edición de CO-BIT 
y su expansión y mayor cubrimiento sobre el Gobierno 
de TI, el Instituto de Gobierno de TI adquirió un rol de lide-razgo 
IT GOVERNANCE INSTITUTE 19 
en el desarrollo de la publicación. 
COBIT se basó originalmente en los Objetivos de Control 
de la ISACF y ha sido mejorado con las actuales y emergen-tes 
estándares internacionales a nivel técnico, profesional, 
regulatorio y específicos de la industria. Los Objetivos de 
Control resultantes han sido desarrollados para su aplicación 
en sistemas de información de toda la empresa. El térmi-no 
“generalmente aplicables y aceptados” es utilizado 
explícitamente en el mismo sentido que los Principios de 
Contabilidad Generalmente Aceptados (PCGA o GAAP por 
sus siglas en inglés). 
Este estándar es relativamente pequeño en tamaño, con el fin 
de ser práctico y responder, en la medida de lo posible, a las 
necesidades del negocio, manteniendo al mismo tiempo una 
independencia con respecto a las plataformas técnicas de TI 
adoptadas en una organización. 
Sin excluir ningún otro estándar aceptado en el campo del 
control de sistemas de información que pudiera emitirse du-rante 
la investigación, las fuentes han sido identificadas ini-cialmente 
como: 
Estándares Técnicos de ISO, EDIFACT, etc. 
Códigos de Conducta emitidos por el Council of Europe, 
OECD, ISACA, etc.; 
Criterios de Calificación para sistemas y procesos de TI: 
ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; 
Estándares Profesionales para control interno y auditoría: 
reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, 
AICPA, etc.; 
Prácticas y requerimientos de la Industria de foros indus-triales 
(ESF, 14) y plataformas patrocinadas por el gobierno 
(IBAG, NIST, DTI); y 
Nuevos requerimientos específicos de la industria de la 
banca, Comercio Electrónico y manufactura de TI. 
(Ver Apéndice II, Descripción del Proyecto COBIT; 
Apéndice III Material de Referencia Primaria de COBIT 
y Apéndice IV, Glosario de Términos )
HISTORIA Y ANTECEDENTES DE COBIT 
Familia de Productos COBIT® 
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIÓN 
Resumen Ejecutivo 
Casos de Estudio 
FAQs 
Presentaciones en PowerPoint 
Guías de Implementación 
• Diagnóstico de la conciencia de la Administración 
• Diagnostico de Control de TI 
IT GOVERNANCE INSTITUTE 20 
COBIIT 
EVOLUCIÓN DEL PRODUCTO COBIT 
COBIT evolucionará a través de los años y será el fundamento 
de investigaciones futuras. Por lo tanto, se generará una fami-lia 
de productos COBIT y al ocurrir esto, las tareas y activida-des 
que sirven como estructura para organizar los Objetivos de 
Control de TI, serán refinadas posteriormente. También será 
revisado el balance entre los dominios y los procesos a la luz 
de los cambios en la industria. 
La investigación y las publicaciones han sido posibles gracias 
al fundamental apoyo de PricewaterhouseCoopers y las dona-ciones 
de los capítulos de ISACA y de miembros de todo el 
mundo. La European Security Forum (ESF) amablemente 
llevó a cabo la recolección de material disponible para el pro-yecto. 
La Gartner Group además participó en el desarrollo y 
realizó la revisión de aseguramiento de calidad de las Directri-ces 
Gerenciales. 
RESUMEN EJECUTIVO 
MARCO REFERENCIAL 
objetivos de control de alto nivel 
DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA-DOS 
DIRECTRICES DE AUDITORIA 
Factores Críticos de Éxito 
Indicadores Clave por Objetivos 
Indicadores Clave de Desempeño 
PRODUCTOS DE LA FAMILIA COBIT 
Modelo de Madurez
INTRODUCCIÓN A LAS DIRECTRICES DE AUDITORÍA 
COBIT Y LAS DIRECTRICES DE AUDITORÍA 
Las Directrices de Auditoría ofrecen una herramienta 
complementaria para la fácil aplicación del Marco Refe-rencial 
y los Objetivos de Control COBIT dentro de las 
actividades de auditoría y evaluación. El propósito de 
las Directrices de Auditoría es contar con una estructura 
sencilla para auditar y evaluar controles, con base en 
prácticas de auditoría generalmente aceptadas y compa-tibles 
con el esquema global COBIT. 
Los objetivos y prácticas individuales varían considera-blemente 
de organización a organización y existen mu-chos 
tipos de practicantes dedicados a actividades rela-cionadas 
con la auditoría; por ejemplo auditores exter-nos, 
auditores internos, evaluadores, revisores de cali-dad, 
y asesores técnicos. Por estas razones, las Directri-ces 
de Auditoría tienen una estructura genérica y de alto 
nivel. 
Los auditores deben cumplir con algunos requerimientos 
generales para proporcionar a los directivos y a los pro-pietarios 
o dueños de los procesos de negocios, seguri-dad 
y asesoría respecto a los controles en una organiza-ción: 
ofrecer una seguridad razonable de que se está 
cumpliendo con los objetivos de control correspondien-tes; 
identificar dónde se encuentran las debilidades signi-ficativas 
en dichos controles; justificar los riesgos que 
pueden estar asociados con tales debilidades, y final-mente, 
aconsejar a estos ejecutivos sobre las medidas 
correctivas que deben adoptarse. COBIT ofrece políti-cas 
claras y prácticas eficaces en materia de seguridad y 
para los controles de información y la tecnología asocia-da. 
Por tanto, las Directrices de Auditoría firmemente 
basados en los Objetivos de Control, toman la opinión 
del auditor a partir de la conclusión de auditoría, rempla-zándola 
con criterios normativos (41 estándares y mejo-res 
prácticas tomadas de normas privadas y públicas 
aceptadas a nivel mundial). 
Estas Directrices de Auditoría proporcionan guías para 
preparar planes de auditoría que se integran al Marco 
Referencial de COBIT y a los Objetivos de Control deta-llados. 
Deben ser usados conjuntamente con estos dos 
últimos, y a partir de ahí pueden desarrollarse programas 
específicos de auditoría. Sin embargo, las Directrices no 
son exhaustivas ni definitivas. No pueden incluir todo ni 
ser aplicables a todo, así que deberán ajustarse a condi-ciones 
específicas. 
DIIRECTRIICES DE AUDIITORIIA 
No obstante, hay cuatro cosas que las Directrices no son: 
1. Las Directrices de Auditoría no pretenden ser una herra-mienta 
para crear el plan global de auditoría que considera 
una amplia gama de factores, incluyendo debilidades ante-riores, 
riesgo de la organización, incidentes conocidos, nue-vos 
acontecimientos, y selección de estrategias. Aun cuan-do 
el Marco Referencial y los Objetivos de Control ofrecen 
algunas orientaciones, los alcances de las Directrices no 
incluyen una guía precisa para actividades específicas. 
2. Las Directrices de Auditoría no están diseñados como ins-trumento 
para enseñar las bases de la auditoría, aun cuando 
incorporen los elementos normalmente aceptados de la au-ditoría 
general y de TI. 
3. Las Directrices de Auditoría no pretenden explicar en deta-lle 
la forma en que pueden utilizarse las herramientas com-putarizadas 
para apoyar y automatizar los procesos de audi-toría 
a TI, en materia de planeación, evaluación, análisis y 
documentación (que están incluidas, pero no se limitan a 
ellas, en las Técnicas de Auditoría Asistidas por Computa-dor). 
Existe un enorme potencial para usar la tecnología de 
información dirigida a aumentar la eficiencia y efectividad 
de las auditorías, pero una orientación en este sentido, tam-poco 
está dentro de los alcances de las Directrices. 
4. Las Directrices de Auditoría no son exhaustivas ni definiti-vas, 
pero se desarrollarán conjuntamente con COBIT y sus 
Objetivos de Control detallados. 
Las Directrices de Auditoría de COBIT permiten al auditor com-parar 
los procesos específicos de TI con los Objetivos de Control 
de COBIT recomendados para ayudar a los directivos a identifi-car 
en qué casos los controles son suficientes, o para asesorarlos 
respecto a los procesos que requieren ser mejorados. 
Desde el punto de vista de los directivos, los propietarios de los 
procesos harán las preguntas: ¿Estoy haciendo lo correcto?, y si 
no es así: ¿Qué puedo hacer para corregirlo? El Marco Referen-cial 
y las Directrices de Auditoría COBIT ayudarán a responder 
a estas preguntas. El enfoque ofrece una perspectiva “reactiva”, 
mientras que los auditores necesitan también apoyar a la directiva 
de una manera “proactiva”. El Marco Referencial y las Directri-ces 
de Auditoría pueden aplicarse igualmente en forma proactiva 
en las primeras etapas de los procesos y el desarrollo de proyec-tos, 
al responder a la pregunta: “¿Qué es lo que necesito hacer 
ahora para no tener que ajustarlo o corregirlo después? 
IT GOVERNANCE INSTITUTE 21
COBIIT 
ESTRUCTURA GENERAL DE LAS DIRECTRICES DE 
AUDITORÍA 
El modelo más común para evaluar el control es el modelo 
de auditoría. Otro enfoque que se está adoptando cada vez 
más es el modelo de análisis de riesgos, que se cubrirá hacia 
el final de esta introducción. Todos aquellos involucrados 
en la evaluación del control pueden inclinarse por cualquiera 
de los dos modelos. 
Los objetivos de la auditoría son para: 
• Proporcionar administración con aseguramiento 
razonable de que se están cubriendo los objetivos 
de control, 
• En donde existan debilidades de control significa-tivas, 
justificar los riesgos resultantes, y 
• Aconsejar a la administración sobre acciones co-rrectivas 
La estructura generalmente aceptada del proceso de auditoría 
es: 
• Identificación y documentación 
• Evaluación 
• Pruebas de cumplimiento 
• Pruebas sustantivas 
El proceso de TI, por lo tanto, se audita mediante: 
 La obtención de un entendimiento de los riesgos rela-cionados 
con los requerimientos del negocio y de las 
medidas relevantes de control 
 La evaluación de la conveniencia de los controles 
establecidos 
 La valoración del cumplimiento probando si 
los controles establecidos están funcionando 
como se espera, de manera consistente y con-tinua 
 La comprobación6 que existe el riesgo 
de que los objetivos de control no se 
estén cumpliendo mediante el uso de 
técnicas analíticas y/o consultando fuen-tes 
alternativas. 
Con el objetivo de brindar asistencia a la administración en 
la forma de asesoría de aseguramiento, hemos desarrollado 
esta estructura dentro de un marco referencial fundamentado 
en los requerimientos del COBIT: 
• Presentación en un enfoque de niveles 
• Orientación hacia los objetivos del negocio 
• Orientado en función del proceso 
• Enfocado sobre 
 Los recursos que necesitan administrarse 
 Los criterios de información que se requieren 
En el nivel más alto, este enfoque general de auditoría está 
apoyado por: 
• El Marco Referencial de COBIT, particularmente 
el resumen con la clasificación de los procesos de 
TI, los criterios de información aplicables y los 
recursos de TI (vea la página 30) 
• Los requerimientos para el proceso de auditoría 
mismo (vea la sección Requerimientos del Proceso 
de Auditoría en la página 23) 
• Los requerimientos genéricos para la auditoría de 
procesos de TI (vea la sección Directrices de Au-ditoría 
22 IT GOVERNANCE INSTITUTE 
Genéricos de TI, página 24) 
• Los principios generales de control (vea la sección 
Observaciones del Proceso de Control, páginas 24- 
25) 
El segundo nivel está compuesto por las Directrices detalla-das 
de auditoría para cada uno de los procesos de TI como se 
muestra en la sección principal de esta publicación. 
Las Directrices han sido presentadas en una plantilla están-dar 
que sigue la estructura general de Obtención, Evalua-ción, 
Valoración y Comprobación. Esta plantilla ha sido 
aplicada a las Directrices de Auditoría Genéricas de TI, así 
como también a las Directrices de Auditoría Detalladas. 
En el tercer y último nivel, el auditor puede complementar 
las Directrices de Auditoría para cubrir las condiciones loca-les, 
conduciendo la fase de planeación de auditoría con pun-tos 
de atención de auditoría que influyen sobre los objetivos 
detallados de control mediante: 
• Criterios específicos del sector 
• Estándares de la industria 
• Elementos específicos de la plataforma 
• Técnicas detalladas de control empleadas 
Importante para este nivel es el hecho de que los objetivos 
de control no son necesariamente aplicables en todos los 
casos y en cualquier lugar. Por lo tanto se sugiere que se 
realice una evaluación de riesgos de alto nivel para determi-nar 
sobre qué objetivos se necesita enfocarse específicamen-te 
y cuáles pueden ignorarse. 
6 Comprobación (substantiating)
Todos estos elementos se ofrecen para apoyar la planeación 
y la realización de las auditorías de TI, y para una mejor 
aplicación integrada de las directrices / lineamientos detalla-dos 
de auditoría. Las directrices no son exhaustivas y no son 
aplicables universalmente. El nivel de información de apoyo 
DIIRECTRIICES DE AUDIITORÍÍA 
(guías genéricas, requerimientos del proceso de auditoría y 
observaciones de control) ayudará a los auditores a desarro-llar 
el programa de auditoría que necesitan. 
ESTRUCTURA DETALLADA PARA LA APLICACIÓN DE LAS DIRECTRICES DE AUDITORÍA 
IT GOVERNANCE INSTITUTE 23 
Nivel 1 
Enfoque general de auditoría de TI 
 Marco Referencial de COBIT 
 Requerimientos del Proceso de Auditoría 
 Observaciones de Control 
 Directriz General de Auditoría 
Nivel 2 
Directrices del proceso de auditoría 
 Directrices de Auditoría detalladas 
Nivel 3 
Puntos de atención de auditoría para 
complementar los objetivos detallados 
de control 
 Condiciones Locales 
• Criterios específicos del sector 
• Estándares de la industria 
• Elementos específicos de la plataforma 
• Técnicas detalladas de control utilizadas 
REQUERIMIENTOS DEL PROCESO DE AUDITORÍA 
Una vez definido qué vamos a auditar y sobre qué vamos a 
proporcionar aseguramiento, tenemos que determinar el enfo-que 
o estrategia más apropiada para llevar a cabo el trabajo de 
auditoría. Primero tenemos que determinar el alcance correcto 
de nuestra auditoría. Para lograrlo, necesitamos investigar, 
analizar y definir: 
• Los procesos del negocio involucrados; 
• Las plataformas y los sistemas de información que 
están apoyando el proceso del negocio, así como la 
interconectividad con otras plataformas o sistemas; 
• Los roles y responsabilidades de TI definidas, inclu-yendo 
las correspondientes al outsourcing interno y/ 
o externo; y 
• Los riesgos del negocio y las decisiones estratégicas 
asociadas. 
El siguiente paso es identificar los requerimientos de informa-ción 
que tienen una relevancia particular con respecto a los 
procesos del negocio. Luego necesitaremos identificar los 
riesgos inherentes de TI, así como el nivel general de control 
que puede asociarse con el proceso del negocio. Para lograrlo, 
identificamos: 
• Los cambios recientes en el ambiente del negocio 
que tienen impacto sobre TI; 
• Los cambios recientes al ambiente de TI, nuevos 
desarrollos, etc.; 
• Los incidentes recientes relevantes para los controles 
y el ambiente del negocio; 
• Los controles de monitoreo de TI aplicados por la 
administración; 
• Los reportes recientes de auditoría y/o certificación; 
y 
• Los resultados recientes de auto evaluaciones.
COBIIT 
Basándonos en la información obtenida, ahora podemos se-leccionar 
los procesos relevantes de COBIT, así como tam-bién 
los recursos que aplican a los mismos. Esto pudiera 
requerir que ciertos procesos de COBIT necesiten auditarse 
varias veces, cada vez para una plataforma o sistema distin-to. 
El auditor deberá determinar una estrategia de auditoría ba-sándose 
en el plan detallado de auditoría que deberá elabo-rarse 
con más profundidad, por ejemplo, si uno busca un 
enfoque basado en controles o un enfoque sustantivo. 
Finalmente, necesitan considerarse todos los pasos, tareas y 
puntos de decisión para llevar a cabo la auditoría. Un ejem-plo 
de un proceso genérico de auditoría (con pasos, tareas y 
puntos de decisión), que sigue la plantilla estándar, se pro-porciona 
en el Apéndice IV. 
REQUERIMIENTOS DEL PROCESO DE AUDITORÍA 
• Definir el alcance de la auditoría  procesos del negocio involucrados 
• Identificar los requerimientos de información rele-vantes 
para el proceso del negocio 
• Identificar los riesgos inherentes de TI y el nivel 
general de control 
• Selccionar procesos y plataformas a auditar  procesos 
• Fijar una estrategia de auditoría  Controles versus riesgos 
DIRECTRIZ GENERAL DE AUDITORÍA DE TI 
La plantilla en la página 26 (que además se presenta como 
un anexo el final de este documento) presenta los requeri-mientos 
genéricos para auditar procesos de TI para brindar el 
primer nivel de las directrices de auditoría, generalmente 
aplicables a todos los procesos. Está primordialmente orien-tado 
hacia la comprensión del proceso y la determinación de 
la propiedad y deberá ser el fundamento y el marco referen-cial 
para todos las directrices detalladas de auditoría. 
Esta misma plantilla se aplica luego a los 34 procesos que se 
identifican en el Marco Referencial de COBIT. 
 plataformas, sistemas y su interconectividad, que 
apoyan el procesos 
 roles, responsabilidades y estructura organizacional 
 importancia para el proceso del negocio 
 cambios recientes e incidentes en el ambiente del nego-cio 
y de la tecnología 
 resultados de auditorías, autoevaluaciones, y certificación 
 controles de monitoreo aplicados por la administración 
 recursos 
 Pasos y tareas 
 Puntos de decisión 
OBSERVACIONES DEL PROCESO DE CONTROL 
Los principios generales de control también pueden propor-cionar 
una guía adicional sobre cómo complementar las Di-rectrices 
de Auditoría. Estos principios están primordial-mente 
enfocados sobre el proceso y las responsabilidades del 
control, los estándares de control y los flujos de la informa-ción 
de control. 
El control, desde el punto de vista de la administración, se 
define como el determinar qué se está logrando; esto es, eva-luar 
el desempeño y si es necesario aplicar medidas correcti-vas 
para que el desempeño esté de acuerdo con lo planeado. 
24 IT GOVERNANCE INSTITUTE
El proceso de control consiste de cuatro pasos. Primero, se 
especifica un estándar de desempeño deseado para un proce-so. 
Segundo, existe un medio de saber qué esta sucediendo 
en el proceso, por ejemplo, el proceso proporciona informa-ción 
de control a una unidad de control. Tercero, la unidad 
de control compara la información con el estándar. Cuarto, 
si lo que realmente está sucediendo no cumple con el están-dar, 
la unidad de control dirige aquella acción correctiva a 
tomar, en forma de información para el proceso. A partir de 
este modelo, las siguientes observaciones de control pueden 
resultar relevantes para la auditoría: 
1. Para que este modelo funcione, la responsabilidad por 
el proceso del negocio (o en este caso, de TI) debe ser 
claro y la responsabilidad no debe ser ambigua. Si no 
es así, la información de control no fluirá y no podrá 
tomarse acción correctiva. 
2. Los estándares pueden ser de una amplia variedad, des-de 
planes y estrategias de alto nivel hasta indicadores 
clave de desempeño (KPI - Key Performance Indica-tors) 
y factores críticos de éxito (CSF – Critical Success 
Factors). Los estándares claramente documentados, 
mantenidos y comunicados son necesarios para un buen 
proceso de control. La responsabilidad clara por la cus-todia 
de dichos estándares también es un requerimiento 
para un buen control. 
3. El proceso de control tiene los mismos requerimientos: 
bien documentado en cuanto a cómo funciona y con 
responsabilidades claras. Un aspecto importante es la 
clara definición de lo que constituye una desviación, 
esto es, cuáles son los límites de desviación. 
DIIRECTRIICES DE AUDIITORIIA 
4. La oportunidad, integridad y conveniencia de la infor-mación 
de control, así como también otra informa-ción, 
son básicas para el buen funcionamiento de un 
sistema de control y es algo que el auditor debe tratar. 
5. Tanto la información de control como la información 
de acción correctiva tendrán que cumplir los requeri-mientos 
Normas 
Estándares 
KPI / CSF 
de evidencia, con el fin de establecer la res-ponsabilidad 
después del evento. 
Comparación 
Acto 
Proceso 
Información 
De Control 
IT GOVERNANCE INSTITUTE 25
COBIIT 
DIRECTRIZ GENERAL DE AUDITORÍA 
OBTENCIÓN DE UN ENTENDIMIENTO 
Los pasos de auditoría que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de con-trol, 
así como también identificar las medidas/procedimientos de control establecidas. 
Entrevistar al personal administrativo y de staff apropiado para lograr la comprensión de: 
• Los requerimientos del negocio y los riesgos asociados 
• La estructura organizacional 
• Los roles y responsabilidades 
• Políticas y procedimientos 
• Leyes y regulaciones 
• Las medidas de control establecidas 
• La actividad de reporte a la administración (estatus, desempeño, acciones) 
Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisión. Con-firmar 
el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de 
control, por ejemplo, mediante una revisión paso a paso del proceso. 
EVALUACIÓN DE LOS CONTROLES 
Los pasos de auditoría a ejecutar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se 
logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar. 
Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios inden-tificados 
y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación 
del juicio profesional de auditor. 
• Existen procesos documentados 
• Existen resultados apropiados 
• La responsabilidad y el registro de las operaciones son claros y efectivos 
• Existen controles compensatorios, en donde es necesario 
Concluir el grado en que se cumple el objetivo de control. 
VALORACIÓN DEL CUMPLIMIENTO 
Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de 
manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. 
Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimien-tos 
durante el período de revisión, utilizando evidencia tanto directa como indirecta. 
Realizar una revisión limitada de la suficiencia de los resultados del proceso. 
Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. 
JUSTIFICAR/COMPROBAR EL RIESGO 
Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de técnicas 
analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinión e “impresionar” a la administración para que 
tome acción. Los auditores tienen que ser creativos para encontrar y presentar esta información que con frecuencia es sensitiva y 
confidencial. 
Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. 
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-efecto. 
Brindar información comparativa; por ejemplo, mediante benchmarks. 
26 IT GOVERNANCE INSTITUTE
Plan Acción Verificación 
Los controles también operan en diferentes niveles dentro 
del ciclo tradicional de Planear-Hacer-Verificar-Corregir con 
el que la administración se siente cómoda. Este modelo ilus-tra: 
• La secuencia lógica de planear-hacer-verificar y 
corregir el plan si es necesario: 
• Cómo sucede esto a nivel estratégico, táctico y 
administrativo; 
• Las diversas relaciones laterales y horizontales 
– El “hacer” estratégico da como resultado pla-neación 
táctica; el “hacer” táctico da como 
resultado planeación administrativa; 
– Las actividades de “verificar” y “hacer” co-operan 
e influyen continuamente una con 
otra; y 
– La actividad administrativa de “verificar” 
reporta a “verificar” táctico, quien a su vez 
reporta a “verificar” estratégico. 
Cuando se evalúan mecanismos de control, los revisores 
deberán estar conscientes de que estos controles operan en 
estos diferentes niveles y de que tienen relaciones intrínse-cas. 
La orientación hacia el proceso de COBIT proporciona 
algunas indicaciones acerca de los diferentes procesos de 
control, niveles e interrelaciones, pero la implantación o va-loración 
real de los sistemas de control requiere tomar en 
cuenta esta compleja dimensión adicional. 
DIIRECTRIICES DE AUDIITORIIA 
COLOCÁNDOLAS TODAS JUNTAS 
En resumen, las Directrices de Auditoría detalladas siempre 
pueden complementarse tomando en cuenta el Lineamiento 
Genérico y el proceso bajo revisión, y obteniendo tareas de 
auditoría adicionales para lograr el objetivo de auditoría. El 
desarrollo del programa de auditoría en sí puede beneficiarse 
de tomar en consideración los requerimientos del proceso de 
auditoría de TI, el Marco Referencial de COBIT y los Objeti-vos 
de Control de Alto Nivel, y las Consideraciones de Con-trol 
que se muestran aquí. 
RELACIÓN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DI-RECTRICES 
DE AUDITORÍA 
Los objetivos han sido desarrollados a partir de una orienta-ción 
al proceso porque la administración está buscando ase-soría 
proactiva sobre cómo tratar el problema de mantener 
TI bajo control. Los Objetivos de Control ayudan a la admi-nistración 
a establecer el control sobre el proceso, las Direc-trices 
de Auditoría ayudan al auditor o asesor a asegurar que 
el proceso está realmente bajo control, de tal manera que los 
requerimientos de información necesarios para lograr los 
objetivos del negocio serán satisfechos. 
La relación entre estos dos conceptos es el proceso, por lo 
que las Directrices de Auditoría han sido desarrolladas para 
cada uno de los procesos, en oposición a cada uno de los 
objetivos de control. 
IT GOVERNANCE INSTITUTE 27 
Estratégico 
Táctico 
Administrativo 
Corrección 
Reporte 
Reporte
COBIIT 
Requerimientos de 
Proceso de Auditoria 
Marco de Referencia de Control 
efectividad 
cumplimiento 
integridad 
disponibilidad 
eficiencia 
confidencialidad 
confiabilidad 
P S 
Lo cual satisface 
Requerimientos 
de negocio 
El control de 
Proceso de TI 
En cuanto al marco referencial de control representado por el 
modelo de cascada, las Directrices de Auditoría pueden ver-se 
como los elementos que proporcionan retroalimentación a 
partir de los procesos de control para los objetivos del nego-cio. 
Los objetivos de control son la guía que baja por la cas-cada 
para tener el proceso de TI bajo control. Las Directri-ces 
de Auditoría son la guía para regresar a la parte superior 
de la cascada con la pregunta: “¿Hay seguridad de que se 
logre el objetivo del negocio?” Algunas veces, las Directri-ces 
de Auditoría son traducciones literales de los Objetivos 
de Control; con mayor frecuencia, las Directrices buscan la 
evidencia de que el proceso esté bajo control. 
OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUA-CIÓN 
La utilización del Marco Referencial, los Objetivos de Con-trol 
y las Directrices de Auditoría como fundamento para la 
tarea de auditoría/valoración nos presenta algunas ventajas 
definitivas: 
• Permite dar prioridad a las actividades de auditoría 
y áreas bajo revisión, utilizando las calificaciones 
Primaria y Secundaria de los criterios de informa-ción; 
• Conduce a áreas de investigación que normalmen-te 
–sin un marco referencial o modelo- no serían 
tratadas; Puede desarrollarse una planeación y se-cuencia 
de entrevistas más lógica conforme los 
auditores avanzan en el proceso; 
Lineamientos 
Detallados de Auditoria 
Adquisición & 
Implementación 
Planeación & 
Organización 
Entrega & 
Soporte 
Monitoreo 
considerando las 
Prácticas de 
Control 
9 9 
tecnología 
facilidades 
datos 
• Las investigaciones pueden enfocarse utilizando el 
indicador de qué recurso es más importante en qué 
proceso; y 
• Como un estándar para definir las áreas de TI au-ditables 
para el plan estratégico de auditoría, con 
el fin de asegurar 
– La cobertura efectiva de la auditoría 
– La adquisición/desarrollo oportuno de las 
habilidades necesarias para la auditoría. 
es posible por 
gente 
Los Estatutos 
de Control 
aplicaciones 
Sin embargo, existen algunos retos en cuanto a la integra-ción 
del marco referencial y de los objetivos dentro del tra-bajo 
de auditoría: 
• El cambio nunca es fácil (actitud, conjunto de 
herramientas, conjunto de habilidades, etc.); 
• La naturaleza detallada hace difícil la aplicación 
inicial, especialmente cuando se está verificando la 
completitud7 y aplicabilidad de los objetivos de 
control para el área bajo revisión; 
• Existe un grado necesario de repetición en las Di-rectrices 
de Auditoría porque rara vez hay una 
relación uno-a-uno entre el objetivo de control y 
los mecanismos de control, un mecanismo contri-buye 
de varias maneras a varios objetivos, un obje-tivo 
necesita de varios mecanismos para lograr su 
cometido; y 
28 IT GOVERNANCE INSTITUTE 
Observaciones de Control 
Normas 
Estándares 
KPI / CSF 
Comparación 
Proceso 
Acto 
Información de 
Control 
Lineamiento 
General de Auditoria 
identificar 
evaluar 
probar 
establecer 
Uso en 
combinación 
7Completitud / Integridad: (Completeness)
• Refuerza cierto formalismo (por ejemplo, registrar 
información previa) que puede parecer innecesa-rio. 
ANÁLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO 
DE EVALUACIÓN 
El balance entre costo y riesgo es el siguiente problema a 
tratar, esto es, tomar una decisión consciente de cómo se va 
a implementar cada uno de los objetivos de control y si se 
van a implementar. Los enfoques de análisis de riesgos tra-tan 
esta decisión, a pesar de que permanece el principio 
proactivo; los objetivos de control deberán aplicarse en pri-mera 
instancia para lograr unos criterios de control de infor-mación 
(efectividad, eficiencia, confidencialidad, disponibi-lidad, 
integridad, cumplimiento y confiabilidad). Es eviden-te 
que la administración necesita utilizar alguna forma de 
evaluación de riesgos del negocio para definir las medidas a 
implementar (vea CO PO9). Los auditores también llevarán 
a cabo alguna forma de evaluación de riesgos cuando elijan 
los dominios del proceso y los objetivos de control para la 
revisión. 
Un enfoque comúnmente aceptado para el análisis de riesgos 
en TI es el siguiente: 
DIIRECTRIICES DE AUDIITORIIA 
El modelo comienza a partir de la valoración de los activos, 
que dentro del Marco Referencial de COBIT consiste en la 
información que tiene los criterios requeridos para ayudar a 
lograr los objetivos del negocio (incluyendo todos los recur-sos 
necesarios para producir dicha información). El siguien-te 
paso es el análisis de vulnerabilidad† que trata de la im-portancia 
de los criterios de información dentro del proceso 
bajo revisión, por ejemplo, si un proceso del negocio es vul-nerable 
a la pérdida de integridad, entonces se requieren me-didas 
específicas. Luego se tratan las amenazas, esto es, 
aquello que puede provocar una vulnerabilidad. La probabi-lidad 
de la amenaza, el grado de vulnerabilidad y la severi-dad 
del impacto se combinan para concluir acerca de la eva-luación 
del riesgo. Esto es seguido por la selección de con-tramedidas 
(controles) y una evaluación de su eficacia, que 
también identifica el riesgo residual. La conclusión es un 
plan de acción después del cual el ciclo puede comenzar 
nuevamente. 
† El resultado de un análisis de vulnerabilidad es la identificación de amenazas 
relevantes y el resultado de un análisis de amenazas es la identificación de 
vulnerabilidades relevantes. 
IT GOVERNANCE INSTITUTE 29 
Valuación 
de Activos 
Evaluación 
de Riesgo 
Contra- 
Medidas 
Evaluación de 
Vulnerabilidad 
Evaluación 
del Riesgo 
Evaluación 
del Control 
Plan de 
Acción 
Riesgo 
Residual 
Marco Referencial del Análisis de Riesgo
COBIIT 
OBJETIVOS DE CONTROL 
TABLA RESUMEN 
La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de cuáles criterios de información son impac-tados 
por los objetivos de alto nivel, así como una indicación de cuáles recursos de TI son aplicables. 
30 IT GOVERNANCE INSTITUTE 
Criterios de Información Recursos de TI 
efectividad 
eficiencia 
confidencialidad 
Recursos humanos 
sistemas de aplicación 
tecnología 
integridad 
disponibilidad 
cumplimiento 
confiabilidad 
recursos información 
de instalaciones 
datos 
datos 
DOMINIO PROCESO 
Planeación y PO1 Definir un plan estratégico de sistemas P S ; ; ; ; ; 
Organización PO2 Definir la arquitectura de información P S S S ; ; 
PO3 Determinar la dirección tecnológica P S ; ; 
PO4 Definir la organización y sus relaciones P S ; 
PO5 Administrar las inversiones (en TI) P P S ; ; ; ; 
PO6 Comunicar la dirección y objetivos de la gerencia P S ; 
PO7 Administrar los recursos humanos P P ; 
PO8 Asegurar el apego a disposiciones externas P PS ; ; ; 
PO9 Evaluar riesgos S S P P P S S ; ; ; ; ; 
P010 Administrar proyectos P P ; ; ; ; 
PO11 Administrar calidad P P P S ; ; 
Adquisición e AI1 Identificar soluciones de automatización P S ; ; ; 
Implementación AI2 Adquirir y mantener software de aplicación P P S S S ; 
AI3 Adquirir y mantener la arquitectura tecnológica P P S ; 
AI4 Desarrollar y mantener procedimientos P P S S S ; ; ; ; 
AI5 Instalar y acreditar sistemas de información P S S ; ; ; ; ; 
AI6 Administrar cambios P P P P S ; ; ; ; ; 
Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S ; ; ; ; ; 
Soporte DS2 Administrar servicios de terceros P P S S S S S ; ; ; ; ; 
DS3 Administrar desempeño y capacidad P P S ; ; ; 
DS4 Asegurar continuidad de servicio P S P ; ; ; ; ; 
DS5 Garantizar la seguridad de sistemas P P S S S ; ; ; ; ; 
DS6 Identificar y asignar costos P P ; ; ; ; ; 
DS7 Educar y capacitar a usuarios P S ; 
DS8 Apoyar y orientar a clientes P ; ; 
DS9 Administrar la configuración P S S ; ; ; 
DS10 Administrar problemas e incidentes P P S ; ; ; ; ; 
DS11 Administrar la información P P ; 
DS12 Administrar las instalaciones P P ; 
DS13 Administrar la operación P P S S ; ; ; ; ; 
Monitoreo M1 Monitorear el proceso P S S S S S S ; ; ; ; ; 
M2 Evaluar lo adecuado del control interno P P S S S S S ; ; ; ; ; 
M3 Obtener aseguramiento independiente P P S S S S S ; ; ; ; ; 
M4 Proporcionar auditoría independiente P P S S S S S ; ; ; ; ; 
(P) Primario (√) Aplicable a 
(S) Secundario 
Comunicar los objetivos aspiraciones de la Gerencia 
Asegurar el cumplimiento de requerimientos externos
DIIRECTRIICES DE AUDIITORIIA 
AYUDAS DE NAVEGACIÓN PARA LAS DIRECTRICES DE AUDITORIA 
Las Directrices de Auditoría contienen secciones detalladas de guías de auditoría para cada uno de los 34 procesos de TI. 
En la izquierda de la página está el objetivo de control de alto nivel. El indicador de dominio (‘PO’ para Planeación y 
Organización, ’AI’ para Adquisición e Implementación, ’DS’ para Entrega y Soporte y ’M’ para Monitoreo) se presentan 
en la parte superior izquierda. El criterio de información aplicable y el recurso de TI utilizado son mostrados en una mini-matriz, 
como se describe en la siguiente página. Empezando en la parte derecha de la página está la descripción de la 
de TI por un proceso. 
También deberá tomarse en cuenta que los Objetivos de 
Control de COBIT han sido definidos de una manera ge-nérica, 
por ejemplo, sin depender de la plataforma técni-ca, 
aceptando el hecho de que algunos ambientes de 
tecnología especiales pueden requerir una cobertura se-parada 
para objetivos de control. 
directriz de auditoría para el proceso de TI 
El Marco de Referencia de COBIT ha sido limitado a 
objetivos de control de alto nivel en forma de necesida-des 
de negocio dentro de un proceso de TI particular, 
cuyo logro es posible a través del establecimiento de 
controles, para lo cual deben considerarse controles po-tenciales 
aplicables. 
Los Objetivos de Control de TI han sido organizados por 
proceso/actividad y también se han proporcionados ayu-das 
de navegación no solamente para facilitar la entrada 
a partir de cualquier punto de vista estratégico como se 
explicó anteriormente, sino también para facilitar enfo-ques 
combinados o globales, tales como instalación/ 
implementación de un proceso, responsabilidades geren-ciales 
globales para un proceso y utilización de recursos 
31 IT GOVERNANCE INSTITUTE 
Considerando 
Es habilitado por 
Proceso de TI Que satisface 
Requerimiento de Nego-cio 
Declaración de Control 
Prácticas de Control 
El control de
COBIIT 
32 IT GOVERNANCE INSTITUTE 
eficiencia 
integridad 
disponibilidad 
cumplimiento 
confidenciali-confiabilidad 
efectividad 
Planeación & 
Organización 
Adquisición & 
Implementa- 
Entrega & 
Soporte 
Monitoreo 
Criterios de 
Dominios TI 
S P 
3 3 
tecnología 
instalaciones 
gente 
aplicaciones 
datos 
Planeación & 
Organización 
Adquisición & 
Implementa- 
Entrega & 
Soporte 
Monitoreo 
eficiencia 
integridad 
disponibilidad 
cumplimiento 
confidenciali-confiabilidad 
efectividad 
S P 
3 3 
tecnología 
instalaciones 
gente 
aplicaciones 
datos 
Tres puntos de posición 
Para facilitar el empleo eficiente de los objetivos de control 
como soporte a los diferentes puntos de vista, se proporcio-nan 
algunas ayudas de navegación como parte de la presenta-ción 
de los objetivos de control de alto nivel. Se proporciona 
una ayuda de navegación para cada una de las tres dimensio-nes 
del Marco de Referencia de COBIT - procesos, recursos 
de TI y criterios de información - 
Los dominios son identificados por este ícono en la ESQUI-NA 
SUPERIOR DERECHA de cada página, en la sección de 
Objetivos de Control, agrandando y haciendo más visible el 
dominio bajo revisión. 
La clave para el criterio de información se presentará en la 
ESQUINA SUPERIOR IZQUIERDA, en la sección de Obje-tivos 
de Control mediante la siguiente “mini” matriz, la cual 
identificará cuál criterio y en qué grado (primario o secunda-rio) 
es aplicable a cada Objetivo de Control de TI de alto 
nivel. 
Una segunda “mini” matriz en la ESQUINA INFERIOR DERE-CHA 
de la sección de Objetivos de Control identifica los recursos 
de TI que son administrados en forma específica por el proceso 
bajo consideración - no solo aquellos que simplemente toman 
parte en el proceso -. Por ejemplo, el proceso “administración de 
datos” se concentra particularmente en la integridad y confiabili-dad 
de los recursos de datos.
DIIRECTRIICES DE AUDIITORIIA 
RELACIONES DE OBJETIVOS DE CONTROL 
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL 
Planeación y Organización 
1.0 Definición de un Plan Estratégico de Tecnología 
de Información 
1.1 Tecnología de Información como parte del 
Plan de la Organización a corto y largo 
plazo 
1.2 Plan a largo plazo de Tecnología de Informa-ción 
1.3 Plan a largo plazo de Tecnología de Informa-ción 
- Enfoque y Estructura 
1.4 Cambios al Plan a largo plazo de Tecnología 
IT GOVERNANCE INSTITUTE 33 
de Información 
1.5 Planeación a corto plazo para la función de 
Servicios de Información 
1.6 Comunicación de los planes de TI 
1.7 Evaluación y Monitoreo de los planes de TI. 
1.8 Valoración de los sistemas existentes. 
2.0 Definición de la Arquitectura de Información 
2.1 Modelo de la Arquitectura de Información 
2.2 Diccionario de Datos y Reglas de sintaxis de 
datos corporativos 
2.3 Esquema de Clasificación de Datos 
2.4 Niveles de Seguridad. 
3.0 Determinación de la Dirección Tecnológica 
3.1 Planeación de la Infraestructura Tecnológica 
3.2 Monitoreo de Tendencias y Regulaciones 
Futuras 
3.3 Contingencias en la Infraestructura Tecnoló-gica 
3.4 Planes de Adquisición de Hardware y Soft-ware 
3.5 Estándares de Tecnología 
4.0 Definición de la Organización y de las Relaciones 
de TI 
4.1 Planeación de TI o Comité de planeación/ 
dirección de la función de servicios de infor-mación 
4.2 Ubicación de los servicios de información en 
la organización 
4.3 Revisión de Logros Organizacionales 
4.4 Funciones y Responsabilidades 
4.5 Responsabilidad del aseguramiento de cali-dad 
4.6 Responsabilidad por la seguridad lógica y 
física 
4.7 Propiedad y Custodia 
4.8 Propiedad de Datos y Sistemas 
4.9 Supervisión 
4.10 Segregación de Funciones 
4.11 Asignación de Personal para Tecnología de 
Información 
4.12 Descripción de Puestos para el Personal de 
la Función de TI 
4.13 Personal clave de TI 
4.14 Procedimientos y políticas para el personal 
contratado 
4.15 Relaciones 
5.0 Manejo de la Inversión en Tecnología de Infor-mación 
5.1 Presupuesto Operativo Anual para la Fun-ción 
de Servicio de información 
5.2 Monitoreo de Costo - Beneficio 
5.3 Justificación de Costo - Beneficio 
6.0 Comunicación de los Objetivos y Aspiraciones 
de la Gerencia 
6.1 Ambiente positivo de control de la informa-ción 
6.2 Responsabilidad de la Gerencia en cuanto a 
Políticas 
6.3 Comunicación de las Políticas de la Organi-zación 
6.4 Recursos para la implementación de Políti-cas 
6.5 Mantenimiento de Políticas 
6.6 Cumplimiento de Políticas, Procedimientos 
y Estándares 
6.7 Compromiso con la Calidad 
6.8 Política sobre el Marco Referencial para la 
Seguridad y el Control Interno 
6.9 Derechos de propiedad intelectual 
6.10 Políticas Específicas 
6.11 Comunicación de Conciencia de Seguridad 
en TI
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria
Interesante 202917203 co bi-t-directrices-de-auditoria

Más contenido relacionado

Similar a Interesante 202917203 co bi-t-directrices-de-auditoria

Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
joseaunefa
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobit
JackieHee27
 
Isaca.
Isaca.Isaca.
Isaca.
guba93
 

Similar a Interesante 202917203 co bi-t-directrices-de-auditoria (20)

Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
 
Unidad III
Unidad IIIUnidad III
Unidad III
 
Cobit1
Cobit1Cobit1
Cobit1
 
Certificacion CISA
Certificacion CISA Certificacion CISA
Certificacion CISA
 
Standards
StandardsStandards
Standards
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Cobit
CobitCobit
Cobit
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De Informacion
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De Informacion
 
Taller 3
Taller 3Taller 3
Taller 3
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobit
 
Isaca.
Isaca.Isaca.
Isaca.
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 

Más de xavazquez

Users técnico pc - jpr504 - 24
Users   técnico pc - jpr504 - 24Users   técnico pc - jpr504 - 24
Users técnico pc - jpr504 - 24
xavazquez
 
Users técnico pc - jpr504 - 23
Users   técnico pc - jpr504 - 23Users   técnico pc - jpr504 - 23
Users técnico pc - jpr504 - 23
xavazquez
 
Users técnico pc - jpr504 - 22
Users   técnico pc - jpr504 - 22Users   técnico pc - jpr504 - 22
Users técnico pc - jpr504 - 22
xavazquez
 
Users técnico pc - jpr504 - 21
Users   técnico pc - jpr504 - 21Users   técnico pc - jpr504 - 21
Users técnico pc - jpr504 - 21
xavazquez
 
Users técnico pc - jpr504 - 20
Users   técnico pc - jpr504 - 20Users   técnico pc - jpr504 - 20
Users técnico pc - jpr504 - 20
xavazquez
 
Users técnico pc - jpr504 - 19
Users   técnico pc - jpr504 - 19Users   técnico pc - jpr504 - 19
Users técnico pc - jpr504 - 19
xavazquez
 
Users técnico pc - jpr504 - 18
Users   técnico pc - jpr504 - 18Users   técnico pc - jpr504 - 18
Users técnico pc - jpr504 - 18
xavazquez
 
Users técnico pc - jpr504 - 17
Users   técnico pc - jpr504 - 17Users   técnico pc - jpr504 - 17
Users técnico pc - jpr504 - 17
xavazquez
 
Users técnico pc - jpr504 - 16
Users   técnico pc - jpr504 - 16Users   técnico pc - jpr504 - 16
Users técnico pc - jpr504 - 16
xavazquez
 
Users técnico pc - jpr504 - 15
Users   técnico pc - jpr504 - 15Users   técnico pc - jpr504 - 15
Users técnico pc - jpr504 - 15
xavazquez
 
Users técnico pc - jpr504 - 14
Users   técnico pc - jpr504 - 14Users   técnico pc - jpr504 - 14
Users técnico pc - jpr504 - 14
xavazquez
 
Users técnico pc - jpr504 - 13
Users   técnico pc - jpr504 - 13Users   técnico pc - jpr504 - 13
Users técnico pc - jpr504 - 13
xavazquez
 
Users técnico pc - jpr504 - 12
Users   técnico pc - jpr504 - 12Users   técnico pc - jpr504 - 12
Users técnico pc - jpr504 - 12
xavazquez
 
Users técnico pc - jpr504 - 11
Users   técnico pc - jpr504 - 11Users   técnico pc - jpr504 - 11
Users técnico pc - jpr504 - 11
xavazquez
 
Users técnico pc - jpr504 - 10
Users   técnico pc - jpr504 - 10Users   técnico pc - jpr504 - 10
Users técnico pc - jpr504 - 10
xavazquez
 
Users técnico pc - jpr504 - 09
Users   técnico pc - jpr504 - 09Users   técnico pc - jpr504 - 09
Users técnico pc - jpr504 - 09
xavazquez
 
Users técnico pc - jpr504 - 08
Users   técnico pc - jpr504 - 08Users   técnico pc - jpr504 - 08
Users técnico pc - jpr504 - 08
xavazquez
 
Users técnico pc - jpr504 - 07
Users   técnico pc - jpr504 - 07Users   técnico pc - jpr504 - 07
Users técnico pc - jpr504 - 07
xavazquez
 
Users técnico pc - jpr504 - 06
Users   técnico pc - jpr504 - 06Users   técnico pc - jpr504 - 06
Users técnico pc - jpr504 - 06
xavazquez
 
Users técnico pc - jpr504 - 05
Users   técnico pc - jpr504 - 05Users   técnico pc - jpr504 - 05
Users técnico pc - jpr504 - 05
xavazquez
 

Más de xavazquez (20)

Users técnico pc - jpr504 - 24
Users   técnico pc - jpr504 - 24Users   técnico pc - jpr504 - 24
Users técnico pc - jpr504 - 24
 
Users técnico pc - jpr504 - 23
Users   técnico pc - jpr504 - 23Users   técnico pc - jpr504 - 23
Users técnico pc - jpr504 - 23
 
Users técnico pc - jpr504 - 22
Users   técnico pc - jpr504 - 22Users   técnico pc - jpr504 - 22
Users técnico pc - jpr504 - 22
 
Users técnico pc - jpr504 - 21
Users   técnico pc - jpr504 - 21Users   técnico pc - jpr504 - 21
Users técnico pc - jpr504 - 21
 
Users técnico pc - jpr504 - 20
Users   técnico pc - jpr504 - 20Users   técnico pc - jpr504 - 20
Users técnico pc - jpr504 - 20
 
Users técnico pc - jpr504 - 19
Users   técnico pc - jpr504 - 19Users   técnico pc - jpr504 - 19
Users técnico pc - jpr504 - 19
 
Users técnico pc - jpr504 - 18
Users   técnico pc - jpr504 - 18Users   técnico pc - jpr504 - 18
Users técnico pc - jpr504 - 18
 
Users técnico pc - jpr504 - 17
Users   técnico pc - jpr504 - 17Users   técnico pc - jpr504 - 17
Users técnico pc - jpr504 - 17
 
Users técnico pc - jpr504 - 16
Users   técnico pc - jpr504 - 16Users   técnico pc - jpr504 - 16
Users técnico pc - jpr504 - 16
 
Users técnico pc - jpr504 - 15
Users   técnico pc - jpr504 - 15Users   técnico pc - jpr504 - 15
Users técnico pc - jpr504 - 15
 
Users técnico pc - jpr504 - 14
Users   técnico pc - jpr504 - 14Users   técnico pc - jpr504 - 14
Users técnico pc - jpr504 - 14
 
Users técnico pc - jpr504 - 13
Users   técnico pc - jpr504 - 13Users   técnico pc - jpr504 - 13
Users técnico pc - jpr504 - 13
 
Users técnico pc - jpr504 - 12
Users   técnico pc - jpr504 - 12Users   técnico pc - jpr504 - 12
Users técnico pc - jpr504 - 12
 
Users técnico pc - jpr504 - 11
Users   técnico pc - jpr504 - 11Users   técnico pc - jpr504 - 11
Users técnico pc - jpr504 - 11
 
Users técnico pc - jpr504 - 10
Users   técnico pc - jpr504 - 10Users   técnico pc - jpr504 - 10
Users técnico pc - jpr504 - 10
 
Users técnico pc - jpr504 - 09
Users   técnico pc - jpr504 - 09Users   técnico pc - jpr504 - 09
Users técnico pc - jpr504 - 09
 
Users técnico pc - jpr504 - 08
Users   técnico pc - jpr504 - 08Users   técnico pc - jpr504 - 08
Users técnico pc - jpr504 - 08
 
Users técnico pc - jpr504 - 07
Users   técnico pc - jpr504 - 07Users   técnico pc - jpr504 - 07
Users técnico pc - jpr504 - 07
 
Users técnico pc - jpr504 - 06
Users   técnico pc - jpr504 - 06Users   técnico pc - jpr504 - 06
Users técnico pc - jpr504 - 06
 
Users técnico pc - jpr504 - 05
Users   técnico pc - jpr504 - 05Users   técnico pc - jpr504 - 05
Users técnico pc - jpr504 - 05
 

Interesante 202917203 co bi-t-directrices-de-auditoria

  • 1. ® COBIT DIRECTRICES DE AUDITORIA Julio de 2000 3a Edición Emitido por el Comité Directivo de COBIT y El IT Governance Institute TM La Misión de COBIT: Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-trol en tecnología de información con autoridad, actualizados, de carácter in-ternacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
  • 2. ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BÉLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANADÁ CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPÚBLICA CHECA DINAMARCA REPÚBLICA DOMI-NICANA ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRÍA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPÓN JORDÁN KENYA COREA KUWAIT LATVIA LEBANON LIECHTENSTEIN LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MÉXICO PAÍSES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMÁN PAKISTÁN PANAMÁ PERÚ FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDÁFRICA ESPAÑA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TO-BAGO TURQUÍA UGANDA EMIRATOS ARAB UNIDOS REINO UNIDO ESTADOS UNI-DOS URUGUAY VENEZUELA VIETNAM GALES YEMEN ZAMBIA ZIMBABWE INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Una sola Fuente Internacional para los Controles de la Tecnología de Información Information Systems Audit and Control Association es una organización global líder de profesionales que representa a individuos en más de 100 países y compren-de todos los niveles de la tecnología de información  Dirección ejecutiva, geren-cia media y practicantes. La Asociación está únicamente posesionada para cubrir el papel de generador central que armoniza los estándares de las prácticas de control de TI a nivel mundial. Sus alianzas estraté-gicas con otros grupos dentro del ámbito profesional financiero, contable, de audito-ría y de TI aseguran a los dueños del proce-so del negocio un nivel sin paralelo de inte-gración y compromiso. Programas y Servicios de la Asociación Los Programas y Servicios de la Asociación han ganado prestigio al establecer los nive-les más altos de excelencia en certificación, estándares, educación profesional y publici-dad técnica. • su programa de certificación (el Audi-tor de Sistemas de Información Certi-ficado) es la única designación global en toda la comunidad de control y auditoría de la TI. • sus actividades estándar establecen la base de calidad mediante la cual otras actividades de control y auditoría de TI se miden. • su programa de educación profesional ofrece conferencias técnicas y adminis-trativas en cinco continentes, así como seminarios en todo el mundo para ayudar a los profesionistas de todas partes a recibir educación continúa de alta calidad. • su área de publicidad técnica propor-ciona materiales de desarrollo profe-sional y referencias con el fin de au-mentar su distinguida selección de programas y servicios. La Information Systems Audit and Control Association se creó en 1969 para cubrir las necesidades únicas, diversas y de alta tecno-logía en el naciente campo de la TI. En una industria donde el progreso se mide en na-nosegundos, ISACA se ha movido ágil y velozmente para satisfacer las necesidades de la comunidad de negocios internaciona-les y de la profesión de controles de la TI. Para más Información Para recibir información adicional, puede llamar al (+1.847.253.1545), enviar un e-mail a (research@isaca.org) o visitar los siguientes sitios web: www.itgovernance.org www.isaca.org
  • 3. CONTENIDO Reconocimientos 4-5 Resumen Ejecutivo 7-8 Antecedentes 9-10 El Marco Referencial de COBIT Estableciendo la escena.........................................11-13 Los Principios del Marco Referencial...................14-18 Guía para la utilización del Marco Referencial y Objetivos de Control.......................19-20 Tabla Resumen 21 Introducción a los Lineamientos de Auditoria 23-27, 29-31 Lineamiento General de Auditoria 28 Lineamientos de Auditoría 33 Planeación y Organización....................................35-86 Adquisición e Implementación............................87-118 Entrega de Servicios y Soporte..........................119-188 Monitoreo...........................................................189-204 Apéndice I Lista de Dominios, Procesos y Objetivos de Control..........................................205-209 Apéndice II Material de Referencia Primaria........................210-211 Apéndice III Glosario de Términos................................................212 Apéndice IV Proceso de Auditoría..........................................213-216 Apéndice V Cumplimiento del Año 2000..............................217-219 Índice 220-222 DIIRECTRIICES DE AUDIITORIIA Límite de Responsabilidad La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores de COBIT: Objetivos de Control para la Informa-ción y Tecnologías Relacionadas, han diseñado y creado las publicaciones tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Direc-trices Gerenciales, Directrices de Auditoría, y el Conjunto de Herramientas de Implementación (llamado colectivamente el “Producto”) principalmente como una fuente de instrucción para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation, el IT Gover-nance Institute y los patrocinadores no garantizan que el uso de este producto asegurará un resultado exitoso. No deberá considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estén razonablemente dirigidos hacia la obten-ción de los mismos resultados. Para determinar la conveniencia de cualquier prueba o procedimiento específico, los expertos en control deberán aplicar su propio juicio profesional a las circunstancias de control especiales presentadas por cada entorno de sistemas en particular. Acuerdo de Licencia de uso (disclosure) Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproducción para fines comerciales no está permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Con-trol, las Directrices Gerenciales y el Conjunto de Herramientas de Implemen-tación para uso interno no comercial, incluyendo almacenamiento en medios de recuperación de datos y transmisión en cualquier medio, incluyendo electró-nico, mecánico, grabado u otro medio. Todas las copias del Resumen Ejecuti-vo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementación deben incluir el siguiente reconocimiento y leyenda de derechos de autor: “Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autori-zación de la Information Systems Audit and Control Foundation, y el IT Go-vernance Institute”. Las Guías/Directrices de Auditoría no pueden ser usadas, copiadas, reproduci-das, almacenadas, modificadas en un sistema de recuperación de datos o trans-mitido en ninguna forma ni por ningún medio (electrónico, mecánico, fotoco-piado, grabado u otro medio) sin la previa autorización por escrito de la ISACF. Sin embargo, las Directrices de Auditoría pueden ser usadas con fines no comerciales internos únicamente. Excepto por lo indicado, no se otorga ningún otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados. Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Teléfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: research@isaca.org Web sites: www.isaca.org www.Itgovernance.org ISBN 1-893209-18-0 (Audit Guidelines, English) ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD) Impreso en los Estados Unidos de América IT GOVERNANCE INSTITUTE 3
  • 4. COBIIT RECONOCIMIENTOS COMITÉ DIRECTIVO DE COBIT ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA JOHN BEVERIDGE, STATE AUDITOR´S OFFICE, MASSACHUSETTS, USA MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA MARK STANLEY, SUN AMERICA INC., USA Especiales Agradecimientos a los miembros de la Mesa Directiva de la Information Systems Audit and Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, enca-bezados por el Presidente Internacional Paul Williams, por su contínuo y firme apoyo al Cobit 4 IT GOVERNANCE INSTITUTE
  • 5. RESUMEN EJECUTIIVO Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la informa-ción y de la Tecnología de Información (TI) Relacionada. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y ve-locidad) IT GOVERNANCE INSTITUTE 5 esta criticidad emerge de: z La creciente dependencia en información y en los siste-mas que proporcionan dicha información z La creciente vulnerabilidad y un amplio espectro de ame-nazas, tales como las “ciber amenazas” y la guerra de información1 z La escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; y z El potencial que tienen las tecnologías para cambiar radi-calmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la información y la tecnología que la soporta, representan los activos mas valiosos de la em-presa. Es más, en nuestro competitivo y rápidamente cambian-te ambiente actual, la Gerencia ha incrementado sus expectati-vas relacionadas con la entrega de servicios de TI. Por lo tan-to, la Administración requiere niveles de servicio que presen-ten incrementos en calidad, en funcionalidad y en facilidad de uso, así como un mejoramiento continuo y una disminución de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo más bajo. Muchas organizaciones reconocen los beneficios potencia-les que la tecnología puede proporcionar. Las organizacio-nes exitosas, sin embargo, también comprenden y adminis-tran los riesgos asociados con la implementación de nuevas tecnologías. Hay numerosos cambios en TI y en su ambiente de operación que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la información electróni-ca y en los sistemas de TI son esenciales para soportar los pro-cesos críticos del negocio. Adicionalmente, el ambiente regu-latorio demanda control estricto sobre la información. Esto a su vez conduce a un incremento de los desastres en los siste-mas de información y al incremento del fraude electrónico. La Administración de los riesgos relacionados con TI está siendo entendido como un aspecto clave en el gobierno o dirección empresarial. Dentro del Gobierno Empresarial, el Gobierno / Gobernabili-dad de TI2 se está volviendo mas y mas importante y está defi-nido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que ésta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del éxito de la Gerencia de la Empresa al ase-gurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las es-tructuras que unen los procesos de TI, los recursos de TI y la información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza buenas (o mejores) prácticas de planeación y organización, adquisición e implementación, entrega de servicios y soporte y monitorea el desempeño de TI para asegurar que la información de la em-presa y las tecnologías relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva GOBIERNO/ GOBERNABILIDAD DE TI Una estructura de relaciones y procesos para dirigir y con-trolar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se balancean los ries-gos versus el retorno sobre TI y sus procesos. Las organizaciones deben cumplir con requerimientos de cali-dad, fiduciarios y de seguridad, tanto para su información, como para sus activos. La Administración deberá además optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnología, sistemas de apli-cación y datos. Para cumplir con esta responsabilidad, así como para alcanzar sus objetivos, la Administración debe en-tender el estado de sus propios sistemas de TI y decidir el ni-vel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Información y las Tecnologí-as Relacionadas (COBIT), ahora en esta tercera edición, ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los con-troles necesarios y los aspectos técnicos. Provee buenas prácti-cas a través de un dominio y el marco referencial de los proce-sos y presenta actividades en una estructura manejable y lógi-ca. Las “Buenas prácticas” de COBIT reúne el consenso de expertos - quienes ayudarán a optimizar la inversión de la in-formación y proporcionarán un mecanismo de medición que permitirá juzgar cuando las actividades van por el camino equivocado. 1 Guerra de información (information warfare) 2 Gobierno de TI (IT Governance) Governance es un término que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organización.
  • 6. RESUMEN EJECUTIIVO La Administración debe asegurar que los sistemas de control interno o el marco referencial están funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los reque-rimientos de información e impacta los recursos de TI. El im-pacto sobre los recursos de TI son resaltados en el Marco Re-ferencial de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencia-lidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información. El control, que incluye políticas, estructu-ras, prácticas y procedimientos organizacionales, es responsa-bilidad de la administración. La administración, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la adminis-tración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información actúen con la debida diligencia. Un Objetivo de Control en TI es una definición del resultado o propósito que se desea alcanzar implementando procedimien-tos de control específicos dentro de una actividad de TI. La orientación al negocio es el tema principal de COBIT. Está diseñado no solo para ser utilizado por usuarios y auditores, sino que, lo más importante, esta diseñado para ser utilizado por los propietarios de los procesos de negocio como una guía clara y entendible. A medida que ascendemos, las prácticas de negocio requieren de una mayor delegación y empoderamien-to3 de los dueños de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcio-nar controles adecuados.. El Marco Referencial de COBIT proporciona, al propietario de procesos de negocio, herramien-tas que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prácti-ca: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco Referencial continúa con un conjunto de 34 Objeti-vos de Control de alto nivel, uno para cada uno de los Proce-sos de TI, agrupados en cuatro dominios: Planeación y Orga-nización, Adquisición e Implementación, Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspec-tos de información y de tecnología que la soporta. Adminis-trando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podrá asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnología de información. El Marco Referencial de COBIT provee además una guía o lista de verificación para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la información con los objetivos y las es-trategias de la empresa. El Gobierno de TI integra de una for-ma óptima el desempeño de la Planeación y Organización, la Adquisición e Implementación, la Entrega de Servicios y So-porte y el Monitoreo. El Gobierno de TI facilita que la empre-sa obtenga total ventaja de su información y así mismo maxi-miza sus beneficios, capitalizando sus oportunidades y obte-niendo ventaja competitiva Adicionalmente, correspondiendo a cada uno de los 34 objeti-vos de control de alto nivel, existe una Guía o directriz de Auditoría o de aseguramiento que permite la revisión de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejora-miento. Las Guías o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobier-no de TI. Las Directrices son acciones genéricas orientadas a proveer a la Administración la dirección para mantener bajo control la información de la empresa y sus procesos relaciona-dos, para monitorear el logro de las metas organizacionales, para monitorear el desempeño de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales. Específicamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Adminis-tración puede ubicarse en el punto donde la organización está hoy, donde está en relación con los “mejores de su clase” en su industria y con los estándares internacionales y así mismo determinar a donde quiere llegar; Factores Críticos de Éxito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administración para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medición que indicarán a la Gerencia— después del hecho– si un proceso de TI ha satisfecho los re-querimientos del negocio; y los Indicadores Clave de desem-peño (Key Performance Indicators) los cuales son indicado-res primarios que definen la medida para conocer qué tan bien se está ejecutando el proceso de TI frente o comparado contra el objetivo que se busca. 3 Empoderamiento (empowerment) IT GOVERNANCE INSTITUTE 6
  • 7. RESUMEN EJECUTIIVO Las Directrices Gerenciales de COBIT son genéricas y son acciones orientadas al propósito de responder los siguien-tes tipos de preguntas gerenciales: Qué tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cuá-les son los indicadores de buen desempeño? Cuáles son los factores críticos de éxito? Cuáles son los riesgos de no lo-grar nuestros objetivos? Qué hacen otros? Cómo nos po-demos medir y comparar? COBIT contiene adicionalmente un Conjunto de Herramien-tas de Implementación que proporciona lecciones aprendidas por empresas que rápida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particular-mente útiles - Diagnóstico de Sensibilización Gerencial (Management Awareness Diagnostic) y Diagnóstico de Con-trol en TI (IT Control Diagnostic) - para proporcionar asisten-cia en el análisis del ambiente de control de TI en una organi-zación. En los próximos años las Directivas de las Organizaciones necesitarán demostrar que están logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requeri-mientos de control, los aspectos técnicos y los riesgos del ne-gocio y adicionalmente informa a los accionistas o dueños de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una política clara y de buenas prácticas de con-trol de TI a través de las organizaciones, a nivel mundial. Por lo tanto, COBIT está diseñado para ser la herramien-ta de gobierno de TI que ayude al entendimiento y a la administración de los riesgos así como de los beneficios asociados con la información y sus tecnologías relaciona-das. IT GOVERNANCE INSTITUTE 7
  • 8. COBIIT PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS OOBBJJEETIVIVOOSS DDEE NNEEGGOOCCIOIO COBIIT RECURSOS DE TI • datos • sistemas de aplicación • tecnología • instalaciones • gente M1 Monitorear los procesos M2 Evaluar lo adecuado del control MONITOREO 8 IT GOVERNANCE INSTITUTE PO1 Definir un Plan Estratégico de Tecnología de Información PO2 Definir la Arquitectura de Información PO3 Determinar la dirección tecnológica PO4 Definir la Organización y de las Relaciones de TI PO5 Manejar la Inversión en Tecnología de Información PO6 Comunicar la dirección y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad PLANEACION Y ORGANIZACION ADQUISICION E ENTREGA Y IMPLEMENTACION SOPORTE AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener Arquitectura de Tecnología AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir Niveles de Servicio DS2 Administrar Servicios prestados por Terceros DS3 Administrar Desempeño y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios DS8 Apoyar y Asistir a los Clientes de TI DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditoría independiente INFORMACION • efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad GOBIERNO DE TI
  • 9. DIIRECTRIICES DE AUDIITORIIA EL MARCO REFERENCIAL DE COBIT LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION En los últimos años , ha sido cada vez más evidente la necesi-dad de un Marco Referencial para la seguridad y el control de tecnología de información (TI). Las organizaciones exitosas requieren una apreciación y un entendimiento básico de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener un efectiva dirección y controles adecuados. LA ADMINISTRACION (MANAGEMENT) debe decidir cual es la inversión razonable en seguridad y en control en TI y cómo lograr un balance entre riesgos e inversiones en con-trol en un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los controles en los sistemas de infor-mación ayudan a administrar los riesgos, no los eliminan. Adi-cionalmente, el exacto nivel de riesgo nunca puede ser conoci-do ya que siempre existe un grado de incertidumbre. Finalmente, la Administración debe decidir el nivel de riesgo que está dispuesta a aceptar. Juzgar cual puede ser el nivel tolerable, particularmente cuando se tiene en cuenta contra el costo, puede ser una decisión difícil para la Administración. Por esta razón, la Administración necesita un marco de refe-rencia de las prácticas generalmente aceptadas de control y seguridad de TI para compararlos contra el ambiente de TI existente y planeado. Existe una creciente necesidad entre los USUARIOS de los servicios de TI, de estar protegidos a través de la acreditación y la auditoría de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementación de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusión proviene de los diferentes métodos de evaluación, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan que se establezca una base general como un primer paso. Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarización, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar su opinión acerca de los controles internos frente a la Gerencia. Sin contar con un marco referencial, ésta se con-vierte en una tarea demasiado complicada. Incluso, la admi-nistración consulta cada vez más a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de segu-ridad y control de TI. EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en TI para mejorar su posición competitiva. La reingeniería en los negocios, las reestructuraciones o right-sizing, el outsourcing, el empodera-miento, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamenta-les. Estos cambios han tenido y continuarán teniendo, profun-das implicaciones para la administración y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atención prestada a la obtención de ventajas com-petitivas y a la eficiencia en costos implica una dependencia creciente en la tecnología como el componente más importan-te en la estrategia de la mayoría de las organizaciones. La automatización de las funciones organizacionales, por su natu-raleza, dicta la incorporación de mecanismos de control más poderosos en las computadoras y en las redes, tanto para las basadas en hardware como las basadas en software. Además, las características estructurales fundamentales de estos contro-les están evolucionando al mismo paso que las tecnologías de computación y las redes. Dentro del marco referencial de cambios acelerados, si los administradores, los especialistas en sistemas de in-formación y los auditores desean en realidad ser capa-ces de cumplir con sus tareas en forma efectiva , debe-rán aumentar y mejorar sus habilidades tan rápidamente como lo demandan la tecnología y el ambiente. Debe-mos comprender la tecnología de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prácticas de control que se encuentran en los negocios típicos o en las organizaciones gubernamentales. IT GOVERNANCE INSTITUTE 9
  • 10. COBIIT APARICION DEL GOBIERNO4 DE LA EMPRESA Y DEL GOBIERNO DE TI Para lograr el éxito en esta economía de información, el Go-bierno de la empresa y el Gobierno de TI no pueden ser con-sideradas separadamente y en distintas disciplinas. El go-bierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeño así como provisto el aseguramiento para aspectos críticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia. El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera óptima la planeación y organización, la adquisición e implementación, la entrega de servicios y soporte y el moni-toreo del desempeño de TI. El Gobierno de TI es integral para el éxito del Gobierno de la Empresa asegurando una eficiente y efectiva medición para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su información, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debería proveer insumos críticos y constituirse en un componente importante de los planes estratégicos. De hecho TI puede influenciar las oportuni-dades estratégicas de la empresa. Gobierno de la Empresa Direcciona y Prepara Gobierno de Tecnologia de Informacion Las actividades de la empresa requieren informa-ción de las actividades de TI con el fin de satisfa-cer los objetivos del negocio. Organizaciones exi-tosas aseguran la interdependencia entre su plan estratégico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ven-taja total de su información para maximizar sus beneficios, capitalizar oportunidades y ganar ven-taja competitiva. 10 IT GOVERNANCE INSTITUTE Actividades de la empresa Requiere informacion de Actividades de Tecnologia de Informacion Las empresas son gobernadas por buenas (o me-jores) prácticas generalmente aceptadas para asegurar que la empresa cumpla sus metas ase-gurando que lo anterior esté garantizado por cier-tos controles. Desde estos objetivos fluye la di-rección de la organización, la cual dicta ciertas actividades a la empresa usando sus propios re-cursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionan-do insumos para el mantenimiento y revisión constante de los controles, comenzando el ciclo de nuevo. 4Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organiza-ción.
  • 11. DIIRECTRIICES DE AUDIITORIIA DIRIGIR Manejo de Riesgo Beneficios IT GOVERNANCE INSTITUTE 11 Objetivos Gobierno de la Empresa Direcciona CONTROL Actividades de la Empresa Recursos Reportando Usando También TI es gobernado por buenas (o mejores) prácticas para asegurar que la información de la empresa y sus tec-nologías relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus ries-gos son manejados apropiadamente. Estas prácticas con-forman una base para la dirección de las actividades de TI las cuales pueden ser enmarcadas en la Planeación y Orga-nización, Adquisición e Implementación, Entrega de Servi-cios y Soporte y Monitoreo para los propósitos duales co-mo son el manejo de riesgo (para obtener seguridad, con-fiabilidad y cumplimiento) y la obtención de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prácticas y con-troles y el ciclo comienza otra vez. Gobierno de TI PO AI DS MO Objetivos Actividades de TI Planea Hace Revisa Corrige REPORTAR • TI está alineado con el negocio, habilita al negocio y maximiza beneficios. • Los recursos de TI son utilizados responsablemente. • Los riesgos relacionados a TI son manejados apropiadamente. Decrementar Costos – ser eficiente Incrementar Automatización – ser efectivo • Seguridad • Confiabilidad • Conformidad-cumplimiento CONTROL Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se están desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de ava-luar el nivel de madurez de la organización contra las mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Críticos de Exito específicos, Indicadores Claves de Logros e Indicadores Clave de Desempeño y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apédice I.
  • 12. COBIIT a la Administración Indicadores Clave de Logros (KGIs— Key Goal Indicators), Indicadores Claves de Desempeño (KPIs— Key Performance Indicators), Factores Críticos de Éxito (CSFs—Critical Success Factors) y un Modelo de Ma-durez con el cual puede analizar el ambiente de TI y conside-rar opciones para la implementación y mejoramiento de los controles sobre la información de la organización y sus tecno-logías relacionadas. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de políticas claras y buenas prácticas para la seguri-dad y el control de Tecnología de Información, con el fin de obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principal-mente a partir de la perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la admi-nistración en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados a partir de la pers-pectiva de los objetivos de auditoría (certificación de informa-ción financiera, certificación de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS Y AU-DITORES COBIT está diseñado para ser utilizado por tres audiencias distintas: ADMINISTRACION/ GERENCIA (Management): Para ayudarlos a lograr un balance entre los riesgos y las in-versiones en control en un ambiente de tecnología de informa-ción frecuentemente impredecible. USUARIOS: Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes. AUDITORES: Para soportar su opinión y/o proporcionar consejos a la Admi-nistración sobre los controles internos. RESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjunta-mente con una investigación continua aplicada a controles de TI basada en este marco referencial, constituyen el funda-mento para el progreso efectivo en el campo de los controles de sistemas de información. Por otro lado, hemos sido testigos del desarrollo y publica-ción de modelos de control generales de negocios como CO-SO [Committee of Sponsoring Organisations of the Tread-way Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido, CoCo en Canadá y King en Sudáfrica. Por otro lado, existe un núme-ro importante de modelos de control más enfocados al nivel de tecnología de información. Algunos buenos ejemplos de esta última categoría son el Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido) y el Security Handbook de NIST (National Institute of Stan-dards and Technology, EUA). Sin embargo, estos modelos de control con orientación específica no proporcionan un modelo de control completo y utilizable sobre tecnología de información como soporte para los procesos del negocio. El propósito de COBIT es cubrir este vacío proporcionando una base que esté estrechamente ligada a los objetivos de nego-cio, al mismo tiempo que se enfoca a la tecnología de infor-mación. (El documento que más se acerca al COBIT es una publica-ción reciente de AICPA/CICA Systrust TM Principios y Crite-rios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comité Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comité de Desarrollo de Servicios de Calidad de Canadá, basado en parte en los Objetivos de Control de COBIT. Sys- Trust está diseñado para incrementar el confort de la Admi-nistración, los clientes y los socios de negocios con los siste-mas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador público pro-porcionándole un servicio de aseguramiento en el cual él o ella evalúa y prueba si el sistema es confiable cuando lo mi-de contra cuatro principios esenciales: Disponibilidad, segu-ridad, integridad y mantenimiento. Un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnología de información y la aplicación de modelos de control emergentes y estándares internacionales relacionados incluyen los Objetivos de Control originales de la Information Systems Audit and Control Foundation como una herramienta usada por el Auditor y la Administración. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando 12 IT GOVERNANCE INSTITUTE
  • 13. DIIRECTRIICES DE AUDIITORIIA ORIENTACIÓN A OBJETIVOS DE NEGOCIO El CobiT está alineado con los Objetivos del Negocio. Los Ob-jetivos de Control muestran una relación clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoría. Los Objetivos de Control están definidos con una orientación a los procesos, siguiendo el principio de reingeniería de negocios. En dominios y procesos identificados, se identifica también un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consi-deraciones y guías para definir e implementar el Objetivo de Control de TI. La clasificación de los dominios a los que se aplican los objeti-vos de control de alto nivel (dominios y procesos); una indica-ción de los requerimientos de negocio para la información en ese dominio, así como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamen-te el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigación que han identi-ficado 34 objetivos de alto nivel y 318 objetivos de control de-tallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditoría para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obte-nidas fueron incorporadas en forma apropiada. DEFINICIONES GENERALES Para propósitos de este proyecto, se proporcionan las siguientes definiciones. La definición de “Control” está adaptada del repor-te COSO [Committee of Sponsoring Organisations of the Tread-way Commission. Internal Control-Integrated Framework, 1992 y la definición para “Objetivo de Control de TI” ha sido adapta-da del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994). Una sentencia del resultado o propó-sito que se desea alcanzar implemen-tando procedimientos de control en una actividad de TI particular. Una estructura de relaciones y pro-cesos para dirigir y controlar la em-presa con el fin de lograr sus objeti-vos al añadir valor mientras se equi-libran los riesgos contra el retorno sobre TI y sus procesos. Objetivo de control en TI se define Objetivo de control en TI se define como como IT GOVERNANCE INSTITUTE 13 Control se define como Control se define como Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán preveni-dos o detectados y corregidos Gobierno de TI se define como
  • 14. COBIIT LOS PRINCIPIOS DEL MARCO REFERENCIAL Existen dos clases distintas de modelos de control actual-mente disponibles, aquéllos de la clase del “modelo de con-trol de negocios” (por ejemplo COSO) y los “modelos más enfocados a TI” (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta más completa para la Ad-ministración y para operar a un nivel superior a los estánda-res de tecnología para la administración de sistemas de infor-mación.. Por lo tanto, COBIT es el modelo para el gobier-no de TI! El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacio-nados con la Tecnología de Información que deben ser admi-nistrados por procesos de TI. Procesos de TI Para satisfacer los objetivos del negocio, la información ne-cesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informa-ción. Al establecer la lista de requerimientos, COBIT combi-na los principios contenidos en los modelos referenciales existentes y conocidos: Calidad Costo Entrega o Distribución (de servicio) 14 IT GOVERNANCE INSTITUTE Efectividad y eficiencia de las operaciones Confiabilidad de la información Cumplimiento de leyes y regulaciones Confidencialidad Integridad Disponibilidad La Calidad ha sido considerada principalmente por su aspec-to ‘negativo’ (ausencia de fallas, confiabilidad, etc.), lo cual también se encuentra contenido en gran medida en los crite-rios de Integridad. Los aspectos positivos, pero menos tan-gibles, de la calidad (estilo, atractivo, “ver y sentir”, desem-peño más allá de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deberá estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad está cubierto por los criterios de efectividad. Se consideró que el aspecto de entrega o distri-bución del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y también en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo también es considerado, siendo cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intentó reinven-tar la rueda – se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de información y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de información fue ampliada para in-cluir toda la información – no sólo información financiera. Con respecto a los aspectos de seguridad, COBIT identificó la confidencialidad, integridad y disponibilidad como los ele-mentos clave— se encontró que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimien-tos de seguridad. Comenzando el análisis a partir de los requerimientos de Cali-dad, Fiduciarios y de Seguridad más amplios, se extrajeron siete categorías distintas, ciertamente superpuestas. A conti-nuación se muestran las definiciones utilizadas por COBIT: Requerimientos de Negocio Recursos de TI Requerimientos Fiduciarios (COSO) Requerimientos de Seguridad Requerimientos de Calidad
  • 15. DIIRECTRIICES DE AUDIITORIIA Se refiere a que la información relevan-te sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos. Se refiere a la protección de informa-ción sensible contra divulgación no autorizada. Se refiere a la precisión y suficiencia de la información, así como a su vali-dez de acuerdo con los valores y expec-tativas del negocio. Se refiere a la disponibilidad de la in-formación cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salva-guarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contrac-tuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes finan-cieros y de cumplimiento. Efectividad Eficiencia Confidencialidad Los recursos de TI identificados en COBIT pueden explicarse/ definirse como se muestra a continuación: Son objetos en su más amplio sentido, (por ejemplo, externos e internos), es-tructurados y no estructurados, gráficos, sonido, etc. Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados. La tecnología cubre hardware, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de información. Habilidades del personal, conocimiento, sensibilización y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y siste-mas de información. El dinero o capital no fue considerado como un recurso de TI para la clasificación de los objetivos de control porque el dine-ro puede ser considerado como una inversión dentro de cual-quiera de los recursos presentados. Además debe anotarse que el Marco Referencial no se refiere específicamente a la docu-mentación de todos los materiales relacionados con un proce-so de TI en particular. Como un aspecto de buenas prácticas, la documentación es considerada como un buen control, y por lo tanto la falta de documentación sería causa de una mayor revisión y análisis de los controles compensatorios en cual-quier área bajo revisión. Otra forma de ver la relación de los recursos de TI con respec-to a la entrega de servicios se describe a continuación: Daattooss SSiisstteemmaass ddee AApplliiccaacciióónn Con el fin de asegurar que los requerimientos del negocio para la información se cumplan, es necesario definir, imple-mentar y monitorear adecuadas medidas de control sobre esos recursos. ¿Cómo pueden entonces las empresas estar satisfe-chas respecto a que la información obtenida presente las ca-racterísticas que necesitan? Es aquí donde se requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente diagrama ilustra este concepto. IT GOVERNANCE INSTITUTE 15 Disponibilidad Cumplimiento Confiabilidad de la Información Datos Aplicaciones Tecnología Instalaciones Personal mensaje entrada servicio salida TECNOLOGIIA IINSSTALACIIONESS GENTE Eventos Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulaciones Riesgos Información Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Integridad
  • 16. COBIIT Qué obtiene? Qué necesita? PROCESOS DE NEGOCIO INFORMACION RECURSOS DE TI •• datos •• sistemas de aplicación •• tecnología •• instalaciones •• gente El Marco Referencial consta de Objetivos de Control de alto nivel y de una estructura general para su clasificación y pre-sentación. La teoría subyacente para esta clasificación se re-fiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administración de sus recursos. Comenzan-do por la base, encontramos las actividades y tareas necesa-rias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas más discretas. El concepto de ciclo de vida cuenta típicamente con requerimientos de control diferentes a los de actividades discretas. Los procesos se definen entonces en un nivel superior como una serie de ac-tividades o tareas conjuntas con “cortes” naturales (de con-trol). Al nivel más alto, los procesos son agrupados de mane-ra natural en dominios. Su agrupamiento natural es confir-mado Criterios ?¿ Concuerdan ? frecuentemente como dominios de responsabilidad en una estructura organizacional, y está en línea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI. Por lo tanto, el marco referencial conceptual puede ser enfo-cado desde tres puntos estratégicos: (1)criterios de informa-ción; (2) recursos de TI, (3) procesos de TI. Estos tres puntos de vista diferentes están descritos en el Cubo CobiT que se muestra a continuación: Dominios Procesos Actividades Dominios Procesos 16 IT GOVERNANCE INSTITUTE •• efectividad •• eficiencia •• confidencialidad •• integridad •• disponibilidad •• cumplimiento •• confiabilidad Criterios de información Instalaciones Datos Gente Sistemas de Aplicación Tecnología Actividades Calidad Fiduciarios Seguridad Recursos de TI Procesos de TI
  • 17. Con lo anterior cono marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizaría en las actividades cotidianas de la organización –y no la “jerga5” del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeación y organización, adquisición e implementación, entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las si-guientes: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la me-jor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde dife-rentes perspectivas. Finalmente, debe-rán establecerse una organización y una infraestructura tecnológica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identifi-cadas, desarrolladas o adquiridas, así como implementadas e integradas de-ntro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicio-nales hasta el entrenamiento, pasando por seguridad y aspectos de continui-dad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio inclu-ye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplica-ción. Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verifi-car su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio también advierte a la Administración sobre la necesidad de asegurar procesos de control independientes, los cuales DIIRECTRIICES DE AUDIITORIIA son provistos por auditorías internas y externas u obtenidas de fuentes alterna-tivas. Debe tomarse en cuenta que estos procesos pueden ser aplica-dos a diferentes niveles dentro de una organización. Por ejem-plo, algunos de estos procesos serán aplicados al nivel corpo-rativo, otros al nivel de la función de servicios de información, otros al nivel del propietario de los procesos de negocio. También debe ser tomado en cuenta que el criterio de efectivi-dad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirán algunas veces los criterios de disponibilidad, integridad y confidencialidad. – en la prácti-ca, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de “identificar soluciones automatizadas” deberá ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la información que la empresa necesi-ta para alcanzar sus objetivos. Resulta claro que las medidas de control no satisfarán necesa-riamente los diferentes requerimientos de información del negocio en la misma medida. Primario es el grado al cual el objetivo de con-trol definido impacta directamente el requerimiento de información de inte-rés. Secundario es el grado al cual el objetivo de con-trol definido satisface únicamente de forma indirecta o en menor medida el requerimiento de información de inte-rés. Blanco (vacío) podría aplicarse; sin embargo, los re-querimientos son satisfechos más apro-piadamente por otro criterio en este proceso y/o por otro proceso. IT GOVERNANCE INSTITUTE 17 Planeación y organización Adquisición e implementación Entrega y soporte Entrega y soporte Monitoreo 5 Jerga (jargon)
  • 18. COBIIT Similarmente, todas las medidas de control no necesariamente tendrán impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica es-pecíficamente la aplicabilidad de los recursos de TI que son administrados en forma específica por el proceso bajo consi-deración (no por aquellos que simplemente toman parte en el proceso). Esta clasificación es hecha dentro el Marco Referen-cial de COBIT basado en el mismo proceso riguroso de infor-mación proporcionada por los investigadores, expertos y revi-sores, utilizando las definiciones estrictas indicadas previa-mente. En resumen, con el fin de proveer la información que la or-ganización necesita para lograr sus objetivos, el Gobierno de TI debe ser entrenado por la organización para asegurar que los recursos de TI serán administrados por una colección de procesos de TI agrupados naturalmente. El siguiente dia-grama ilustra este concepto. PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS OBJEIVOS DE NEGOCIO OBJETIVOS DE NEGOCIO COBIIT RECURSOS DE TI • datos • sistemas de aplicación • tecnología • instalaciones • gente M1 Monitorear los procesos M2 Evaluar lo adecuado del control MONITOREO 18 IT GOVERNANCE INSTITUTE PO1 Definir un Plan Estratégico de Tecnología de Información PO2 Definir la Arquitectura de Información PO3 Determinar la dirección tecnológica PO4 Definir la Organización y de las Relaciones de TI PO5 Manejar la Inversión en Tecnología de Información PO6 Comunicar la dirección y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad PLANEACION Y ORGANIZACION ADQUISICION E ENTREGA Y IMPLEMENTACION SOPORTE AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener Arquitectura de Tecnología AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir Niveles de Servicio DS2 Administrar Servicios prestados por Terceros DS3 Administrar Desempeño y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios DS8 Apoyar y Asistir a los Clientes de TI DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditoría independiente INFORMACION • efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad Gobierno de TI
  • 19. DIIRECTRIICES DE AUDIITORIIA HISTORIA Y ANTECEDENTES DE COBIT La tercera edición de COBIT es la mas reciente versión de los Objetivos de Control para la información y sus tecnologías relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edición que refleja un incremento en el número de docu-mentos fuente, una revisión en el alto nivel y objetivos de control detallados y la adición del Conjunto de herramientas de Implementación fue publicado en 1998. La 3a edición marca el ingreso de un nuevo editor para COBIT: El Institu-to de Gobierno de TI (IT Governance Institute). El Instituto de Gobierno de TI fue formado por la Informa-tion Systems Audit and Control Association (ISACA) y su Fundación asociada en 1998 para avanzar en el entendimien-to y la adopción de principios de gobierno de TI. Con la adi-ción de las Directrices Gerenciales en la 3a edición de CO-BIT y su expansión y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquirió un rol de lide-razgo IT GOVERNANCE INSTITUTE 19 en el desarrollo de la publicación. COBIT se basó originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergen-tes estándares internacionales a nivel técnico, profesional, regulatorio y específicos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicación en sistemas de información de toda la empresa. El térmi-no “generalmente aplicables y aceptados” es utilizado explícitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en inglés). Este estándar es relativamente pequeño en tamaño, con el fin de ser práctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas técnicas de TI adoptadas en una organización. Sin excluir ningún otro estándar aceptado en el campo del control de sistemas de información que pudiera emitirse du-rante la investigación, las fuentes han sido identificadas ini-cialmente como: Estándares Técnicos de ISO, EDIFACT, etc. Códigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificación para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estándares Profesionales para control interno y auditoría: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prácticas y requerimientos de la Industria de foros indus-triales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos específicos de la industria de la banca, Comercio Electrónico y manufactura de TI. (Ver Apéndice II, Descripción del Proyecto COBIT; Apéndice III Material de Referencia Primaria de COBIT y Apéndice IV, Glosario de Términos )
  • 20. HISTORIA Y ANTECEDENTES DE COBIT Familia de Productos COBIT® CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIÓN Resumen Ejecutivo Casos de Estudio FAQs Presentaciones en PowerPoint Guías de Implementación • Diagnóstico de la conciencia de la Administración • Diagnostico de Control de TI IT GOVERNANCE INSTITUTE 20 COBIIT EVOLUCIÓN DEL PRODUCTO COBIT COBIT evolucionará a través de los años y será el fundamento de investigaciones futuras. Por lo tanto, se generará una fami-lia de productos COBIT y al ocurrir esto, las tareas y activida-des que sirven como estructura para organizar los Objetivos de Control de TI, serán refinadas posteriormente. También será revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. La investigación y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y las dona-ciones de los capítulos de ISACA y de miembros de todo el mundo. La European Security Forum (ESF) amablemente llevó a cabo la recolección de material disponible para el pro-yecto. La Gartner Group además participó en el desarrollo y realizó la revisión de aseguramiento de calidad de las Directri-ces Gerenciales. RESUMEN EJECUTIVO MARCO REFERENCIAL objetivos de control de alto nivel DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA-DOS DIRECTRICES DE AUDITORIA Factores Críticos de Éxito Indicadores Clave por Objetivos Indicadores Clave de Desempeño PRODUCTOS DE LA FAMILIA COBIT Modelo de Madurez
  • 21. INTRODUCCIÓN A LAS DIRECTRICES DE AUDITORÍA COBIT Y LAS DIRECTRICES DE AUDITORÍA Las Directrices de Auditoría ofrecen una herramienta complementaria para la fácil aplicación del Marco Refe-rencial y los Objetivos de Control COBIT dentro de las actividades de auditoría y evaluación. El propósito de las Directrices de Auditoría es contar con una estructura sencilla para auditar y evaluar controles, con base en prácticas de auditoría generalmente aceptadas y compa-tibles con el esquema global COBIT. Los objetivos y prácticas individuales varían considera-blemente de organización a organización y existen mu-chos tipos de practicantes dedicados a actividades rela-cionadas con la auditoría; por ejemplo auditores exter-nos, auditores internos, evaluadores, revisores de cali-dad, y asesores técnicos. Por estas razones, las Directri-ces de Auditoría tienen una estructura genérica y de alto nivel. Los auditores deben cumplir con algunos requerimientos generales para proporcionar a los directivos y a los pro-pietarios o dueños de los procesos de negocios, seguri-dad y asesoría respecto a los controles en una organiza-ción: ofrecer una seguridad razonable de que se está cumpliendo con los objetivos de control correspondien-tes; identificar dónde se encuentran las debilidades signi-ficativas en dichos controles; justificar los riesgos que pueden estar asociados con tales debilidades, y final-mente, aconsejar a estos ejecutivos sobre las medidas correctivas que deben adoptarse. COBIT ofrece políti-cas claras y prácticas eficaces en materia de seguridad y para los controles de información y la tecnología asocia-da. Por tanto, las Directrices de Auditoría firmemente basados en los Objetivos de Control, toman la opinión del auditor a partir de la conclusión de auditoría, rempla-zándola con criterios normativos (41 estándares y mejo-res prácticas tomadas de normas privadas y públicas aceptadas a nivel mundial). Estas Directrices de Auditoría proporcionan guías para preparar planes de auditoría que se integran al Marco Referencial de COBIT y a los Objetivos de Control deta-llados. Deben ser usados conjuntamente con estos dos últimos, y a partir de ahí pueden desarrollarse programas específicos de auditoría. Sin embargo, las Directrices no son exhaustivas ni definitivas. No pueden incluir todo ni ser aplicables a todo, así que deberán ajustarse a condi-ciones específicas. DIIRECTRIICES DE AUDIITORIIA No obstante, hay cuatro cosas que las Directrices no son: 1. Las Directrices de Auditoría no pretenden ser una herra-mienta para crear el plan global de auditoría que considera una amplia gama de factores, incluyendo debilidades ante-riores, riesgo de la organización, incidentes conocidos, nue-vos acontecimientos, y selección de estrategias. Aun cuan-do el Marco Referencial y los Objetivos de Control ofrecen algunas orientaciones, los alcances de las Directrices no incluyen una guía precisa para actividades específicas. 2. Las Directrices de Auditoría no están diseñados como ins-trumento para enseñar las bases de la auditoría, aun cuando incorporen los elementos normalmente aceptados de la au-ditoría general y de TI. 3. Las Directrices de Auditoría no pretenden explicar en deta-lle la forma en que pueden utilizarse las herramientas com-putarizadas para apoyar y automatizar los procesos de audi-toría a TI, en materia de planeación, evaluación, análisis y documentación (que están incluidas, pero no se limitan a ellas, en las Técnicas de Auditoría Asistidas por Computa-dor). Existe un enorme potencial para usar la tecnología de información dirigida a aumentar la eficiencia y efectividad de las auditorías, pero una orientación en este sentido, tam-poco está dentro de los alcances de las Directrices. 4. Las Directrices de Auditoría no son exhaustivas ni definiti-vas, pero se desarrollarán conjuntamente con COBIT y sus Objetivos de Control detallados. Las Directrices de Auditoría de COBIT permiten al auditor com-parar los procesos específicos de TI con los Objetivos de Control de COBIT recomendados para ayudar a los directivos a identifi-car en qué casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados. Desde el punto de vista de los directivos, los propietarios de los procesos harán las preguntas: ¿Estoy haciendo lo correcto?, y si no es así: ¿Qué puedo hacer para corregirlo? El Marco Referen-cial y las Directrices de Auditoría COBIT ayudarán a responder a estas preguntas. El enfoque ofrece una perspectiva “reactiva”, mientras que los auditores necesitan también apoyar a la directiva de una manera “proactiva”. El Marco Referencial y las Directri-ces de Auditoría pueden aplicarse igualmente en forma proactiva en las primeras etapas de los procesos y el desarrollo de proyec-tos, al responder a la pregunta: “¿Qué es lo que necesito hacer ahora para no tener que ajustarlo o corregirlo después? IT GOVERNANCE INSTITUTE 21
  • 22. COBIIT ESTRUCTURA GENERAL DE LAS DIRECTRICES DE AUDITORÍA El modelo más común para evaluar el control es el modelo de auditoría. Otro enfoque que se está adoptando cada vez más es el modelo de análisis de riesgos, que se cubrirá hacia el final de esta introducción. Todos aquellos involucrados en la evaluación del control pueden inclinarse por cualquiera de los dos modelos. Los objetivos de la auditoría son para: • Proporcionar administración con aseguramiento razonable de que se están cubriendo los objetivos de control, • En donde existan debilidades de control significa-tivas, justificar los riesgos resultantes, y • Aconsejar a la administración sobre acciones co-rrectivas La estructura generalmente aceptada del proceso de auditoría es: • Identificación y documentación • Evaluación • Pruebas de cumplimiento • Pruebas sustantivas El proceso de TI, por lo tanto, se audita mediante:  La obtención de un entendimiento de los riesgos rela-cionados con los requerimientos del negocio y de las medidas relevantes de control  La evaluación de la conveniencia de los controles establecidos  La valoración del cumplimiento probando si los controles establecidos están funcionando como se espera, de manera consistente y con-tinua  La comprobación6 que existe el riesgo de que los objetivos de control no se estén cumpliendo mediante el uso de técnicas analíticas y/o consultando fuen-tes alternativas. Con el objetivo de brindar asistencia a la administración en la forma de asesoría de aseguramiento, hemos desarrollado esta estructura dentro de un marco referencial fundamentado en los requerimientos del COBIT: • Presentación en un enfoque de niveles • Orientación hacia los objetivos del negocio • Orientado en función del proceso • Enfocado sobre  Los recursos que necesitan administrarse  Los criterios de información que se requieren En el nivel más alto, este enfoque general de auditoría está apoyado por: • El Marco Referencial de COBIT, particularmente el resumen con la clasificación de los procesos de TI, los criterios de información aplicables y los recursos de TI (vea la página 30) • Los requerimientos para el proceso de auditoría mismo (vea la sección Requerimientos del Proceso de Auditoría en la página 23) • Los requerimientos genéricos para la auditoría de procesos de TI (vea la sección Directrices de Au-ditoría 22 IT GOVERNANCE INSTITUTE Genéricos de TI, página 24) • Los principios generales de control (vea la sección Observaciones del Proceso de Control, páginas 24- 25) El segundo nivel está compuesto por las Directrices detalla-das de auditoría para cada uno de los procesos de TI como se muestra en la sección principal de esta publicación. Las Directrices han sido presentadas en una plantilla están-dar que sigue la estructura general de Obtención, Evalua-ción, Valoración y Comprobación. Esta plantilla ha sido aplicada a las Directrices de Auditoría Genéricas de TI, así como también a las Directrices de Auditoría Detalladas. En el tercer y último nivel, el auditor puede complementar las Directrices de Auditoría para cubrir las condiciones loca-les, conduciendo la fase de planeación de auditoría con pun-tos de atención de auditoría que influyen sobre los objetivos detallados de control mediante: • Criterios específicos del sector • Estándares de la industria • Elementos específicos de la plataforma • Técnicas detalladas de control empleadas Importante para este nivel es el hecho de que los objetivos de control no son necesariamente aplicables en todos los casos y en cualquier lugar. Por lo tanto se sugiere que se realice una evaluación de riesgos de alto nivel para determi-nar sobre qué objetivos se necesita enfocarse específicamen-te y cuáles pueden ignorarse. 6 Comprobación (substantiating)
  • 23. Todos estos elementos se ofrecen para apoyar la planeación y la realización de las auditorías de TI, y para una mejor aplicación integrada de las directrices / lineamientos detalla-dos de auditoría. Las directrices no son exhaustivas y no son aplicables universalmente. El nivel de información de apoyo DIIRECTRIICES DE AUDIITORÍÍA (guías genéricas, requerimientos del proceso de auditoría y observaciones de control) ayudará a los auditores a desarro-llar el programa de auditoría que necesitan. ESTRUCTURA DETALLADA PARA LA APLICACIÓN DE LAS DIRECTRICES DE AUDITORÍA IT GOVERNANCE INSTITUTE 23 Nivel 1 Enfoque general de auditoría de TI  Marco Referencial de COBIT  Requerimientos del Proceso de Auditoría  Observaciones de Control  Directriz General de Auditoría Nivel 2 Directrices del proceso de auditoría  Directrices de Auditoría detalladas Nivel 3 Puntos de atención de auditoría para complementar los objetivos detallados de control  Condiciones Locales • Criterios específicos del sector • Estándares de la industria • Elementos específicos de la plataforma • Técnicas detalladas de control utilizadas REQUERIMIENTOS DEL PROCESO DE AUDITORÍA Una vez definido qué vamos a auditar y sobre qué vamos a proporcionar aseguramiento, tenemos que determinar el enfo-que o estrategia más apropiada para llevar a cabo el trabajo de auditoría. Primero tenemos que determinar el alcance correcto de nuestra auditoría. Para lograrlo, necesitamos investigar, analizar y definir: • Los procesos del negocio involucrados; • Las plataformas y los sistemas de información que están apoyando el proceso del negocio, así como la interconectividad con otras plataformas o sistemas; • Los roles y responsabilidades de TI definidas, inclu-yendo las correspondientes al outsourcing interno y/ o externo; y • Los riesgos del negocio y las decisiones estratégicas asociadas. El siguiente paso es identificar los requerimientos de informa-ción que tienen una relevancia particular con respecto a los procesos del negocio. Luego necesitaremos identificar los riesgos inherentes de TI, así como el nivel general de control que puede asociarse con el proceso del negocio. Para lograrlo, identificamos: • Los cambios recientes en el ambiente del negocio que tienen impacto sobre TI; • Los cambios recientes al ambiente de TI, nuevos desarrollos, etc.; • Los incidentes recientes relevantes para los controles y el ambiente del negocio; • Los controles de monitoreo de TI aplicados por la administración; • Los reportes recientes de auditoría y/o certificación; y • Los resultados recientes de auto evaluaciones.
  • 24. COBIIT Basándonos en la información obtenida, ahora podemos se-leccionar los procesos relevantes de COBIT, así como tam-bién los recursos que aplican a los mismos. Esto pudiera requerir que ciertos procesos de COBIT necesiten auditarse varias veces, cada vez para una plataforma o sistema distin-to. El auditor deberá determinar una estrategia de auditoría ba-sándose en el plan detallado de auditoría que deberá elabo-rarse con más profundidad, por ejemplo, si uno busca un enfoque basado en controles o un enfoque sustantivo. Finalmente, necesitan considerarse todos los pasos, tareas y puntos de decisión para llevar a cabo la auditoría. Un ejem-plo de un proceso genérico de auditoría (con pasos, tareas y puntos de decisión), que sigue la plantilla estándar, se pro-porciona en el Apéndice IV. REQUERIMIENTOS DEL PROCESO DE AUDITORÍA • Definir el alcance de la auditoría  procesos del negocio involucrados • Identificar los requerimientos de información rele-vantes para el proceso del negocio • Identificar los riesgos inherentes de TI y el nivel general de control • Selccionar procesos y plataformas a auditar  procesos • Fijar una estrategia de auditoría  Controles versus riesgos DIRECTRIZ GENERAL DE AUDITORÍA DE TI La plantilla en la página 26 (que además se presenta como un anexo el final de este documento) presenta los requeri-mientos genéricos para auditar procesos de TI para brindar el primer nivel de las directrices de auditoría, generalmente aplicables a todos los procesos. Está primordialmente orien-tado hacia la comprensión del proceso y la determinación de la propiedad y deberá ser el fundamento y el marco referen-cial para todos las directrices detalladas de auditoría. Esta misma plantilla se aplica luego a los 34 procesos que se identifican en el Marco Referencial de COBIT.  plataformas, sistemas y su interconectividad, que apoyan el procesos  roles, responsabilidades y estructura organizacional  importancia para el proceso del negocio  cambios recientes e incidentes en el ambiente del nego-cio y de la tecnología  resultados de auditorías, autoevaluaciones, y certificación  controles de monitoreo aplicados por la administración  recursos  Pasos y tareas  Puntos de decisión OBSERVACIONES DEL PROCESO DE CONTROL Los principios generales de control también pueden propor-cionar una guía adicional sobre cómo complementar las Di-rectrices de Auditoría. Estos principios están primordial-mente enfocados sobre el proceso y las responsabilidades del control, los estándares de control y los flujos de la informa-ción de control. El control, desde el punto de vista de la administración, se define como el determinar qué se está logrando; esto es, eva-luar el desempeño y si es necesario aplicar medidas correcti-vas para que el desempeño esté de acuerdo con lo planeado. 24 IT GOVERNANCE INSTITUTE
  • 25. El proceso de control consiste de cuatro pasos. Primero, se especifica un estándar de desempeño deseado para un proce-so. Segundo, existe un medio de saber qué esta sucediendo en el proceso, por ejemplo, el proceso proporciona informa-ción de control a una unidad de control. Tercero, la unidad de control compara la información con el estándar. Cuarto, si lo que realmente está sucediendo no cumple con el están-dar, la unidad de control dirige aquella acción correctiva a tomar, en forma de información para el proceso. A partir de este modelo, las siguientes observaciones de control pueden resultar relevantes para la auditoría: 1. Para que este modelo funcione, la responsabilidad por el proceso del negocio (o en este caso, de TI) debe ser claro y la responsabilidad no debe ser ambigua. Si no es así, la información de control no fluirá y no podrá tomarse acción correctiva. 2. Los estándares pueden ser de una amplia variedad, des-de planes y estrategias de alto nivel hasta indicadores clave de desempeño (KPI - Key Performance Indica-tors) y factores críticos de éxito (CSF – Critical Success Factors). Los estándares claramente documentados, mantenidos y comunicados son necesarios para un buen proceso de control. La responsabilidad clara por la cus-todia de dichos estándares también es un requerimiento para un buen control. 3. El proceso de control tiene los mismos requerimientos: bien documentado en cuanto a cómo funciona y con responsabilidades claras. Un aspecto importante es la clara definición de lo que constituye una desviación, esto es, cuáles son los límites de desviación. DIIRECTRIICES DE AUDIITORIIA 4. La oportunidad, integridad y conveniencia de la infor-mación de control, así como también otra informa-ción, son básicas para el buen funcionamiento de un sistema de control y es algo que el auditor debe tratar. 5. Tanto la información de control como la información de acción correctiva tendrán que cumplir los requeri-mientos Normas Estándares KPI / CSF de evidencia, con el fin de establecer la res-ponsabilidad después del evento. Comparación Acto Proceso Información De Control IT GOVERNANCE INSTITUTE 25
  • 26. COBIIT DIRECTRIZ GENERAL DE AUDITORÍA OBTENCIÓN DE UN ENTENDIMIENTO Los pasos de auditoría que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de con-trol, así como también identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff apropiado para lograr la comprensión de: • Los requerimientos del negocio y los riesgos asociados • La estructura organizacional • Los roles y responsabilidades • Políticas y procedimientos • Leyes y regulaciones • Las medidas de control establecidas • La actividad de reporte a la administración (estatus, desempeño, acciones) Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisión. Con-firmar el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisión paso a paso del proceso. EVALUACIÓN DE LOS CONTROLES Los pasos de auditoría a ejecutar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios inden-tificados y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio profesional de auditor. • Existen procesos documentados • Existen resultados apropiados • La responsabilidad y el registro de las operaciones son claros y efectivos • Existen controles compensatorios, en donde es necesario Concluir el grado en que se cumple el objetivo de control. VALORACIÓN DEL CUMPLIMIENTO Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimien-tos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de técnicas analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinión e “impresionar” a la administración para que tome acción. Los auditores tienen que ser creativos para encontrar y presentar esta información que con frecuencia es sensitiva y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-efecto. Brindar información comparativa; por ejemplo, mediante benchmarks. 26 IT GOVERNANCE INSTITUTE
  • 27. Plan Acción Verificación Los controles también operan en diferentes niveles dentro del ciclo tradicional de Planear-Hacer-Verificar-Corregir con el que la administración se siente cómoda. Este modelo ilus-tra: • La secuencia lógica de planear-hacer-verificar y corregir el plan si es necesario: • Cómo sucede esto a nivel estratégico, táctico y administrativo; • Las diversas relaciones laterales y horizontales – El “hacer” estratégico da como resultado pla-neación táctica; el “hacer” táctico da como resultado planeación administrativa; – Las actividades de “verificar” y “hacer” co-operan e influyen continuamente una con otra; y – La actividad administrativa de “verificar” reporta a “verificar” táctico, quien a su vez reporta a “verificar” estratégico. Cuando se evalúan mecanismos de control, los revisores deberán estar conscientes de que estos controles operan en estos diferentes niveles y de que tienen relaciones intrínse-cas. La orientación hacia el proceso de COBIT proporciona algunas indicaciones acerca de los diferentes procesos de control, niveles e interrelaciones, pero la implantación o va-loración real de los sistemas de control requiere tomar en cuenta esta compleja dimensión adicional. DIIRECTRIICES DE AUDIITORIIA COLOCÁNDOLAS TODAS JUNTAS En resumen, las Directrices de Auditoría detalladas siempre pueden complementarse tomando en cuenta el Lineamiento Genérico y el proceso bajo revisión, y obteniendo tareas de auditoría adicionales para lograr el objetivo de auditoría. El desarrollo del programa de auditoría en sí puede beneficiarse de tomar en consideración los requerimientos del proceso de auditoría de TI, el Marco Referencial de COBIT y los Objeti-vos de Control de Alto Nivel, y las Consideraciones de Con-trol que se muestran aquí. RELACIÓN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DI-RECTRICES DE AUDITORÍA Los objetivos han sido desarrollados a partir de una orienta-ción al proceso porque la administración está buscando ase-soría proactiva sobre cómo tratar el problema de mantener TI bajo control. Los Objetivos de Control ayudan a la admi-nistración a establecer el control sobre el proceso, las Direc-trices de Auditoría ayudan al auditor o asesor a asegurar que el proceso está realmente bajo control, de tal manera que los requerimientos de información necesarios para lograr los objetivos del negocio serán satisfechos. La relación entre estos dos conceptos es el proceso, por lo que las Directrices de Auditoría han sido desarrolladas para cada uno de los procesos, en oposición a cada uno de los objetivos de control. IT GOVERNANCE INSTITUTE 27 Estratégico Táctico Administrativo Corrección Reporte Reporte
  • 28. COBIIT Requerimientos de Proceso de Auditoria Marco de Referencia de Control efectividad cumplimiento integridad disponibilidad eficiencia confidencialidad confiabilidad P S Lo cual satisface Requerimientos de negocio El control de Proceso de TI En cuanto al marco referencial de control representado por el modelo de cascada, las Directrices de Auditoría pueden ver-se como los elementos que proporcionan retroalimentación a partir de los procesos de control para los objetivos del nego-cio. Los objetivos de control son la guía que baja por la cas-cada para tener el proceso de TI bajo control. Las Directri-ces de Auditoría son la guía para regresar a la parte superior de la cascada con la pregunta: “¿Hay seguridad de que se logre el objetivo del negocio?” Algunas veces, las Directri-ces de Auditoría son traducciones literales de los Objetivos de Control; con mayor frecuencia, las Directrices buscan la evidencia de que el proceso esté bajo control. OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUA-CIÓN La utilización del Marco Referencial, los Objetivos de Con-trol y las Directrices de Auditoría como fundamento para la tarea de auditoría/valoración nos presenta algunas ventajas definitivas: • Permite dar prioridad a las actividades de auditoría y áreas bajo revisión, utilizando las calificaciones Primaria y Secundaria de los criterios de informa-ción; • Conduce a áreas de investigación que normalmen-te –sin un marco referencial o modelo- no serían tratadas; Puede desarrollarse una planeación y se-cuencia de entrevistas más lógica conforme los auditores avanzan en el proceso; Lineamientos Detallados de Auditoria Adquisición & Implementación Planeación & Organización Entrega & Soporte Monitoreo considerando las Prácticas de Control 9 9 tecnología facilidades datos • Las investigaciones pueden enfocarse utilizando el indicador de qué recurso es más importante en qué proceso; y • Como un estándar para definir las áreas de TI au-ditables para el plan estratégico de auditoría, con el fin de asegurar – La cobertura efectiva de la auditoría – La adquisición/desarrollo oportuno de las habilidades necesarias para la auditoría. es posible por gente Los Estatutos de Control aplicaciones Sin embargo, existen algunos retos en cuanto a la integra-ción del marco referencial y de los objetivos dentro del tra-bajo de auditoría: • El cambio nunca es fácil (actitud, conjunto de herramientas, conjunto de habilidades, etc.); • La naturaleza detallada hace difícil la aplicación inicial, especialmente cuando se está verificando la completitud7 y aplicabilidad de los objetivos de control para el área bajo revisión; • Existe un grado necesario de repetición en las Di-rectrices de Auditoría porque rara vez hay una relación uno-a-uno entre el objetivo de control y los mecanismos de control, un mecanismo contri-buye de varias maneras a varios objetivos, un obje-tivo necesita de varios mecanismos para lograr su cometido; y 28 IT GOVERNANCE INSTITUTE Observaciones de Control Normas Estándares KPI / CSF Comparación Proceso Acto Información de Control Lineamiento General de Auditoria identificar evaluar probar establecer Uso en combinación 7Completitud / Integridad: (Completeness)
  • 29. • Refuerza cierto formalismo (por ejemplo, registrar información previa) que puede parecer innecesa-rio. ANÁLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO DE EVALUACIÓN El balance entre costo y riesgo es el siguiente problema a tratar, esto es, tomar una decisión consciente de cómo se va a implementar cada uno de los objetivos de control y si se van a implementar. Los enfoques de análisis de riesgos tra-tan esta decisión, a pesar de que permanece el principio proactivo; los objetivos de control deberán aplicarse en pri-mera instancia para lograr unos criterios de control de infor-mación (efectividad, eficiencia, confidencialidad, disponibi-lidad, integridad, cumplimiento y confiabilidad). Es eviden-te que la administración necesita utilizar alguna forma de evaluación de riesgos del negocio para definir las medidas a implementar (vea CO PO9). Los auditores también llevarán a cabo alguna forma de evaluación de riesgos cuando elijan los dominios del proceso y los objetivos de control para la revisión. Un enfoque comúnmente aceptado para el análisis de riesgos en TI es el siguiente: DIIRECTRIICES DE AUDIITORIIA El modelo comienza a partir de la valoración de los activos, que dentro del Marco Referencial de COBIT consiste en la información que tiene los criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recur-sos necesarios para producir dicha información). El siguien-te paso es el análisis de vulnerabilidad† que trata de la im-portancia de los criterios de información dentro del proceso bajo revisión, por ejemplo, si un proceso del negocio es vul-nerable a la pérdida de integridad, entonces se requieren me-didas específicas. Luego se tratan las amenazas, esto es, aquello que puede provocar una vulnerabilidad. La probabi-lidad de la amenaza, el grado de vulnerabilidad y la severi-dad del impacto se combinan para concluir acerca de la eva-luación del riesgo. Esto es seguido por la selección de con-tramedidas (controles) y una evaluación de su eficacia, que también identifica el riesgo residual. La conclusión es un plan de acción después del cual el ciclo puede comenzar nuevamente. † El resultado de un análisis de vulnerabilidad es la identificación de amenazas relevantes y el resultado de un análisis de amenazas es la identificación de vulnerabilidades relevantes. IT GOVERNANCE INSTITUTE 29 Valuación de Activos Evaluación de Riesgo Contra- Medidas Evaluación de Vulnerabilidad Evaluación del Riesgo Evaluación del Control Plan de Acción Riesgo Residual Marco Referencial del Análisis de Riesgo
  • 30. COBIIT OBJETIVOS DE CONTROL TABLA RESUMEN La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de cuáles criterios de información son impac-tados por los objetivos de alto nivel, así como una indicación de cuáles recursos de TI son aplicables. 30 IT GOVERNANCE INSTITUTE Criterios de Información Recursos de TI efectividad eficiencia confidencialidad Recursos humanos sistemas de aplicación tecnología integridad disponibilidad cumplimiento confiabilidad recursos información de instalaciones datos datos DOMINIO PROCESO Planeación y PO1 Definir un plan estratégico de sistemas P S ; ; ; ; ; Organización PO2 Definir la arquitectura de información P S S S ; ; PO3 Determinar la dirección tecnológica P S ; ; PO4 Definir la organización y sus relaciones P S ; PO5 Administrar las inversiones (en TI) P P S ; ; ; ; PO6 Comunicar la dirección y objetivos de la gerencia P S ; PO7 Administrar los recursos humanos P P ; PO8 Asegurar el apego a disposiciones externas P PS ; ; ; PO9 Evaluar riesgos S S P P P S S ; ; ; ; ; P010 Administrar proyectos P P ; ; ; ; PO11 Administrar calidad P P P S ; ; Adquisición e AI1 Identificar soluciones de automatización P S ; ; ; Implementación AI2 Adquirir y mantener software de aplicación P P S S S ; AI3 Adquirir y mantener la arquitectura tecnológica P P S ; AI4 Desarrollar y mantener procedimientos P P S S S ; ; ; ; AI5 Instalar y acreditar sistemas de información P S S ; ; ; ; ; AI6 Administrar cambios P P P P S ; ; ; ; ; Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S ; ; ; ; ; Soporte DS2 Administrar servicios de terceros P P S S S S S ; ; ; ; ; DS3 Administrar desempeño y capacidad P P S ; ; ; DS4 Asegurar continuidad de servicio P S P ; ; ; ; ; DS5 Garantizar la seguridad de sistemas P P S S S ; ; ; ; ; DS6 Identificar y asignar costos P P ; ; ; ; ; DS7 Educar y capacitar a usuarios P S ; DS8 Apoyar y orientar a clientes P ; ; DS9 Administrar la configuración P S S ; ; ; DS10 Administrar problemas e incidentes P P S ; ; ; ; ; DS11 Administrar la información P P ; DS12 Administrar las instalaciones P P ; DS13 Administrar la operación P P S S ; ; ; ; ; Monitoreo M1 Monitorear el proceso P S S S S S S ; ; ; ; ; M2 Evaluar lo adecuado del control interno P P S S S S S ; ; ; ; ; M3 Obtener aseguramiento independiente P P S S S S S ; ; ; ; ; M4 Proporcionar auditoría independiente P P S S S S S ; ; ; ; ; (P) Primario (√) Aplicable a (S) Secundario Comunicar los objetivos aspiraciones de la Gerencia Asegurar el cumplimiento de requerimientos externos
  • 31. DIIRECTRIICES DE AUDIITORIIA AYUDAS DE NAVEGACIÓN PARA LAS DIRECTRICES DE AUDITORIA Las Directrices de Auditoría contienen secciones detalladas de guías de auditoría para cada uno de los 34 procesos de TI. En la izquierda de la página está el objetivo de control de alto nivel. El indicador de dominio (‘PO’ para Planeación y Organización, ’AI’ para Adquisición e Implementación, ’DS’ para Entrega y Soporte y ’M’ para Monitoreo) se presentan en la parte superior izquierda. El criterio de información aplicable y el recurso de TI utilizado son mostrados en una mini-matriz, como se describe en la siguiente página. Empezando en la parte derecha de la página está la descripción de la de TI por un proceso. También deberá tomarse en cuenta que los Objetivos de Control de COBIT han sido definidos de una manera ge-nérica, por ejemplo, sin depender de la plataforma técni-ca, aceptando el hecho de que algunos ambientes de tecnología especiales pueden requerir una cobertura se-parada para objetivos de control. directriz de auditoría para el proceso de TI El Marco de Referencia de COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesida-des de negocio dentro de un proceso de TI particular, cuyo logro es posible a través del establecimiento de controles, para lo cual deben considerarse controles po-tenciales aplicables. Los Objetivos de Control de TI han sido organizados por proceso/actividad y también se han proporcionados ayu-das de navegación no solamente para facilitar la entrada a partir de cualquier punto de vista estratégico como se explicó anteriormente, sino también para facilitar enfo-ques combinados o globales, tales como instalación/ implementación de un proceso, responsabilidades geren-ciales globales para un proceso y utilización de recursos 31 IT GOVERNANCE INSTITUTE Considerando Es habilitado por Proceso de TI Que satisface Requerimiento de Nego-cio Declaración de Control Prácticas de Control El control de
  • 32. COBIIT 32 IT GOVERNANCE INSTITUTE eficiencia integridad disponibilidad cumplimiento confidenciali-confiabilidad efectividad Planeación & Organización Adquisición & Implementa- Entrega & Soporte Monitoreo Criterios de Dominios TI S P 3 3 tecnología instalaciones gente aplicaciones datos Planeación & Organización Adquisición & Implementa- Entrega & Soporte Monitoreo eficiencia integridad disponibilidad cumplimiento confidenciali-confiabilidad efectividad S P 3 3 tecnología instalaciones gente aplicaciones datos Tres puntos de posición Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcio-nan algunas ayudas de navegación como parte de la presenta-ción de los objetivos de control de alto nivel. Se proporciona una ayuda de navegación para cada una de las tres dimensio-nes del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de información - Los dominios son identificados por este ícono en la ESQUI-NA SUPERIOR DERECHA de cada página, en la sección de Objetivos de Control, agrandando y haciendo más visible el dominio bajo revisión. La clave para el criterio de información se presentará en la ESQUINA SUPERIOR IZQUIERDA, en la sección de Obje-tivos de Control mediante la siguiente “mini” matriz, la cual identificará cuál criterio y en qué grado (primario o secunda-rio) es aplicable a cada Objetivo de Control de TI de alto nivel. Una segunda “mini” matriz en la ESQUINA INFERIOR DERE-CHA de la sección de Objetivos de Control identifica los recursos de TI que son administrados en forma específica por el proceso bajo consideración - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso “administración de datos” se concentra particularmente en la integridad y confiabili-dad de los recursos de datos.
  • 33. DIIRECTRIICES DE AUDIITORIIA RELACIONES DE OBJETIVOS DE CONTROL DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL Planeación y Organización 1.0 Definición de un Plan Estratégico de Tecnología de Información 1.1 Tecnología de Información como parte del Plan de la Organización a corto y largo plazo 1.2 Plan a largo plazo de Tecnología de Informa-ción 1.3 Plan a largo plazo de Tecnología de Informa-ción - Enfoque y Estructura 1.4 Cambios al Plan a largo plazo de Tecnología IT GOVERNANCE INSTITUTE 33 de Información 1.5 Planeación a corto plazo para la función de Servicios de Información 1.6 Comunicación de los planes de TI 1.7 Evaluación y Monitoreo de los planes de TI. 1.8 Valoración de los sistemas existentes. 2.0 Definición de la Arquitectura de Información 2.1 Modelo de la Arquitectura de Información 2.2 Diccionario de Datos y Reglas de sintaxis de datos corporativos 2.3 Esquema de Clasificación de Datos 2.4 Niveles de Seguridad. 3.0 Determinación de la Dirección Tecnológica 3.1 Planeación de la Infraestructura Tecnológica 3.2 Monitoreo de Tendencias y Regulaciones Futuras 3.3 Contingencias en la Infraestructura Tecnoló-gica 3.4 Planes de Adquisición de Hardware y Soft-ware 3.5 Estándares de Tecnología 4.0 Definición de la Organización y de las Relaciones de TI 4.1 Planeación de TI o Comité de planeación/ dirección de la función de servicios de infor-mación 4.2 Ubicación de los servicios de información en la organización 4.3 Revisión de Logros Organizacionales 4.4 Funciones y Responsabilidades 4.5 Responsabilidad del aseguramiento de cali-dad 4.6 Responsabilidad por la seguridad lógica y física 4.7 Propiedad y Custodia 4.8 Propiedad de Datos y Sistemas 4.9 Supervisión 4.10 Segregación de Funciones 4.11 Asignación de Personal para Tecnología de Información 4.12 Descripción de Puestos para el Personal de la Función de TI 4.13 Personal clave de TI 4.14 Procedimientos y políticas para el personal contratado 4.15 Relaciones 5.0 Manejo de la Inversión en Tecnología de Infor-mación 5.1 Presupuesto Operativo Anual para la Fun-ción de Servicio de información 5.2 Monitoreo de Costo - Beneficio 5.3 Justificación de Costo - Beneficio 6.0 Comunicación de los Objetivos y Aspiraciones de la Gerencia 6.1 Ambiente positivo de control de la informa-ción 6.2 Responsabilidad de la Gerencia en cuanto a Políticas 6.3 Comunicación de las Políticas de la Organi-zación 6.4 Recursos para la implementación de Políti-cas 6.5 Mantenimiento de Políticas 6.6 Cumplimiento de Políticas, Procedimientos y Estándares 6.7 Compromiso con la Calidad 6.8 Política sobre el Marco Referencial para la Seguridad y el Control Interno 6.9 Derechos de propiedad intelectual 6.10 Políticas Específicas 6.11 Comunicación de Conciencia de Seguridad en TI