En un artículo anterior les presenté el tema de la Gobernabilidad Tecnologías de Información (TI), y ahí mencioné COBIT señalando que es un marco de referencia para establecer un conjunto de procesos, que una vez establecidos, permitirían tener el área de TI perfectamente organizada, con procesos medibles, eficientes, y con un modelo de madurez (matutity) que facilita el mejoramiento continuo y la ejecución de las auditorias. Luego me referiré a los procesos que identifica la COBIT [1], al modelo de especificación de un proceso y al modelo de maduración.
Análisis de Contexto
La COBIT la desarrollo y mantiene el IT Governance Institute (ITGI) [2]desde 1998 con el objetivo de crear estándares internacionales para la Gobernabilidad TI en las empresas. Un impulso importante ha tenido la COBIT debido al Acta Sarbanes-Oxley [3], vigente desde el 2002, y que obliga a las empresas que tranzan sus acciones en USA a controlar exhaustivamente la generación de sus estados financieros.
De modo que hoy observamos que en las grandes empresas que se tranzan en bolsa existe una preocupación mayor por controlar sus sistemas informáticos, es más este tema ya es parte, al menos, del quehacer de los Auditores y en muchos caso es también parte de la agenda de los directorios.
A que obedece toda esta preocupación por el control – gobernabilidad- de las TI, en mi opinión, al simple reconocimiento que los negocios sin TI no operan, por tanto parte del riesgo del negocio está en los sistemas informáticos y de ahí la necesidad imperiosa de controlar dichos riesgos.
Pues bien, sabemos de la Teoría de Sistemas que para controlar cualquier proceso es necesario contar con un mecanismo de medición, uno de detección de desviaciones y otro de rectificación de las desviaciones. Naturalmente la Gobernabilidad TI plantea estos mecanismos y en concreto la COBIT plantea un modelo al respecto. Pero, no debemos olvidar que todo mecanismo de control tiene su costo, requiere personal entrenado en el área de informática, auditores, consultores externos y nuevos elementos a considerar en los diseños e implementación del procedimientos y software, también implica un plan de transición desde la situación actual a la deseada.
En resumen, la COBIT es técnicamente posible de aplicar en toda área de Informática de cualquier empresa mediana hacia arriba, pero su costo de implementación solo se justifica si el directorio tiene poderosas razones para ello: por ejemplo la Sarbanes – Oxley, acuerdos de accionistas, regulaciones propias de cada país, etc.
Procesos Identificados por la COBIT
La COBIT define las actividades TO en un modelo general de procesos compuesto por cuatro dominios: Planificar y Organizar (PO), Adquirir e Implementar (AI), Proveer y Soportar (DS) y Monitorear y Evaluar (ME). Esto dominios se corresponden con las áreas de responsabilidad tradicionales: planificar, construir, ejecutar y monitorear.
Modelo COBIT
Para ver el diagrama del modelo en MS PowerPoint presione este link.
La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje común para que cada quién en la organización pueda visualizar y gestionar las actividades de la TI:
Planificar y Organizar (PO)
Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras como las TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de la empresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión para diferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde son necesarias. De modo que en este dominio típicamente se tratan las siguiente interrogantes.
- ¿Están las TI alineadas con la estrategia de negocios?
- ¿Está la empresa utilizando a un nivel óptimos sus recursos informáticos?
- ¿Entiende todo el mundo de la empresa los objetivos de las TI?
- ¿Son comprendidos los riesgo TI y son debidamente gestionados?
- ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio?
Este dominio considera los procesos:
- PO1 Define a strategic IT plan.
- PO2 Define the information architecture.
- PO3 Determine technological direction.
- PO4 Define the IT processes, organisation and relationships.
- PO5 Manage the IT investment.
- PO6 Communicate management aims and direction.
- PO7 Manage IT human resources.
- PO8 Manage quality.
- PO9 Assess and manage IT risks.
- PO10 Manage projects.
Adquirir e Implementar (AI)
Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas o adquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios. Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durante su operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen las preguntas:
- ¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las necesidades del negocio?
- ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos convenidos?
- ¿Los nuevos sistemas operaran adecuadamente una vez implementados?
- ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio?
Este dominio considera los procesos:
- AI1 Identify automated solutions.
- AI2 Acquire and maintain application software.
- AI3 Acquire and maintain technology infrastructure.
- AI4 Enable operation and use.
- AI5 Procure IT resources.
- AI6 Manage changes.
- AI7 Install and accredit solutions and changes.
Proveer y Soportar (DS)
Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: la provisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, la administración de los datos y la gestión de la instalaciones de plataforma tecnológica. Para estos efectos es necesario formularse las preguntas siguientes:
- ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio?
- ¿Están los costos de TI optimizados?
- ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con seguridad?
- ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas TI?
Este dominio considera los procesos:
- DS1 Define and manage service levels.
- DS2 Manage third-party services.
- DS3 Manage performance and capacity.
- DS4 Ensure continuous service.
- DS5 Ensure systems security.
- DS6 Identify and allocate costs.
- DS7 Educate and train users.
- DS8 Manage service desk and incidents.
- DS9 Manage the configuration.
- DS10 Manage problems.
- DS11 Manage data.
- DS12 Manage the physical environment.
- DS13 Manage operations.
Monitorear y Evaluar (ME)
Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad y conformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controles internos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntas típicas de este dominio son:
- ¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas?
- ¿La gestión asegura que los controles internos son efectivos y eficientes?
- ¿Puede la performance TI relacionarse con los objetivos de negocios?
- ¿Están siendo medidos e informados los riesgos, el control, la conformidad y la performance?
Este dominio considera los procesos:
- ME1 Monitor and evaluate IT performance.
- ME2 Monitor and evaluate internal control.
- ME3 Ensure regulatory compliance.
- ME4 Provide IT governance.
Maturity Model
Es modelo es el que en definitiva posibilita que los procesos que establece la COBIT sean auditables, esto es procesos que se pueden verificar primero si se cumplen y ejecutan de acuerdo a lo que la empresa declaró –ocurre la declaración cuando se publica y difunde el proceso- y, por otro parte este modelo permite establecer cual es el nivel de desarrollo que tiene el proceso en la empresa. Para esto define 6 estados o niveles, cuya definición genérica es la se incluye en la lista siguiente, no obstante para cada uno de los 34 procesos que conforman la COBIT existe su propio y único Matutity Model.
De modo que es este modelo, a mi juicio, el que ha llevado que la COBIT sea marco de referencia preferido de las grandes compañías mundiales de auditoria.
La siguiente es la descripción genérica de los estados del Maturity Model:
-
Inexistente, se carece totalmente de un proceso. La empresa no ha reconocido la necesidad.
-
Inicial, existe evidencia que la empresa ha reconocido la necesidad del proceso. No existe un proceso formal – estandarizado – si no que existe enfoques ad-hoc que se aplican de manera individual o caso a caso. La gestión del mismo es desorganizada.
-
Repetible, el proceso se encuentra en un nivel de desarrollo tal que distintas personas ejecutan más o menos los mismos procedimientos. No existe una comunicación ni entrenamiento formal de los procedimientos, y la responsabilidad se mantiene individual. Existe una gran dependencia del conocimiento que tiene los individuos y, por tanto existe una probabilidad de error importante.
-
Definido, el proceso esta estandarizado, documentado y difundido mediante entrenamiento. Sin embargo, se deja a voluntad de los individuos la aplicación de los procedimientos del proceso y es poco probable que se detecten las desviaciones en su uso. Los procedimientos en sí no son sofisticados y corresponden a la formalización de las prácticas existentes.
-
Gestionado, es posible monitorear y medir la conformidad en la aplicación de los procedimientos del proceso y es posible tomar acciones cuando el proceso no está operando adecuadamente. Los procesos están mejorándose continuamente. Se dispone de automatizaciones y de herramientas que son usadas de una manera limitada o fragmentada.
-
Optimizado, el proceso ha sido refinado al nivel de las mejores prácticas, basado en los resultados del mejoramiento continuo y de los modelos ya maduros de otras compañías. Las TI son usadas integralmente para automatizar workflow, entregando herramientas que mejoran la calidad y efectividad, aumentando la capacidad de adaptación de le empresa.
Conclusiones
Claramente la COBIT es un marco de referencia para profesionalizar el área informática de un compañía, que cuenta con capacidades propias o tercerizadas para la implementación de proyectos típicamente soportados con ERP de clase mundial, que tiene un área de operación con varias decenas de servidores que dan servicios a más de una locación, y que cuenta con áreas de mantenimiento y soporte. Y, más importante los Sistemas Informáticos son reconocidos por el directorio como un componente clave en el éxito comercial de la compañía y, por lo mismos que implican riesgos para el negocio. Con esto quiero de decir que si su área informática es pequeña la COBIT´puede resultar muy cara en su implementación y´por tanto no se justificaría. En el otro extremo si su empresa tranza su acciones en la Bolsa de New York es prácticamente obligatoria su implementación.
Referencias
[1] Cobit 4.0 http://www.isaca.org/AMTemplate.cfm?Section=Overview&Template=/ContentManagement/ContentDisplay.cfm&ContentID=22940
[2] IT Governance Institute (ITGI) www.itgi.org
[3]IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition
Los link se verificaron el 3 de Marzo de 2007.
COBIT es amplio…. ¿hasta donde lo vamos a seguir a la pata en nuestra metodología MAP?
Buen artículo. ¿Lo vas a difundir con los Jefes de Proyecto y profesionales de Andina?
Saludos,
Encuentro COBIT muy bueno como marco de referencia; coo dice Germán lo encuentro «bien amplio»; para mí la pregunta es ¿por dónde partir? ¿self assessment? ¿por Monitorear y Evaluar (ME)?
A propósito que es metodología MAP?
Carlos:
En mi opinión la COBIT debe usarse como un marco ordenador para diseñar y establecer los procesos de negocios del área IT de un modo que sean perfectamente «medibles» y auditables. Luego, por donde partir: por el lado que más nos duela, esto es partir por aquel proceso que sea más relevante en el momento, por ejemplo se tiene la exigencia de los auditores, del directorio, de la Sarbanes – Oxley, por operación, etc. que el mantenimiento esté bajo control y pueda ser auditado. Entonces de la lista COBIT elijes el AI12 Adquisición y mantenimiento de sistemas. Al menos este es el criterio que he propuesto en Andina.
MAP es por Metodología de Proyectos Andina que no es más que una versión adaptada y expandida de la ASAP de SAP ajustada a las necesidades de Andina.
M. Saffirio
me parece muy buena la informacion, mi pregunta es cual seria la estrategia para la implementacion de ti basado en cobit y que metodologia es la que uitlizaria.
Anne:
Ampliaré mi respuesta a Carlos Vizcaya en la que esbozo un posible estrategia de implementación:
1. La COBIT debido al costo de implementación se justifica cuando la empresa tiene necesidad de medir el riesgo Informático del negocio, esto se visualiza por las exigencias de auditoria tanto de los proceso informáticos (creación de usuarios, ordenes de cambio, metodologías de implementación, etc.) como de las aplicaciones (documentación, puntos de control, etc.).
2. Los procesos actuales (as-is) del ärea informática se mapean con los procesos COBIT (to-be) con esto se puede generar un análisis de gap.
3. A partir del análisis de gap establecer cual es el grado de desarrollo de cada proceso de acuerdo al Modelo de Madurez de COBIT.
3. Implementar los procesos que se estimen convenientes para la organización de acuerdo a un esquema de prioridades, según el nivel en el Modelo de Madurez y por fases (de a un proceso a la vez).
M. Saffirio
Se entiende que en la medida que tengamos auditable nuestra área estamos cumpliendo y siendo, de alguna manera, un área con procesos y procedimientos que nos asegura ser una estructura organizativa donde los numeros reflejen la realidad del «cuerpo del área». El tema es, que sería mas simple en la medida que uno tenga claro cuales son los KPIS de un área TI. Si tengo mis KPIs claramente definidos e incluyo en uno de estos, los procedimientos y cumplimiento de lo que es auditable, creo sería mas simple el análisis, la claridad de la gente. La pregunta es ¿ que crees tu que son buenos KPIs para medir la gestión un área TI? ¿ Cuales serian las variables dependientes que definen nuestra función de producción? Cual es nuestro «Q» ,entregar mas herramientas TI a las areas administrativas?
La medimos con satisfacción de la gente? Como medimos nuestro ROI sobre proyectos que implementamos? Siento que una manera podria ser que las nuevas herramientas, permiten mitigar la HH del administrativo de cierta operatoria, pero como mido el costo oportunidad de esa HH para utilizarla en otro tema? Como estandarizar estos tiempos? Como medir que un proyecto A, sea mejor que el B, no porque la herramiena A sea mas nueva que la B, sino que permite reutilizar HH en otro tipo de gestión por ejemplo.
Como medir el costo que presenta traer esta nueva herramienta A tiene un costo demasiado alto versus el beneficio de implementarla?
Saludos y gracias por la predisposición de responder la inquietud
Saludos
¿Cuales prodrian entonces ser los usuarios del COBIT y cuantos niveles existen para el COBIT?
Roberto:
El objeto de la COBIT es establecer formalmente los procedimientos para el área Informática, por tanto quienes deben implementar los procedimientos son los «usuarios» potenciales de la COBIT y estos, por lo general, son perdonas del área Informática.
disculpando mi ignorancia, pero deseo aplicar el modelo COBIT a el are informatica de un colegio, podrian darme una idea de como empezar a aplicarlo?
Elizabeth:
Para una posible implementación de la COBIT es necesario evaluar cuales de los procesos que propone son pertinentes para su organización. Esta evaluación se logra estudiando y analizando el documento COBIT 4.0 (versión en español) al que puede acceder en la referencia [1] de mi artículo.
En general la COBIT se aplica en organizaciones grandes que necesitan auditar los procesos del área Informática, para la organizaciones pequeñas la COBIT es necesario re-interpretarla porque una persona deberá estar a cargo de varias funciones y/o procesos.
Atentamente.
M. Saffirio
Mi pregunta:
Como se relaciona o vincula la Auditoria Informatica con lel Gobierno de TI?
Mario: Otra pregunta:
Cuando realizas un esbozo de estrategia de implementación, el paso 2, que dice:
*Los procesos actuales (as-is) del ärea informática se mapean con los procesos COBIT (to-be) con esto se puede generar un análisis de gap.
Como identificas los procesos del área de informática, hay una metodología o es la propia experiencia que ayuda a identificarlos?
Gracias.
Aunque un poco tarde frente a la inguietud de Elizabeth, yo podría añadir, frente a la aplicación de CobIT en un colegio probablamemte ademas de realizar la evaluación comporativa de proceso actuales (as-is) contra el nivel de madurez requerida debería arrancarse por la implementación de los procesos DS (Proveer y soportar) usando como marco de referencia ITIL adoptado a organizaciones pequeñas (en términos de IT). Los britanicos han desarrollado elementos de gestión TI para colegios con base en ITIL. Puedes ver el «Framework for ICT Technical Support» para ese propósito.
Como se haria una justificacion o analisis costo beneficio de la implemenatcion de cobit como marco de referencia en una organizacion o empresa publica.
Hola a todos.
cuando se implementa CoBIT como auditor cuales son los entregables que se generan para el cliente ?
Saludos.
Mi opinión a la relación a la pregunta de Roberto Torres (17) es que dado que los objetivos de control que plantea COBIT se basan en las mejores practicas de la industria, los entregables del auditor a mi parecer, son recomendaciones de lo que debiera hacer la organización para acercarse al cumplimiento de los objetivos planteados, con el objeto de mejorar el proceso auditado.
Saludos, alguien sabe si COBIT cubre en alguna medida los proyectos de Ingeniería de software y la gestión de proyectos de Software?
Muy buenas noches, super interesantes todos los post aca registrados, desearia aplicar Cobit a cada área de TI en la empresa donde laboro, particularmente dicha empresa se dedica al manejo u operación de bienes inmobiliarios en el área del caribe, el área de TI cuenta con 4 coordinaciones (Soporte Técnico, Telecomunicaciones, Desarrollo de Aplicaciones y Soporte a usuario de JDE), además me gustaría primero presentar esto como un proyecto a ejecutar a corto plazo y el tema es como creen ustedes que será mejor argumentar el por qué y para qué, la importancia y los beneficios se obtienen con la implementación de estos estandares.
Mucho sabría agradecer cualquier aporte a mi inquietud
Jean Carlo:
La COBIT tiene definido alrededor de 30 procesos para el rea de TI, como se puede ver en el documento que se baja desde:
http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
Mi sugerencia para partir con la implementacin es levantar la lista de los procesos COBIT que efectivamente su empresa tenga en operacin (Mapa de Procesos), despus aplicar la Escala de Madurez (la que recomienda COBIT y est para cada uno de los procesos explicitada) y finalmente a partir de los valores de madurez asignados a vuestros procesos priorizar de acuerdo a algn criterio (el que esta ms bajo en la escala, el que genera ms valor, etc.). Seleccionado el proceso por donde partir, generar un proyecto formal de implementacin de Proceso de Negocios.
Atentamente,
Mario Saffirio C.
Muy buen artículo. En la empresa en la que trabajo en Uruguay, tiene como principal inversores a capitales franceses, por lo cual nos auditan una vez al año. Basándonos en los informes de dichas auditorias es que estamos trabajando en CobIT hace 2 años. Ya hemos implementado varios procesos, pero ahora debemos empezar a trabajar en AI7 y nos es muy dificil, dado que nuestro depto de sistemas solo cuenta con 8 personas vinculadas tanto al desarrollo de soluciones propias como a la administración de software de terceros.
Entonces, cómo hacemos para implementar AI7 sin contar con un departamento de testing ni con herramientas específicas para realizar los testeos y sabiendo que nuestros proveedores de sw tampoco están preparados para este reto? Agradezco me hagan llegar vuestra opinión.
Carina:
Lo importante de modelos COBIT es que son un muy buen marco de refrencia para organizar las funciones del rea Informtica, en mi concepto, independientemente del tamao de la empresa y de su rea Informtica, es posible «buscar» una forma de implementar los procesos en base Cobit.
Para el caso especfico del AI7 tenemos que la definicin plantea que los nuevos sistemas deben estar probados (testeados). La prctica habitual y el sentido comn nos lleva a probar o verificar el funcionamiento de los sistemas previamente a su puesta en operacin; el asunto es que, en general, estas pruebas se realizan sin una mayor formalidad ni preparacin.
Mi sugerencia es primero establecer un procedimiento formal para la ejecucin de las pruebas, por ejemplo que identifique quienes tendrn la responsabilidad de testear, cuales sern los escenarios de test, que datos de emplearan, que los test ejecutados queden documentados, etc., en tendiendo que el alcance de las pruebas debe dar una garanta mnima que el sistema esta en una nivel operativo acorder con las expectativas y necesidades de la empresa. Y segundo, se puede definir el Rol del Responsable de las Pruebas, entendiendo que en un rea Informtica pequea sus integrantes podrn tener varios roles.
Atentamente,
M. Saffirio
Gracias Mario. Tomaré en cuenta tus sugerencias.
es recomendabletulizar cobit, en una duditoria informatica sobre gestion de la calidad de la informaicion?