COBIT (Control Objectives for Information and Related Technologies) es un marco de control y gobierno de TI creado por ISACA. Proporciona un conjunto de mejores prácticas para el manejo de información y la alineación de objetivos de TI y de negocio. COBIT evalúa los procesos de TI en cuatro dominios: planificación y organización, adquisición e implementación, entrega y soporte, y supervisión y evaluación. El marco ayuda a las empresas a mejorar sus procesos de TI, cumplir con regulaciones como Sarbanes-
2. COBIT
Objetivos de Control para Tecnologías de información
y relacionadas (COBIT, en inglés: Control Objectives
for Information and related Technology) es un
conjunto de mejores practicas para el manejo de
información creado por la Asociación para la Auditoría
y Control de Sistemas de Información,(ISACA, en
inglés: Information Systems Auditand and Control
Association), y el Instituto de Administración de las
Tecnologías de la Información (ITGI, en inglés: IT
Governance Institute) en 1992.
3. COBIT
La evaluación de los requerimientos del negocio, los
recursos y procesos IT, son puntos bastante
importantes para el buen funcionamiento de una
compañía y para el aseguramiento de su supervivencia
en el mercado.
El COBIT es precisamente un modelo para auditar la
gestión y control de los sistemas de información y
tecnología, orientado a todos los sectores de una
organización, es decir, administradores IT, usuarios y
por supuesto, los auditores involucrados en el proceso.
4. COBIT
La estructura del modelo COBIT propone un marco de
acción donde se evalúan los criterios de información, como
por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnología de información, como por
ejemplo el recurso humano, instalaciones, sistemas, entre
otros, y finalmente se realiza una evaluación sobre los
procesos involucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que
enfatiza en el control de negocios y la seguridad IT y que
abarca controles específicos de IT desde una perspectiva de
negocios.
5. EDICIONES
La primera edición fue publicada en 1996; la segunda
edición en 1998; la tercera edición en 2000 (la edición
on-line estuvo disponible en 2003); y la cuarta edición
en diciembre de 2005, y la versión 4.1 está disponible
desde mayo de 2007. En la actualidad el ISACA lanzó
Cobit 5 el día 10 de Abril.
6. COBIT 4.1
En su cuarta edición, COBIT tiene 34 objetivos de alto
nivel que cubren 210 objetivos de control (específicos o
detallados) clasificados en cuatro dominios:
Planificación y Organización, Adquisición e
Implementación, Entrega y Soporte, y, Supervisión y
Evaluación. En inglés: Plan and Organize, Acquire and
Implement, Deliver and Support, and Monitor and
Evaluate.
7. COBIT 5
Isaca lanzó el 10 de abril del 2012 la nueva edición de
este marco de referencia. COBIT 5 es la última edición
del framework mundialmente aceptado, el cual
proporciona una visión empresarial de del Gobierno de
TI que tiene a tecnología y a la información como
protagonistas en la creación de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía
mediante la integración de otros importantes marcos y
normas como Val IT y Risk IT, Information Technology
Infrastructure Library (ITIL ®) y las normas ISO
relacionadas.
8. MISIÓN
Investigar, desarrollar, publicar y
promover un conjunto de objetivos de control de
TI rectores, actualizados, internacional y
generalmente aceptados para ser utilizados
diariamente por Gerentes de negocio y Auditores.
VISIÓN
Consolidarse como líder
mundialmente conocido en
materia de gobierno, control y
aseguramiento de la gestión
de TI
VAL IT
Recientemente, ISACA ha publicado Val IT, que
relaciona los procesos de COBIT con los
procesos de la gerencia mayor requeridos para
conseguir un buen valor de las inversiones en
tecnologías de la información.
9. COBIT
¿Para quiénes?
Gerentes de negocio
Gerentes de TI
Gerentes de riesgo
Usuarios de TI
Auditores
¿Para qué?
• Alineación de objetivos de TI y del negocio.
• Establecer una orientación a procesos.
• Ser consistente con las mejores prácticas y estándares control (COSO) y de
TI, independiente de tecnologías específicas.
• Proporcionar un lenguaje común para todos los interesados.
10. COMO SATISFACE COBIT LAS NECESIDADES
1. Orientado al negocio
2. Procesos orientados
3. Basado en controles
4.Generador de mediciones
11. 1. ORIENTADO AL NEGOCIO
Es el tema principal de COBIT. Está diseñado para ser
utilizado no solo por proveedores de
servicios, usuarios y auditores de TI, sino también y
principalmente, como guía integral para la gerencia y
para los propietarios de los procesos de negocio.
12. PRINCIPIO BASICO
Proporcionar la
información que la
empresa necesita para
logro de sus objetivos,
requiere administrar y
controlar los recursos
de TI usando un
conjunto estructurado
de procesos que
ofrezcan los servicios
requeridos de
información.
13. CRITERIOS DE INFORMACIÓN
Para satisfacer los objetivos del negocio la información
necesita adaptarse a ciertos criterios de control, los
cuales son referidos por COBIT como requerimientos
de información del negocio. Con base en los
requerimientos de calidad, fiduciarios y de seguridad,
se definieron las siguientes siete áreas:
14. CRITERIOS DE INFORMACIÓN
Efectividad Información relevante y pertinente para el negocio, provista de
manera oportuna, correcta, consistente y utilizable.
Integridad Exactitud, completitud y validez de la información.
Información actual y futura, salvaguarda de los
Disponibilidad
recursos necesarios.
Propiedad de la información que se usará en la toma de
Confiabilidad
decisiones.
Proveer información a través de la utilización óptima, productiva
Eficiencia y económica de los recursos.
Cumplimiento de leyes, regulaciones y acuerdos a los que el
Cumplimiento
proceso esta sujeto.
Protección de información sensible contra divulgación no
Confidencialidad
autorizada.
15. METAS DE NEGOCIOS Y DE TI
Mientras que los criterios de información
proporcionan un método genérico para definir los
requerimientos del negocio, la definición de un
conjunto de metas genéricas de negocio y de TI ofrece
una base más refinada y relacionada con el negocio
para el establecimiento de requerimientos de negocio y
para el desarrollo de métricas que permitan la
medición con respecto a estas metas.
16. 2. PROCESOS ORIENTADOS
COBIT define las actividades de TI en un modelo
genérico de procesos en cuatro dominios. Estos
dominios son:
Planear y Organizar
Adquirir e Implementar,
Entregar y Dar Soporte
Monitorear y Evaluar
17. Planear y Organizar
Este dominio cubre las estrategias y las tácticas, y tiene que
ver con identificar la manera en que TI pueda contribuir al
logro de los objetivos del negocio. Además, la realización
de la visión estratégica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, se
debe implementar una estructura organizacional y una
estructura tecnológica apropiada.
18. Adquirir e Implantar
Para llevar a cabo la estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o
adquiridas así como la implementación e
integración en los procesos del negocio. Además,
el cambio y el mantenimiento de los sistemas
existentes está cubierto por este dominio para
garantizar que las soluciones sigan satisfaciendo
los objetivos del negocio.
19. Entregar y Soportar
Este dominio cubre la entrega en sí de los
servicios requeridos, lo que incluye la
prestación del servicio, la administración
de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la
administración de los datos y de las
instalaciones operacionales.
20. Monitorear y Evaluar
Todos los procesos de TI deben evaluarse
de forma regular en el tiempo en cuanto a
su calidad y cumplimiento de los
requerimientos de control. Este dominio
abarca la administración del desempeño, el
monitoreo del control interno, el
cumplimiento regulatorio y la aplicación
del gobierno.
21. BASADO EN CONTROLES
CONTROL: Políticas, Procedimiento, prácticas
diseñadas para brindar seguridad razonable que
los objetivos serán alcanzados
OBJETIVOS DE CONTROL DE COBIT: son los
requerimientos mínimos para un control efectivo
de cada proceso de IT además brinda un modelo
genérico de procesos que representa todos los
procesos que normalmente se encuentran en las
funciones de TI.
22. PROCESOS COBIT
PC1: Dueño del Proceso
PC2: Reiterativo
PC3: Metas y Objetivos
PC4: Roles y Responsabilidades
PC5: Desempeño del Proceso
PC6: Políticas, Planes y Procedimiento
23. CONTROLES DEL NEGOCIO Y
CONTROLES DE TI
AL NIVEL DE DIRECCION EJECUTIVA: fijar objetivos
políticas, tomar decisiones de cómo administrar los recursos.
AL NIVEL DE PROCESO DE NEGOCIO: aplicar controles
para actividades especificas del negocio
PARA SOPORTAR DEL NEGOCIO: TI provee un servicio
común (redes, bases de datos, sistemas
operativos, almacenamiento)
24. GENERADORES DE MEDICION
Una necesidad básica de toda empresa es entender el
estado de sus propios sistemas de TI y decidir qué nivel de
administración y control debe proporcionar la empresa
¿Qué se debe medir y cómo?
Modelos de Madurez: por medio del Benchmarking
identificación de las mejores practicas en la capacidad.
Metas y Mediciones de desempeño para procesos TI:
demuestran como los procesos satisfacen las necesidades
del negocio y de TI y como se usan para medir el
desempeño de los proceso internos
25. Mediciones de desempeño
COBIT utiliza dos tipos de métrica: indicadores de
metas e indicadores de desempeño.
Los indicadores clave de metas (KGI) definen
mediciones para informar a la gerencia—después del
hecho—si un proceso TI alcanzó sus requerimientos
de negocio, y se expresan por lo general en términos de
criterios de información:
• Disponibilidad de información necesaria para dar
soporte a las necesidades del negocio • Ausencia de
riesgos de integridad y de confidencialidad
• Rentabilidad de procesos y operaciones
• Confirmación de confiabilidad, efectividad y
cumplimiento
26. Indicadores de desempeño
Los indicadores clave de desempeño (KPI) definen
mediciones que determinan qué tan bien se está
desempeñando el proceso de TI para alcanzar la meta.
Son los indicadores principales que indican si será
factible lograr una meta o no, y son buenos
indicadores de las capacidades, prácticas y
habilidades. Miden las metas de las actividades, las
cuales son las acciones que el propietario del proceso
debe seguir para lograr un efectivo desempeño del
proceso.
27. Las métricas efectivas deben de tener
las siguientes características:
Una alta proporción
entendimiento-esfuerzo (esto es,
el entendimiento del desempeño
y del logro de las metas en
contraste con el esfuerzo de
lograrlos)
• Deben ser comparables
internamente (esto es, un
porcentaje en contraste con una
base o números en el tiempo)
• Deben ser comparables
externamente sin tomar en
cuenta el tamaño de la empresa
o la industria.
28. EMPRESAS BAJO SISTEMA COBIT
EN LATINOAMERICA
Grupo Bancolombia es un grupo financiero que opera los
servicios de banca múltiple que incluyen inversiones, factoring,
fiduciarias, arrendamiento financiero y mercado de valores, y es
el primer banco en Colombia por activos y participación en el
mercado. Fundada en 1875, Bancolombia opera en Colombia y El
Salvador, tiene filiales en Panamá, las Islas Caimán, Puerto Rico y
Perú, y tiene una agencia en Miami, Florida, EE.UU..
Aunque el Grupo Bancolombia ya contaba con políticas de
control interno antes de la creación de la ley Sarbanes-Oxley, el
grupo financiero busco adoptar y aplicar un sistema de control
interno de gestión que ayudara a garantizar el cumplimiento del
mismo.
29. CoBiT ayuda a garantizar el cumplimiento de la ley estadounidense
Sarbanes-Oxley.
CoBiT ofrece un enfoque proactivo para mejorar los procesos de
tecnología y servicios.
Además, CoBiT fue elegido porque establece un equilibrio entre el
cumplimiento y el rendimiento y complementa COSO, el modelo de
control interno de la organización. Grupo Bancolombia utiliza CoBiT
para abordar de manera proactiva las auditorías internas y externas y el
cumplimiento de operación de riesgo.
Grupo Bancolombia ha logrado excelentes resultados utilizando COBIT.
En la actualidad existe una visión compartida, un lenguaje único, la
alineación entre la planificación estratégica de negocios y planificación
estratégica de TI, claridad en los roles y responsabilidades, un mayor
sentido de trabajo en equipo y el conocimiento de las fortalezas y
debilidades. Varias iniciativas están todavía en curso, incluida la
consolidación de TI en toda la empresa.