INTRODUCCIÓN A LAS DIRECTRICES DE AUDITORÍA

COBIT Y LAS DIRECTRICES DE AUDITORÍA Las Directrices de Auditoría ofrecen una herramienta complementaria para la fácil aplicación del Marco Referencial y los Objetivos de Control COBIT dentro de las actividades de auditoría y evaluación. El propósito de las Directrices de Auditoría es contar con una estructura sencilla para auditar y evaluar controles, con base en prácticas de auditoría generalmente aceptadas y compatibles con el esquema global COBIT.

Los objetivos y prácticas individuales varían considerablemente de organización a organización y existen muchos tipos de practicantes dedicados a actividades relacionadas con la auditoría; por ejemplo auditores externos, auditores internos, evaluadores, revisores de calidad, y asesores técnicos. Por estas razones, las Directrices de Auditoría tienen una estructura genérica y de alto nivel.

Los auditores deben cumplir con algunos requerimientos generales para proporcionar a los directivos y a los propietarios o dueños de los procesos de negocios, seguridad y asesoría respecto a los controles en una organización: ofrecer una seguridad razonable de que se está cumpliendo con los objetivos de control correspondientes; identificar dónde se encuentran las debilidades significativas en dichos controles; justificar los riesgos que pueden estar asociados con tales debilidades, y finalmente, aconsejar a estos ejecutivos sobre las medidas correctivas que deben adoptarse. COBIT ofrece políticas claras y prácticas eficaces en materia de seguridad y para los controles de información y la tecnología asociada. Por tanto, las Directrices de Auditoría firmemente basados en los Objetivos de Control, toman la opinión del auditor a partir de la conclusión de auditoría, remplazándola con criterios normativos (41 estándares y mejores prácticas tomadas de normas privadas y públicas aceptadas a nivel mundial).

Estas Directrices de Auditoría proporcionan guías para preparar planes de auditoría que se integran al Marco Referencial de COBIT y a los Objetivos de Control detallados. Deben ser usados conjuntamente con estos dos últimos, y a partir de ahí pueden desarrollarse programas específicos de auditoría. Sin embargo, las Directrices no son exhaustivas ni definitivas. No pueden incluir todo ni ser aplicables a todo, así que deberán ajustarse a condiciones específicas.

No obstante, hay cuatro cosas que las Directrices no son:

Las Directrices de Auditoría no pretenden ser una herramienta para crear el plan global de auditoría que considera una amplia gama de factores, incluyendo debilidades anteriores, riesgo de la organización, incidentes conocidos, nuevos acontecimientos, y selección de estrategias. Aun cuando el Marco Referencial y los Objetivos de Control ofrecen algunas orientaciones, los alcances de las Directrices no incluyen una guía precisa para actividades específicas.
Las Directrices de Auditoría no están diseñados como instrumento para enseñar las bases de la auditoría, aun cuando incorporen los elementos normalmente aceptados de la auditoría general y de TI.
Las Directrices de Auditoría no pretenden explicar en detalle la forma en que pueden utilizarse las herramientas computarizadas para apoyar y automatizar los procesos de auditoría a TI, en materia de planeación, evaluación, análisis y documentación (que están incluidas, pero no se limitan a ellas, en las Técnicas de Auditoría Asistidas por Computador). Existe un enorme potencial para usar la tecnología de información dirigida a aumentar la eficiencia y efectividad de las auditorías, pero una orientación en este sentido, tampoco está dentro de los alcances de las Directrices.
Las Directrices de Auditoría no son exhaustivas ni definitivas, pero se desarrollarán conjuntamente con COBIT y sus Objetivos de Control detallados.

Las Directrices de Auditoría de COBIT permiten al auditor comparar los procesos específicos de TI con los Objetivos de Control de COBIT recomendados para ayudar a los directivos a identificar en qué casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados.

Desde el punto de vista de los directivos, los propietarios de los procesos harán las preguntas: ¿Estoy haciendo lo correcto?, y si no es así: ¿Qué puedo hacer para corregirlo? El Marco Referencial y las Directrices de Auditoría COBIT ayudarán a responder a estas preguntas. El enfoque ofrece una perspectiva "reactiva", mientras que los auditores necesitan también apoyar a la directiva de una manera "proactiva". El Marco Referencial y las Directrices de Auditoría pueden aplicarse igualmente en forma proactiva en las primeras etapas de los procesos y el desarrollo de proyectos, al responder a la pregunta: "¿Qué es lo que necesito hacer ahora para no tener que ajustarlo o corregirlo después?

ESTRUCTURA GENERAL DE LAS DIRECTRICES DE AUDITORÍA

El modelo más común para evaluar el control es el modelo de auditoría. Otro enfoque que se está adoptando cada vez más es el modelo de análisis de riesgos, que se cubrirá hacia el final de esta introducción. Todos aquellos involucrados en la evaluación del control pueden inclinarse por cualquiera de los dos modelos.

Los objetivos de la auditoría son para:

Proporcionar administración con aseguramiento razonable de que se están cubriendo los objetivos de control,
En donde existan debilidades de control significativas, justificar los riesgos resultantes, y
Aconsejar a la administración sobre acciones correctivas

La estructura generalmente aceptada del proceso de auditoría es:

Identificación y documentación
Evaluación
Pruebas de cumplimiento
Pruebas sustantivas

El proceso de TI, por lo tanto, se audita mediante:

La obtención de un entendimiento de los riesgos relacionados con los requerimientos del negocio y de las medidas relevantes de control

La evaluación de la conveniencia de los controles establecidos

La valoración del cumplimiento probando si los controles establecidos están funcionando como se espera, de manera consistente y continua

La comprobación que existe el riesgo de que los objetivos de control no se estén cumpliendo mediante el uso de técnicas analíticas y/o consultando fuentes alternativas.

Con el objetivo de brindar asistencia a la administración en la forma de asesoría de aseguramiento, hemos desarrollado esta estructura dentro de un marco referencial fundamentado en los requerimientos del COBIT:

Presentación en un enfoque de niveles
Orientación hacia los objetivos del negocio
Orientado en función del proceso
Enfocado sobre

Los recursos que necesitan administrarse
Los criterios de información que se requieren

En el nivel más alto, este enfoque general de auditoría está apoyado por:

El Marco Referencial de COBIT, particularmente el resumen con la clasificación de los procesos de TI, los criterios de información aplicables y los recursos de TI (vea la página 30)
Los requerimientos para el proceso de auditoría mismo (vea la sección Requerimientos del Proceso de Auditoría)
Los requerimientos genéricos para la auditoría de procesos de TI (vea la sección Directrices de Auditoría Genéricos de TI)
Los principios generales de control (vea la sección Observaciones del Proceso de Control)

El segundo nivel está compuesto por las Directrices detalladas de auditoría para cada uno de los procesos de TI como se muestra en la sección principal de esta publicación.

Las Directrices han sido presentadas en una plantilla estándar que sigue la estructura general de Obtención, Evaluación, Valoración y Comprobación. Esta plantilla ha sido aplicada a las Directrices de Auditoría Genéricas de TI, así como también a las Directrices de Auditoría Detalladas.

En el tercer y último nivel, el auditor puede complementar las Directrices de Auditoría para cubrir las condiciones locales, conduciendo la fase de planeación de auditoría con puntos de atención de auditoría que influyen sobre los objetivos detallados de control mediante:

Criterios específicos del sector
Estándares de la industria
Elementos específicos de la plataforma
Técnicas detalladas de control empleadas

Importante para este nivel es el hecho de que los objetivos de control no son necesariamente aplicables en todos los casos y en cualquier lugar. Por lo tanto se sugiere que se realice una evaluación de riesgos de alto nivel para determinar sobre qué objetivos se necesita enfocarse específicamente y cuáles pueden ignorarse.

Todos estos elementos se ofrecen para apoyar la planeación y la realización de las auditorías de TI, y para una mejor aplicación integrada de las directrices / lineamientos detallados de auditoría. Las directrices no son exhaustivas y no son aplicables universalmente. El nivel de información de apoyo (guías genéricas, requerimientos del proceso de auditoría y observaciones de control) ayudará a los auditores a desarrollar el programa de auditoría que necesitan.

ESTRUCTURA DETALLADA PARA LA APLICACIÓN DE LAS DIRECTRICES DE AUDITORÍA
Nivel 1 Enfoque general de auditoría de TI	Marco Referencial de COBIT Requerimientos del Proceso de Auditoría Observaciones de Control Directriz General de Auditoría
Nivel 2 Directrices del proceso de auditoría	Directrices de Auditor&icaute;a detalladas
Nivel 3 Puntos de atención de auditoría para complementar los objetivos detallados de control	Condiciones Locales Criterios específicos del sector Estándares de la industria Elementos específicos de la plataforma Técnicas detalladas de control utilizadas

ESTRUCTURA DETALLADA PARA LA APLICACIÓN DE LAS DIRECTRICES DE AUDITORÍA

Nivel 1

Enfoque general de auditoría de TI

Marco Referencial de COBIT
Requerimientos del Proceso de Auditoría
Observaciones de Control
Directriz General de Auditoría

Nivel 2

Directrices del proceso de auditoría

Directrices de Auditor&icaute;a detalladas

Nivel 3

Puntos de atención de auditoría para complementar los objetivos detallados de control

Condiciones Locales

Criterios específicos del sector
Estándares de la industria
Elementos específicos de la plataforma
Técnicas detalladas de control utilizadas

REQUERIMIENTOS DEL PROCESO DE AUDITORÍA

Una vez definido qué vamos a auditar y sobre qué vamos a proporcionar aseguramiento, tenemos que determinar el enfoque o estrategia más apropiada para llevar a cabo el trabajo de auditoría. Primero tenemos que determinar el alcance correcto de nuestra auditoría. Para lograrlo, necesitamos investigar, analizar y definir:

Los procesos del negocio involucrados;
Las plataformas y los sistemas de información que están apoyando el proceso del negocio, así como la interconectividad con otras plataformas o sistemas;
Los roles y responsabilidades de TI definidas, incluyendo las correspondientes al outsourcing interno y/o externo; y
Los riesgos del negocio y las decisiones estratégicas asociadas.

El siguiente paso es identificar los requerimientos de información que tienen una relevancia particular con respecto a los procesos del negocio. Luego necesitaremos identificar los riesgos inherentes de TI, así como el nivel general de control que puede asociarse con el proceso del negocio. Para lograrlo, identificamos:

Los cambios recientes en el ambiente del negocio que tienen impacto sobre TI;
Los cambios recientes al ambiente de TI, nuevos desarrollos, etc.;
Los incidentes recientes relevantes para los controles y el ambiente del negocio;
Los controles de monitoreo de TI aplicados por la administración;
Los reportes recientes de auditoría y/o certificación; y
Los resultados recientes de auto evaluaciones.

Basándonos en la información obtenida, ahora podemos seleccionar los procesos relevantes de COBIT, así como también los recursos que aplican a los mismos. Esto pudiera requerir que ciertos procesos de COBIT necesiten auditarse varias veces, cada vez para una plataforma o sistema distinto.

El auditor deberá determinar una estrategia de auditoría basándose en el plan detallado de auditoría que deberá elaborarse con más profundidad, por ejemplo, si uno busca un enfoque basado en controles o un enfoque sustantivo.

Finalmente, necesitan considerarse todos los pasos, tareas y puntos de decisión para llevar a cabo la auditoría. Un ejemplo de un proceso genérico de auditoría (con pasos, tareas y puntos de decisión), que sigue la plantilla estándar, se proporciona en el Apéndice IV.

REQUERIMIENTOS DEL PROCESO DE AUDITORÍA
Definir el alcance de la auditoría	procesos del negocio involucrados plataformas, sistemas y su interconectividad, que apoyan el procesos roles, responsabilidades y estructura organizacional
Identificar los requerimientos de información relevantes para el proceso del negocio	importancia para el proceso del negocio
Identificar los riesgos inherentes de TI y el nivel general de control	cambios recientes e incidentes en el ambiente del negocio y de la tecnología resultados de auditorías, autoevaluaciones, y certificación controles de monitoreo aplicados por la administración
Seleccionar procesos y plataformas a auditar	procesos recursos
Fijar una estrategia de auditoría	Controles versus riesgos Pasos y tareas Puntos de decisión

DIRECTRIZ GENERAL DE AUDITORÍA DE TI

La plantilla (que además se presenta como un anexo el final de este documento) presenta los requerimientos genéricos para auditar procesos de TI para brindar el primer nivel de las directrices de auditoría, generalmente aplicables a todos los procesos. Está primordialmente orientado hacia la comprensión del proceso y la determinación de la propiedad y deberá ser el fundamento y el marco referencial para todos las directrices detalladas de auditoría.

Esta misma plantilla se aplica luego a los 34 procesos que se identifican en el Marco Referencial de COBIT.

OBSERVACIONES DEL PROCESO DE CONTROL

Los principios generales de control también pueden proporcionar una guía adicional sobre cómo complementar las Directrices de Auditoría. Estos principios están primordialmente enfocados sobre el proceso y las responsabilidades del control, los estándares de control y los flujos de la información de control. El control, desde el punto de vista de la administración, se define como el determinar qué se está logrando; esto es, evaluar el desempeño y si es necesario aplicar medidas correctivas para que el desempeño esté de acuerdo con lo planeado.

El proceso de control consiste de cuatro pasos. Primero, se especifica un estándar de desempeño deseado para un proceso. Segundo, existe un medio de saber qué esta sucediendo en el proceso, por ejemplo, el proceso proporciona información de control a una unidad de control. Tercero, la unidad de control compara la información con el estándar. Cuarto, si lo que realmente está sucediendo no cumple con el estándar, la unidad de control dirige aquella acción correctiva a tomar, en forma de información para el proceso. A partir de este modelo, las siguientes observaciones de control pueden resultar relevantes para la auditoría:

Para que este modelo funcione, la responsabilidad por el proceso del negocio (o en este caso, de TI) debe ser claro y la responsabilidad no debe ser ambigua. Si no es así, la información de control no fluirá y no podrá tomarse acción correctiva.
Los estándares pueden ser de una amplia variedad, desde planes y estrategias de alto nivel hasta indicadores clave de desempeño (KPI – Key Performance Indicators) y factores críticos de éxito (CSF – Critical Success Factors). Los estándares claramente documentados, mantenidos y comunicados son necesarios para un buen proceso de control. La responsabilidad clara por la custodia de dichos estándares también es un requerimiento para un buen control.
El proceso de control tiene los mismos requerimientos: bien documentado en cuanto a cómo funciona y con responsabilidades claras. Un aspecto importante es la clara definición de lo que constituye una desviación, esto es, cuáles son los límites de desviación.
La oportunidad, integridad y conveniencia de la información de control, así como también otra información, son básicas para el buen funcionamiento de un sistema de control y es algo que el auditor debe tratar.
Tanto la información de control como la información de acción correctiva tendrán que cumplir los requerimientos de evidencia, con el fin de establecer la responsabilidad después del evento.

DIRECTRIZ GENERAL DE AUDITORÍA

OBTENCIÓN DE UN ENTENDIMIENTO
Los pasos de auditoría que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, así como también identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff apropiado para lograr la comprensión de: Los requerimientos del negocio y los riesgos asociados La estructura organizacional Los roles y responsabilidades Políticas y procedimientos Leyes y regulaciones Las medidas de control establecidas La actividad de reporte a la administración (estatus, desempeño, acciones) Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisión. Confirmar el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisión paso a paso del proceso.
EVALUACIÓN DE LOS CONTROLES
Los pasos de auditoría a ejecutar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios indentificados y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio profesional de auditor. Existen procesos documentados Existen resultados apropiados La responsabilidad y el registro de las operaciones son claros y efectivos Existen controles compensatorios, en donde es necesario Concluir el grado en que se cumple el objetivo de control.
VALORACIÓN DEL CUMPLIMIENTO
Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de técnicas analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinión e "impresionar" a la administración para que tome acción. Los auditores tienen que ser creativos para encontrar y presentar esta información que con frecuencia es sensitiva y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-efecto. Brindar información comparativa; por ejemplo, mediante benchmarks.

Los controles también operan en diferentes niveles dentro del ciclo tradicional de Planear-Hacer-Verificar-Corregir con el que la administración se siente cómoda. Este modelo ilustra:

La secuencia lógica de planear-hacer-verificar y corregir el plan si es necesario:
Cómo sucede esto a nivel estratégico, táctico y administrativo;
Las diversas relaciones laterales y horizontales

El "hacer" estratégico da como resultado planeación táctica; el "hacer" táctico da como resultado planeación administrativa;
Las actividades de "verificar" y "hacer" cooperan e influyen continuamente una con otra; y
La actividad administrativa de "verificar" reporta a "verificar" táctico, quien a su vez reporta a "verificar" estratégico.

Cuando se evalúan mecanismos de control, los revisores deberán estar conscientes de que estos controles operan en estos diferentes niveles y de que tienen relaciones intrínsecas. La orientación hacia el proceso de COBIT proporciona algunas indicaciones acerca de los diferentes procesos de control, niveles e interrelaciones, pero la implantación o valoración real de los sistemas de control requiere tomar en cuenta esta compleja dimensión adicional.

COLOCÁNDOLAS TODAS JUNTAS

En resumen, las Directrices de Auditoría detalladas siempre pueden complementarse tomando en cuenta el Lineamiento Genérico y el proceso bajo revisión, y obteniendo tareas de auditoría adicionales para lograr el objetivo de auditoría. El desarrollo del programa de auditoría en sí puede beneficiarse de tomar en consideración los requerimientos del proceso de auditoría de TI, el Marco Referencial de COBIT y los Objetivos de Control de Alto Nivel, y las Consideraciones de Control que se muestran aquí.

RELACIÓN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DIRECTRICES DE AUDITORÍA

Los objetivos han sido desarrollados a partir de una orientación al proceso porque la administración está buscando asesoría proactiva sobre cómo tratar el problema de mantener TI bajo control. Los Objetivos de Control ayudan a la administración a establecer el control sobre el proceso, las Directrices de Auditoría ayudan al auditor o asesor a asegurar que el proceso está realmente bajo control, de tal manera que los requerimientos de información necesarios para lograr los objetivos del negocio serán satisfechos.

La relación entre estos dos conceptos es el proceso, por lo que las Directrices de Auditoría han sido desarrolladas para cada uno de los procesos, en oposición a cada uno de los objetivos de control.

Requerimientos de Proceso de Auditoría
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

⇓

Marco de Referencia de Control

⇓

Observaciones de Control

--------------------------------------------------------------------------------

⇓

Lineamiento General de Auditoria
identificar
evaluar
probar
establecer

Lineamientos Detallados de Auditoria

Uso en
combinación

En cuanto al marco referencial de control representado por el modelo de cascada, las Directrices de Auditoría pueden verse como los elementos que proporcionan retroalimentación a partir de los procesos de control para los objetivos del negocio. Los objetivos de control son la guía que baja por la cascada para tener el proceso de TI bajo control. Las Directrices de Auditoría son la guía para regresar a la parte superior de la cascada con la pregunta: "¿Hay seguridad de que se logre el objetivo del negocio?" Algunas veces, las Directrices de Auditoría son traducciones literales de los Objetivos de Control; con mayor frecuencia, las Directrices buscan la evidencia de que el proceso esté bajo control.

OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUACIÓN

La utilización del Marco Referencial, los Objetivos de Control y las Directrices de Auditoría como fundamento para la tarea de auditoría/valoración nos presenta algunas ventajas definitivas:

Permite dar prioridad a las actividades de auditoría y áreas bajo revisión, utilizando las calificaciones
Conduce a áreas de investigación que normalmente –sin un marco referencial o modelono serían tratadas; Puede desarrollarse una planeación y secuencia de entrevistas más lógica conforme los auditores avanzan en el proceso;
Las investigaciones pueden enfocarse utilizando el indicador de qué recurso es más importante en qué proceso; y
Como un estándar para definir las áreas de TI auditables para el plan estratégico de auditoría, con el fin de asegurar

La cobertura efectiva de la auditoría
La adquisición/desarrollo oportuno de las habilidades necesarias para la auditoría.

Sin embargo, existen algunos retos en cuanto a la integración del marco referencial y de los objetivos dentro del trabajo de auditoría:

El cambio nunca es fácil (actitud, conjunto de herramientas, conjunto de habilidades, etc.);
La naturaleza detallada hace difícil la aplicación inicial, especialmente cuando se está verificando la completitud y aplicabilidad de los objetivos de control para el área bajo revisión;
Existe un grado necesario de repetición en las Directrices de Auditoría porque rara vez hay una relación uno-a-uno entre el objetivo de control y los mecanismos de control, un mecanismo contribuye de varias maneras a varios objetivos, un objetivo necesita de varios mecanismos para lograr su cometido; y
Refuerza cierto formalismo (por ejemplo, registrar información previa) que puede parecer innecesario.

ANÁLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO DE EVALUACIÓN

El balance entre costo y riesgo es el siguiente problema a tratar, esto es, tomar una decisión consciente de cómo se va a implementar cada uno de los objetivos de control y si se van a implementar. Los enfoques de análisis de riesgos tratan esta decisión, a pesar de que permanece el principio proactivo; los objetivos de control deberán aplicarse en primera instancia para lograr unos criterios de control de información (efectividad, eficiencia, confidencialidad, disponibilidad, integridad, cumplimiento y confiabilidad). Es evidente que la administración necesita utilizar alguna forma de evaluación de riesgos del negocio para definir las medidas a implementar (vea CO PO9). Los auditores también llevarán a cabo alguna forma de evaluación de riesgos cuando elijan los dominios del proceso y los objetivos de control para la revisión. Un enfoque comúnmente aceptado para el análisis de riesgos en TI es el siguiente:

El modelo comienza a partir de la valoración de los activos, que dentro del Marco Referencial de COBIT consiste en la información que tiene los criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos necesarios para producir dicha información). El siguiente paso es el análisis de vulnerabilidad que trata de la importancia de los criterios de información dentro del proceso bajo revisión, por ejemplo, si un proceso del negocio es vulnerable a la pérdida de integridad, entonces se requieren medidas específicas. Luego se tratan las amenazas, esto es, aquello que puede provocar una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del impacto se combinan para concluir acerca de la evaluación del riesgo. Esto es seguido por la selección de contramedidas (controles) y una evaluación de su eficacia, que también identifica el riesgo residual. La conclusión es un plan de acción después del cual el ciclo puede comenzar nuevamente.

AYUDAS DE NAVEGACIÓN PARA LAS DIRECTRICES DE AUDITORIA

Las Directrices de Auditoría contienen secciones detalladas de guías de auditoría para cada uno de los 34 procesos de TI. En la izquierda de la página está el objetivo de control de alto nivel. El indicador de dominio (‘PO’ para Planeación y Organización, ’AI’ para Adquisición e Implementación, ’DS’ para Entrega y Soporte y ’M’ para Monitoreo) se presentan en la parte superior izquierda. El criterio de información aplicable y el recurso de TI utilizado son mostrados en una minimatriz, como se describe en la siguiente página. Empezando en la parte derecha de la página está la descripción de la directriz de auditoría para el proceso de TI

El Marco de Referencia de COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a través del establecimiento de controles, para lo cual deben considerarse controles potenciales aplicables.

Los Objetivos de Control de TI han sido organizados por proceso/actividad y también se han proporcionados ayudas de navegación no solamente para facilitar la entrada a partir de cualquier punto de vista estratégico como se explicó anteriormente, sino también para facilitar enfoques combinados o globales, tales como instalación/implementación de un proceso, responsabilidades gerenciales globales para un proceso y utilización de recursos de TI por un proceso.

También deberá tomarse en cuenta que los Objetivos de Control de COBIT han sido definidos de una manera genérica, por ejemplo, sin depender de la plataforma técnica, aceptando el hecho de que algunos ambientes de tecnología especiales pueden requerir una cobertura separada para objetivos de control.

Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegación como parte de la presentación de los objetivos de control de alto nivel. Se proporciona una ayuda de navegación para cada una de las tres dimensiones del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de información

Los dominios son identificados por este ícono en la ESQUINA SUPERIOR DERECHA de cada página, en la sección de Objetivos de Control, agrandando y haciendo más visible el dominio bajo revisión.

Planeación &
Organización

Adquisición &
Implementación

Entrega &
Soporte

Monitoreo

La clave para el criterio de información se presentará en la ESQUINA SUPERIOR IZQUIERDA, en la sección de Objetivos de Control mediante la siguiente "mini" matriz, la cual identificará cuál criterio y en qué grado (primario o secundario) es aplicable a cada Objetivo de Control de TI de alto nivel.

Efectividad	Eficiencia	Confidencialidad	Integridad	Disponibilidad	Cumplimiento	Confiabilidad
P	S	S	P	S

Una segunda "mini" matriz en la ESQUINA INFERIOR DERECHA de la sección de Objetivos de Control identifica los recursos de TI que son administrados en forma específica por el proceso bajo consideración - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso "administración de datos" se concentra particularmente en la integridad y confiabilidad de los recursos de datos.

√	√
Gente	Aplicaciones	Tecnología	Instalaciones	Datos