Sie sind auf Seite 1von 6

COBIT

En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y análisis de
fuentes internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos y
Australia.

En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las guías de
gestión. Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en línea ya
se encontraba disponible en el sitio de ISACA.

Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para
soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor
desarrollo del Gobierno de TI.

En diciembre de 2005, la cuarta edición fue publicada y en Mayo de 2007, se liberó la versión
4.1.

La versión número 5 de COBIT fue liberada en el año 2012. En esta edición se consolida e
integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de
referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la
Información (BMIS, Business Model for Information Security) y el Marco de Referencia para el
Aseguramiento de la Tecnología de la Información (ITAF, Information Technology Assurance
Framework).

El Marco de Referencia de COBIT 4.1, está conformado por 34 Objetivos de Control de alto
nivel, todos diseñados para cada uno de los Procesos de TI, los cuales están agrupados en
cuatro grandes secciones mejor conocidos como dominios, estos se equiparán a las áreas
tradicionales de TI de planear, construir, ejecutar y monitorear.

Planificación y Organización, proporciona la dirección para la entrega de soluciones y la


entrega de servicios.

Adquisición e Implementación, proporciona soluciones y las desarrolla para convertirlas en


servicios.

Entrega de servicios, recibe soluciones y las hace utilizables para los usuarios finales.
Soporte y Monitorización, monitorea todos los procesos para asegurar que se sigue con la
dirección establecida.

Esta estructura cubre todos los aspectos de la información y de la tecnología que la soporta, y
define los dominios como sigue:

Dominio Planear y Organizar (PO): Este dominio cubre las estrategias y las tácticas, y tiene que
ver con identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es
importante mencionar que la realización de la visión estratégica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas; y finalmente, la implementación de
una estructura organizacional y tecnológica apropiada.

La gerencia espera cubrir la alineación de la estrategia de TI con el negocio, optimizar el uso de


recursos, el entendimiento de los objetivos de TI por parte de la organización, la
administración de riesgos y calidad en los sistemas de TI para las necesidades del negocio.

Dominio Adquirir e Implementar (AI): Con el fin de cumplir una estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o adquiridas, como también implementadas e
integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas
existentes serán cubiertos para garantizar que las soluciones sigan satisfaciendo los objetivos
del negocio.

La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen soluciones
que satisfagan las necesidades del negocio, que sean entregados en tiempo y dentro del
presupuesto, que los nuevos sistemas una vez implementados trabajen adecuadamente y que
los cambios no afecten las operaciones actuales del negocio.

Dominio Entregar y Dar Soporte (DS): Involucra la entrega en sí de los servicios requeridos,
incluyendo la prestación del servicio, la administración de la seguridad y de la continuidad, el
soporte a los usuarios del servicio, la administración de los datos y de las instalaciones
operativas.

El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del
negocio, la optimización de costos, asegurar que la fuerza de trabajo utilice los sistemas de
modo productivo y seguro, implantar de forma correcta la confidencialidad, la integridad y la
disponibilidad.

Dominio Monitorear y Evaluar (ME): La totalidad de los procesos de TI deben de ser evaluados
regularmente en el tiempo, para conocer su calidad y cumplimiento de los requerimientos de
control. Este dominio incluye la administración del desempeño, el monitoreo del control
interno, el cumplimiento regulatorio y la aplicación del gobierno.

Con esto se obtendrá de manera oportuna la detección de problemas por medio de la


medición del desempeño, se garantiza que los controles internos sean efectivos y eficientes, la
vinculación del desempeño de TI con las metas del negocio así como la medición y reporte de
riesgos, además del control, cumplimiento y desempeño.
Otro concepto calve de COBIT, es la determinación y la mejora sistemática de la madurez del
proceso, el cual tiene 7 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI:

0 – Inexistente: No existe información alguna, no conocimiento sobre el gobierno de TI.

1 – Inicial / ad hoc: En el proceso existen tareas indefinidas, pero hay confianza en la iniciativa.

2 – Repetible pero intuitivo: El proceso cuenta con personal de calidad y tareas definidas.

3 – Definido: Proceso definido e institucionalizado, cuenta con política, estándares y


procedimiento establecidos.

4 – Gestionable y medible: El proceso tiene estructuras de control completas y análisis del


desempeño.

5 – Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas.

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y los
niveles de riesgo asumidos. COBIT 5 posibilita que TI sea gobernada y gestionada en forma
holística para toda la organización, tomando en consideración el negocio y áreas funcionales
de punta a punta así como los interesados internos y externos. COBIT 5 se puede aplicar a
organizaciones de todos los tamaños, tanto en el sector privado, público o entidades sin fines
de lucro.

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria los
procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la información
confiable, y los que proveen calidad, confiabilidad y control de TI.

OBJETIVOS DE CONTROL DEL COBIT

Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prácticas de gobierno y gestión para


describir las acciones que son ejemplo de mejores prácticas de su aplicación. COBIT 5 ha
cambiado su enfoque de objetivos de control a una visión por proceso, descripta en detalle por
uno de los principales redactores del nuevo estándar, Erik Guidentops, en su artículo “Where
Have All The Control Objectives Gone?”.

PRINCIPIOS DE COBIT 5

Satisfacer las necesidades del accionista

Considerar la empresa de punta a punta

Aplicar un único modelo de referencia integrado

Posibilitar un enfoque holístico


Separar gobierno de la gestión.

- Satisfacción de las necesidades de los accionistas: se alinean las necesidades de los


accionistas con los objetivos empresariales específicos, objetivos de TI y objetivos
habilitadores. Se optimiza el uso de recursos cuando se obtienen beneficios con un
nivel aceptable de riesgo.

- Considerar la empresa de punta a punta: el gobierno de TI y la gestión de TI son


asumidos desde una perspectiva global, de tal modo que se cubren todas las
necesidades corporativas de TI. Esto se aplica desde una perspectiva "de punta a
punta" basada en los 7 habilitadores de COBIT.

- Aplicar un único modelo de referencia integrado: COBIT 5 integra los mejores marcos
de Information Systems Audit and Control Association (ISACA) como Val IT, que
relaciona los procesos de COBIT con los de la gerencia requeridos para conseguir un
buen valor de las inversiones en TI. También se relaciona con Risk IT, lanzado por
ISACA para ayudar a organizaciones a equilibrar los riesgos con los beneficios.

Se considera el uso de Business Model for Information Security (BMIS) e IT Assurance


Framework (ITAF). Además permite alinearse con los principales estándares o marcos como
Information Technology Infrastructure Library (ITIL), The Open Group Architecture Forum
(TOGAF), Project Management Body of Knowledge (PMBOK), PRojects IN Controlled
Environments 2 (PRINCE2), Committee of Sponsoring Organizations of the Treadway
Commission (COSO) y estándares ISO.

- Posibilitar un enfoque holístico: los habilitadores de COBIT 5 están identificados en


siete categorías que abarcan la empresa de punta a punta. Individual y colectivamente,
estos factores influyen para que el gobierno de TI y la gestión de TI operen en función
de las necesidades del negocio.

- Separar el gobierno de la gestión: COBIT 5 distingue con claridad los ámbitos del
gobierno de TI y la gestión de TI. Se entiende por gobierno de TI las funciones
relacionadas con la evaluación, la dirección y el monitoreo de las TI. El gobierno busca
asegurar el logro de los objetivos empresariales y también evalúa las necesidades de
los accionistas, así como las condiciones y las opciones existentes. La dirección se
concreta mediante la priorización y la toma efectiva de decisiones. Y el monitoreo
abarca el desempeño, el cumplimiento y el progreso en función con los objetivos
acordados. La gestión está más relacionada con la planificación, la construcción, la
ejecución y el monitoreo de las actividades alineadas con la dirección establecida por
el organismo de gobierno para el logro de los objetivos empresariales.

HABILITADORES DE COBIT 5

Principios, políticas y modelos de referencia

Procesos

Estructuras organizacionales

Cultura, ética y comportamiento

Información

Servicios, infraestructura y aplicaciones

Gente, habilidades y competencias.

SEPARACIÓN ENTRE GOBIERNO Y GESTIÓN

El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de los
accionistas, las condiciones y opciones; establecer la dirección a través de la priorización y la
toma de decisiones; y monitorear el desempeño, el cumplimiento y el progreso versus la
dirección y objetivos acordados (EDM, por Evaluar, Dirigir, Monitorear).

Por su parte la gestión se ocupa de planificar, construir, ejecutar y monitorear las actividades
alineadas con la dirección establecida por el organismo de gobierno para el logro de los
objetivos empresariales (PBRM ó Planificar, Construir, Ejecutar y Monitorear, por su sigla en
inglés).

Es COBIT 5 un modelo superior a otros modelos de control aceptados

La mayoría de los ejecutivos conocen la importancia de los marcos generales de control en


relación con la responsabilidad fiduciaria, tales como COSO, Cadbury, CoCo, Sarbanes-Oxley.
Sin embargo, no necesariamente son conscientes del nivel de detalle de cada uno. Por otro
lado, los ejecutivos cada vez más conocen la importancia de guías técnicas como ITIL (para la
gestión de servicios de TI) e ISO 27001 (para seguridad de información).

Si bien estos estándares y modelos enfatizan el control del negocio y la seguridad y servicio de
TI, COBIT es el único que se ocupa de los controles específicos de TI desde la perspectiva del
negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e ITIL. No se pretende que COBIT
reemplace estos modelos de control, sino lo que se destacan son los elementos de gobierno y
gestión y las prácticas necesarias para crear valor para la compañía.

¿Cuál es la forma más rápida y efectiva de presentar COBIT a los ejecutivos?

La cultura empresarial es de vital importancia. Una cultura proactiva será más receptiva que
una que no lo es. Sin embargo, hay que considerar el énfasis que COBIT hace en la creación de
valor para el accionista por estar guiado por los objetivos del negocio, la alineación con
estándares internacionales reconocidos y su simplicidad. Las áreas de gobierno y gestión
emanan de tan sólo 5 principios y 7 habilitadores.

Das könnte Ihnen auch gefallen