COBIT

COBIT

Control objetives for Information and related Technology

es un conjunto de mejores prácticas para la administración IT creado por ISACA, e ITGI en 1992. COBIT brinda a managers, auditores, y usuarios IT, un conjunto de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del usa de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización.

ISACA es el acrónimo de Informaction Systems Audit and Control Association (Asociación de Auditoría y Control de sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoria y control en sistemas de información.

IT Governance Institute (ITGI, en inglés: IT Governance Institute) Tecnología de la información de gobierno es una disciplina subconjunto de gobierno corporativo centrado en la informática de sistemas (IT) y de su rendimiento y la gestión de riesgos.

EDICIONES

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007. En la actualidad el ISACA lanzó Cobit 5 el día 10 de Abril.

Ámbito de evolución

Gobierno TI

COBIT 4.1En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

Marco de Gobierno IT

COBIT 5

Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de regerencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a tecnología y a la información como protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITL @) y las normas ISO relacionadas.

Gestión

MISIÓN

Investigar, desarrollar, publicar y promover en conjunto de objetivos de control de TI rectores, actualizados, internacional y generalmente aceptados para ser utilizados diariamente por Gerentes de negocio y Auditores.

Control

VISIÓN

Consolidarse como líder mundialmente conocido en materia de gobierno, control y aseguramiento de la gestión de TI.

Auditoria

VAL IT

Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.

Como satisface COBIT las necesidades

¿Para quiénes?

Gerentes de negocio

Gerentes de TI

Gerentes de riesgo

Usuarios de TI

Auditores

¿Para qué?

Alineación de objetivos de TI y del negocio.

Establecer una orientación a procesos.

Ser consistente con las mejores prácticas y estándares control (COSO) y de TI, independiente de tecnologías específicas.

Proporcionar un lenguaje común para todos los interesados.

Orientado al negocio

Procesos orientados

Basado en controles

Generador de mediciones

1. ORIENTADO AL NEGOCIO

Es el tema principal de COBIT. Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

PRINCIPIO BÁSICO

Proporcionar la información que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.

CRITERIOS DE INFORMACIÓN

Para satisfacer los objetivos del negocio la información necesita adaptarse a ciertos criterios de control, los cuales son referidos por COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete áreas: 

METAS DE NEGOCIO Y DE TI

Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. 

PROCESOS ORIENTADOS

COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son:

Planear y Organizar

Adquirir e Implementar,

Entregar y Dar Soporte

Monitorear y Evaluar

PLANEAR Y ORGANIZAR

ADQUIRIR E IMPLEMENTAR

ENTREGAR Y SOPORTAR

MONITOREAR Y EVALUAR

2. BASADO EN CONTROLES

CONTROL: Políticas, Procedimiento, prácticas diseñadas para brindar seguridad razonable que los objetivos serán alcanzados

OBJETIVOS DE CONTROL DE COBIT: son los requerimientos mínimos para un control efectivo de cada proceso de IT además brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI.

PROCESOS COBIT

PC1: Dueño del Proceso

PC2: Reiterativo

PC3: Metas y Objetivos

PC4: Roles y Responsabilidades

PC5: Desempeño del Proceso

PC6: Políticas, Planes y Procedimiento

CONTROLES DEL NEGOCIO Y CONTROL DE TI

AL NIVEL DE DIRECCIÓN EJECUTIVA: fijar objetivos políticas, tomas decisiones de cómo administrar los recursos.

AL NIVEL DE PROCESO DE NEGOCIO: aplicar controles para actividades específicas del negocio.

PARA SOPORTAR DEL NEGOCIO: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento)

GENERADORES DE MEDICIÓN

Una necesidad básica de toda empresa es entender el estad de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa ¿Qué se debe medir y cómo? 

Modelos de Madurez: por medio del Benchmarking identificación de las mejores practicas en la capacidad.

Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los procesos internos

Indicadores de desempeño

Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr un meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.

Mediciones de desempeño

COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño.

Los indicadores clave de metas (KGI) definen mediciones para informar a la gerencia---después del hecho--si un proceso TI alcanzó sus requerimientos de negocio, y se expresan por lo general en términos de criterios de información:

Disponibilidad de información necesaria para dar soporte a las necesidades del negocio. Ausencia de riesgos de integridad y de confidencialidad

Rentabilidad de procesos y operaciones

Confirmación de confiabilidad, efectividad y cumplimiento

Las métricas efectivas deben de tener las siguientes características:

Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de lograrlos)

Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo)

Deben ser comparables externamente sin tomar en cuenta el tamaño de las empresa o la industria.