Beruflich Dokumente
Kultur Dokumente
COBIT 5 parte del supuesto que las empresas existen para crear valor para sus “partes interesadas”
(stakeholders), entonces cualquier empresa, comercial o no, tendrá la creación de valor como un
objetivo de gobierno.
Para aplicar el primer principio de COBIT 5, satisfacer las necesidades de las partes interesadas,
al sistema de registro contable informático, es necesario definir quiénes son sus “partes
interesadas” y cuáles son sus ”necesidades”.
Partesinteresadas:
o Externas: sociedad en general, clientes, proveedores, autoridad de contralor,
auditores externos
o Internas: órgano de administración y de gobierno, responsables de los procesos
de negocios, responsables del sistema de registro contable, responsables de la TI,
responsables del cumplimiento, auditores internos
Necesidades de las partes: En este trabajo se hará hincapié en dos de las propuestas por
el marco COBIT 5:
o Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y
regulaciones externas: Se requiere cumplir con un conjunto de leyes nacionales
y las emitidas por la autoridad de contralor.
o Seguridad de la información, infraestructura de procesamiento y aplicaciones: La
autoridad de control requiere que el sistema de registro contable ofrezca un
elevado grado de inalterabilidad (no modificación) delos registros realizados, el
que estará sustentado en controles internos de tipo administrativo contable y otros
de tipo operativos o programados, aplicables sobre la información de entrada, su
procesamiento e información de salida.
COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo
puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI de la
empresa. Esto se refleja en el principio 3, aplicar un marco de referencia único integrado.
Esta alineación a alto nivel permite hacer un mapeo entre los diferentes marcos y así utilizar lo
mejor de cada uno de ellos para cumplir con las leyes y normas vigentes nacionales basadas en
marcos reconocidos internacionalmente, tales como el Marco Integrado de Control Interno
publicado por el Committee of Sponsoring Organizations of theTreadway Commission (COSO),
ISO/IEC 27002 y las relacionadas con protección de datos personales.
COBIT 5 define un mapeo de cómo cada una de estas metas relacionada con TI es soportada por
los procesos de COBIT 5.
Con respecto a la meta cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes
y regulaciones externas, COBIT 5 considera que es necesario implementar:
Como puede observarse varios procesos se repiten. Puestos que los mismos están íntimamente
relacionados para la consecución de las metas y las salidas de un proceso son la entrada de otro.
Guía de Implantación
Fase 1
Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio a un nivel de
dirección ejecutiva.
Fase 2
Define el alcance de la iniciativa de implementación o mejora empleando el mapeo de COBIT de
metas empresariales con metas de TI a los procesos de TI asociados, y considerando cómo los
escenarios de riesgos podrían destacar los procesos clave en los que focalizarse. Se lleva a cabo
una evaluación del estado actual y se identifican los problemas y deficiencias mediante la
ejecución de un proceso de revisión de capacidad.
Fase 3
Establece un objetivo de mejora, seguido de un análisis más detallado aprovechando las
directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones
pueden ser beneficios inmediatos y otras actividades de largo plazo.
Fase 4
Planifica soluciones prácticas y desarrolla un plan de cambios para la implementación.
Fase 5
Las soluciones propuestas son implementadas. Se pueden definir las mediciones y establecer la
supervisión empleando las metas y métricas de COBIT.
Fase 6
Se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la supervisión
de la consecución de los beneficios esperados.
Fase 7
Se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la
gestión de la TI empresarial.