COBIT

INTRODUCCIÓN

TECNOLOGIAS DE INFORMACIÓN

Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la

administración efectiva de la información y de la Tecnología de Información (TI)
relacionada. En esta sociedad global (donde la información viaja a través del
“ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta criticidad
emerge de:

La creciente dependencia en información y en los sistemas que proporcionan

dicha información (La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las “ciber amenazas” y la guerra de información) El costo
de las inversiones actuales y futuras en información y en tecnología de
información; y El potencial que tienen las tecnologías para cambiar
radicalmente las organizaciones y las prácticas de negocio, crear nuevas
oportunidades y reducir costos. Para muchas organizaciones, la información y
la tecnología que la respalda, representan los activos más valiosos de la
empresa, por lo que la gestión de los riesgos asociados de la Tecnología de
Información, o Gobernabilidad de TI (IT Governance), ha ganado notoriedad en
tiempos recientes como un aspecto clave de la gobernabilidad corporativa, dada
su capacidad de proporcionar valor agregado al negocio, balanceando la
relación entre el riesgo y el retorno de la inversión sobre TI y sus procesos.
Estos aspectos se enfatizan en el Marco de referencia COBIT, el cual se define
como conjunto de Objetivos de Control para la Información y Tecnologías
Relacionadas.

Bajo este escenario, una adecuada administración de los recursos de TI es

fundamental para mejorar la calidad de los productos y servicios brindados por el
área, lo que se reflejará en mejoras en los procesos que respalda, y en el nivel de
seguridad y control con el cual se trabaja, elevando su capacidad para satisfacer
los objetivos de cumplimiento definidos en la estructura de control interno de la
organización, reduciendo además los costos administrativos asociados al entorno
informático. (COBIT), define un marco de referencia que clasifica los procesos de
las unidades de tecnología de información de las organizaciones en cuatro (4)
“dominios” principales, a saber: - Planificación y organización - Adquisición e
implantación - Soporte y Servicios - Monitoreo Estos dominios agrupan objetivos
de control de alto nivel, que cubren tanto los aspectos de información, como de la
tecnología que la respalda. En conjunto, estos dominios y los objetivos de control,
facilitan que la generación y procesamiento de la información cumplan con las
características de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta
los recursos que proporciona la Tecnología de Información, tales como: datos,
sistemas de aplicación, tecnología (plataformas), instalaciones y el recurso
humano. (EAFIT, 2007)

DEFINICIÓN COBIT

El COBIT es precisamente un modelo para auditar la gestión y control de los

sistemas de información y tecnología, orientado a todos los sectores de una
organización, es decir, administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo
que enfatiza en el control de negocios y la seguridad IT y que abarca controles
específicos de IT desde una perspectiva de negocios. El modelo es el resultado de
una investigación con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association). La estructura del modelo
COBIT propone un marco de acción donde se evalúan los criterios de información,
como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden
la tecnología de información, como por ejemplo el recurso humano, instalaciones,
sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos
involucrados en la organización. La adecuada implementación de un modelo
COBIT en una organización, provee una herramienta automatizada, para evaluar
de manera ágil y consistente el cumplimiento de los objetivos de control y
controles detallados, que aseguran que los procesos y recursos de información y
tecnología contribuyen al logro de los objetivos del negocio en un mercado cada
vez más exigente, complejo y diversificado. El conjunto de lineamientos y
estándares internacionales conocidos como COBIT, define un marco de referencia
que clasifica los procesos de las unidades de tecnología de información de las
organizaciones en cuatro “dominios” principales, a saber: (EAFIT, 2007)

1) PLANIFICACION Y ORGANIZACION:

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la

forma en que la tecnología de información puede contribuir de la mejor manera al
logro de los objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.

2) ADQUISION E IMPLANTACION:

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del
proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

3) SOPORTE Y SERVICIOS:

En este dominio se hace referencia a la entrega de los servicios requeridos, que

abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.

4) MONITOREO:

Todos los procesos necesitan ser evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los
aspectos de información, como de la tecnología que la respalda. Estos dominios y
objetivos de control facilitan que la generación y procesamiento de la información
cumplan con las características de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.

USUARIOS

• La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.

• Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el

control de los productos que adquieren interna y externamente.

• Los Auditores: para soportar sus opiniones sobre los controles de los proyectos
de TI, su impacto en la organización y determinar el control mínimo requerido.

• Los Responsables de TI: para identificar los controles que requieren en sus
áreas.

También puede ser utilizado dentro de las empresas por el responsable de un

proceso de negocio en su responsabilidad de controlar los aspectos de
información del proceso, y por todos aquellos con responsabilidades en el campo
de la TI en las empresas. (EAFIT, 2007)

CARACTERISTICAS:

• Orientado al negocio
• Alineado con estándares y regulaciones "de facto"

• Basado en una revisión crítica y analítica de las tareas y actividades en TI

• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
(EAFIT, 2007)

PRINCIPIOS

El enfoque del control en TI se lleva a cabo visualizando la información necesaria

para dar soporte a los procesos de negocio y considerando a la información como
el resultado de la aplicación combinada de recursos relacionados con las TI que
deben ser administrados por procesos de TI. Requerimientos de la información del
negocio: Para alcanzar los requerimientos de negocio, la información necesita
satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros y Cumplimiento le leyes y regulaciones.

EFECTIVIDAD

La información debe ser relevante y pertinente para los procesos del negocio y
debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

EFICIENCIA

Se debe proveer información mediante el empleo óptimo de los recursos (la forma
más productiva y económica).

CONFIABILIDAD

Proveer la información apropiada para que la administración tome las decisiones

adecuadas para manejar la empresa y cumplir con sus responsabilidades.

CUMPLIMIENTO

De las leyes, regulaciones y compromisos contractuales con los cuales está

comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

CONFIDENCIALIDAD

Protección de la información sensible contra divulgación no autorizada.

INTEGRIDAD

Refiere a lo exacto y completo de la información así como a su validez de acuerdo

con las expectativas de la empresa.

DISPONIBILIDAD

Accesibilidad a la información cuando sea requerida por los procesos del negocio
y la salvaguarda de los recursos y capacidades asociadas a la misma. En COBIT
se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos
de negocio:

DATOS

Todos los objetos de información. Considera información interna y externa,

estructurada o no, gráficas, sonidos, etc.

APLICACIONES

Entendidas como sistemas de información, que integran procedimientos

manuales y sistematizados

TECNOLOGÍA

Incluye hardware y software básico, sistemas operativos, sistemas de

administración de bases de datos, de redes, telecomunicaciones,
multimedia, etc.

INSTALACIONES

Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
información.

RECURSO HUMANO Por la habilidad, conciencia y productividad del

personal para planear, adquirir, prestar servicios, dar soporte y monitorear
los sistemas de Información, o de procesos de TI. (EAFIT, 2007).

EVOLUCIÓN DEL COBIT

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado
la forma en que trabajan los profesionales de tecnología. Vinculando tecnología
informática y prácticas de control, el modelo COBIT consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la gerencia,
los profesionales de control y los auditores.
Cobit en sus primeras versiones se definía como un marco de auditoría y control
para auditores de TI. (Años 1996 Cobit 1 y 1998 Cobit 2).Posteriormente ISACA
en las revisiones del año 2000 genera Cobit 3 incluyendo un documento o guía de
gestión para la dirección, con una acercamiento al concepto de Gobierno de TI
Luego aparece la versión 4.0 de Cobit (año 2005-2007) la cual define un marco
general de Gobierno TI y definiciones como Val IT (valor de las TI) o RISK IT
(riesgos). Finalmente en el año 2012 Cobit 5 donde su principal principio es el de
separar el Gobierno de la Gestión. (ISACA, 2012).

Fuente: Un Marco Empresarial de ISACA, en www.isaca.org/cobit

La estructura del modelo COBIT propone un marco de acción donde se

evalúan los criterios de información, como por ejemplo la seguridad y
calidad, se auditan los recursos que comprenden la tecnología de información ,
como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y
finalmente se realiza una evaluación sobre los procesos involucrados en la
organización.

A continuación se presenta un resumen de los elementos principales del Modelo

de COBIT 5, tomando como base el documento de ISACA ya mencionado,
así como otros trabajos publicados por la organización.

PRINCIPIOS

Los principios claves del Modelo de COBIT 5 para el gobierno y la

gestión de TI de las empresas son:

Fuente: COBIT® 5, Figura 2. © 2012 ISACA

 Satisfacer las necesidades de las Partes Interesadas: El marco

incluye procesos y otros catalizadores para permitir la creación de
valor de las empresas, mediante el uso de recursos tecnológicos.
  Cubrir la Empresa de Extremo a Extremo: No hay un enfoque sólo en

la función de TI, sino que trata la información corporativa y sus

tecnologías relacionadas como activos en las empresas. Además se cubren
las funciones y procesos necesarios para gobernarlos y gestionarlos.

 Aplicar un Marco de Referencia Único Integrado: el modelo COBIT 5 está

alineado con estándares y prácticas generalmente aceptadas.

 Hacer posible un enfoque Holístico: Se toma un enfoque que tenga en

cuenta varios componentes o catalizadores / habilitadores interactivos.

 Separar el Gobierno de la Gestión: Considera una separación entre el rol

del Gobierno (ejercido por la Junta, Comités, etc) y la Gestión (ejercida por
el gerente general y su equipo). Ambos tienen roles, actividades,
propósitos y estructuras diferentes.

COBIT 5hace una clara distinción entre gobierno y gestión. Estas dos
disciplinas abarcan diferentes tipos de actividades, requieren de estructuras
organizativas propias y tienen objetivos particulares.

Fuente: COBIT® 5, Figura 3. © 2012 ISACA

El Gobierno según (Muñoz & Martinez, 2012), asegura que las necesidades de los
Stakeholders, condiciones y opciones sean evaluadas para determinar un balance
en el logro de los objetivos estratégicos de la organización, con el propósito de
establecer una clara dirección de la organización a través de procesos de
priorización y toma de decisiones; y monitorear su desempeño y cumplimiento
cotejándolo con los objetivos establecidos por la dirección.

La Gestión según (Muñoz & Martinez, 2012), posibilita la planeación,

construcción, ejecución y monitoreo de actividades alineadas con la dirección;
establecidas por el gobierno, para alcanzar los objetivos estratégicos de la
organización. En la mayoría de las organizaciones, la gestión es responsabilidad
de la dirección ejecutiva bajo el mando del CEO. (REVISTA ESPACIOS, 2017)

Cascada de Metas COBIT 5

Los Motivos de las Partes Interesadas Influyen en las Necesidades de las Partes
Interesadas La diferencia entre Gobierno y Gestión será luego descrita. De todas
maneras, es claro que el propósito de cualquier tipo de empresa será la
creación de valor como Objetivo de Gobierno. Esto implica, pues, conseguir
beneficios para la empresa, utilizando de manera óptima los recursos y
llevando a cabo las operaciones con niveles de riesgo aceptables

Esto se muestra en la parte superior de la Figura

De manera que se puedan alinear las necesidades de la empresa con las

soluciones y servicios brindados por TI, las necesidades de los interesados deben
traducirse en metas corporativas, metas relacionadas con las TI y metas
catalizadoras específicas, útiles y a la medida. Esto describe una especie de
cascada, la cual es mostrada. (ISACA, 2012)
Ilustración de la Visión General de la Cascada de Metas de COBIT

Fuente: ISACA 2012

En primer lugar, observamos cómo es que diversos motivos como el entorno de la

empresa, regulaciones y normas legales, tecnologías cambiantes o estrategias de
la propia compañía influyen en las necesidades de las Partes Interesadas.
Es decir, dichos motivos serán traducidos en necesidades que luego serán
satisfactoriamente logradas mediante el desglose en Metas Corporativas, Metas
Relacionadas con las TI y, finalmente, en Metas de los Catalizadores.
 IMPLEMENTACIÓN DEL COBIT 5

• ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías

a implementar unos habilitadores de gobierno sanos. De hecho, la
implementación de un buen GEIT es casi imposible sin la activación de un
marco efectivo de gobierno. También están disponibles las mejores
prácticas y los estándares que soportan al COBIT 5. Los marcos, mejores
prácticas y normas son útiles solamente si son adoptados y adaptados de
manera efectiva. Hay que superar muchos retos y resolver varios asuntos
para poder implementar GEIT de manera exitosa. (ISACA, 2012).

• MARCO de referencia DEL COBIT 5

COBIT es un marco de referencia creado por ISACA (Information Systems
Audit and Control Association (Asociación de Control y Auditoria de
Sistemas de Información) para la gestión de la TI y el Gobierno de TI. Es un
conjunto de herramientas de soporte que permite a la gerencia de las
organizaciones el cerrar la brecha entre los requerimientos de control,
problemas técnicos y los riesgos del negocio. Este marco provee buenas
prácticas y presenta actividades para el Gobierno de TI en una estructura
manejable y lógica. Las buenas prácticas de COBIT reúnen el consenso de
expertos, quienes ayudarán a optimizar la inversión en TI y proporcionarán
un mecanismo de medición que permitirá juzgar cuando las actividades van
por el camino equivocado.
• COBIT 5 aparece como un marco de trabajo que se alinea con las
últimas visiones sobre gobierno. De esta manera, COBIT 5 coadyuva a
que la empresa logre tanto sus objetivos para el gobierno como para
la gestión de las TI corporativas. En resumidas cuentas, se explica el
propósito de dicho marco de trabajo:
• COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo
holístico para toda la empresa, abarcando al negocio completo de principio
a fin y las áreas funcionales de responsabilidad de TI, considerando los
intereses relacionados con TI de las partes interesadas internas y externas.
COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto
comerciales, como sin ánimo de lucro o del sector público. (ISACA, 2012).

Por otra parte FONSECA, nos indica que por este motivo, el marco de
referencia del CobiT se sustenta para proporcionar la información que la
compañía requiere y lograr objetivos, debe invertir, administrar y controlar
los recursos de TI, utilizando un conjunto estructurado de procesos que
provean los servicios que entregan la información.El CobiT está
constituido por tres (3) dimensiones:

 Criterios de control (Requerimientos del negocio), integrado por

siete (7) objetivos y/o criterios de control.

 Procesos TI, integrado por cuatro (4) dominios y treinta y cuatro

(34) procesos.

 Recursos TI, integrado por aplicaciones, información,

infraestructura y personas

Cada dimensión se posiciona sobre diversos aspectos de los criterios de

control (requerimientos del negocio), específicamente, en cuanto a los
sistemas TI y los recurso de soporte relacionados con los procesos que a
desarrollar. Esto permite a la gerencia enfocarse sobre los aspectos que
le interesa conocer o mejorar, sobre todo, en aquellos relativos a la
calidad, costo y la adquisición apropiada de los recursos relacionados, Así
mismo, el CobiT reconoce que los procesos TI que operan en tres niveles
están interconectados entre sí.
 Criterios de control (Requerimientos del negocio)

Para satisfacer los objetivos del negocio, la información necesita adaptarse a

ciertos criterios de control, los que se ubican en la parte más alta del cubo del
CobiT. Esta dimensión del CobiT comprende siete (7) criterios que podrían
denominarse objetivos | lograr:

 Efectividad. Tiene que ver con que la información sea relevante y

pertinente a los procesos del negocio, y se proporcione de una manera
oportuna, correcta, consistente y utilizable.

 Eficiencia. Consiste en que la información sea generada con el óptimo

(más productivo y económico) uso de Tos recursos.

 Confidencialidad. Se refiere a la protección de información sensitiva

contra revelación no autorizada.

 Integridad. Está relacionada con la precisión y la totalidad de la

información, así como con su validez de acuerdo con los valores y
expectativas del negocio.

 Disponibilidad. Se refiere a que la información esté disponible cuando sea

requerida por los procesos del negocio en cualquier momento. También,
concierne a la protección de los recursos y las capacidades necesarias
asociadas.

 Cumplimiento. Tiene que ver con cumplir las leyes, reglamentos y

acuerdos contractuales a los cuales está sujeto el negocio, es decir,
 criterios de negocios impuestos externamente, así como políticas internas.

 Confiabilidad, Consiste en proporcionar información apropiada para que la

gerencia desempeñe sus responsabilidades fiduciarias y de gobierno
corporativo.

 Todos los sistemas y procesos TI deberían ser evaluados, para considerar

si cumplen con cada uno de los criterios antes expuestos. Por ello, el
énfasis de cada criterio varía en función al tipo de proceso, en tanto que
las funciones del negocio podrían establecerse de acuerdo con sus
requerimientos y necesidades. (FONSECA LUNA, 2011)

RECURSOS TI

En el cubo del CobiT, la compañía en su conjunto se representa en tres

dimensiones, una de ellas, está referida a los recursos TI que incluye:
personas, infraestructura, información (data), y aplicaciones. A fin de
responder a los requerimientos que demanda TI, la compañía debería
invertir en los recursos necesarios para disponer de la capacidad técnica
adecuada requerida, por ejemplo, mediante la implementación de un
sistema de planeamiento de los recursos empresariales, y para brindar un
efectivo soporte a la capacidad del negocio a través del diseño de una
cadena de suministro, lo que generará el resultado deseado. Por lo tanto, los
recursos ya sea en forma individual o en grupo, deben ser considerados
cuando se lleva a cabo la evaluación de controles en un ambiente TI.
Fuente: Adaptado de Cobit 4.1., IT Governance Institute

Los elementos que conforman los Recursos TI identificados por el CobiT

se describen a continuación:

• Aplicaciones. Comprenden a los sistemas de usuario automatizados, al

igual que los procedimientos manuales que procesan información.

• Información. Incluye la data, entrada, salida y procesamiento, para uso

de los procesos de negocios.

• Infraestructura. Incluye el hardware, sistemas operativos, base de

datos, redes y el ambiente que los alberga y soporta. Esto permite el
procesamiento de las aplicaciones.

Personas. Representa al personal requerido por la organización

para realizar las tareas de planificación, adquisición, implementación,
soporte, monitoreo y evaluación de los sistemas y servicios de
información. Estas pueden ser de la propia entidad o contratadas
mediante un tercerizador.
 Si bien los procesos TI se refieren a una de las tres dimensiones del
marco de referencia del CobiT, los usuarios de esta herramienta deberían
siempre enfocar el control, en términos de como se relaciona con otros
componentes, dado que existen interrelaciones en todos los procesos y
controles. (FONSECA LUNA, 2011)

Procesos TI

La tercera dimensión del CobiT se denomina Procesos TI y está integrada por

tres (3) componentes o elementos: Dominios, Procesos, y Actividades. El modelo
de pro- cesos del CobiT establece cuatro (4) Dominios que son agrupados, con el
propósito de armonizar las áreas de responsabilidad organizacional. Estos
dominios son equivalentes a las áreas tradicionales de TI de planear, construir,
ejecutar y moni torear que definen las responsabilidades.

El CobiT proporciona el modelo para que todos visualicen y administren las

actividades de TI, y lleven a cabo la medición y el monitoreo de su desempeño. La

incorporación de un modelo operativo y un lenguaje común para todas las partes

involucradas en el desarrollo de TI, es uno de los pasos iniciales hacia un buen

gobierno corporativo.
Los Dominios son agrupaciones de los objetivos de control en etapas lógicas
en el ciclo de vida TI y comprenden:

• Planeamiento y organización.
• Adquisición e implementación.
• Entrega y soporte.
• Monitoreo. (FONSECA LUNA, 2011)
Bibliografía
EAFIT, U. (10 de MAYO de 2007). CONSULTORIO CONTABLE. Recuperado el 15 de JULIO de 2017,
de http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf

FONSECA LUNA, O. (2011). SISTEMA DE CONTROL INERNO PARA ORGANIZACIONES (1RA ed.). (I. D.
IICO, Ed.) LIMA, PERÚ: PUBLICIDAD & MATIZ.

ISACA. (2012). www.isaca.org. Recuperado el 23 de JULIO de 2017, de ISACA:

www.isaca.org/COBIT/pages/COBIT-5-spanish.aspx

REVISTA ESPACIOS. (2017). www.revistaespacios.com. Recuperado el 14 de AGOSTO de 2017, de

www.revistaespacios.com/a17v38n23/a17v38n23p03.pdf