Академический Документы
Профессиональный Документы
Культура Документы
a)
INTRODUCCIN
Contaduria Pblica
Pgina 1
COBIT
GOBIERNO DE TI
A fin de poder definir al Gobierno de TI, debemos iniciar por definir al Gobierno
Corporativo, el cul se puede describir como, el conjunto de responsabilidades
y prcticas ejecutadas por la junta directiva y la administracin con el fin de
proveer direccin estratgica. (ISACA, 2010) Pero, de qu manera se provee
una correcta direccin estratgica para la organizacin?
Contaduria Pblica
Pgina 2
COBIT
Contaduria Pblica
Pgina 3
COBIT
Contaduria Pblica
Pgina 4
COBIT
b.3.
Contaduria Pblica
Pgina 5
COBIT
COBIT
COBIT son las siglas para definir Control Objectives for Information and related
Technology (Objetivos de Control para la informacin y tecnologa relacionada),
el cual es un marco de referencia creado por ISACA (Information Systems Audit
and Control Association (Asociacin de Control y Auditoria de Sistemas de
Informacin) para la gestin de la TI y el Gobierno de TI. Es un conjunto de
herramientas de soporte que permite a la gerencia de las organizaciones el
cerrar la brecha entre los requerimientos de control, problemas tcnicos y los
riesgos del negocio. (IT Governance Institute, 2007)
Este marco provee buenas prcticas y presenta actividades para el Gobierno de
TI en una estructura manejable y lgica. Las buenas prcticas de COBIT renen
el consenso de expertos, quienes ayudarn a optimizar la inversin en TI y
proporcionarn un mecanismo de medicin que permitir juzgar cuando las
actividades van por el camino equivocado.
La misin de COBIT es el investigar, desarrollar, publicar y promover un
conjunto de objetivos de control generalmente aceptados, autorizados,
actualizados por ISACA para ser utilizadas en el da a da por la gerencia del
negocio, los profesionales de IT y de la seguridad. En la figura 3 vemos que
define tambin procesos, metas y mtricas para el control. (I.T Governance
Institute, 2007).
Contaduria Pblica
Pgina 6
COBIT
Pgina 7
COBIT
3.2. PRINCIPIOS
Contaduria Pblica
Pgina 8
COBIT
Contaduria Pblica
Pgina 9
COBIT
COBIT 4.1
Para cada uno de los 34 procesos definidos en los cuatro dominios de COBIT, se
ha generado un objetivo de control. Podemos definir control como las
polticas, procedimientos, prcticas y estructuras organizacionales que han sido
diseadas para asegurar razonablemente que los objetivos del negocio se
alcanzarn y los eventos no deseados, sern prevenidos o detectados y
corregidos. (I.T Governance Institute, 2007)
Estos objetivos de control de TI proporcionan un conjunto completo de
requerimientos de alto nivel a considerar por la gerencia para un control
efectivo de cada proceso de TI. Estos controles son sentencias de acciones de
gerencia que deben de aumentar el valor o reducir el riesgo en el negocio,
generalmente consisten en polticas, procedimientos, prcticas y estructuras
organizacionales, las cuales proporcionan un aseguramiento razonable de que
los objetivos del negocio se vern alcanzados.
Pero qu tipo de decisiones necesita tomar la gerencia en relacin a estos
Contaduria Pblica
Pgina 10
COBIT
PLANIFICACION Y ORGANIZACION
ADQUISION E IMPLANTACION
SOPORTE Y SERVICIOS
MONITOREO
Contaduria Pblica
Pgina 11
COBIT
Contaduria Pblica
Pgina 12
COBIT
Contaduria Pblica
Pgina 13
COBIT
Pgina 14
COBIT
de decisin
Control sobre el proceso TI de: Definir los procesos, organizacin y relaciones
de TI Que satisface el requerimiento del negocio de TI para Agilizar la
respuesta a las estrategias del negocio mientras se cumplen los requerimientos
de gobierno y se establecen puntos de contacto: definidos y competentes
Enfocndose en: El establecimiento de estructuras organizacionales de TI
transparentes, flexibles y responsables, y en la de implementacin de procesos
de TI con dueos, y en la integracin de roles y responsabilidades hacia los
procesos de negocio y de decisin
Se logra con:
La definicin de un marco de trabajo de procesos de TI
El establecimiento de un cuerpo y una infraestructura organizacional
apropiada
La definicin de roles y responsabilidades
Y se mide con:
El porcentaje de roles con descripciones de puestos y autoridad
documentados
El nmero de unidades/procesos de negocio que no reciben soporte de TI
y que deberan recibirlo, de acuerdo con la estrategia
Nmero de actividades clave de TI fuera de la organizacin de TI que no
son aprobadas y que no estn sujetas a los estndares organizacionales
de TI
PO5: Administrar la Inversin en TI
Establecer y mantener un marco de trabajo para administrar los programas de
inversin en TI que abarquen costos, beneficios, prioridades dentro del
presupuesto, un proceso presupuestal formal y administracin contra ese
presupuesto. Los interesados (stakeholders) son consultados para identificar y
controlar los costos y beneficios totales dentro del contexto de los planes
estratgicos y tcticos de TI, y tomar medidas correctivas segn sean
necesarias. El proceso fomenta la asociacin entre TI y los interesados del
negocio, facilita el uso efectivo de recursos de TI, y brinda transparencia y
responsabilidad dentro del costo total de propiedad, la materializacin de los
beneficios del negocio y el retorno sobre las inversiones en TI.
Control sobre el proceso TI de: Administrar la inversin del TI.
Que satisface el requerimiento del negocio del TI para: Mejorar de forma
continua y demostrable la rentabilidad de TI y su contribucin a la rentabilidad
del negocio con servicios integrados y estandarizados que satisfagan las
expectativas del usuario.
Enfocndose en: Decisiones de portafolio e inversin en TI efectivas y
eficientes, y el establecimiento y seguimiento de presupuestos de TI de
acuerdo a la estrategia de TI y a las decisiones de inversin.
Contaduria Pblica
Pgina 15
COBIT
Se logra con:
El pronstico y la asignacin de presupuestos
La definicin de criterios formales de inversin (retorno de inversin
-ROI, periodo reintegro, valor presente neto -NPV)
La medicin y evaluacin del valor del negocio en comparacin con el
pronstico
Y se mide con:
El porcentaje de reduccin en el costo unitario del servicio de TI
Porcentaje del valor de la desviacin respecto al presupuesto en
comparacin con el presupuesto total
Porcentaje del gasto de TI expresado en impulsores de valor del negocio.
(Ej. Incremento en ventas / Servicios debidos a la mejora en
conectividad)
PO6: Comunicar las Aspiraciones y la Direccin de la Gerencia
La direccin debe elaborar un marco de trabajo de control empresarial para TI,
y definir y comunicar las polticas. Un programa de comunicacin continua se
debe implementar para articular la misin, los objetivos de servicio, las
polticas y procedimientos, etc., aprobados y apoyados por la direccin. La
comunicacin apoya el logro de los objetivos de TI y asegura la concienciacin
y el entendimiento de los riesgos de negocio y de TI. El proceso debe
garantizar el cumplimiento de las leyes y reglamentos relevantes.
Control sobre el proceso TI de: Comunicar las aspiraciones y la direccin de la
gerencia
Que satisface el requerimiento del negocio de TI para: Una informacin precisa
y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y
las responsabilidades.
Enfocndose en: Proporcionar polticas, procedimientos, directrices y otra
documentacin aprobada, de forma precisa y entendible y que se encuentre
dentro del marco de trabajo de control de TI a los interesados.
Se logra con:
La definicin de un marco de trabajo de control para TI
La elaboracin e implementacin de polticas para TI
El esfuerzo de polticas de TI
Y se mide con:
El nmero de interrupciones en el negocio debidos a interrupciones en el
servicio de TI
Porcentaje de interesados que entienden el marco de trabajo de control
de TI de la empresa
Porcentaje de interesados que no cumplen polticas
PO7: Administrar los Recursos Humanos de TI
Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega
Contaduria Pblica
Pgina 16
COBIT
Pgina 17
COBIT
Se logra con:
La definicin de estndares y prcticas de calidad
El monitoreo y revisin interna y externa del desempeo contra los
estndares y prcticas de calidad definidas
La mejora del QMS de manera contina
Y se mide con:
Porcentaje de interesados (Stakeholder) satisfechos con la calidad
(ponderado por importancia)
Porcentaje de procesos de TI revisados de manera formal por
aseguramiento de calidad de modo peridico que satisfaga las metas y
objetivos de calidad
Porcentaje de procesos que reciben revisiones de aseguramiento de
calidad (QA)
PO9: Evaluar y Administrar los Riesgos de TI
Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos.
El marco de trabajo documenta un nivel comn y acordado de riesgos de TI,
estrategias de mitigacin y riesgos residuales. Cualquier impacto potencial
sobre las metas de la organizacin, causado por algn evento no planeado se
debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigacin
de riesgos residuales a un nivel aceptable. El resultado de la evaluacin debe
ser entendible para los interesados (Stakeholder) y se debe expresar en
trminos financieros, para permitirles alinear los riesgos a un nivel aceptable
de tolerancia.
Control sobre el proceso TI de: Evaluar y administrar los riesgos de TI
Que satisface el requerimiento del negocio de TI para: Analizar y comunicar los
riesgos de TI y su impacto potencial sobre los procesos y metas de negocio.
Enfocndose en: La elaboracin de un marco de trabajo de administracin de
riesgos el cual est integrado en los marcos gerenciales de riesgo operacional,
evaluacin de riesgos, mitigacin del riesgo y comunicacin de riesgos
residuales.
Se logra con:
La garanta de que la administracin de riesgos est incluida
completamente en los procesos administrativos, tanto interna como
externamente, y se aplica de forma consistente
La realizacin de evaluaciones de riesgos
La recomendacin y comunicacin de planes de accin para remediar
riesgos
Y se mide con:
Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de
riesgos
Porcentaje de riesgos crticos de TI identificados con planes de accin
Contaduria Pblica
Pgina 18
COBIT
elaborados
Porcentaje de planes de accin de administracin de riesgos aprobados
para su implantacin
Contaduria Pblica
Pgina 19
COBIT
sistemas existentes est cubierto por este dominio para garantizar que las
soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo
general, cubre los siguientes cuestionamientos de la gerencia:
Contaduria Pblica
Pgina 20
COBIT
Se mide con:
Nmero de problemas en produccin por aplicacin, que causan tiempo
perdido significativo
Porcentaje de usuarios satisfechos con la funcionalidad entregada
AI3: Adquirir y Mantener Infraestructura Tecnolgica
Las organizaciones deben contar con procesos para adquirir, implementar y
actualizar la infraestructura tecnolgica. Esto requiere de un enfoque planeado
para adquirir, mantener y proteger la infraestructura de acuerdo con las
estrategias tecnolgicas convenidas y la disposicin del ambiente de desarrollo
y pruebas. Esto garantiza que exista un soporte tecnolgico continuo para las
aplicaciones
del
negocio.
Control sobre el proceso
infraestructura tecnolgica
TI
de:
Adquirir
dar
mantenimiento
la
Contaduria Pblica
Pgina 21
COBIT
Contaduria Pblica
Pgina 22
COBIT
Contaduria Pblica
Pgina 23
COBIT
autorizados
Se logra con:
La definicin y comunicacin de los procedimientos de cambio, que
incluyen cambios de emergencia
La evaluacin, la asignacin de prioridad y autorizacin de cambios
Seguimiento del estatus y reporte de los cambios
Y se mide con:
El nmero de interrupciones o errores de datos provocados por
especificaciones inexactas o una evaluacin de impacto incompleta
La repeticin de aplicaciones o infraestructura debida a especificaciones
de cambio inadecuadas
El porcentaje de cambios que siguen procesos de control de cambio
formales
AI7: Instalar y Acreditar Soluciones y Cambios
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transicin e instrucciones de migracin,
planear la liberacin y la transicin en s al ambiente de produccin, y revisar la
post-implantacin. Esto garantiza que los sistemas operativos estn en lnea
con las expectativas convenidas y con los resultados.
Control sobre el proceso TI de: Instalar y acreditar soluciones y cambios
Que satisface el requerimiento del negocio de TI para: Contar con sistemas
nuevos o modificados que trabajen sin problemas importantes despus de la
instalacin.
Enfocndose en: Probar que las soluciones de aplicaciones e infraestructura
son apropiadas para el propsito deseado y estn libres de errores, y planear
las liberaciones a produccin
Se logra con:
El establecimiento de una metodologa de prueba
Realizar la planeacin de la liberacin (release)
Evaluar y aprobar los resultados de las pruebas por parte de la gerencia
del negocio
Ejecutar revisiones posteriores a la implantacin
Y se mide con:
Tiempo perdido de la aplicacin o problemas de datos provocados por pruebas
inadecuadas
Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el
proceso posterior a la implantacin
Porcentaje de proyectos con plan de prueba documentado y aprobado
c) Procesos del COBIT #3 - ENTREGAR Y DAR SOPORTE
Contaduria Pblica
Pgina 24
COBIT
Pgina 25
COBIT
Se logra con:
La formalizacin de acuerdos internos y externos en lnea con los
requerimientos y las capacidades de entrega.
La notificacin del cumplimiento de los niveles de servicio (reportes y
reuniones).
La identificacin y comunicacin de requerimientos de servicios
actualizados y nuevos para planeacin estratgica.
Y se mide con:
El porcentaje de Interesados satisfechos de que la entrega del servicio
cumple con los niveles previamente acordados.
El nmero de servicios entregados que no estn en el catlogo.
El nmero de reuniones formales de revisin del Acuerdo de Niveles de
Servicio (SLA) con las personas de negocio por ao.
DS2: Administrar los Servicios de Terceros
La necesidad de asegurar que los servicios provistos por terceros cumplan con
los requerimientos del negocio, requiere de un proceso efectivo de
administracin de terceros. Este proceso se logra por medio de una clara
definicin de roles, responsabilidades y expectativas en los acuerdos con los
terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento
de dichos acuerdos. Una efectiva administracin de los servicios de terceros
minimiza los riesgos del negocio asociados con proveedores que no se
desempean de forma adecuada.
Control sobre el proceso TI de: Administrar servicios de terceros
Que satisface el requerimiento del negocio de TI para: Brindar servicios
satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y
costos.
Enfocndose en: El establecimiento de relaciones y responsabilidades
bilaterales con proveedores calificados de servicios tercerizados y el monitoreo
de la prestacin del servicio para verificar y asegurar la adherencia a los
convenios
Se logra con:
La identificacin y categorizacin de los servicios del proveedor
La identificacin y mitigacin de riesgos del proveedor
El monitoreo y la medicin del desempeo del proveedor
Y se mide con:
El nmero de quejas de los usuarios debidas a los servicios contratados
El porcentaje de los principales proveedores que cumplen claramente los
requerimientos definidos y los niveles de servicio
El porcentaje de los principales proveedores sujetos a monitoreo
DS3: Administrar el Desempeo y la Capacidad
La necesidad de administrar el desempeo y la capacidad de los recursos de TI
Contaduria Pblica
Pgina 26
COBIT
Contaduria Pblica
Pgina 27
COBIT
Y se mide con:
Nmero de horas perdidas por usuario por mes, debidas a interrupciones
no planeadas
Nmero de procesos crticos de negocio que dependen de TI, que no
estn cubiertos por un plan de continuidad
DS5: Garantizar la Seguridad de los Sistemas
La necesidad de mantener la integridad de la informacin y de proteger los
activos de TI, requiere de un proceso de administracin de la seguridad. Este
proceso incluye el establecimiento y mantenimiento de roles y
responsabilidades de seguridad, polticas, estndares y procedimientos de TI.
La administracin de la seguridad tambin incluye realizar monitoreo de
seguridad y pruebas peridicas as como realizar acciones correctivas sobre las
debilidades o incidentes de seguridad identificados. Una efectiva
administracin de la seguridad protege todos los activos de TI para minimizar
el impacto en el negocio causado por vulnerabilidades o incidentes de
seguridad.
Control sobre el proceso TI de: Garantizar la seguridad de los sistemas
Que satisface el requerimiento del negocio de TI para: Mantener la integridad
de la informacin y de la infraestructura de procesamiento y minimizar el
impacto de las vulnerabilidades e incidentes de seguridad
Enfocndose en: La definicin de polticas, procedimientos y estndares de
seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las
vulnerabilidades e incidentes de seguridad
Se logra con:
El entendimiento de los requerimientos, vulnerabilidades y amenazas de
seguridad.
La administracin de identidades y autorizaciones de los usuarios de
forma estandarizada.
Probando la seguridad de forma regular
Y se mide con:
El nmero de incidentes que daan la reputacin con el pblico
El nmero de sistemas donde no se cumplen los requerimientos de
seguridad
El nmero de de violaciones en la segregacin de tareas
DS6: Identificar y Asignar Costos
La necesidad de un sistema justo y equitativo para asignar costos de TI al
negocio, requiere de una medicin precisa y un acuerdo con los usuarios del
negocio sobre una asignacin justa. Este proceso incluye la construccin y
operacin de un sistema para capturar, distribuir y reportar costos de TI a los
Contaduria Pblica
Pgina 28
COBIT
Contaduria Pblica
Pgina 29
COBIT
Y se mide con:
Nmero de llamadas de soporte debido a problemas de entrenamiento
Porcentaje de satisfaccin de los Interesados con el entrenamiento
recibido
Lapso de tiempo entre la identificacin de la necesidad de
entrenamiento y la imparticin del mismo
DS8: Administrar la Mesa de Servicio y los Incidentes
Responder de manera oportuna y efectiva a las consultas y problemas de los
usuarios de TI, requiere de una mesa de servicio bien diseada y bien
ejecutada, y de un proceso de administracin de incidentes. Este proceso
incluye la creacin de una funcin de mesa de servicio con registro,
escalamiento de incidentes, anlisis de tendencia, anlisis causa-raz y
resolucin. Los beneficios del negocio incluyen el incremento en la
productividad gracias a la resolucin rpida de consultas. Adems, el negocio
puede identificar la causa raz (tales como un pobre entrenamiento a los
usuarios) a travs de un proceso de reporte efectivo.
Control sobre el proceso TI de: Administrar la mesa de servicio y los incidentes
Que satisface el requerimiento del negocio de TI para: Permitir el efectivo uso
de los sistemas de TI garantizando la resolucin y el anlisis de las consultas
de los usuarios finales, incidentes y preguntas
Enfocndose en: Una funcin profesional de mesa de servicio, con tiempo de
respuesta rpido, procedimientos de escalamiento claros y anlisis de
tendencias y de resolucin
Se logra con:
Instalacin y operacin de un servicio de una mesa de servicios
Monitoreo y reporte de tendencias
Definicin de procedimientos y de criterios de escalamiento claros
Y se mide con:
Satisfaccin del usuario con el soporte de primera lnea
Porcentaje de incidentes resueltos dentro de un lapso de tiempo
aceptable / acordado.
ndice de abandono de llamadas
DS9: Administrar la Configuracin
Garantizar la integridad de las configuraciones de hardware y software requiere
establecer y mantener un repositorio de configuraciones completo y preciso.
Este proceso incluye la recoleccin de informacin de la configuracin inicial, el
establecimiento de normas, la verificacin y auditora de la informacin de la
Contaduria Pblica
Pgina 30
COBIT
Contaduria Pblica
Pgina 31
COBIT
Se logra con:
Realizando un anlisis de causas raz de los problemas reportados
Analizando las tendencias
Tomando propiedad de los problemas y con una resolucin de problemas
progresiva.
Y se mide con:
Nmero de problemas recurrentes con impacto en el negocio
Porcentaje de problemas resueltos dentro del perodo de tiempo
solicitado
Frecuencia de los reportes o actualizaciones sobre un problema en curso,
con base en la severidad del problema
DS11: Administracin de Datos
Una efectiva administracin de datos requiere de la identificacin de
requerimientos de datos. El proceso de administracin de informacin tambin
incluye el establecimiento de procedimientos efectivos para administrar la
librera de medios, el respaldo y la recuperacin de datos y la eliminacin
apropiada de medios. Una efectiva administracin de datos ayuda a garantizar
la calidad, oportunidad y disponibilidad de la informacin del negocio.
Control sobre el proceso TI de: Administracin de datos
Que satisface el requerimiento del negocio de TI para: Optimizar el uso de la
informacin y garantizar la disponibilidad de la informacin cuando se requiera.
Enfocndose en: Mantener la integridad, exactitud, disponibilidad y proteccin
de los datos.
Se logra con:
Respaldando los datos y probando la restauracin
Administrando almacenamiento de datos en sitio y fuera de sitio.
Desechando de manera segura los datos y el equipo
Y se mide con:
Satisfaccin del usuario con la disponibilidad de los datos.
Porcentaje de restauraciones exitosas de datos.
Nmero de incidentes en los que tuvo que recuperarse datos sensitivos
despus que los medios haban sido desechados
DS12: Administracin del Ambiente Fsico
La proteccin del equipo de cmputo y del personal, requiere de instalaciones
bien diseadas y bien administradas. El proceso de administrar el ambiente
fsico incluye la definicin de los requerimientos fsicos del centro de datos
(site), la seleccin de instalaciones apropiadas y el diseo de procesos
efectivos para monitorear factores ambientales y administrar el acceso fsico.
La administracin efectiva del ambiente fsico reduce las interrupciones del
negocio ocasionadas por daos al equipo de cmputo y al personal.
Contaduria Pblica
Pgina 32
COBIT
Contaduria Pblica
Pgina 33
COBIT
d)
Pgina 34
COBIT
Y se mide con:
Satisfaccin de la gerencia y de la entidad de gobierno con los reportes
de desempeo
Nmero de acciones de mejoramiento impulsadas por las actividades de
monitoreo
Porcentaje de procesos crticos monitoreados
OBJETIVOS DE CONTROL
ME1.1 Enfoque del Monitoreo
Establecer un marco de trabajo de monitoreo general y un enfoque que definan
el alcance, la metodologa y el proceso a seguir para medir la solucin y la
entrega de servicios de TI, y Monitorear la contribucin de TI al negocio.
Integrar el marco de trabajo con el sistema de administracin del desempeo
corporativo.
ME1.2 Definicin y Recoleccin de Datos de Monitoreo
Trabajar con el negocio para definir un conjunto balanceado de objetivos de
desempeo y tenerlos aprobados por el negocio y otros interesados relevantes.
Definir referencias con las que comparar los objetivos, e identificar datos
disponibles a recolectar para medir los objetivos. Se deben establecer procesos
para recolectar informacin oportuna y precisa para reportar el avance contra
las metas.
ME1.3 Mtodo de Monitoreo
Garantizar que el proceso de monitoreo implante un mtodo (Ej. Balanced
Scorecard), que brinde una visin sucinta y desde todos los ngulos del
desempeo de TI y que se adapte al sistema de monitoreo de la empresa.
ME1.4 Evaluacin del Desempeo
Comparar de forma peridica el desempeo contra las metas, realizar anlisis
de la causa raz e iniciar medidas correctivas para resolver las causas
subyacentes.
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
Proporcionar reportes administrativos para ser revisados por la alta direccin
sobre el avance de la organizacin hacia metas identificadas, especficamente
en trminos del desempeo del portafolio empresarial de programas de
inversin habilitados por TI, niveles de servicio de programas individuales y la
contribucin de TI a ese desempeo. Los reportes de estatus deben incluir el
grado en el que se han alcanzado los objetivos planeados, los entregables
obtenidos, las metas de desempeo alcanzadas y los riesgos mitigados.
Durante la revisin, se debe identificar cualquier desviacin respecto al
desempeo esperado y se deben iniciar y reportar las medidas de
administracin adecuadas.
ME1.6 Acciones Correctivas
Identificar e iniciar medidas correctivas basadas en el monitoreo del
desempeo, evaluacin y reportes. Esto incluye el seguimiento de todo el
Contaduria Pblica
Pgina 35
COBIT
Contaduria Pblica
Pgina 36
COBIT
Contaduria Pblica
Pgina 37
COBIT
OBJETIVOS DE CONTROL
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y
Cumplimientos Contractuales
Identificar, sobre una base continua, leyes locales e internacionales,
regulaciones, y otros requerimientos externos que se deben de cumplir para
incorporar en las polticas, estndares, procedimientos y metodologas de TI de
la organizacin.
ME3.2 Optimizar la Respuesta a Requerimientos Externos
Revisar y ajustar las polticas, estndares, procedimientos y metodologas de TI
para garantizar que los requisitos legales, regulatorios y contractuales son
direccionados y comunicados.
ME3.3 Evaluacin del Cumplimiento con Requerimientos Externos
Confirmar el cumplimiento de polticas, estndares, procedimientos
metodologas de TI con requerimientos legales y regulatorios.
Contaduria Pblica
Pgina 38
COBIT
Y se mide con:
La frecuencia de informes del consejo directivo sobre TI a los interesados
(incluyendo el nivel de madurez)
La frecuencia de los reportes de TI hacia el consejo directivo (incluyendo
el nivel de madurez)
Frecuencia de revisiones independientes del cumplimiento de TI
OBJETIVOS DE CONTROL
ME4.1 Establecimiento de un Marco de Gobierno de TI
Definir, establecer y alinear el marco de gobierno de TI con la visin completa
del entorno de control y Gobierno Corporativo. Basar el marco de trabajo en un
adecuado proceso de TI y modelo de control y proporcionar la rendicin de
cuentas y prcticas inequvocas para evitar una rotura en el control interno y la
revisin. Confirmar que el marco de gobierno de TI asegura el cumplimiento
con las leyes y regulaciones y que esta alineado, y confirma la entrega de, la
estrategia y objetivos empresariales. Informa del estado y cuestiones de
gobierno de TI.
ME4.2 Alineamiento Estratgico
Facilitar el entendimiento del consejo directivo y de los ejecutivos sobre temas
estratgicos de TI tales como el rol de TI, caractersticas propias y capacidades
de la tecnologa. Garantizar que existe un entendimiento compartido entre el
negocio y la funcin de TI sobre la contribucin potencial de TI a la estrategia
del negocio. Trabajar con el consejo directivo para definir e implementar
organismos de gobierno, tales como un comit estratgico de TI, para brindar
una orientacin estratgica a la gerencia respecto a TI, garantizando as que
tanto la estrategia como los objetivos se distribuyan en cascada hacia las
unidades de negocio y hacia las unidades de TI y que se desarrolle certidumbre
y confianza entre el negocio y TI. Facilitar la alineacin de TI con el negocio en
lo referente a estrategia y operaciones, fomentando la co-responsabilidad entre
el negocio y TI en la toma de decisiones estratgicas y en la obtencin de los
beneficios provenientes de las inversiones habilitadas con TI.
ME4.3 Entrega de Valor
Administrar los programas de inversin habilitados con TI, as como otros
activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible
para apoyar la estrategia y los objetivos empresariales. Asegurarse de que los
resultados de negocio esperados de las inversiones habilitadas por TI y el
alcance completo del esfuerzo requerido para lograr esos resultados est bien
entendido, que se generen casos de negocio integrales y consistentes, y que
los aprueben los interesados, que los activos y las inversiones se administren a
lo largo del ciclo de vida econmico, y que se lleve a cabo una administracin
activa del logro de los beneficios, tales como la contribucin a nuevos
servicios, ganancias de eficiencia y un mejor grado de reaccin a los
requerimientos de los clientes. Implementar un enfoque disciplinado de la
administracin del portafolio, programa y proyecto, enfatizando que el negocio
Contaduria Pblica
Pgina 39
COBIT
COBIT 5
Contaduria Pblica
Pgina 40
COBIT
Contaduria Pblica
Pgina 41
COBIT
Gobierno
Gestin
Los elementos del enfoque del modelo de madurez de COBIT 4.1 se muestran
en la figura
Resumen del modelo de madurez de COBIT 4.1
Contaduria Pblica
Pgina 42
COBIT
Pgina 43
COBIT
Contaduria Pblica
Pgina 44
COBIT
Cada nivel de capacidad puede ser alcanzado slo cuando el nivel inferior se
ha alcanzado por completo. Por ejemplo, un nivel 3 de capacidad de proceso
(establecido) requiere que los atributos de definicin y despliegue del proceso
se hayan alcanzado ampliamente, sobre la consecucin completa de los
atributos del nivel 2 de madurez de procesos (proceso gestionado).
Existe una diferencia significativa entre el nivel 1 de capacidad de procesos y
los niveles superiores. Alcanzar el nivel 1 requiere que el atributo de
rendimiento sea alcanzado ampliamente, lo que significa que el proceso se
ejecuta con xito y la organizacin obtiene los resultados esperados. Es
entonces cuando los niveles de capacidad superiores aaden diferentes
atributos al proceso. En este esquema de evaluacin, alcanzar un nivel 1 de
capacidad, incluso en una escala de 5, es ya un logro importante para la
organizacin. Ha de tenerse en cuenta que (basndose en motivos de
viabilidad y coste-beneficio) cada empresa de forma individual deber elegir su
objetivo o nivel deseado, que raramente ser uno de los ms altos.
Las diferencias ms importantes entre un anlisis de capacidad de procesos
basado en la norma ISO/IEC 15504 y el modelo de madurez actual de COBIT 4.1
(y los modelos similares de Val IT y Risk IT basados en dominios) se pueden
resumir como sigue:
Pgina 45
COBIT
V.
DIFERENCIAS EN LA PRCTICA
De las descripciones previas, est claro que hay algunas diferencias prcticas
asociadas con el cambio en los modelos de evaluacin de procesos. Los
usuarios han de ser conscientes de estos cambios y tenerlos en cuenta en sus
planes de accin.
Los principales cambios a considerar incluyen:
Aunque es tentador comparar los resultados entre COBIT 4.1 y COBIT 5
debido a la aparente similitud de las escalas numricas y las palabras
usadas para describirlas, tal comparacin es difcil por las diferencias de
mbito de aplicacin, foco e intencin.
En general, los resultados de la evaluacin sern menores al usar el
modelo de capacidad de procesos de COBIT 5. En el modelo de madurez
de COBIT 4.1, un proceso poda alcanzar un nivel 1 2 sin alcanzar
completamente todos los objetivos del proceso; con los niveles de la
capacidad de procesos de COBIT 5, esto implicara un resultado inferior,
entre 0 y 1.
Las escalas de capacidad de COBIT 4.1 y COBIT 5 se pueden considerar
mapeadas.
Contaduria Pblica
Pgina 46
COBIT
Contaduria Pblica
Pgina 47
COBIT
VI.
VENTAJAS
La toma de decisiones para niveles gerenciales es ms eficaz, porque
COBIT ayuda la direccin en la definicin de un plan de TI estratgico, la
definicin de la arquitectura de la informacin, la adquisicin del
hardware necesario TI y el software para ejecutar una estrategia TI, la
aseguracin del servicio continuo, y la supervisin del funcionamiento
del sistema TI.
Los usuarios se benefician de COBIT debido al aseguramiento
proporcionado a ellos si los usos que ayudan en la reunin, el
tratamiento, y el reportaje de informacin cumplen con COBIT ya que
Contaduria Pblica
Pgina 48
COBIT
DESVENTAJAS
Las buenas prcticas de COBIT estn enfocadas fuertemente en el control y de
menor forma en la ejecucin. El marco de referencia mejora las reas de TI
desde el punto de vista solamente del gobierno corporativo. COBIT es un
modelo ambicioso que requiere de un profundo estudio para realizar la
implementacin dentro de la organizacin.
VIII.
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
http://www.marblestation.com/?p=645
TOOMEY, M. (2009). Impulsando el liderazgo de TI atravs del buen gobierno
corporativo con las TI. Australia: Atos consulting.
COBIT Objetivos de Control Tercera Edicin Emitido por el Comit Directivo de
COBIT y El IT Governance Institute MR
Cobit 4.0 en espaol (PDF)
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.sh
tml#cobit
http://www.monografias.com/trabajos38/cobit/cobit.shtml
Contaduria Pblica
Pgina 49
COBIT
http://www.es.wikipedia.org/wiki/COBIT
http://www.comip.mendoza.gov.ar/cobit.do
Contaduria Pblica
Pgina 50