El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. (patricia, 2009)

ESTRUCTURA COBIT

La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.

"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado.

DOMINIOS COBIT

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:

¿POR QUÉ UTILIZAR COBIT?

2.1.1-BENEFICIOS COBIT

·         Mejor alineación basada en una focalización sobre el negocio.

·         Visión comprensible de TI para su administración.

·         Clara definición de propiedad y responsabilidades.

·         Aceptabilidad general con terceros y entes reguladores.

·         Entendimiento compartido entre todos los interesados basados en un lenguaje común.

·         Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO. (Noriega, 2006)

2.1.2.- CARACTERÍSTICAS

·         Orientado al negocio.

·         Alineado con estándares y regulaciones "de facto".

·         Basado en una revisión crítica y analítica de las tareas y actividades en TI.

·         Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

2.1.3.- COMPONENTES COBIT

·         Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.

·         Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.

·         Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.

1.      PLANEAR Y ORGANIZAR

2.      PO1 Definir el plan estratégico de TI.

3.      PO2 Definir la arquitectura de la información

4.      PO3 Determinar la dirección tecnológica.

5.      PO4 Definir procesos, organización y relaciones de TI.

6.      PO5 Administrar la inversión en TI.

7.      PO6 Comunicar las aspiraciones y la dirección de la gerencia.

8.      PO7 Administrar recursos humanos de TI.

9.      PO8 Administrar calidad.

10.  PO9 Evaluar y administrar riesgos de TI

11.  PO10 Administrar proyectos.

12.  PO11Administración de Calidad

13.  ADQUIRIR E IMPLANTAR

14.  AI1 Identificar soluciones automatizadas.

15.  AI2 Adquirir y mantener el software aplicativo.

16.  AI3 Adquirir y mantener la infraestructura tecnológica

17.  AI4 Facilitar la operación y el uso.

18.  AI5 Adquirir recursos de TI.

19.  AI6 Administrar cambios.

20.  MONITOREAR Y EVALUAR

21.  ME1 Monitorear y evaluar el desempeño de TI.

22.  ME2 Monitorear y evaluar el control interno

23.  ME3 Garantizar cumplimiento regulatorio.

24.  ME4 Proporcionar gobierno de TI.

25.  PRESTACIÓN Y SOPORTE

26.  DS1 Definir y administrar niveles de servicio.

27.  DS2 Administrar servicios de terceros.

28.  DS3 Administrar desempeño y capacidad.

29.  DS4 Garantizar la continuidad del servicio.

30.  DS5 Garantizar la seguridad de los sistemas.

31.  DS6 Identificar y asignar costos.

32.  DS7 Educar y entrenar a los usuarios.

33.  DS8 Administrar la mesa de servicio y los incidentes.

34.  DS9 Administrar la configuración.

35.  DS10 Administrar los problemas.

36.  DS11 Administrar los datos.

37.  DS12 Administrar el ambiente físico.

38.  DS13 Administrar las operaciones.