Descargar

Cobit Implantado en la empresa

  1. Introducción
  2. Marco de trabajo cobit
  3. Preocupación por el creciente nivel de gasto en TI
  4. Objetivos y Beneficios
  5. Conclusiones
  6. Blibliografia

Introducción

Una de las características de COBIT es que está orientado al negocio, vinculando las metas de negocio con las metas de TI, proporcionando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.Otra característica es su enfoque hacia procesos, mediante un modelo que subdivide TI en 34 procesos de acuerdo a cuatro áreas de responsabilidad (Planear, Construir, Ejecutar y Monitorizar) que básicamente coinciden con el conocido ciclo de Deming (Plan-Do-Check-Act).Pero, de todas las buenas características que presenta COBIT, la que más ha influido en el éxito de COBIT es su dualidad de orientación hacia el Negocio y hacía las TIC, estableciendo un puente de enlace entre ambos mundos y definiendo un lenguaje común que ha permitido a los gestores entender el valor estratégico de las TIC y a los responsables de los sistemas de la información, la importancia de conducir sus acciones hacia el aporte del valor al negocio.De manera más general, el empleo de un marco como COBIT satisface las necesidades de la Dirección y aporta una serie de beneficios que facilitan que se logren tanto los objetivos de la TI como los del negocio. Esto lo logra:

  •  Asegurando una mejor alineación, basándose en su enfoque en el negocio.

  •  Facilitando la implantación de políticas, procedimientos, prácticas y estructuras organizativas, para garantizar los objetivos perseguidos y prevenir eventos no deseados.

  •  Facilitando una medición objetiva sobre el estado actual de las TIC en una organización y facilitando el asesoramiento para determinar dónde se requieren mejoras. Así la dirección posee información que le permitirá tomar decisiones frente a riesgos, de forma rápida y asegurando el éxito.

  •  Proporcionando a la Dirección una visión más clara sobre lo que hace la unidad de TI.

  •  Definiendo la propiedad y la responsabilidad de los diferentes procesos TI de la organización.

  •  Facilitando una evaluación de la capacidad de dichos procesos, basada en sus modelos de madurez.

  •  Optimizando las inversiones realizadas en las TI.

  •  Facilitando el entendimiento de todos los participantes, al basarse en un lenguaje común.

En definitiva, COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con la TI.

Evaluar, Orientar y Supervisar

Estos procesos y actividades están a cargo del comité estratégico de TI

Que hacen parte de la empresa

  • ECM01 Asegura el establecimiento y Mantenimiento del Marco de Gobierno.

  • EDM02 Asegura la Entrega de Beneficios

  • EDM03 Asegira la Optimización del Riego

  • EDM04 Asegura la Optimización de los Recursos

  • EDM05 Asegura la Transparencia hacia las partes interesadas

Alinear, Planificar y Organizar

APO02 Gestionar la Estrategia (COBIT)

APO03 Gestionar la Arquitectura Empresarial (COBIT)

APO06 Gestionar el Presupuesto y los Costes (COBIT)

APO07 Gestionar los Recursos Humanos (ALINEAR)

APO08 Gestionar las Relaciones (COBIT)

APO09 Gestionar los Acuerdo de Servicios (ITIL)

APO10 Gestionar los Proveedores (COBIT)

APO11 Gestionar la Calidad (ALINEAR)

APO12 Gestionar el Riesgo (COBIT)

APO13 Gestionar la Seguridad (ISO 27001).

Marco de trabajo cobit

LA NECESIDAD DE UN MARCO DE TRABAJO DE CONTROL LA NECESIDAD DE UN MARCO DE TRABAJO DE CONTROL DE CONTROL PARA EL PARA EL GOBIERNO DE TI GOBIERNO DE TI Un marco de control para el Gobierno TI define las razones de por qué se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI Por qué Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa.

La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva. En particular, la alta dirección necesita saber si con la información administrada en la empresa es posible que:

Garantice el logro de sus objetivos

Tenga suficiente flexibilidad para aprender y adaptarse

Cuente con un manejo juicioso de los riesgos que enfrenta

Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI, y encuentran maneras para:

Alinear la estrategia de TI con la estrategia del negocio

Asegurar que los inversionistas y accionistas logran un debido cuidado estandarizado para la mitigación de los riesgos de TI

Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa

Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas

Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos

Medir el desempeño de TI Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para TI, de tal manera que:

Se forme un vínculo con los requerimientos del negocio

El desempeño real con respecto a estos requerimientos sea transparente

Se organicen sus actividades en un modelo de procesos generalmente aceptado

Se identifiquen los principales recursos a ser apalancados

Se definan los objetivos de control Gerenciales a ser considerados Además, el gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración de TI y sirven como facilitadores para establecer el gobierno de TI y cumplir con el constante incremento de requerimientos regulatorios. Las mejores prácticas de TI se han vuelto significativas debido a varios factores:

Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión sobre TI, es decir, que TI genere lo que el negocio necesita para mejorar el valor de los Interesados (Stakeholders)

Preocupación por el creciente nivel de gasto en TI

La necesidad de satisfacer requerimientos regulatorios para controles de TI en áreas como privacidad y reportes financieros (por ejemplo, Sarbanes-Oxley Act, Basel II) y en sectores específicos como el financiero, farmacéutico y de atención a la salud

La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios

Riesgos crecientemente complejos de TI como la seguridad de redes

Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el valor del negocio y reducir los riesgos de éste

La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados en forma especial

La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2

La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking),

• La integridad integridad integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

• La disponibilidad disponibilidad disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

• El cumplimiento cumplimiento cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

• La confiabilidad confiabilidad confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno. METAS DE NEGOCIOS Y DE TI METAS DE NEGOCIOS Y DE TI Mientras que los criterios de información proporcionan un método genérico

Objetivos y Beneficios

Proveer un marco único reconocido a nivel mundial delas "mejores prácticas" de control y seguridad de TI

„ Consolidar y armonizar estándares originados en diferentes paises desarrollados.

„ Concientizar a la comunidad sobre importancia del control y la auditoría de TI.

„ Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito

„ Aplica a todo tipo de organizaciones independiente de sus plataformas de TI

„ Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa O

Regla de Oro del COBIT

A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada.

La Estructura COBIT

La Estructura COBIT ha sido limitada a objetivos de control de alto nivel en la forma de una necesidad del negocio dentro de un proceso particular de TI, el logro del cual está posibilitado por un objetivo de control, para el cual se debe prestar consideración a los controles potencialmente aplicables.

Consejos para Implementar

Como CobiT está orientado al negocio, se lo puede utilizar directamente para comprender los objetivos de control de TI para administrar los riesgos del negocio relacionados con TI: Comience en la Estructura con sus objetivos del negocio Seleccione de los Objetivos de Control, los procesos y objetivos de control de TI apropiados para su empresa Opere desde su plan de negocios Evalúe con las guías de Auditoría los procedimientos y resultados Evalúe con las Guías de Administración el estado de su organización, identifique las actividades críticas conducentes al éxito y mida el desempeño para alcanzar los objetivos de la empresa.

Para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas como metas del negocio para TI.

El Apéndice I proporciona una matriz de metas genéricas de negocios y metas de TI y como se asocian con los criterios de la información. Estos ejemplos genéricos se pueden utilizar como guía para determinar los requerimientos, metas y métricas específicas del negocio para la empresa. Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia de la empresa, debe existir una propiedad y una dirección clara de los requerimientos por parte del negocio (el cliente) y un claro entendimiento para TI, de cómo y qué debe entregar (el proveedor).

La Figura 6 Figura 6 Figura 6 ilustra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI).

Estos objetivos a su vez, deben conducir a una clara definición de los propios objetivos de TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) requeridos para ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial. Para que el cliente entienda las metas y los Scorecard de TI, todos estos objetivos y sus métricas asociadas se deben expresar en términos de negocio significativos para el cliente, y esto, combinado con una alineación efectiva de la jerarquía de objetivos, asegurará que el negocio pueda confirmar que TI puede, con alta probabilidad, dar soporte a las metas del negocio

El éxito de la Organización depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las TI, para ello, se necesita:

  • Alinear la estrategia de las TI con la estrategia del negocio

  • Lograr que toda la estrategia de las TI, así como las metas fluyan de forma gradual a toda la empresa

  • Proporcionar estructuras organizativas que faciliten la implementación de las metas del negocio

  • Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios externos

  • Medir el desempeño de las TI.

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para las TI, de manera que:

  • Se alinee con los requerimientos del negocio

  • El desempeño real con respecto a los requerimientos sea transparente y ágil

  • Organice todas sus actividades en un modelo de procesos generalmente aceptados

  • Identifique los principales recursos que son necesarios

  • Se definan los objetivos de control que son necesarios

El gobierno y los marcos de trabajo de control son parte de las mejores prácticas de la administración de las TI y facilitan su Gobierno, además de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores prácticas de las TI se han vuelto significativas debido a un número de factores:

  • Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en las TI

  • Preocupación por el creciente nivel de gasto en las TI

  • La necesidad de cumplir con requerimientos regulatorios para controles de las TI en áreas como la privacidad o los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores específicos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacéutico, etc

  • La selección de proveedores de servicio y el manejo del Outsourcing y de la Adquisición de servicios

  • Riesgos cada vez más complejos de las TI

  • La conectividad entre las redes y su seguridad

  • Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de las TI, aumentar el valor del negocio y reducir sus riesgos

  • La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques individualizados

  • La madurez y concienciación creciente y la aceptación de marcos de trabajo respetados tales como: COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, etc.

La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia

Para ver el diagrama del modelo en MS PowerPoint presione este link.

La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje común para que cada quién en la organización pueda visualizar y gestionar las actividades de la TI:

Planificar y Organizar (PO)Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras como las TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de la empresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión para diferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde son necesarias. De modo que en este dominio típicamente se tratan las siguiente interrogantes.

  • ¿Están las TI alineadas con la estrategia de negocios?

  • ¿Está la empresa utilizando a un nivel óptimos sus recursos informáticos?

  • ¿Entiende todo el mundo de la empresa los objetivos de las TI?

  • ¿Son comprendidos los riesgo TI y son debidamente gestionados?

  • ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio?

Este dominio considera los procesos:

  • PO1 Define a strategic IT plan.

  • PO2 Define the information architecture.

  • PO3 Determine technological direction.

  • PO4 Define the IT processes, organisation and relationships.

  • PO5 Manage the IT investment.

  • PO6 Communicate management aims and direction.

  • PO7 Manage IT human resources.

  • PO8 Manage quality.

  • PO9 Assess and manage IT risks.

  • PO10 Manage projects.

Adquirir e Implementar (AI)Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas o adquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios. Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durante su operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen las preguntas:

  • ¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las necesidades del negocio?

  • ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos convenidos?

  • ¿Los nuevos sistemas operaran adecuadamente una vez implementados?

  • ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio?

Este dominio considera los procesos:

  • AI1 Identify automated solutions.

  • AI2 Acquire and maintain application software.

  • AI3 Acquire and maintain technology infrastructure.

  • AI4 Enable operation and use.

  • AI5 Procure IT resources.

  • AI6 Manage changes.

  • AI7 Install and accredit solutions and changes.

Proveer y Soportar (DS)Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: la provisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, la administración de los datos y la gestión de la instalaciones de plataforma tecnológica. Para estos efectos es necesario formularse las preguntas siguientes:

  • ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio?

  • ¿Están los costos de TI optimizados?

  • ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con seguridad?

  • ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas TI?

Este dominio considera los procesos:

  • DS1 Define and manage service levels.

  • DS2 Manage third-party services.

  • DS3 Manage performance and capacity.

  • DS4 Ensure continuous service.

  • DS5 Ensure systems security.

  • DS6 Identify and allocate costs.

  • DS7 Educate and train users.

  • DS8 Manage service desk and incidents.

  • DS9 Manage the configuration.

  • DS10 Manage problems.

  • DS11 Manage data.

  • DS12 Manage the physical environment.

  • DS13 Manage operations.

Monitorear y Evaluar (ME)Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad y conformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controles internos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntas típicas de este dominio son:

  • ¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas?

  • ¿La gestión asegura que los controles internos son efectivos y eficientes?

  • ¿Puede la performance TI relacionarse con los objetivos de negocios?

  • ¿Están siendo medidos e informados los riesgos, el control, la conformidad y la performance?

Este dominio considera los procesos:

  • ME1 Monitor and evaluate IT performance.

  • ME2 Monitor and evaluate internal control.

  • ME3 Ensure regulatory compliance.

  • ME4 Provide IT governance.

 

Maturity ModelEs modelo es el que en definitiva posibilita que los procesos que establece la COBIT sean auditables, esto es procesos que se pueden verificar primero si se cumplen y ejecutan de acuerdo a lo que la empresa declaró –ocurre la declaración cuando se publica y difunde el proceso- y, por otro parte este modelo permite establecer cual es el nivel de desarrollo que tiene el proceso en la empresa. Para esto define 6 estados o niveles, cuya definición genérica es la se incluye en la lista siguiente, no obstante para cada uno de los 34 procesos que conforman la COBIT existe su propio y único Matutity Model.

edu.red

De modo que es este modelo, a mi juicio, el que ha llevado que la COBIT sea marco de referencia preferido de las grandes compañías mundiales de auditoria.

La siguiente es la descripción genérica de los estados del Maturity Model:

  • Inexistente, se carece totalmente de un proceso. La empresa no ha reconocido la necesidad.

  • Inicial, existe evidencia que la empresa ha reconocido la necesidad del proceso. No existe un proceso formal – estandarizado – si no que existe enfoques ad-hoc que se aplican de manera individual o caso a caso. La gestión del mismo es desorganizada.

  • Repetible, el proceso se encuentra en un nivel de desarrollo tal que distintas personas ejecutan más o menos los mismos procedimientos. No existe una comunicación ni entrenamiento formal de los procedimientos, y la responsabilidad se mantiene individual. Existe una gran dependencia del conocimiento que tiene los individuos y, por tanto existe una probabilidad de error importante.

  • Definido, el proceso esta estandarizado, documentado y difundido mediante entrenamiento. Sin embargo, se deja a voluntad de los individuos la aplicación de los procedimientos del proceso y es poco probable que se detecten las desviaciones en su uso. Los procedimientos en sí no son sofisticados y corresponden a la formalización de las prácticas existentes.

  • Gestionado, es posible monitorear y medir la conformidad en la aplicación de los procedimientos del proceso y es posible tomar acciones cuando el proceso no está operando adecuadamente. Los procesos están mejorándose continuamente. Se dispone de automatizaciones y de herramientas que son usadas de una manera limitada o fragmentada.

  • Optimizado, el proceso ha sido refinado al nivel de las mejores prácticas, basado en los resultados del mejoramiento continuo y de los modelos ya maduros de otras compañías. Las TI son usadas integralmente para automatizarworkflow, entregando herramientas que mejoran la calidad y efectividad, aumentando la capacidad de adaptación de le empresa.

Conclusiones

Claramente la COBIT es un marco de referencia para profesionalizar el área informática de un compañía, que cuenta con capacidades propias o tercerizadas para la implementación de proyectos típicamente soportados con ERP de clase mundial, que tiene un área de operación con varias decenas de servidores que dan servicios a más de una locación, y que cuenta con áreas de mantenimiento y soporte. Y, más importante los Sistemas Informáticos son reconocidos por el directorio como un componente clave en el éxito comercial de la compañía y, por lo mismos que implican riesgos para el negocio. Con esto quiero de decir que si su área informática es pequeña la COBIT´puede resultar muy cara en su implementación y´por tanto no se justificaría. En el otro extremo si su empresa tranza su acciones en la Bolsa de New York es

Blibliografia

http://www.hacienda.go.cr

https://www.monigrafia.com

http://www. wikipedia.org

 

 

 

 

Autor:

Wellington Alberto Pérez Santana

Reynaldo Guzmán Núñez

Marco Antonio Quezada

Ricardo Frías Alvarez

Matricula

1-10-5382

1-11-6368

1-10-4324

1-11-5323

Profesor

Juan José

Fecha

07/08/2015