COBIT
El COBIT es precisamente un modelo para auditar la
gestión y control de los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir, administradores IT, usuarios
y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo
de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad
IT y que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas (Control Objectives for
Information Systems and related Technology). El modelo es el resultado de una
investigación con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).
Buscar,
desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información,
generalmente aceptadas, para el uso diario por parte de gestores de negocio y
auditores.
BENEFICIOS COBIT
- Mejor
alineación basado en una focalización sobre el negocio.
- Visión
comprensible de TI para su administración.
- Clara
definición de propiedad y responsabilidades.
- Aceptabilidad
general con terceros y entes reguladores.
- Entendimiento
compartido entre todos los interesados basados en un lenguaje común.
- Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.
ESTRUCTURA
La
estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan
los recursos que comprenden la tecnología de información, como por ejemplo el
recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza
una evaluación sobre los procesos involucrados en la organización.
"La
adecuada implementación de un modelo COBIT en una organización, provee una
herramienta automatizada, para evaluar de manera ágil y consistente el
cumplimiento de los objetivos de control y controles detallados, que aseguran
que los procesos y recursos de información y tecnología contribuyen al logro de
los objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado.
DOMINIOS DEL COBIT
El conjunto de lineamientos y estándares
internacionales conocidos como COBIT, define un marco de referencia que
clasifica los procesos de las unidades de tecnología de información de las
organizaciones en cuatro "dominios" principales, a saber:
·
PLANIFICACION Y ORGANIZACION: Este
dominio cubre la estrategia y las tácticas y se refiere a la identificación de
la forma en que la tecnología de información puede contribuir de la mejor
manera al logro de los objetivos del negocio. Además, la consecución de la
visión estratégica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, deberán establecerse una organización y
una infraestructura tecnológica apropiadas.
·
ADQUISION E IMPLANTACION: Para
llevar a cabo la estrategia de TI, las soluciones de TI deben ser
identificadas, desarrolladas o adquiridas, así como implementadas e integradas
dentro del proceso del negocio. Además, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes.
·
SOPORTE Y SERVICIOS: En
este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
·
MONITOREO: Todos
los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto
nivel, que cubren tanto los aspectos de información, como de la tecnología que
la respalda. Estos dominios y objetivos de control facilitan que la generación
y procesamiento de la información cumplan con las características de
efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.
USUARIOS
·
La Gerencia: Para apoyar sus decisiones
de inversión en TI y control sobre el rendimiento de las mismas, analizar el
costo beneficio del control.
·
Los Usuarios Finales: Quienes obtienen
una garantía sobre la seguridad y el control de los productos que adquieren
interna y externamente.
·
Los Auditores: Para soportar sus
opiniones sobre los controles de los proyectos de TI, su impacto en la
organización y determinar el control mínimo requerido.
·
Los Responsables de TI: Para identificar
los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por
el responsable de un proceso de negocio en su responsabilidad de controlar los
aspectos de información del proceso, y por todos aquellos con responsabilidades
en el campo de la TI en las empresas.
CARACTERISTICAS
·
Orientado al negocio.
·
Alineado con estándares y regulaciones
"de facto".
·
Basado en una revisión crítica y
analítica de las tareas y actividades en TI.
·
Alineado con estándares de control y
auditoria (COSO, IFAC, IIA, ISACA, AICPA).
PRINCIPIOS:
El enfoque del control en TI se lleva a cabo
visualizando la información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado de la aplicación
combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.
Requerimientos de la información del
negocio: Para alcanzar los requerimientos de negocio, la información necesita
satisfacer ciertos CRITERIOS:
·
Requerimientos de Calidad: Calidad,
Costo y Entrega.
·
Requerimientos Fiduciarios: Efectividad
y Eficiencia operacional, Confiabilidad de los reportes financieros y
Cumplimiento le leyes y regulaciones.
·
Requerimientos de Seguridad:
Confidencialidad, Integridad y Disponibilidad.
NIVELES COBIT
Se divide en 3 niveles, los cuales son los siguientes:
·
Dominios: Agrupación natural de
procesos, normalmente corresponden a un dominio o una responsabilidad
organizacional.
·
Procesos: Conjuntos o series de
actividades unidas con delimitación o cortes de control.
·
Actividades: Acciones requeridas para
lograr un resultado medible.
COMPONENTES
COBIT
·
PLANEAR Y ORGANIZAR
·
ADQUIRIR E IMPLANTAR
·
MONITOREAR Y EVALUAR
·
PRESTACIÓN Y SOPORTE
CONCLUSION
COBIT es un marco general, su
flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamaño de
empresa, realizando una implementación gradual y progresiva acorde a los
recursos disponibles y acompasando la estrategia empresarial.