COBIT

Objetivos de Control para Informacin y Tecnologas Relacionadas

(COBIT, en ingls: Control Objectives for Information and related
Technology) es una gua de mejores prcticas presentada como
framework, dirigida al control y supervisin de tecnologa de la
informacin (TI). Tiene una serie de recursos que pueden servir de
modelo de referencia para la gestin de TI, incluyendo un resumen
ejecutivo, un framework, objetivos de control, mapas de auditora,
herramientas para su implementacin y principalmente, una gua de
tcnicas de gestin.

Ediciones
La primera edicin fue publicada en 1996; la segunda edicin en
1998; la tercera edicin en 2000 (la edicin on-line estuvo
disponible en 2003); la cuarta edicin en diciembre de 2005, y la
versin 4.1 est disponible desde mayo de 2007.

COBIT 4.1
En su cuarta edicin, COBIT tiene 34 procesos que cubren 210
objetivos de control (especficos o detallados) clasificados en cuatro
dominios:

Planificacin y Organizacin (Plan and Organize))

Adquisicin e Implantacin (Acquire and Implement)
Entrega y Soporte (Deliver and Support)
Supervisin y Evaluacin (Monitor and Evaluate)

COBIT 5
ISACA lanz el 10 de abril de 2012 la nueva edicin de este marco
de referencia. COBIT 5 es la ltima edicin del framework
mundialmente aceptado, el cual proporciona una visin empresarial
del Gobierno de TI que tiene a la tecnologa y a la informacin
como protagonistas en la creacin de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo ampla mediante la
integracin de otros importantes marcos y normas como Val IT y
Risk IT, Information Technology Infrastructure Library (ITIL ) y las
normas ISO relacionadas en esta norma.

Beneficios
COBIT ayuda a empresas de todos los tamaos a:

Optimizar los servicios el coste de las TI y la tecnologa

Apoyar el cumplimiento de las leyes, reglamentos, acuerdos
contractuales y las polticas
Gestin de nuevas tecnologas de informacin

Los Objetivos de Control para la Informacin y la Tecnologa

relacionada (COBIT) brindan buenas prcticas a travs de un
marco de trabajo de dominios y procesos, y presenta las
actividades en una estructura manejable y lgica.
Las buenas prcticas de COBIT representan el consenso de los
expertos. Estn enfocadas fuertemente en el control y menos en la
ejecucin. Estas prcticas ayudarn a optimizar las inversiones
habilitadas por TI, asegurarn la entrega del servicio y brindarn
una medida contra la cual juzgar cuando las cosas no vayan bien.

Para que TI tenga xito en satisfacer los requerimientos del

negocio, la direccin debe implementar un sistema de control
interno o un marco de trabajo. El marco de trabajo de control
COBIT contribuye a estas necesidades de la siguiente manera:

Estableciendo un vnculo con los requerimientos del negocio.

Organizando las actividades de TI en un modelo de procesos
generalmente aceptado.
Identificando los principales recursos de TI a ser utilizados
Definiendo los objetivos de control gerenciales a ser
considerados

Pero, cmo puede la empresa poner bajo control TI de tal manera

que genere la informacin que la empresa necesita? Cmo puede
administrar los riesgos y asegurar los recursos de TI de los cuales
depende tanto? Cmo puede la empresa asegurar que TI logre
sus objetivos y soporte los del negocio?

Primero, la direccin requiere objetivos de control que definan la

meta final de implementar polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para brindar un
aseguramiento razonable de que:
Se alcancen los objetivos del negocio.
Se prevengan o se detecten y corrijan los eventos no deseados.

En segundo lugar, en los complejos ambientes de hoy en da, la

direccin busca continuamente informacin oportuna y
condensada, para tomar decisiones difciles respecto a riesgos
y controles, de manera rpida y exitosa. Qu se debe medir y
cmo? Las empresas requieren una medicin objetiva de dnde se
encuentran y dnde se requieren mejoras, y deben implementar
una caja de herramientas gerenciales para monitorear esta mejora.

COBIT da soporte al gobierno de TI al brindar un marco de trabajo

que garantiza que:

TI est alineada con el negocio

TI habilita al negocio y maximiza los beneficios
Los recursos de TI se usan de manera responsable
Los riesgos de TI se administran apropiadamente

Orientado al negocio

Criterios de informacin COBIT

La efectividad tiene que ver con que la informacin sea

relevante y pertinente a los procesos del negocio, y se
proporcione de una manera oportuna, correcta, consistente y
utilizable.
La eficiencia consiste en que la informacin sea generada con el
ptimo (ms productivo y econmico) uso de los recursos.
La confidencialidad se refiere a la proteccin de informacin
sensitiva contra revelacin no autorizada.
La integridad est relacionada con la precisin y completitud de
la informacin, as como con su validez de acuerdo a los valores
y expectativas del negocio.

La disponibilidad se refiere a que la informacin est disponible

cuando sea requerida por los procesos del negocio en cualquier
momento. Tambin concierne a la proteccin de los recursos y
las capacidades necesarias asociadas.
El cumplimiento tiene que ver con acatar aquellas leyes,
reglamentos y acuerdos contractuales a los cuales est sujeto el
proceso de negocios, es decir, criterios de negocios impuestos
externamente, as como polticas internas.
La confiabilidad se refiere a proporcionar la informacin
apropiada para que la gerencia administre la entidad y ejerza
sus responsabilidades fiduciarias y de gobierno.

Orientado a procesos
COBIT define las actividades de TI en un modelo genrico de
procesos organizado en cuatro dominios. Estos dominios son
Planear y Organizar, Adquirir e Implementar, Entregar y Dar
Soporte y Monitorear y Evaluar. Los dominios se equiparan a las
reas tradicionales de TI de planear, construir, ejecutar y
monitorear.

Dominios
Planear y Organizar (PO) Proporciona direccin para la entrega de
soluciones (AI) y la entrega de servicio (DS).

Adquirir e Implementar (AI) Proporciona las soluciones y las pasa

para convertirlas en servicios.
Entregar y Dar Soporte (DS) Recibe las soluciones y las hace
utilizables por los usuarios finales.
Monitorear y Evaluar (ME) Monitorear todos los procesos para
asegurar que se sigue la direccin provista.

PLANEAR Y ORGANIZAR (PO)

Este dominio cubre las estrategias y las tcticas, y tiene que ver
con identificar la manera en que TI puede contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la
realizacin de la visin estratgica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura organizacional
y una estructura tecnolgica apropiada.

Este dominio cubre los siguientes cuestionamientos tpicos de la

gerencia:

Estn alineadas las estrategias de TI y del negocio?

La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los
objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?

ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas as como
implementadas e integradas en los procesos del negocio. Adems,
el cambio y el mantenimiento de los sistemas existentes est
cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio

Este dominio, por lo general, cubre los siguientes cuestionamientos

de la gerencia:

Es probable que los nuevos proyectos generan soluciones que

satisfagan las necesidades del negocio?
Es probable que los nuevos proyectos sean entregados a
tiempo y dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una vez sean
implementados?
Los cambios no afectarn a las operaciones actuales del
negocio?

ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en s de los servicios requeridos, lo
que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios,
la administracin de los datos y de las instalaciones operativos.
Por lo general cubre las siguientes preguntas de la gerencia:
Se estn entregando los servicios de TI de acuerdo con las
prioridades del negocio?
Estn optimizados los costos de TI?
Es capaz la fuerza de trabajo de utilizar los sistemas de TI de
manera productiva y segura?
Estn implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?

MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el
tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administracin
del desempeo, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicacin del gobierno.

Por lo general abarca las siguientes preguntas de la gerencia:

Se mide el desempeo de TI para detectar los problemas

antes de que sea demasiado tarde?
La Gerencia garantiza que los controles internos son efectivos
y eficientes?
Puede vincularse el desempeo de lo que TI ha realizado con
las metas del negocio?
Se miden y reportan los riesgos, el control, el cumplimiento y el
desempeo?

EL CUBO DE COBIT

PO, AE, DS, ME

PROCESOS: PLANEAR Y ORGANIZAR (PO)

PO1 Definir el plan estratgico de TI.

PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.
PO4 Definir procesos, organizacin y relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.
P08 Administrar calidad
PO9 Evaluar y administrar riesgos de TI
P010 Administrar proyectos

PROCESOS: ADQUIRIR E IMPLEMENTAR(AI)

AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.

PROCESOS: ENTREGAR Y DAR SOPORTE (DS)

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.

PROCESOS: ENTREGAR Y DAR SOPORTE (DS)

DS8 Administrar la mesa de servicio y los incidentes.

DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.

PROCESOS: MONITOREAR Y EVALUAR (ME)

ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.

IMPULSADO POR LA MEDICIN

Una necesidad bsica de toda empresa es entender el estado de
sus propios sistemas de TI y decidir qu nivel de administracin
y control debe proporcionar. Para decidir el nivel correcto, la
gerencia debe preguntarse: Hasta dnde debemos ir?, y est
el costo justificado por el beneficio?

La obtencin de una visin objetiva del nivel de desempeo

propio de una empresa no es sencilla. Qu se debe medir y
cmo? Las empresas deben medir dnde se encuentran y dnde
se requieren mejoras, e implementar un juego de herramientas
gerenciales para monitorear esta mejora

COBIT atiende estos temas a travs de:

Modelos de madurez que facilitan la evaluacin por medio de
benchmarking y la identificacin de las mejoras necesarias en
la capacidad
Metas y mediciones de desempeo para los procesos de TI,
que demuestran cmo los procesos satisfacen las necesidades
del negocio y de TI, y cmo se usan para medir el desempeo
de los procesos internos basados en los principios de un
marcador de puntuacin balanceado (balanced scorecard)
Metas de actividades para facilitar el desempeo efectivo de los
procesos

MODELO DE MADUREZ
Cada vez con ms frecuencia, se les pide a los directivos de
empresas corporativas y pblicas que consideren qu tan bien
se est administrando TI. Como respuesta a esto, se debe
desarrollar un plan de negocio para mejorar y alcanzar el nivel
apropiado de administracin y control sobre la infraestructura de
informacin.

Aunque pocos argumentaran que esto no es algo bueno, se

debe considerar el equilibrio del costo beneficio y stas preguntas
relacionadas:

Qu est haciendo nuestra competencia en la industria, y

cmo estamos posicionados en relacin a ellos?
Cules son las mejores prcticas aceptables en la industria, y
cmo estamos posicionados con respecto a estas prcticas?
Con base en estas comparaciones, se puede decir que
estamos haciendo lo suficiente?
Cmo identificamos lo que se requiere hacer para alcanzar un
nivel adecuado de administracin y control sobre nuestros
procesos de TI?

Puede resultar difcil proporcionar respuestas significativas a estas

preguntas. La gerencia de TI est buscando constantemente
herramientas de evaluacin para benchmarking y herramientas de
auto-evaluacin como respuesta a la necesidad de saber qu
hacer de manera eficiente. Comenzando con los procesos y los
objetivos de control de alto nivel de COBIT, el dueo del proceso
se debe poder evaluar de forma progresiva, contra los objetivos de
control. Esto responde a tres necesidades:

1. Una medicin relativa de dnde se encuentra la empresa

2. Una manera de decidir hacia dnde ir de forma eficiente
3. Una herramienta para medir el avance contra la meta

El modelo de madurez para la administracin y el control de los

procesos de TI se basa en un mtodo de evaluacin de la
organizacin, de tal forma que se pueda evaluar a s misma
desde un nivel de no-existente (0) hasta un nivel de
optimizado (5). Cualquiera que sea el modelo, las escalas no
deben ser demasiado granulares, ya que eso hara que el sistema
fuera difcil de usar y sugerira una precisin que no es justificable
debido a que en general, el fin es identificar dnde se encuentran
los problemas y cmo fijar prioridades para las mejoras.

Utilizando los modelos de madurez desarrollados para cada uno

de los 34 procesos TI de COBIT, la gerencia podr identificar:

El desempeo real de la empresaDnde se encuentra la

empresa hoy
El estatus actual de la industriaLa comparacin
El objetivo de mejora de la empresaDnde desea estar la
empresa
El crecimiento requerido entre como es y como ser