AUDITORIA

viernes, 6 de diciembre de 2013

¿QUÉ ES AUDITORIA?

Auditoría es el proceso de revisión, evaluación y presentación de un informe final para la gerencia.
“La palabra auditoria proviene del latín auditorius, y de ella se deriva AUDITOR, que significa todo aquel que tiene la virtud de oír”.

¿QUIÉN ES UN AUDITOR?
Persona que tiene la virtud de oír y revisar, pero debe estar encaminado a un objetivo que es de evaluar eficiencia y eficacia

¿QUÉ ES LA AUDITORIA DE SISTEMAS?
Es el examen y evaluación de los procesos del Área de procesamiento automático de datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

AUDITORIA EXTERNA
Examina y evalúa una determinada realidad por personal externo al ente auditado, para emitir una opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que esta operando en el área auditada.

Ventajas:
• El trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.
• Auditorias apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan técnicas y herramientas que ya fueron probadas en otras empresas con características similares.

Desventajas:
• La información del auditor puede estar limitada a la información que puede recopilar debido a que conoce poco la empresa.
• Dependen en absoluto de la cooperación que el auditor pueda obtener por parte de los auditados.
• Su evaluación, alcances y resultados pueden ser muy limitados.
• Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan.

AUDITORIA INTERNA
Es una función de control al servicio de la alta dirección empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo operativo, no revela en ningún caso la responsabilidad de otras personas en la organización.
El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.

VISIÓN GLOBAL DE LA AUDITORÍA DE SISTEMAS

REACCIÓN ANTE LA AUDITORÍA

• A nadie le justa ser evaluado
• Pocos comprenden la labor del Auditor
• Las expectativas de una auditoria no son bien atendidas
• Estereotipos del Auditor

• Comunique los beneficios de una auditoria

“La exacta observación del ambiente, la lógica implacable y la asombrosa agudeza psicológica con que Holmes reconstruye sus casos justifican sobradamente que se haya convertido en uno de los seres de ficción más <<vivos>> y populares de la literatura de todos los tiempos”

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACIÓN

INTRODUCCIÓN

* Organización de la Función de Auditoria de SI
• Estatuto de Auditoria
- Autoridad
- Alcance
- Responsabilidades
• Aprobación del Estatuto
• Modificación del Estatuto

* Administración de los Recursos de Auditoria de SI
• Los Auditores de SI son un recurso limitado
• La Tecnología de SI está cambiando constantemente
• Los Auditores de SI deben mantener su competencia técnica
• La dirección de Auditoria debería:
- Asignar recurso humano (habilidades y conocimiento)
- Asignar recursos tecnológicos
- Elaborar un plan de capacitación

* Administración de los Recursos de Auditoria de SI

¿Qué factores determinan cuantos auditores de SI se necesitan?

* Planeación de la Auditoria

• Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos del negocio
• Identificar contenidos específicos (políticas, estándares y directrices requeridos, procedimientos y estructura de la organización)
• Evaluar el análisis de riesgos y todo análisis de impacto sobre la privacidad
• Realizar un análisis de riesgos
• Llevar a cabo una revisión de control interno
• Establecer el alcance y los objetivos de la auditoria
• Desarrollar el enfoque o la estrategia de auditoria
• Asignar recursos humanos a la auditoria y dirigir la logística de trabajo

* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI

• Regulaciones legales:
- Establecimiento de los requerimientos regulatorios.
- Organización de los requerimientos regulatorios.
- Responsabilidades asignadas a las entidades correspondientes.
- Correlación con las funciones de auditoría financiera, operacional y de TI.
• Áreas de Interés:
- Requerimientos legales (leyes, acuerdos regulatorios y contractuales) aplicables a la Auditoria de SI.
- Requerimientos legales aplicables al auditado y a sus sistemas, administración de datos, informes, etc.
• Pasos para determinar el cumplimiento con los requerimientos externos:
- Identificar los requerimientos gubernamentales u otros externos relevantes.
- Documentar las leyes y regulaciones pertinentes.
- Determinar si la administración y la función de SI han considerado los requerimientos externos relevantes.
- Revisar los documentos internos del departamento de SI que se ocupan del cumplimiento de las leyes que le son aplicables.

- Determinar el cumplimiento con los procedimientos establecidos.

CASO ENRON:

Antecedentes

• 1985.
• Actividades iniciales exitosas en conducción de gas natural y electricidad.
• Comercializadora de energía más poderosa del mundo.
• Se lanza a los mercados de carbón, papel, acero, agua.

• Gozaba de gran prestigio y gran crédito gracias al enorme poderío que le daba su capitalización en el mercado.

• 1999 funda Enron online.
• Lo más valioso, sus acciones.
• En Agosto de 2000 alcanza el mayor valor de venta de sus acciones ($90.56).

• Ocupaba el lugar No. 7 en la lista de las 500 empresas más importantes de EE.UU (Fortune).

CAÍDA DE ENRON:

• Compensaciones excesivas a altos ejecutivos y socios.
• Despilfarro de fondos por las grandes contribuciones a la financiación de campañas políticas.
• Posibles sobornos.
• Recursos mal empleados por la dirección.
• Inversiones torpes y poco planificadas.

• En Marzo de 2001 la cotización por acción baja a $60.00.
• Incursiona con un rotundo fracaso en el terreno de las telecomunicaciones.
• En el tercer trimestre de 2001 reporta una pérdida de más de $1000 millones.
• El 2 de Diciembre de 2001 la empresa se declara en suspensión de pagos.

• Despide a más de 4.500 empleados.
• El valor por acción cae a menos de 26 centavos.
• Deja de cotizar por rebasar el límite inferior de $1.
• La compañía acumula deudas de más de $30.000 millones.
• Pierde a su Vicepresidente ejecutivo por suicidio.

¿Dónde estaban los auditores?

• Arthur Andersen fue una de las firmas auditoras más importantes del mundo.
• Enron era el segundo cliente más importante de AA.
• El trabajo de AA para Enron superaba los $50 millones anuales.
• Si AA hubiese hecho sonar el silbato en su momento ante las dudosas transacciones financieras, Enron se habría visto obligada a poner freno al crecimiento descontrolado de su deuda.

Responsabilidades de ENRON:

• Comportamientos despiadados y completamente inmorales imperaban en los niveles superiores de la dirección (desenfreno y avaricia).
• Prácticas habituales de ocultar enormes deudas, engaño a los accionistas sobre la posición de liquidez.
• Gran cantidad de “auto-operaciones”.

• La firma AA destruyo papeles y archivos electrónicos correspondientes a las auditorias (1997-2000).
• La actuación de AA dio origen a una demandada de las autoridades por obstrucción a la justicia, destrucción y alteración de documentos.

Final del caso ENRON:

• La gran estafa de Enron a sus empleados y accionistas concluyó en penas de cárcel para sus directivos.
• Su ex-presidente falleció antes de cumplir los 45 años de sentencia.

• La firma AA admitió que se destruyeron algunos documentos, pero dijo que era un procedimiento normal.
• Los miembros del jurado tras diez días de deliberaciones no lograban llegar a una decisión unánime sobre la inocencia o culpabilidad.
• Finalmente el tribunal falló en contra de la firma auditora.
• La firma auditora AA es sentenciada a entregar su licencia de operaciones.

Política y Legislación de ENRON:

• La actitud política general estaba menos preocupada por proteger los intereses de los accionistas que los de los directivos.
• El sistema político y legislativo permitió que se extendiera esta cultura.
• Florecimiento de la filosofía de la avaricia.
• La Ley Sarbanes-Oxley, pretende:
- Aumentar las penas por delitos societarios.
- Aumentar la autoridad y responsabilidad de los comités de auditoría.
- Definir estándares de responsabilidad profesional para los abogados.
- Limitar el alcance de los servicios que los auditores pueden prestar a sus clientes.
- Eliminar los préstamos a directivos y administradores.

ESTÁNDARES Y DIRECTRICES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

* Código de Ética Profesional
• Apoyar la implementación y fomentar el cumplimiento de las normas, los procedimientos y los controles apropiados en los SI.
• Ejecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores prácticas profesionales.

* Código de Ética Profesional (Cont.)
• Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no involucrarse en actos que puedan desacreditar la profesión.
• Mantener la privacidad y la confidencialidad de la información obtenida en el curso de su función a menos que la autoridad legal requiera su revelación. Dicha información no será usada para beneficio personal ni será revelada a terceros.
• Mantener competencia en sus respectivos campos y se comprometerá a emprender únicamente las actividades que puedan realizar con competencia profesional.
• Informar a las personas adecuadas los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento.
• Apoyar la educación profesional de los accionistas para mejorar su comprensión sobre seguridad y control de los sistemas de información.

* Estándares para la Auditoria de Sistemas de Información

• Estándares.
• Directrices.
• Procedimientos

El caso motorola

Motorola empezó a comercializar su primer sistema móvil en 1983. Estos sistemas eran aparatos analógicos, muy voluminosos y de un precio elevado (su público objetivo eran directivos que necesitaban disponer de un teléfono constantemente). El éxito fue inmediato, la empresa funcionaba como un reloj (en 1988 les concedieron el premio Malcolm Baldrige a la Calidad). En 1990 los ingresos de la compañía superaban los 10.000 millones de dólares (45% del mercado mundial de teléfonos móviles y 85% del mercado mundial de “buscas”). Sin duda, Motorola era el líder mundial de la tecnología analógica.

En 1994 Motorola disponía de una posición competitiva envidiable, pero los operadores empezaron a interesarse por la telefonía móvil digital (con menores interferencias y caídas, y en la que era más difícil interceptar conversaciones). La cobertura de la tecnología analógica era su única ventaja, pero duraría poco…. Además, las redes digitales podían dar servicio a mucha más gente (10 veces más) que las analógicas, y por lo tanto, los costes fijos de las infraestructuras podían diluirse entre una base de usuarios mucho mayor. Esto hizo que los operadores se interesaran por esta tecnología. La amenaza estaba sobre la mesa…

Como Motorola era el líder de la telefonía móvil, todos los operadores esperaban sus productos digitales. Les insistieron repetidamente de sus nuevas necesidades, pero Motorola no hizo absolutamente nada (tuvieron la prepotencia de decirle a los operadores que se equivocaban…). Incluso después, en 1996, después del gran éxito de la primera generación de telefonía digital, Motorola siguió “erre que erre”, sin hacer nada. Todos los operadores se fueron con Ericsson y Nokia (como era de prever…). Durante este tiempo, Motorola seguía promocionando sus teléfonos analógicos (con el consiguiente “cabreo” de sus clientes).

Un hecho entre curioso y sorprendente, es que Motorola tenía muchas de las patentes relacionadas con la telefonía digital, pero en vez de usarlas, decidió licenciarlas a sus competidores (Nokia y Ericsson). Posiblemente pensaran: “vamos a dejar que estos utilicen nuestras patentes, pobrecillos… ¿cómo podrán estar tan equivocados?”. Los ingresos que Motorola empezó a obtener por licenciar dichas patentes, crecieron como la espuma, evidenciando el éxito que estaban teniendo sus competidores. Ante este hecho, cualquier empresa medianamente inteligente se hubiera preguntado: “¿es posible que nos estemos equivocando al despreciar la tecnología digital?”. Motorola no, a pesar de disponer de toda la información posible sobre las tendencias de mercado, siguió a lo suyo… sin hacer nada (nada de nada).

Motorola tenía la capacidad de fabricar teléfonos digitales e información que evidenciaba el nuevo rumbo del mercado, es decir, habría podido competir desde el principio (incluso llevarse la mayor parte del pastel…), pero decidieron no hacerlo…

¿Por qué se produjo esta situación? Motorola siempre ha sido una empresa muy descentralizada (cada división iba por libre). En el fondo se habían creado auténticos “reinos de taifas” que competían entre ellos (“si uno ganaba, el otro perdía”). Además no tenían incentivos para coordinarse, ya que el sistema retributivo no facilitaba la colaboración. Esto generaba buen clima entre ellos: “a los de la otra división ni agua”. La transición a la telefonía digital, desgraciadamente, exigía la colaboración de toda la organización, pero ésta nunca se produjo (en los años clave), entre otras cosas, por el susodicho sistema retributivo (y todavía muchos directivos pensarán que las actividades relacionadas con la función de recursos humanos son marginales…).

La pregunta es entonces: ¿y donde estaban los directivos de la central para promover el cambio? Si las divisiones no eran capaces de coordinarse solas, alguien debería haber hecho algo ¿no? Pues no. ¿Dónde estaban los primeros espadas? ¿Dónde estaban esas personas que deben preocuparse por la estrategia competitiva, la estructura, la cultura,…? Pues según parece, estaban a sus cositas… (“¿un partidito de golf?”).

Al final Motorola lanzó su primer teléfono móvil digital en 1997, cuando Nokia y Ericsson ya estaban a años luz (de los de verdad…). Evidentemente la cuota de mercado de Motorola, pasó en EE.UU., de un 60% en 1994 a un 34% en 1998 (Nokia pasó del 11% al 34% en ese mismo periodo). En junio de 1998 Motorola despidió a 20.000 trabajadores.

Actualmente Motorola tiene menos del 10% de la cuota mundial de teléfonos móviles... ¿se recuperará?

Library I.T.

La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.

RISK IT

El Gobierno de las TI es una responsabilidad del más alto nivel directivo y se encuentra en lo Marco de trabajo basado en un conjunto de principios rectores, guías y procesos de negocio para la identificación, gobernabilidad y administración eficaz de riesgo de tecnología de información en una entidad. Risk IT establece buenas prácticas y posibilita una mirada integral para la detección de riesgos relacionados con el uso, propiedad, operación, participación, influencia y adopción de las tecnologías de información; facilita la integración de la administración del riesgo de TI con las actividades de gestión de riesgo de la entidad (ERM), permitiendo así que la entidad tome mejores decisiones con relación a aspectos sobre riesgo, evitando perdidas y obteniendo beneficios.

VAL I.T.

Val IT es un conjunto de documentos que proveen un marco de trabajo para el gobierno de las inversiones en TI, creado por el ITGI (Instituto de Gobierno de las TI). Es una declaración formal de los principios y procesos para la administración del portafolio de TI.
El objetivo del Val IT es ayudar a asegurar que las organizaciones consigan valor de las inversiones en TI, con un costo adecuado y un aceptable nivel de riesgo. Esta propuesta del ITGI es proporcionar guías, procesos y prácticas de soporte para ayudar a la dirección a comprender y llevar a cabo las inversiones en TI.
Val IT establece que los proyectos de TI se manejen como una cartera de inversiones, con un valor comercial y sean gestionados durante su ciclo de vida económico completo. Este marco extiende y complementa a otra buena práctica como lo es COBIT.
Val IT es un marco de gobierno que consiste en un conjunto de guias de principios, y una serie de procesos conforme a esos principios que se definen como un conjunto de prácticas clave de gestión.
El marco Val IT será soportado por publicaciones y herramientas operativas y proporciona orientación para:
· Definir la relación entre TI y el negocio y las funciones de la organización con responsabilidades de gobierno;
· Manejar el portafolio de una organización de las inversiones de negocio que permiten TI; y
· Maximizar la calidad de los casos de negocio para las inversiones de negocio que permiten la TI con especial énfasis en la definición de los principales indicadores financieros, la cuantificación de los beneficios "blandos" y la evaluación comprensiva de los riesgos a la baja.
Val IT direcciona los supuestos, costos, riesgos y resultados relacionados con una cartera equilibrada de inversiones de negocio que permiten la TI. También proporciona la capacidad de evaluación comparativa y permite a las empresas intercambiar experiencias sobre las mejores prácticas para la gestión de valor. Val IT consiste de las siguientes publicaciones:
· Val IT Framework 2.0
· Guía de Gestión del Valor para los profesionales de Asesoramiento: Uso de Val IT™ 2.0
· Val IT Introducción a la Gestión del Valor
· Val IT El Caso de Negocio

· Val IT Mapeo: Mapeo de Val IT 2,0 con MSP ™, PRINCE2 ™ e ITIL ® V3

martes, 3 de diciembre de 2013

COBIT

El COBIT es precisamente un modelo para auditar la gestion y controll de los sistema de informacion y tecnologia, orientado a todos los sectores de una organizacion, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evalucion y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Misión del COBIT

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.

BENEFICIOS COBIT

· Mejor alineación basado en una focalización sobre el negocio.

· Visión comprensible de TI para su administración.

· Clara definición de propiedad y responsabilidades.

· Aceptabilidad general con terceros y entes reguladores.

· Entendimiento compartido entre todos los interesados basados en un lenguaje común.

· Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.

Estructura

La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.

"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado.

Dominios COBIT

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:

· PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

· ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

· SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

· MONITOREO:

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

Usuarios

· La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

· Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

· Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

· Los Responsables de TI: Para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Características

· Orientado al negocio.

· Alineado con estándares y regulaciones "de facto".

· Basado en una revisión crítica y analítica de las tareas y actividades en TI.

· Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

PRINCIPIOS:

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

· Requerimientos de la información del negocio: Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos CRITERIOS:

· Requerimientos de Calidad: Calidad, Costo y Entrega.

· Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

· Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

Niveles COBIT

Se divide en 3 niveles, los cuales son los siguientes:

· Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

· Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

· Actividades: Acciones requeridas para lograr un resultado medible.

COMPONENTES COBIT

· Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.

· Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.

· Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.

· PLANEAR Y ORGANIZAR

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la información

PO3 Determinar la dirección tecnológica.

PO4 Definir procesos, organización y relaciones de TI.

PO5 Administrar la inversión en TI.

PO6 Comunicar las aspiraciones y la dirección de la gerencia.

PO7 Administrar recursos humanos de TI.

PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI

PO10 Administrar proyectos.

PO11Administración de Calidad

· ADQUIRIR E IMPLANTAR

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.

AI3 Adquirir y mantener la infraestructura tecnológica

AI4 Facilitar la operación y el uso.

AI5 Adquirir recursos de TI.

AI6 Administrar cambios.

· MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno

ME3 Garantizar cumplimiento regulatorio.

ME4 Proporcionar gobierno de TI.

· PRESTACIÓN Y SOPORTE

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Garantizar la continuidad del servicio.

DS5 Garantizar la seguridad de los sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y entrenar a los usuarios.

DS8 Administrar la mesa de servicio y los incidentes.

DS9 Administrar la configuración.

DS10 Administrar los problemas.

DS11 Administrar los datos.

DS12 Administrar el ambiente físico.

DS13 Administrar las operaciones.

Quiénes han adoptado el COBIT

Advirtiendo la necesidad de contar con un adecuado marco de referencia para el gobierno de los sistemas de información y las tecnologías relacionadas, muchas organizaciones en el ámbito nacional e internacional ya han adoptado el COBIT como una de las mejores prácticas. Sin intención de ser exhaustivo, sólo mencionaré las que desde hace tiempo lo vienen haciendo: Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias; la Reserva Federal de los Estados Unidos de América; Daimler-Chrysler en Alemania y los EE.UU., entre otras.

Conclusiones

Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos disponibles y acompasando la estrategia empresarial.

Si bien aún no es requerido formalmente en forma regulatoria, es un estándar de facto en toda Latinoamérica y es una fuerte recomendación en los ámbitos financieros.Es parte de la misión de ISACA, la divulgación de COBIT y apoyo en la implementación como forma de promover la eficiencia y buena gestión de los procesos de tecnología que nos permita compararnos y mejorar día a día en pos de la concreción de los Objetivos de Negocio.En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas de administración y dirección de los recursos de tecnología. Aparecerán nuevas herramientas de la familia de productos COBIT y nuevos recursos con los cuales mejorar la administración. Se continuará refinando el producto en sí, mejorando la calidad de sus referencias cruzadas, su relacionamiento con otros modelos, estándares y normas. Se procurará institucionalizar y mejorar la calidad de las versiones en otras lenguas y, sin duda, continuará el esfuerzo fundamental del ITGI en la difusión del uso de esta importante base de dirección.

QUE ES GOBIERNO TI?

GOBIERNO TI o IT Governance, consiste en una estructura de relaciones y procesos destinados a dirigir y controlar la empresa, con la finalidad de alcanzar sus objetivos y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos.

El Gobierno de TI, es una metodología de trabajo, no una solución en sí. Está orientado a proveer las estructuras que unen los procesos de TI, recursos de TI e información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza las mejores prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan los objetivos del negocio.

El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.