Auditoria Informtica

Modelo de Auditoria Cobit e Itil

Introduccin
Toda empresa e institucin requiere de una evaluacin global y especfica, que abarca
puntos muy importante y definitivos como son los del modelo de negocio, recursos y
procesos IT. Un punto clave al cual recalcar es que toda empresa exitosa sabe
reconocer que los beneficios de la tecnologa de informacin bien utilizada permite
impulsar el beneficio de la misma, por ello la necesidad de asegurar el valor de la parte
informtica, su administracin, su correcto funcionamiento, integridad y confiabilidad
le permitir su prosperidad en el mercado competitivo.
Las organizaciones deben satisfacer los requerimientos de calidad, mbito financiero,
seguridad informtica, activos, as como tambin los recursos disponibles de la
tecnologa de informacin, la informacin que se maneja diariamente, infraestructura
y personal, todo esto implica que se debe de llevar un control.
Estos procesos de control para la informacin y la tecnologa que est relacionada
debe brindar la seguridad de buenas prcticas a travs de un marco de trabajo,
procesos y actividades debidamente estructuradas llevadas a cabo por profesionales.
Estos procesos de control ayudan a optimizar la tecnologa de informacin y aseguran
las medidas contra las cosas que no se estn realizando bien.

COBIT
En la auditoria informtica. COBIT, es un modelo de auditoria que permite la gestin y
control de los sistemas de informacin y tecnologa, est orientado a todos los
sectores de una organizacin, administradores IT, usuarios, y los auditores
involucrados en el proceso.
COBIT al ser un modelo de evaluacin y monitoreo, enfatiza en el control de negocios y
la seguridad, abarca controles especficos de IT desde la perspectiva de los negocios.
Fue lanzado en 1996, es considera una herramienta de TI que ha ido cambiando la
forma en que trabajan los profesionales de tecnologa. Vincula la tecnologa
informtica y las prcticas de control, consolidan y armoniza estndares globales.
Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y
Tecnologas relacionadas (Control Objetives for Informacin Systems and related
Technology). El modelo es el resultado de una investigacin con expertos de varios
pases, desarrollado por ISACA (Informacin Systems audit. and Control Association).
COBIT es una metodologa aceptada mundialmente para el adecuado control de
proyectos de tecnologa, los flujos de informacin y los riesgos que stas implican. La
metodologa COBIT se utiliza para planear, implementar, controlar y evaluar el

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

gobierno sobre TIC; incorporando objetivos de control, directivas de auditora,

medidas de rendimiento y resultados, factores crticos de xito y modelos de madurez.

Este mtodo de auditoria es aplicable muy bien en los sistemas informticos de toda la
empresa u organizacin, incluyendo computadoras personales y redes. COBIT est
basado en la filosofa de que los recursos deben ser administrados por un conjunto de
procesos, los mismo que deben estar agrupados para de esta manera proporcionar
una informacin pertinente y confiable que puede ser requerido por la empresa en
cualquier momento o circunstancia para futuro permitir lograr los objetivos
establecidos.
La estructura del modelo de COBIT propone un marco de accin donde se evalua los
criterios de informacin, como por ejemplo: seguridad, calidad, los recursos que
comprende la tecnologa de informacin, recurso humano, instalaciones, sistemas y los
procesos involucrados en la organizacin.
La adecuada implementacin de un modelo COBIT en una organizacin, provee una
herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento
de los objetivos de control y controles detallados, que aseguran que los procesos y
recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio
en un mercado cada vez ms exigente, complejo y diversificado, seal un informe de
ETEK.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los
beneficios, riesgos, necesidades de control y aspectos tcnicos propios de un proyecto
TIC; proporcionando un Marco Referencial Lgico para su direccin efectiva.
Como ya se mencion anteriormente en toda empresa para que TI tenga xito en
satisfacer los requerimientos del negocio, se debe implementar un sistema de control
interno. COBIT junto con su marco de trabajo ayuda a la cumplir con las necesidades
de la siguiente forma:
-Establece vnculos con los requerimientos del negocio.
-Organiza las actividades de TI en un modelo de procesos generalmente aceptado.
-Identifica los principales recursos de TI que pueden ser utilizados.
-Define los objetivos de control gerenciales a ser considerados.
La orientacin al negocio que hace enfoque COBIT consiste en alinear las metas de
negocio con las metas de TI, de esta manera permite brindar modelos para medir los
logros e identificar las responsabilidades asociadas de los dueos de negocio y de TI.

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

El enfoque de los procesos de COBIT demuestra un modelo de procesos, el cual

subdivide la TI en 34 procesos de acuerdo a las reas de responsabilidad de plantear,
construir ejecutar y monitorear, ofreciendo una visin de punta a punta de la TI. Este
concepto de ayuda a identificar aquellos recursos que son esenciales para el xito,
como lo son las aplicaciones, informacin, infraestructura y personal.
Para que la empresa pueda poner bajo control la TI y logre administrar los riesgos y
recursos que depende la misma, la direccin requiriere objetivos de control que
definan la implementacin de polticas, procedimientos, prcticas y estructura de
organizacin que estn bien diseadas para brindar un aseguramiento que cubran:
El alcance de los objetivos de negocio y que detecten y corrijan eventos no deseados.
Hoy en da toda direccin de empresa busca continuamente informacin oportuna,
para tomar decisiones difciles respecto al riesgo y el control de manera rpida y
exitosa. Hay que quedar claro en lo que se puede medir y como medirlo, para ello las
empresas requieren una medicin objetiva de donde se encuentran y donde se
requieren mejoras.
La evaluacin de la capacidad de los procesos que estn basados en los modelos de
madurez de COBIT es una parte clave de la implementacin de la TI, luego de
identificar los procesos y controles de TI, el modelo permite identificar las brechas en
la capacidad. Entonces se pueden crear planes de accin para llevar los procesos al
objetivo de capacidad deseado.
COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza los
siguientes puntos:
-La TI est alineada con el negocio.
-La TI est habilitada al negocio y maximiza los beneficios.
-Los recursos de TI se usan de manera responsable.
-Los riesgos de TI se administran apropiadamente.
Uno de los puntos fuertes de COBIT es la medicin de desempeo que es esencial para
el gobierno de TI, COBIT da soporte e incluye el monitoreo de objetivos que se puedan
medir, referente a los procesos de TI requiera generar.
Las reas de enfoque del gobierno de TI son: Alineacin estratgica, Entrega de valor,
Administracin de recursos, Administracin de riesgo, Medicin de desempeo. Estas
reas describen tpicos en los que la direccin ejecutiva requiere poner ms atencin
para gobernar en sus empresas. La direccin operacional usa procesos para garantizar
y administrar las actividades cotidianas de TI. COBIT brinda un modelo de referencia
entendible para los gerentes de TI y del negocio.
Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

La misin que se plantea COBIT es la de investigar, desarrollar hacer pblico y

promover un marco de control de gobierno de TI autorizado, actualizado, aceptado
internacionalmente para la adopcin por parte de las empresas y el uso diario por
parte de los gerentes de negocio, profesionales de TI y profesionales de
aseguramiento.
Con el entendimiento por parte de las empresas de que el adecuado uso de la
tecnologa significa el aprovechamiento de una ventaja competitiva para la obtencin
del xito, la direccin necesita saber si con la informacin que administra la empresa
es posible que garantice el logro de los objetivos, tenga suficiente flexibilidad para
aprender y adaptarse, cuente con un manejo de riesgo que puedan enfrentarse.
Las empresas de hoy en da, entienden sobre los riesgos y aprovechan los beneficios
que brindan TI ayudndolos a encontrar maneras para alinear la estrategia del TI con
la del negocio, tambin aseguran de que todas la estrategia de TI asi como las metas
influyan de manera gradual a toda la empresa, al igual que proporciona estructuras
organizacionales que faciliten la implementacin de estrategias y metas.
Las empresas no pueden responder de forma efectiva a los requerimientos del negocio
sin adoptar e implementar un marco referencial del gobierno y control de TI, de tal
manera que se forme un vnculo con los requerimientos del negocio, que el
desempeo con respecto a los requerimientos sea transparente, que se organicen las
actividades en un modelo de procesos, que se identifiquen los recursos principales y se
definan los objetivos de control gerenciales que deben ser considerados.
Para satisfacer los requerimientos previos un marco referencial del gobierno de TI
debe satisfacer las siguientes especificaciones generales:
-Brindar un enfoque de negocio que permita la alineacin entre las metas de negocio y
de TI.
-Establecer una orientacin de procesos para definir el alcance y el grado de cobertura.
-Deber ser generalmente aceptable al ser consistente con las mejores prcticas y
estndares de TI aceptados, y que sea independiente de la tecnologa especifica.
-Proporcionar un lenguaje comn, con trminos y definiciones que sean comprensible
en general para todo el mundo.
-Debe ayudar a satisfacer los requerimientos.
Como ya se mencion anteriormente la orientacin a los negocios es el fuerte de
COBIT, ya que est diseado para ser utilizado no solo por proveedores de servicios,
usuarios y auditores de TI, sino tambin sirve como gua integral para la gerencia y
para los procesos de negocios.

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

Para satisfacer los objetivos del negocio la informacin necesita adaptarse a ciertos
criterios, los cuales son referidos en COBIT como requerimientos de informacin de
negocio, con base a esto, se definieron los siguientes criterios de informacin:
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento y
Confiabilidad.
Mientras que los criterios de informacin proporcionan un mtodo genrico para
definir los requerimientos del negocio, la definicin de un conjunto de metas genricas
de negocio y de TI ofrece una base ms refinada y relacionada con el negocio para el
establecimiento de requerimientos de negocio y para el desarrollo de mtricas que
permitan la medicin con respecto a estas metas. Toda empresa usa TI para habilitar
iniciativas del negocio y estas pueden ser representadas como metas del negocio para
TI. El Apndice I proporciona una matriz de metas genricas de negocios y metas de TI
y como se asocian con los criterios de la informacin. Estos ejemplos genricos se
pueden utilizar como gua para determinar los requerimientos, metas y mtricas
especficas del negocio para la empresa.
La organizacin de TI se desempea con respecto a estas metas como un conjunto de
procesos definidos con claridad que utiliza el mismo tiempo toma ventaja de la
informacin del negocio. Estos recursos, junto con los procesos, constituyen una
arquitectura empresarial para TI.
Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe
invertir en los recursos requeridos para crear una capacidad tcnica adecuada (Ej., un
sistema de planeacin de recursos empresariales [ERP]) para dar soporte a la
capacidad del negocio (Ej., implementando una cadena de suministro) que genere el
resultado deseado (Ej., mayores ventas y beneficios financieros).
Los recursos de TI identificados en COBIT se pueden definir como sigue:
Las aplicaciones incluyen tanto sistemas de usuario automatizados como
procedimientos manuales que procesan informacin.
La informacin son los datos en todas sus formas, de entrada, procesados y
generados por los sistemas de informacin, en cualquier forma en que sean utilizados
por el negocio.
La infraestructura es la tecnologa y las instalaciones (hardware, sistemas operativos,
sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio
donde se encuentran y el ambiente que los soporta) que permiten el procesamiento
de las aplicaciones.
Las personas son el personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a

como se requieran.
COBIT define las actividades de TI en un modelo genrico de procesos organizado en
cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar,
Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las reas
tradicionales de TI de planear, construir, ejecutar y monitorear.
El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un
lenguaje comn para que todos en la empresa visualicen y administren las actividades
dTI. La incorporacin de un modelo operativo y un lenguaje comn para todas las
partde un negocio involucradas en TI es uno de los pasos iniciales ms importantes
hacia un buen gobierno. Tambin brinda un marco de trabajo para la medicin y
monitoreo del desempeo de TI, comunicndose con los proveedores de servicios e
integrando las mejores prcticas de administracin. Un modelo de procesos fomenta la
propiedad de los procesos, permitiendo que se definan las responsabilidades.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos
que requieren ser administrados. Normalmente se ordenan dentro de dominios de
responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT,
estos dominios, se llaman:
Planificacin Y Organizacin (PO): Este dominio cubre la estrategia y las tcticas y se
refiere a la identificacin de la forma en que la tecnologa de informacin puede
contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la
consecucin de la visin estratgica necesita ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y
una infraestructura tecnolgica apropiadas.
Adquirir e Implantacin (AI): Para llevar a cabo la estrategia de TI, las soluciones de TI
deben ser identificadas, desarrolladas o adquiridas, as como implementadas e
integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y
el mantenimiento realizados a sistemas existentes.
Soporte Y Servicios (DS): En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de
proveer servicios, debern establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin.
Monitorear y Evaluar (ME) Todos los procesos necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos
de control. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y

objetivos de control facilitan que la generacin y procesamiento de la informacin
cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad.

ITIL
Ya vimos el modelo de auditoria informtica COBIT, ahora veremos otro modelo muy
popular llamado ITIL y con el determinaremos su definicin y las diferencias que tiene
con respecto a COBIT.
Como sabemos hoy en da, las TI se han vuelto un factor clave en la competitividad de
las empresas el cual forman parte del ncleo de la gestin empresarial por eso es
fundamental evaluar la eficacia y la eficiencia con las que las empresas actan en lo
que TI se refiere.
La Auditora TI es un proceso, el cual se orienta a la verificacin y aseguramiento de la
eficacia y de la eficiencia de las polticas y procedimientos establecidos para la
implantacin y el adecuado uso de las Tecnologas de la Informacin, en cualquier
mbito.
La Auditora TI debe ser ms amplia que la simple deteccin de errores, debe proponer
la toma de decisiones que permitan corregir los errores en caso de que existan y
mejorar la forma de actuacin. El examen que conforma una Auditora TI abarca una
serie de controles, verificaciones y juicios que concluyen en un conjunto de
recomendaciones y un Plan de Accin. Es la elaboracin de este Plan de Accin lo que
diferencia a la Auditora TI de lo que sera una auditora tradicional.
Quedando claro con estos trminos procederemos a continuacin a enmarcar los
puntos clave y caractersticos que definen el modelo de auditoria ITIL y que lo hace
diferente respecto a su compaera el modelo COBIT.
ITIL es confirmada por las siglas de una antigua metodologa desarrollada en los aos
80 por iniciativo del gobierno del Reino Unido, siendo ms especfico por la OGC
(Oficina Gubernamental de Comercio Britnica) las siglas ITIL en si significa Biblioteca
de Infraestructura de Tecnologas de Informacin.
Aunque se desarroll durante los aos 80 ITIL no fue ampliamente adoptada hasta
mediados de los aos 90.
ITIL se construye en torno a una vista basada en proceso-modelo del control y gestin
de las operaciones a menudo atribuida a W. Edwards Deming. Las recomendaciones de
ITIL fueron desarrolladas en los aos 1980 por la Central Computer and

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

Telecommunications Agency (CCTA) del gobierno britnico como respuesta a la

creciente dependencia de las tecnologas de la informacin y al reconocimiento de que
sin prcticas estndar, los contratos de las agencias estatales y del sector privado
creaban independientemente sus propias prcticas de gestin de TI y duplicaban
esfuerzos dentro de sus proyectos TIC, lo que resultaba en errores comunes y mayores
costes.
El concepto de gestin de servicios de TI, aunque relacionado con ITIL, no es idntico:
ITIL contiene una seccin especficamente titulada Gestin de Servicios de TI (la
combinacin de los volmenes de Servicio de Soporte y Prestacin de Servicios, que
son un ejemplo especfico de un marco ITSM), pero sin embargo es importante sealar
que existen otros marcos parecidos. La Gestin de Servicio ITIL est actualmente
integrado en el estndar ISO 20000 (anterior BS 15000).
Esta metodologa tiene pauta global, y es aceptada para la gestin de servicios en todo
el mundo, ya que es la recopilacin de mejores prcticas en el sector pblico y en el
sector privado. Estas prcticas se dan con bases a toda la experiencia adquirida a lo
largo del tiempo el mismo que abarca procesos, requerimientos tcnicos y
operacionales adems de una gestin estratgica de operaciones y gestin financiera
que toda empresa u organizacin moderna debe contener.
ITIL a diferencia de los procesos que lleva COBIT, postula con un ciclo de vida basado
en cinco procesos:
1. Estrategia del Servicio
2. Diseo del Servicio
3. Transicin del Servicio
4. Operacin del Servicio
5. Mejora Continua del Servicio
El Por qu se debe implantar ITIL o porque tomar la eleccin de escoger este tipo de
mtodo de auditoria va estar determinada en los siguientes puntos. Primero, como ya
vimos anteriormente con COBIT y es algo que todo tenemos en comn es que la
dependencia de las TI en la organizacin es algo esencial e indispensable en la creacin
de negocios. Por eso el contar con una metodologa que cuente con estndares que
mejoren y mantengan la calidad de los servicios de la TI resulta muy beneficioso e
indispensable. ITIL desempea un papel fundamental no solo por ser una metodologa
de ndole mundial sino que mejora la calidad en prestacin y aumento de
productividad en la gestin de servicios de TI.
ITIL recolecta por tanto las mltiples experiencias de organizaciones alrededor del
mundo en cuestin a la gestin de los servicios de TI, una vez analizada la informacin

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

y seleccionada los puntos clave y ms tiles dan lugar a un conjunto de libros con las
mejores prcticas, de esta manera proporciona un mtodo para la planificacin de
procesos comunes, roles y actividades que permitan optimizar los servicios TI.
Para garantizar el xito de esta modelo de auditora se debe destacar ciertos aspectos
de la gestin de TI que facilitaran en gran medida el despliegue dentro de la
organizacin.
Enfoque Integrado: Este primer aspecto toma en cuenta el proporcionar una solucin
nica que permita una visin global de los puntos clave para la gestin de TI, esta debe
de disponer de una cobertura funcional, el enfoque debe facilitar la implantacin,
mantenimiento y actualizacin de la solucin.
Escalabilidad: Es necesario poder asegurar de que la solucin es escalable. Para ello se
debe considerar de que las herramientas utilizadas dispongan de funcionalidades que
permitan un soporte multi-organizacional, que pueda extender un modelo
organizativo que pueda traspasar fronteras nacionales con usuarios distintos idiomas y
zonas horarias. Esta necesidad se ha incrementado por el resultado de la creciente
globalizacin de diferentes sectores empresariales.
Coste total de propiedad bajo: Este coste total de propiedad (TCO) sigue estando
pendiente en muchas organizacionales de TI, se centran muchas decisiones de
implantacin de soluciones en la inversin inicial, sin tomar en cuenta los coste
recurrentes, despus de la implantacin que suelen representar entre el 50 y el 70%
del TCO. Por esta razn, consideramos de vital importancia para el modelo de
implantacin progresiva propuesto, un enfoque de solucin Out-of-the-box. Dicho
enfoque se fundamenta en ofrecer, de manera estndar, una serie de prestaciones
como asistentes predefinidos, informes o indicadores que faciliten la parametrizacin
e integracin gradual de los diversos procesos contemplados dentro del proyecto.
El modelo en la prctica: Esta propuesta de implantacin progresiva no parte de una
base terica no probada, sino que se apoya en la experiencia en el desarrollo e
implantacin de una solucin para Gestin de TI en diversas organizaciones tanto
pblicos como privados, a nivel mundial. La filosofa inherente a este modelo es la de
quick-wins (ganancias rpidas), que pretende realizar entregas parciales que satisfagan
requerimientos funcionales de los usuarios implicados. Dicho de otra manera, se busca
poner en produccin, de forma paulatina, las funcionalidades que permitan a los
usuarios finales tener una toma de contacto inicial con los nuevos procesos a ser
implantados o mejorados. Este enfoque facilita el proceso de Gestin del Cambio,
debido a que esta exposicin inicial de los usuarios permite realizar a tiempo los
ajustes necesarios en el despliegue ya realizado y preparar mejor los siguientes pasos
en la implantacin. Adems, est dinmica permite mantener un alto nivel de
motivacin de todos los implicados en la implantacin, principalmente al ver los

Jonathan Eduardo Zamora Alvarado

Auditoria Informtica

Modelo de Auditoria Cobit e Itil

resultados positivos de las fases que se van completando, en vez de iniciar una
proyecto de implantacin demasiado largo y costoso, que al final pretende desplegar
simultneamente n procesos de gestin el da D a la hora H, con los altos riesgos que
ese enfoque siempre supone.
Conclusin
El proceso de auditar lleva consigo un mtodo o un modelo del cual se pueda apoyar y
desarrollar de una manera eficiente, puntual y profesional, adems que cumpla con las
necesidades que se requiera y que lleve consigo el respaldo de una certificacin de
calidad e internacional. Como observamos la importancia de TI en las empresas se ha
convertido en algo esencial e indispensable. Pero estos servicios de TI deben de contar
con una gestin debidamente calificada, que evalu en su totalidad los procesos que
se llevan a cabo dentro de la organizacin, para de esta manera descartar cualquier
problema existente o facilitar mtodos de prevencin y soluciones en caso de que los
hubiera. Los mtodo de auditoria informtica COBIT e ITIL proporcionan una solucin
para el mercado empresarial ante las necesidades de una auditoria debidamente
necesitada, sus implementacin son muy eficiente y hechas con el debido
profesionalismo, contando con mtodos distintos al llevar a cabo su trabajo ya que una
est tambin ms orientada al negocio y la otra desenvuelve mediante el paso de
procesos debidamente llevados, pero con la calidad con la cual ambas se las reconoce.

Bibliografia:
https://seguinfo.wordpress.com/2008/12/03/%C2%BFque-es-itil-2/

http://geeks.ms/blogs/mojeda/archive/2008/11/26/191-que-es-itil-informationtechnology-infrastructure-library.aspx
http://itil.osiatis.es/Curso_ITIL/
IT Governance Institute Cobit 4.1 archivo pdf

Jonathan Eduardo Zamora Alvarado