APLICACIÓN DE COBIT 5

COBIT 5 parte del supuesto que las empresas existen para crear valor para sus “partes interesadas”
(stakeholders), entonces cualquier empresa, comercial o no, tendrá la creación de valor como un
objetivo de gobierno.

Para aplicar el primer principio de COBIT 5, satisfacer las necesidades de las partes interesadas,
al sistema de registro contable informático, es necesario definir quiénes son sus “partes
interesadas” y cuáles son sus ”necesidades”.

 Partesinteresadas:
o Externas: sociedad en general, clientes, proveedores, autoridad de contralor,
auditores externos
o Internas: órgano de administración y de gobierno, responsables de los procesos
de negocios, responsables del sistema de registro contable, responsables de la TI,
responsables del cumplimiento, auditores internos
 Necesidades de las partes: En este trabajo se hará hincapié en dos de las propuestas por
el marco COBIT 5:
o Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y
regulaciones externas: Se requiere cumplir con un conjunto de leyes nacionales
y las emitidas por la autoridad de contralor.
o Seguridad de la información, infraestructura de procesamiento y aplicaciones: La
autoridad de control requiere que el sistema de registro contable ofrezca un
elevado grado de inalterabilidad (no modificación) delos registros realizados, el
que estará sustentado en controles internos de tipo administrativo contable y otros
de tipo operativos o programados, aplicables sobre la información de entrada, su
procesamiento e información de salida.

COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo, cubriendo todas las

funciones y procesos dentro de la empresa. No se enfoca sólo en la “función de tecnología de
información”, sino que trata la información y las tecnologías relacionadas como activos que deben
ser tratados como cualquier otro activo por todos en la empresa.

El principio 2, cubrir la empresa extremo-a-extremo, se refleja en la definición de sistema de

registro contable, considerado como tal al conjunto de elementos interrelacionados destinados al
registro de las operaciones y hechos económico–financieros de “toda” entidad. Por ejemplo, al
realizar una compra de un activo informático crítico, el mismo serárecibido, registrado y
controlado por los roles de negocio, mientras que será utilizado y administrado por los distintos
roles de TI. Ambos roles definirán posteriormente si ese activo ha contribuido al logro de los
objetivos de negocio y de TI.

COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo
puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI de la
empresa. Esto se refleja en el principio 3, aplicar un marco de referencia único integrado.

Esta alineación a alto nivel permite hacer un mapeo entre los diferentes marcos y así utilizar lo
mejor de cada uno de ellos para cumplir con las leyes y normas vigentes nacionales basadas en
marcos reconocidos internacionalmente, tales como el Marco Integrado de Control Interno
publicado por el Committee of Sponsoring Organizations of theTreadway Commission (COSO),
ISO/IEC 27002 y las relacionadas con protección de datos personales.

El principio 4 es hacer posible un enfoque holístico. COBIT 5 define siete categorías de

catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para la
TI de la empresa, todos ellos necesarios para asegurar la correcta implementación del sistema de
registro contable informático y la exactitud e integridad de la información contable (financial
statement):

1. Principios, políticas y marcos de referencia necesarios para llevar a cabo y registrar

todas las operaciones de la sociedad y gestionar el sistema de registro contable
informático.
2. Procesos necesarios gestionar las actividades de la TI relacionadas con el sistema de
registro contable informático.
3. Estructuras organizativas que definan las responsabilidades de cada uno de los roles de
negocios y de TI involucrados en las acciones de registración propiamente dichas y las
relacionadas con el sistema de registro contable informático.
4. Cultura, ética y comportamiento de los individuos y de la empresa, que brinde las bases
necesarias para el cumplimiento del negocio de las leyes y regulaciones externas, políticas
y procedimientos internos y mejores prácticas para la protección de los activos de TI en
general y de información en particular.
5. Información contable útil para la toma de decisiones de todas las partes interesadas y
para demostrar el cumplimiento normativo ante terceras partes, incluyendo situaciones
judiciales.
6. Servicios, infraestructura y aplicaciones que proporcionan a la empresa los servicios y
tecnologías de procesamiento de la información relacionados con el sistema de registro
contable informático.
7. Personas, habilidades y competencias tanto de negocios como de TI, necesarias para
poder llevar a cabo las actividades y para la correcta toma de decisiones y de acciones
correctivas.

COBIT 5 define un mapeo de cómo cada una de estas metas relacionada con TI es soportada por
los procesos de COBIT 5.

Con respecto a la meta cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes
y regulaciones externas, COBIT 5 considera que es necesario implementar:

Principalmente los procesos:

1. BAI10 Gestionar la configuración

2. DSS05 Gestionar los servicios de seguridad
3. MEA02 Supervisar, evaluar y valorar el sistema de control interno
4. MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos

Secundariamente los procesos:

5. BAI02 Gestionar la definición de requisitos

6. BAI09 Gestionar los activos
7. DSS01 Gestionar las operaciones
8. DSS03 Gestionar los problemas
9. DSS04 Gestionar la continuidad
10. DSS06 Gestionar los controles de los procesos del negocio
11. MEA01 Supervisar, evaluar y valorar rendimiento y conformidad

Con respecto a la meta seguridad de la información, infraestructura de procesamiento y

aplicaciones, COBIT 5 considera que es necesario implementar:
Principalmente los procesos:

1. BAI06 Gestionar los cambios

2. DSS05 Gestionar los servicios de seguridad

Secundariamente los procesos:

3. BAI02 Gestionar la definición de requisitos

4. BAI08 Gestionar el conocimiento
5. BAI09 Gestionar los activos
6. BAI10 Gestionar la configuración
7. DSS01 Gestionar las operaciones
8. DSS02 Gestionar las peticiones y los incidentes del servicio
9. DSS04 Gestionar la continuidad
10. DSS06 Gestionar los controles de los procesos del negocio
11. MEA01 Supervisar, evaluar y valorar rendimientos y conformidad
12. MEA02 Supervisar, evaluar y valorar el sistema de control interno
13. MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos

Como puede observarse varios procesos se repiten. Puestos que los mismos están íntimamente
relacionados para la consecución de las metas y las salidas de un proceso son la entrada de otro.

Separar el Gobierno de la Gestión

El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión (principio
5). Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras
organizativas y sirven a diferentes propósitos.

Este principio, propio de COBIT 5, convalida su aplicabilidad no solo al sistema de registro

contable informático sino, también, al espíritu de organización societaria de la Ley de sociedades
comerciales argentinas.

Graciela Braga, CGEIT, CPA

Es vicepresidente de la Comisión de Estudios sobre Sistemas de Registro, su integridad y
autenticidad documental del Consejo Profesional de Ciencias Económicas de la Ciudad
Autónoma de Buenos Aires, Argentina e Investigadora del Instituto Autónomo del Derecho
Contable, Argentina. Sus antecedentes laborales incluyen auditorías y revisiones del control
interno tanto en el ámbito público como en el privado, utilizando Marcos internacionales como
COBIT, COSO y la Serie ISO 27000. Participó en la elaboración y revisión de productos y
artículos técnicos de ISACA relacionados con COBIT, privacidad y macrodatos (big data).

Guía de Implantación

Surge de la necesidad de generar más valor a las inversiones en la Tecnología y de administrar

una gama creciente de riesgos relacionados con la Tecnología. La implementación del ciclo de
vida proporciona a las empresas una manera de usar COBIT para solucionar la complejidad y los
desafíos que normalmente aparecen durante las implementaciones.
Los componentes interrelacionados del ciclo de vida son:

1. Ciclo de vida de Mejora continua

2. Habilitación del cambio – Abordar los aspectos culturales y de comportamiento
3. Gestión del programa

Fase 1
Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio a un nivel de
dirección ejecutiva.

Fase 2
Define el alcance de la iniciativa de implementación o mejora empleando el mapeo de COBIT de
metas empresariales con metas de TI a los procesos de TI asociados, y considerando cómo los
escenarios de riesgos podrían destacar los procesos clave en los que focalizarse. Se lleva a cabo
una evaluación del estado actual y se identifican los problemas y deficiencias mediante la
ejecución de un proceso de revisión de capacidad.

Fase 3
Establece un objetivo de mejora, seguido de un análisis más detallado aprovechando las
directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones
pueden ser beneficios inmediatos y otras actividades de largo plazo.

Fase 4
Planifica soluciones prácticas y desarrolla un plan de cambios para la implementación.

Fase 5
Las soluciones propuestas son implementadas. Se pueden definir las mediciones y establecer la
supervisión empleando las metas y métricas de COBIT.

Fase 6
Se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la supervisión
de la consecución de los beneficios esperados.

Fase 7
Se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la
gestión de la TI empresarial.

En resumen la implementación de Cobit 5 cubre:

● Posicionamiento de GEIT (Gobierno Corporativo de TI) en la organización

● Adopción de los primeros pasos para mejorar GEIT
● Factores de éxito y retos para la implementación
● Habilitación del cambio de comportamiento y organizacional relacionado con el GEIT
● Implementación de una mejora continua que incluye la habilitación del cambio y la
gestión del programa
● Uso de COBIT 5 y sus componentes.