PRINCIPIOS DE LOS OBJETIVOS DE CONTROL
COBIT, tal como aparece en versión COBIT 3 los Objetivos de Control refleja los compromisos de ISACA para engrandecer y mantener el cuerpo común del conocimiento requerido para soportar la profesión de auditoría y control de los sistemas de información
El Marco de Referencia de COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a través del establecimiento de controles, para el cual deben considerarse controles potenciales aplicables.
Los Objetivos de Control de TI han sido organizados por proceso/actividad y también se han proporcionados ayudas de navegación no solamente para facilitar la entrada a partir de cualquier punto de vista estratégico como se explicó anteriormente, sino también para facilitar enfoques combinados o globales, tales como instalación/implementación de un proceso, responsabilidades gerenciales globales para un proceso y utilización de recursos de TI por un proceso.
También deberá tomarse en cuenta que los Objetivos de Control de COBIT han sido definidos de una manera genérica, por ejemplo, sin depender de la plataforma técnica, aceptando el hecho de que algunos ambientes de tecnología especiales pueden requerir una cobertura separada para objetivos de control.
Mientras que el Marco de Referencia de COBIT enfoca controles a alto nivel para cada proceso, los Objetivos de Control se enfocan sobre objetivos de control detallados y específicos asociados a cada proceso de TI. Por cada uno de los 34 procesos de TI del marco referencial, hay desde tres hasta 30 objetivos de control detallados, para un total de 318.
Los Objetivos de Control se alinean para cubrir todo el Marco referencial con objetivos de control detallados con base en 41 fuentes primarias que comprenden estándares y regulaciones internacionales de TI, de facto y de jure. Contiene sentencias de los resultados deseados o propósitos a ser alcanzados mediante la implementación de procedimientos de control específicos en una actividad de TI, de esta manera provee políticas claras y buenas prácticas para los controles de TI a través de la industria, alrededor del mundo.
Los Objetivos de Control están dirigidos a la Administración y al staff de TI, a las funciones de control y auditoría - y lo mas importante, a los propietarios de los procesos del negocio. Los Objetivos de Control proporcionan un trabajo, que es un documento de escritorio para esos individuos. Se identifican definiciones precisas y claras para un mínimo conjunto de controles con el fin de asegurar la efectividad, eficiencia y economía de la utilización de los recursos. Objetivos de control detallados son identificados para cada proceso, como los controles mínimos necesarios. Esos controles serán analizados por los profesionales de control para verificar su suficiencia.
Los Objetivos de Control permiten el traslado de los conceptos presentados en el Marco de Referencia hacia controles específicos aplicables a cada proceso de TI.
AYUDAS DE NAVEGACIÓN
La sección de los Objetivos de Control contienen objetivos de control detallados para cada uno de los 34 procesos de TI. A la izquierda de cada página, se presenta el objetivo de control de alto nivel. El indicador del dominio ("PO" para Planeación y Organización, "AI" para Adquisición e Implementación, "DS" para Entrega de Servicios y Soporte y "M" para Monitoreo se presentan a la izquierda y arriba de cada página. El criterio de información aplicable y el recurso de TI utilizado son mostrados en matrices pequeñas como se describe a continuación. Iniciando en la derecha de la página están las descripciones de los objetivos de control detallados para cada proceso de TI.
Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegación como parte de la presentación de los objetivos de control de alto nivel. Se proporciona una ayuda de navegación para cada una de las tres dimensiones del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de información
Los dominios son identificados por este ícono en la ESQUINA SUPERIOR DERECHA de cada página, en la sección de Objetivos de Control, agrandando y haciendo más visible el dominio bajo revisión.
Planeación &
Organización
Adquisición &
Implementación
Entrega &
Soporte
Monitoreo
La clave para el criterio de información se presentará en la ESQUINA SUPERIOR IZQUIERDA, en la sección de Objetivos de Control mediante la siguiente "mini" matriz, la cual identificará cuál criterio y en qué grado (primario o secundario) es aplicable a cada Objetivo de Control de TI de alto nivel.
Efectividad |
Eficiencia |
Confidencialidad |
Integridad |
Disponibilidad |
Cumplimiento |
Confiabilidad |
| P | S | S | P | S |
Una segunda "mini" matriz en la ESQUINA INFERIOR DERECHA de la sección de Objetivos de Control identifica los recursos de TI que son administrados en forma específica por el proceso bajo consideración - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso "administración de datos" se concentra particularmente en la integridad y confiabilidad de los recursos de datos.
| √ | √ | |||
Gente |
Aplicaciones |
Tecnología |
Instalaciones |
Datos |