UNIVERSIDAD AUTNOMA DE DURANGO

CAMPUS ZACATECAS

FACTORES DE XITO PARA LA IMPLEMENTACIN

DE COBIT EN LA DIRECCIN DE TI
DE GRUPO MODELO S.A.B. DE C.V.

TESIS
Que para obtener el grado de Maestro en
Informtica Administrativa

Presenta
I.S.C. Julin Fuentes Parga

Asesor
M.C. Jos Manuel Carrillo Hernndez

Zacatecas, Zac., Diciembre 2007

HOJA DE AUTORIZACIN DEL TRABAJO DE TESIS

DEDICATORIAS

A mi esposa Lucy
Porque sin su apoyo y sacrificio
nada de esto hubiera sido posible

A mis padres
Por mostrarme el camino

AGRADECIMIENTOS
A la Universidad Autnoma de Durango.
A los maestros de la Maestra en Informtica Administrativa.
A mis compaeros.
A mis Hermanos y familiares por el apoyo brindado durante esta travesa.

RESUMEN

Un adecuado control interno permite a las empresas tener una mejor

administracin de sus recursos y de los riesgos que se tienen en la organizacin.
Actualmente existen varias normativas a las que las empresas deben apegarse
para conseguir la apertura de mercados o para cumplir con los lineamientos
gubernamentales de los diversos pases en los que tienen inversiones o a los que
desean hacer llegar sus productos.

Tal es el caso de la Ley Sarbanes-Oxley (Ley SOx), una ley estadounidense

que aplica a todas las compaas norteamericanas o extranjeras que coticen en la
bolsa de valores de Estados Unidos (NYSE) y que pretende proteger a los
inversionistas, exigiendo cierto nivel de control interno a las empresas para que
garanticen que los resultados financieros emitidos son fidedignos y por ende la
informacin financiera de la empresa es correcta.

En el presente trabajo de investigacin se describe la problemtica que se

ha tenido en la direccin de TI de Grupo Modelo para establecer el nivel de control
interno adecuado para cumplir con la ley SOx, que si bien an no es obligatoria
para Grupo Modelo, se est preparando el camino para cuando dicha ley deba ser
cumplida.

A travs de entrevistas realizadas a los altos mandos de la direccin de TI,

se obtuvieron opiniones sobre los factores que representan problemas u
obstculos para la correcta implantacin de los controles que permitirn el
cumplimiento con la ley citada anteriormente

Tomando como base las brechas detectadas en las entrevistas y la

situacin deseada por la direccin de TI, se emitieron una serie de
recomendaciones para cubrir dichas brechas a fin de lograr la implantacin de un
nivel de control interno adecuado que permita cumplir con la Ley SOx.

Es importante sealar que para la realizacin del presente trabajo de

investigacin se recopil informacin principalmente de las siguientes fuentes
bibliogrficas:

IT Governance Institute. (2004). IT Control objectives for Sarbanes-Oxley.

IL, USA: IT Governance Institute.

SEC. (2002). Sarbanes Oxley Act of 2002. USA.

La web de Auditoria. (s.f.). El informe COSO. Recuperado el 2007, de

www.lawebdeauditoria.com:
http://212.9.83.4/auditoria/home.nsf/COSO_1?OpenPage

INDICES

NDICE DE CONTENIDO

P R O P O S I C I N .................................................................................... 8
ENUNCIADO DE LA PROPOSICIN ............................................................... 9
CONTENIDO Y LMITES................................................................................. 13
JUSTIFICACIN ............................................................................................. 14
FUENTES DE CONOCIMIENTO UTILIZADAS ............................................... 20
PROBLEMAS CORRELACIONADOS ............................................................. 21
PERIODO DE TIEMPO UTILIZADO ............................................................... 23
CAPTULO I ....................................................................................................... 25
MARCO TERICO ............................................................................................. 25
I.1. LA LEY SARBANES OXLEY (SOX) ....................................................... 25
I.1.A. Historia ................................................................................................ 25
I.1.B. Alcance de la Ley SOx ........................................................................ 26
I.2. COBIT..................................................................................................... 29
I.2.A. Definicin de COBIT......................................................................... 29
I.2.B. Historia ................................................................................................ 31
I.2.C. Los principios del marco de referencia ............................................... 32
I.2.C.a. COBIT y el Gobierno de TI ......................................................... 33
I.2.C.b. COBIT como integrador de estndares...................................... 36
I.2.C.c. El principio fundamental de COBIT ............................................... 36
I.2.C.d. Los recursos de COBIT ................................................................ 38
I.2.D. Los dominios de COBIT ................................................................... 39
I.2.D.a. Planeacin y Organizacin (PO) ................................................... 40
I.2.D.b. Adquisicin e implementacin (AI) ................................................ 42
I.2.D.c. Entrega y Soporte (DS) ................................................................. 44
I.2.D.d. Monitoreo ...................................................................................... 48
I.2.E. Modelos de madurez de COBIT ....................................................... 49
I.3. LOS ESTNDARES ACEPTADOS ........................................................... 56
I.3.A. COSO ................................................................................................. 56
I.3.A.a. Entorno de control ......................................................................... 57
I.3.A.b. Evaluacin de los riesgos ............................................................. 58
I.3.A.c. Actividades de control ................................................................... 58
I.3.A.d. Informacin y comunicacin .......................................................... 58
I.3.A.e. Monitoreo ...................................................................................... 59
I.3.B. ITIL (Information Technology Infrastructure Library) ........................... 60
I.3.B.a. Soporte al Servicio ........................................................................ 61
I.3.B.b. Entrega del Servicio ...................................................................... 61
I.4 LA DIRECCIN DE TI DE GRUPO MODELO ........................................... 62
I.4.A. Breve resea histrica ........................................................................ 62
I.4.B. Estructura Actual ................................................................................. 63
I.4.C. Servicios de la direccin de TI ............................................................ 64

I.5. COBIT EN LA DIRECCIN DE TI DE GRUPO MODELO ........................ 65

I.5.A. Orgenes del proyecto ......................................................................... 65
I.5.B. Los controles a implementar ............................................................... 67
I.5.C. Roles y responsabilidades .................................................................. 71
CAPITULO II ...................................................................................................... 74
DESARROLLO DE LA INVESTIGACIN .......................................................... 74
II.1. ANLISIS DE LA SITUACIN ACTUAL .................................................. 74
II.1.A. Formato de entrevista ........................................................................ 75
II.1.B. Anlisis de datos e interpretacin de resultados ................................ 78
II.1.B.a. Comunicacin .............................................................................. 79
II.1.B.b. Diseo de los Controles ............................................................... 80
II.1.B.c. Implementacin ............................................................................ 81
II.1.B.d. Estructura Organizacional ............................................................ 83
II.1.B.e. Apoyo de la Direccin .................................................................. 84
II.1.B.f. Percepcin de los Controles ......................................................... 86
II.1.B.g. Grado de Conciencia del Personal............................................... 87
II.1.C. Explicacin de la situacin actual ...................................................... 89
II.1.C.a. Comunicacin .............................................................................. 89
II.1.C.b. Diseo .......................................................................................... 92
II.1.C.c. Implantacin ................................................................................. 93
II.1.C.d. Apoyo por parte de la direccin de TI .......................................... 95
II.1.C.e. Percepcin de los controles por parte del personal de TI ............ 95
II.1.C.f. Principales obstculos para la implantacin de los controles ....... 96
II.2. ANLISIS DE LA SITUACIN DESEADA ............................................... 97
II.3. PROPUESTA DE MEJORA O SOLUCIN .............................................. 98
II.3.A. Comunicacin .................................................................................... 99
II.3.B. Diseo .............................................................................................. 105
II.3.C. Implementacin................................................................................ 106
C O N C L U S I O N E S ........................................................................... 110
B I B L I O G R A F A .............................................................................. 114
A N E X O S ...................................................................................................... 122
ANEXO A. DEFINICIN DE TRMINOS ....................................................... A-1

NDICE DE TABLAS Y GRFICAS

TABLAS
Tabla I. Los ttulos de la Ley Sarbanes-Oxley ....................................................... 29
Tabla II. Requerimientos del Negocio para la informacin ................................... 37
Tabla III. Definiciones de las categoras de la informacin .................................. 38
Tabla IV. Definiciones de los recursos de TI ........................................................ 39
Tabla V. Procesos y Objetivos de Control del Dominio PO ................................... 40
Tabla VI. Procesos y Objetivos de Control del Dominio AI .................................... 43
Tabla VII. Procesos y Objetivos de Control del Dominio DS ................................. 45
Tabla VIII. Procesos y Objetivos de Control del Dominio M .................................. 48
Tabla IX. Modelo genrico de madurez ................................................................ 51
Tabla X. Atributos de madurez ............................................................................. 53
Tabla XI. Los controles a implementar en la Direccin de TI ................................ 68
Tabla XII. Formato de entrevista ........................................................................... 75
Tabla XIII. Poblacin Entrevistada ........................................................................ 78
Tabla XIV. Percepcin sobre la Comunicacin ..................................................... 79
Tabla XV. Percepcin sobre el diseo de los controles ........................................ 80
Tabla XVI. Validacin del cumplimiento de los controles ...................................... 81
Tabla XVII. Percepcin sobre la estructura organizacional de TI .......................... 83
Tabla XVIII. Percepcin sobre el apoyo de la direccin ........................................ 84
Tabla XIX. Percepcin sobre cmo se visualizan los controles............................. 86
Tabla XX. Grado de conciencia del personal de TI sobre los controles ................ 87

GRFICAS
Grfica 1. Los proceso de TI definidos en los dominios de COBIT. ...................... 35
Grfica 2. El principio fundamental de COBIT ....................................................... 37
Grfica 3. Representacin grfica de los modelos de madurez ........................... 50
Grfica 4. Poblacin Entrevistada ......................................................................... 78
Grfica 5. Percepcin sobre la comunicacin del proyecto ................................... 79
Grfica 6. Percepcin sobre el diseo de los controles ......................................... 80
Grfica 7. Percepcin sobre la validacin del cumplimiento de los controles ....... 82
Grfica 8. Percepcin sobre la estructura organizacional de TI ............................ 83
Grfica 9. Percepcin sobre el apoyo de la direccin ........................................... 85
Grfica 10. Percepcin sobre cmo se visualizan los controles ............................ 86
Grfica 11. Grado de conciencia del personal de TI sobre los controles .............. 88

P R O P O S I C I N

9
ENUNCIADO DE LA PROPOSICIN

En el mundo globalizado y competitivo en el que estn inmersas las

empresas, es necesario cada vez contar con un mayor nmero de ventajas
competitivas que permita a las mismas destacar de la competencia y por ende
aumentar el nmero de clientes a travs de la entrega de productos y servicios de
calidad que satisfagan las expectativas de sus clientes y entreguen valor agregado
al mismo.

De la misma manera, las organizaciones de TI estn enfocando cada vez

ms sus esfuerzos hacia la satisfaccin de los requerimientos de sus clientes, que
en la iniciativa privada son las diferentes reas de negocio que conforman la
empresa. Los esfuerzos que se deben realizar para lograr la satisfaccin de los
clientes deben empezar con establecer un esquema de control interno adecuado
que permita que las actividades de TI se realicen de una manera ordenada y
eficiente que permita maximizar los resultados con la inversin de una menor
cantidad de recursos.

Para tener un control interno adecuado, se requiere tener una serie de

conceptos perfectamente definidos y delimitados, dentro de los cuales se pueden
mencionar los siguientes:

Polticas que definan claramente los parmetros bajo los cuales se

debern realizar las actividades o se debern entregar los productos y servicios. A

10
estas polticas se debern apegar todos los colaboradores para garantizar que las
actividades se realizan dentro de los parmetros establecidos.

Procesos y Procedimientos debidamente documentados, que garanticen

que las actividades son repetibles, se realizan de acuerdo a la secuencia definida
y que arrojan los resultados esperados.

Responsabilidades de todos los niveles de la organizacin perfectamente

definidas y delimitadas, que apoyen a la consecucin de los objetivos y minimicen
los errores provocados por la falta de un responsable puntual de la entrega de
resultados.

Comunicacin efectiva que garantice que la informacin llega a todos los

niveles y roles a los que debe llegar.

Monitoreo continuo que permita detectar desviaciones lo ms pronto

posible para tomar medidas preventivas o correctivas para regresar a los
parmetros correctos.

Ciclo de mejora continua que permita mejorar los procesos con base a la
experiencia y la informacin proporcionada por el monitoreo.

Actualmente existen varios estndares aceptados que ayudan a las

organizaciones a contar con un control interno adecuado; cada uno de ellos

11
enfocndose en reas especficas; as por ejemplo, se pueden mencionar:

ITIL.- Que define los procesos y actividades para soportar los servicios de
TI.

ISO:27001.- Que define un conjunto de mejores prcticas para la seguridad

de la informacin,

COBIT.- Que es una estructura aceptada para el gobierno de las

tecnologas de la informacin y las prcticas de control.

Sarbanes-Oxley (SOx).- Ley estadounidense que establece objetivos de

control para lograr un control interno adecuado que garantice la confiabilidad de la
informacin financiera que emiten las empresas, con el fin de proteger a los
inversionistas.

Cabe aclarar que el establecer esquemas de control interno no es tarea fcil

y requiere un esfuerzo sumamente importante por parte de las organizaciones, ya
que en muchas de ellas, se presta ms atencin a la operacin diaria y se deja en
segundo plano la administracin y control de las actividades.

Pero no se debe olvidar que la administracin y control de las actividades

que se realizan pueden proporcionar la informacin suficiente para mejorar los
productos y servicios, otorgando por ende una atencin ms adecuada a las

12
necesidades de los clientes.

Por lo anteriormente descrito, este trabajo de investigacin pretende

determinar los factores de xito para la implantacin de COBIT en la direccin de
TI de Grupo Modelo, lo cual permitir tener un nivel de control interno adecuado
que le ayude a cumplir con la ley SOx.

Considerando que en la direccin de TI de Grupo Modelo se inici la

implantacin de COBIT desde hace dos aos y an no se tienen los resultados
esperados, se realiz un estudio para conocer el nivel de madurez actual del
control interno; as mismo, se pretende conocer los factores que no han permitido
o han retrasado la correcta implantacin de COBIT para posteriormente
identificar y proponer los factores de xito que se debern tener en cuenta para
realizar la implantacin exitosa de COBIT.

Objetivo General:

Determinar los factores de xito para la correcta implantacin de COBIT

en la direccin de TI de Grupo Modelo.

Objetivos Especficos

1.- Identificar las necesidades que se cubren con la implantacin de

13
COBIT en la direccin de TI de Grupo Modelo.
2.- Conocer la percepcin que tiene el personal directivo de la direccin de
TI respecto la implantacin de COBIT en la direccin de TI de Grupo Modelo.
3.-. Identificar los principales factores que obstaculizan la implantacin de
COBIT en la direccin de TI de Grupo Modelo.
4.- Emitir recomendaciones para la implantacin exitosa de COBIT en la
direccin de TI de Grupo Modelo.

Hiptesis Planteada:

Debido a la complejidad que representa la implantacin de COBIT en la

direccin de TI de Grupo Modelo, es necesario analizar y determinar los factores
que permitan la implantacin adecuada de COBIT.

CONTENIDO Y LMITES

El presente trabajo de investigacin est basado en las reas de

conocimiento de administracin, administracin de calidad, gobernabilidad de TI y
tecnologas de informacin.

Este trabajo de investigacin es de tipo descriptivo, ya que se pretende

analizar la situacin actual para conocer los factores que no han permitido la
correcta implantacin de COBIT en la direccin de TI de Grupo Modelo.

14

El diseo de esta investigacin es no experimental, ya que no se

manipular ninguna de las variables del fenmeno estudiado, slo se observarn
las mismas en su contexto natural para posteriormente analizarlas.

Este estudio es transversal, ya que la medicin de las variables

establecidas se realiz en un solo momento de tiempo.

El presente trabajo de investigacin se desarroll dentro de las

instalaciones de la direccin de TI de Grupo Modelo, ubicadas en Av. Guillermo
Gonzlez Camarena #800 (Edif. Jos Cuervo), Piso 1. Col. Zedec, Santa Fe. C.P.
01210. Mxico, D.F.

JUSTIFICACIN

La evolucin que han venido teniendo las empresas y organizaciones ha

sido marcada por tener cada vez un mejor control de las actividades que realizan y
de la informacin derivada de la ejecucin de dichas actividades, trayendo consigo
una mayor eficiencia en las operaciones. Esta eficiencia ha sido fomentada por la
explotacin de la informacin de las actividades que actualmente se realizan, de
tal forma que las organizaciones estn dejando de ser reactivas para convertirse
en organizaciones proactivas, adelantndose cada vez ms a los hechos.

15
Las organizaciones de TI deben jugar un doble papel fundamental para
lograr la explotacin de la informacin; el primer papel, al generar mecanismos
para aprovechar los datos y convertirlos en informacin valiosa que permita tomar
decisiones efectivas en el momento indicado. El segundo papel, al aprovechar los
mismos mecanismos que genera en su propio beneficio para explotar su propia
informacin que le permitan ajustar sus actividades y proponer soluciones
efectivas de raz a las problemticas que enfrenta.

Desafortunadamente, en muchos de los casos las organizaciones de TI slo

generan herramientas para que las reas de negocio exploten la informacin que
generan, pero no adaptan o generan dichas herramientas para explotar la
informacin propia que les permita lograr un mayor nivel de control y por ende de
eficiencia.

Otra problemtica comn para las organizaciones de TI, es que estn

demasiado ocupadas con la operacin del da a da como para tener tiempo para
realizar las actividades bajo ciertos parmetros de orden y control que les permitan
aprovechar la informacin para ser proactivos e ir mejorando sus operaciones de
tal forma que les permita tener ms tiempo para realizar cada vez una
administracin ms efectiva.

Hace casi un par de aos, en la direccin de TI de Grupo Modelo se inici

con los preparativos para una posible certificacin en la ley SOx. Dicha ley
estadounidense establece objetivos de control para el control interno corporativo,

16
que garantice que la informacin financiera emitida por las empresas que cotizan
en la bolsa de valores estadounidense sea confiable, con lo cual se busca
restablecer la confianza de los inversionistas despus de los escndalos
financieros de compaas como Enron y World Com.

Debido a que la ley SOx es muy general, se reconocen dos marcos de

referencia mediante los cuales se da cumplimiento a dicha ley, dichos marcos de
referencia son COSO y COBIT; como mencionamos anteriormente, COBIT define
los objetivos de control para organizaciones de TI.

Por lo anterior y para lograr el cumplimiento de la ley SOx, en la direccin

de TI de Grupo Modelo se determin la implantacin de los objetivos de control de
COBIT.

Para lograr lo anterior, se realiz un anlisis para determinar aquellos

controles que aplicaban a la direccin de TI, basndose en la forma de operar y en
las condiciones en las que se encontraba la misma en ese momento.

Considerando que el esfuerzo para la implantacin de TODOS los controles

COBIT sera demasiado y que ya se contaba con un proyecto de gobernabilidad
de TI que ya estableca cierto control para la parte estratgica de TI, se determin
dividir el proyecto en dos fases:

Fase 1 (Activity Level) o controles operativos de COBIT, dentro de la cual

17
se estableci que se deberan implantar 131 Controles.

Fase 2 (Company Level) o controles estratgicos. En esta fase se

determin que se deberan implantar 132 controles y que se llevara a cabo una
vez que se hubieran implantado satisfactoriamente los controles de activity level.

Una vez que se determin la estrategia para la implantacin de los

controles COBIT, se realiz un anlisis de los 131 controles de activity level para
determinar las brechas existentes entre los mismos y la situacin que guardaba en
ese momento la direccin de TI.

Con base en las brechas detectadas, se disearon una serie de polticas,

procesos, procedimientos, formatos y otros documentos que sustentaran los 131
controles y que se deberan implantar en la direccin de TI para lograr el nivel de
control requerido por COBIT.

Una vez que fueron diseados los controles, se procedi a la implantacin

de los mismos, lo cual significaba realizar las actividades de acuerdo a lo que se
haba establecido en los documentos y generar la evidencia que comprobara que
dichos controles se estaban ejecutando de manera efectiva.

Para poder realizar la evaluacin de los controles, es necesario establecer

un periodo de tiempo para lograr la madurez del control, durante este periodo de
tiempo se recolecta la evidencia necesaria que garantice que el control es maduro;

18
es decir, que el control se est llevando de acuerdo a lo establecido y se
monitorea que la nueva forma de realizar las actividades se est llevando a cabo
de forma cotidiana.

Posteriormente, se realiz una evaluacin tanto del diseo como de la

efectividad de dichos controles, misma que arroj que los controles no eran
efectivos; es decir, que no se estaban ejecutando de acuerdo a lo que se haba
documentado y no se estaba generando la evidencia suficiente que demostrara la
ejecucin de los mismos y que por ende, no se haban alcanzado los resultados
esperados.

Parte de los resultados de las evaluaciones, dejaron ver que incluso, las
condiciones de la direccin de TI haban cambiado desde el momento del diseo
de los controles hasta el momento de la evaluacin, por lo que tambin se hizo
necesario ajustar el diseo de algunos de los controles para adecuarlos a las
nuevas condiciones de la direccin de TI.

Cabe hacer mencin de que las actividades para el anlisis y deteccin de

las brechas, as como para el diseo de los controles y su posterior evaluacin
fueron desarrolladas por compaas consultoras expertas en el tema.

Un factor importante a considerar es que desde que se realiz el diseo de

los controles hasta que se realiz la implantacin y posteriormente hasta que se
realiz la evaluacin de los mismos, se tuvieron cambios estructurales importantes

19
en la Direccin de TI.

Por todo lo anteriormente descrito, este estudio pretende analizar la

situacin actual de la implantacin de los controles COBIT, as como de la
situacin de la direccin de TI para posteriormente determinar los factores de xito
que se debern considerar o seguir para lograr la correcta implantacin de dichos
controles.

Se considera que es conveniente realizar este estudio debido a que an no

se logra la implantacin satisfactoria de los controles COBIT y que es necesario
establecer las acciones a seguir para lograr la correcta implantacin de los
mismos.

Con la realizacin del presente estudio, se obtendrn beneficios para la

direccin de TI, ya que se emitirn una serie de recomendaciones para lograr la
correcta implantacin de los controles COBIT, lo cual permitir contar con un nivel
de control adecuado que permita la certificacin en la Ley SOx, las actividades de
la direccin de TI se realizarn bajo ciertos parmetros de control que permitirn
que los productos y servicios proporcionados por la direccin de TI tengan una
mejor calidad y sean ms eficientes.

20
FUENTES DE CONOCIMIENTO UTILIZADAS

Las fuentes de conocimiento utilizadas para dar sustento a la presente

investigacin fueron:

Cursos de certificacin de COBIT e ITIL, los cuales permitieron conocer

de manera general los orgenes, objetivos y caractersticas de estos marcos de
referencia.

Estndares, marcos de referencia y mejores prcticas, las cuales

permitieron conocer de manera particular los objetivos de control planteados en
cada uno de ellos.

Presentaciones de diversos proveedores, mismas que se obtuvieron de

Internet, las cuales permitieron contar con muchos conceptos e informacin
diversa acerca de los temas relacionados con la investigacin.

Artculos de Internet y revistas, que hicieron posible el contar con datos

estadsticos e informacin relevante sobre temas de inters relacionados con la
investigacin.

Las tcnicas de recoleccin de informacin empleadas en la presente

investigacin fueron:

21
Entrevistas realizadas al personal de los puestos clave identificados, para
conocer estatus, opiniones y problemticas.

Observacin, para determinar las actitudes del personal y posibles

problemas dentro de la direccin de TI.

PROBLEMAS CORRELACIONADOS

En caso de que se quisiera retomar la presente investigacin como base

para otros trabajos, se considera que uno de los principales problemas sobre los
que se debera continuar la investigacin, sera analizar y determinar si los
factores de xito para la implantacin de COBIT que se identificaron en esta
investigacin, son los mismos y aplican de manera similar para otras
organizaciones de la iniciativa privada.

Otro punto importante sera validar si los obstculos encontrados en el

presente trabajo de investigacin se tienen tambin en otras empresas de la
iniciativa privada.

Dentro de los problemas correlacionados a la presente investigacin que

podran ser objeto de futuras investigaciones, se puede mencionar:

El tipo de cultura organizacional que prevalece en las empresas de la

22
iniciativa privada en Mxico es un factor determinante para la forma en la que se
administran las reas de la empresa, trayendo consigo diferentes vicios que no
permiten un desarrollo adecuado de las reas de TI; es decir, en muchas de las
empresas, las reas de TI son visualizadas como un rea que no aporta valor al
negocio en lugar de visualizarse como reas estratgicas que pueden generar una
ventaja competitiva para la empresa.

La idiosincrasia de los mexicanos puede llegar a obstaculizar los intentos de

una empresa para que funcione dentro de los parmetros de control que le
permitan una mayor eficiencia, a tal punto que pueden llegar a boicotear cualquier
iniciativa para establecer control, al sentirse vigilados y amenazados por los
esquemas controlados.

An existe resistencia por parte de algunas organizaciones hacia los temas

de calidad y control, cuando en una organizacin la direccin no comulga con
estos temas, puede ser infructfero cualquier intento de establecer control, ya que
se pueden llegar a desestimar los esfuerzos que esto implica y no sern
asignados los recursos necesarios para el logro de los objetivos.

El tipo de comunicacin que impera en una organizacin puede significar

problemas graves no solo para la implantacin de control, sino tambin para la
consecucin de los objetivos de la organizacin; desafortunadamente, es ms
comn de lo que se piensa que en una organizacin existan problemas de
comunicacin que truncan iniciativas importantes de crecimiento y mejora para la

23
misma organizacin.

PERIODO DE TIEMPO UTILIZADO

El presente trabajo de investigacin fue desarrollado en el periodo de

tiempo de octubre a diciembre del ao 2007.

DEMOSTRACIN

25
CAPTULO I
MARCO TERICO

I.1. LA LEY SARBANES OXLEY (SOX)

I.1.A. Historia

La Ley SOx naci a consecuencia de una serie de escndalos financieros

importantes en varias empresas estadounidenses que tuvieron lugar a finales del
2001. En compaas como Enron, Worldcom, entre otras, fueron evidenciadas
prcticas administrativas no apropiadas que llevaron a varias de ellas a la quiebra,
y se evidenciaron fraudes que mermaron la confianza de los inversionistas sobre
la informacin financiera que las compaas estaban emitiendo.

Por tal motivo, el senador Paul Sarbanes y el representante Michel Oxley

lograron que en un tiempo record el gobierno de Estados Unidos aprobara la
Sarbanes-Oxley Act (Ley Sarbanes-Oxley), la cual debe su nombre a la unin de
los apellidos de sus creadores.

Fue as que en Julio del 2002 el gobierno estadounidense aprob la ley

Sarbanes-Oxley como un mecanismo para fortalecer el control interno de las
empresas, con la finalidad de devolver la confianza que los inversionistas haban
perdido tiempo atrs.

26
I.1.B. Alcance de la Ley SOx

An y cuando la ley Sarbanes-Oxley es una ley estadounidense, es

aplicable a todas las empresas que cotizan en la New York Stock Exchange
(NYSE) y en la National Association of Securities Dealers by Automatic Quotation
(NASDAQ); por lo tanto, esto incluye tanto a empresas estadounidenses como
para las extranjeras que cotizan en dichas bolsas de valores, incluyendo tanto a la
matriz como a sus subsidiarias y afiliadas.

La ley SOx est compuesta por 11 ttulos que regulan desde

responsabilidades adicionales para las mesas directivas, hasta penas criminales.

Las principales novedades de esta ley son:

En el ttulo I se establece la creacin de un mecanismo denominado Public

Company Accounting Oversight Board (PCAOB), cuya principal funcin es la de
tener un registro de las compaas auditoras y supervisar su trabajo para
garantizar que se apegan a los estndares de control de calidad y principios
ticos. De esta manera se pretende garantizar que las firmas de auditora no estn
coludidas con las empresas para emitir informacin financiera incorrecta que
proporcione una imagen financiera diferente a la que realmente tienen las
empresas.

En el ttulo II se establecen temas de independencia de auditora, limitando

27
los servicios que las empresas auditoras pueden prestar a sus clientes a los que
auditan. Por lo anterior, queda prohibido para una empresa auditora proporcionar
a sus clientes de auditora servicios de contabilidad y todos aquellos servicios
relacionados con la preparacin y emisin de los reportes anuales, auditora
interna, servicios legales, servicios actuariales y todos aquellos que la PCAOB
determine.

En el ttulo III se establece el concepto de responsabilidad corporativa, la

seccin 302 establece que los reportes financieros que la empresa entrega al
pblico deben estar certificados por el CEO (director general) y el CFO (director de
finanzas) con la intencin de responsabilizarlos por el establecimiento y
mantenimiento del control interno necesario para que la informacin que se
entrega siempre sea verdica.

Debido a que esta certificacin no est sujeta a alguna revisin por parte de
auditores externos y para garantizar la transparencia y confiabilidad de la
informacin, se hace necesario que la misma sea verificada por personal
independiente a la empresa; dicho personal conforma el comit de auditora.

En el ttulo IV se tiene la seccin 404, la cual es la que ms polmica ha

causado, ya que establece la responsabilidad de la direccin sobre la creacin y
mantenimiento del control interno para la generacin de los resultados financieros;
adicionalmente, el reporte del auditor externo debe incluir una evaluacin de los
procedimientos de control interno para los resultados financieros y su efectividad

28
operativa.

Es para esta seccin 404, que en junio del 2005 (a un ao de su

implantacin) en Estados Unidos ya haba un total de 1,968 empresas de un total
de 2,872 reportando sus resultados financieros de acuerdo a las especificaciones
de la ley SOx. 1

Es precisamente la implantacin del control interno adecuado (seccin 404)

la que est significando un esfuerzo titnico para las empresas, tanto en lo
econmico como en las horas de trabajo requeridas para su correcta implantacin.

En el 2005, la Securities and Exchange Commission (SEC) estimaba que

las empresas gastaran anualmente alrededor de 5.4 millones de horas de trabajo
de su personal en la implantacin de la seccin 404 de la ley SOx.

Al principio, las empresas estaban preocupadas por el hecho de revelar al

pblico sus carencias en cuanto al control interno, temiendo que esto afectara los
valores de las acciones de sus compaas; sin embargo, esto no sucedi y de
acuerdo a un estudio realizado por Deloitte, los precios de las acciones slo
tuvieron variaciones menores al 5%.

1
2

Preguntas Frecuentes de SOx. en Deloitte. Chile. 2005.

MARTIN, Steven. Las Ventajas de Sarbanex-Oxley, en Information Week. Mayo 2005. p.19.

29
El resto de los ttulos de la ley Sarbanes-Oxley se muestran en la siguiente
tabla:

Ttulo
I
II

III

IV

V
VI
VII
VIII

Tabla I. Los ttulos de la Ley Sarbanes-Oxley

Regula:
Junta de Supervisin de Firmas de Auditora
Seccin 101, sobre retencin y salvaguardia de documentos de auditora
Independencia de los Auditores
Seccin 201, sobre monitoreo y pre aprobacin de servicios diferentes a los de
auditoria
Responsabilidad Corporativa
Seccin 302, sobre Certificacin por parte del CEO y CFO de los reportes
entregados a la SEC.
Seccin 306, sobre monitoreo y prevencin de operaciones con informacin
privilegiada
Revelaciones Financieras Mejoradas
Seccin 404, sobre control interno
Seccin 409, sobre revelacin oportuna de cualquier cambio material
Conflicto de Intereses
Seccin 501, sobre monitoreo y revelacin de analista de valores
Recursos y Autoridad de la Comisin
Estudios e Informes
Responsabilidad Corporativa y Fraude
Seccin 802, sobre la retencin y proteccin de documentos y registros de auditora.
Seccin 806, sobre comunicacin y recepcin de denuncias.

IX

Sanciones por crmenes de cuello y corbata

Seccin 906, sobre certificacin de la informacin financiera

X
XI

Declaraciones de Impuestos Corporativos

Responsabilidad por Fraudes Corporativos
Seccin 1102, sobre retencin y salvaguardia de la informacin

I.2. COBIT

I.2.A. Definicin de COBIT

COBIT.- Control Objectives for Information and related Technology

(objetivos de control para la informacin y la tecnologa relacionada).

30
Los objetivos de control para la informacin y la tecnologa relacionada
(COBIT) es un marco de referencia de buenas prcticas para las organizaciones
de TI. Este marco est formado por un conjunto de dominios y procesos que
representan las actividades de TI en una estructura manejable y lgica.

Este marco de referencia de buenas prcticas es el resultado del esfuerzo

de cientos de expertos alrededor del mundo y estn dirigidas fuertemente a lograr
un control adecuado y en menor medida a la ejecucin de las actividades.

Como resultado de la adopcin de estas prcticas (implementacin de

COBIT), se obtienen resultados importantes como los citados a continuacin:

Una mejor alineacin de TI mediante un enfoque de negocio.

Una vista comprensible de TI.
Orientacin a Procesos, estableciendo claramente la propiedad y la
responsabilidad de los mismos.
Lograr un entendimiento compartido con todas las partes interesadas
basndose en un lenguaje comn.
Aseguran la entrega del servicio.
Ayudan a optimizar las inversiones realizadas por TI.
Establecen parmetros de comparacin que ayuden a determinar
cuando las cosas no marchan adecuadamente.

31
La misin de COBIT

Investigar, desarrollar, publicar y promover un conjunto de objetivos de

control en tecnologa de informacin con autoridad, actualizados, de carcter
internacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores. 3

I.2.B. Historia

Como cualquier estndar, COBIT ha tenido una evolucin importante desde

su creacin en 1996; por lo cual, se han venido publicando diferentes ediciones en
las cuales se ha venido incrementando el alcance y beneficios. Esta evolucin se
presenta a manera de resumen a continuacin:

La primera edicin fue liberada en abril de1996 por la Information Systems

Audit and Control Foundation (ISACF) como una herramienta de control y para
realizar auditoras.

La segunda edicin fue publicada en abril de 1998 y en ella se incluy un

mayor nmero de documentos fuente, una revisin a los objetivos de control de
alto nivel, objetivos de control detallados y la adicin de un conjunto de
herramientas de implementacin.

La tercera edicin fue liberada en Julio del 2000, una de las novedades

COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 1.

32
principales fue que dicho documento fue editado por el Instituto de Gobierno de TI
(IT Governance Institute), el cual fue formado por la Information Systems Audit and
Control Association (ISACA) en 1998. En esta versin de COBIT se agregaron las
directrices gerenciales y se enfoc ms hacia el Gobierno de TI.

La cuarta edicin y ms actual contiene una mayor integracin con otros

estndares ms detallados, tiene un mayor enfoque hacia el Gobierno de TI e
incluye tambin el anlisis detallado de mtricas.

I.2.C. Los principios del marco de referencia

Durante mucho tiempo se consider a TI como un ente aislado para la

consecucin de los objetivos de la empresa; sin embargo, en el mercado global en
el que estn inmersos todas las empresas cada vez se hace ms evidente que
para lograr el xito se requiere que todas las reas de la misma estn enfocadas y
trabajando para lograr dichos objetivos, lo que llevar a la empresa a lograr el
xito.

Por lo anterior, es necesario que entre el gobierno de la empresa y el

gobierno de TI se tenga una alineacin que permita que TI sea considerada como
parte integral de la estrategia.

33
I.2.C.a. COBIT y el Gobierno de TI

Lo primero que se debe hacer al hablar de gobierno de TI, es definir lo que

esto significa y para tal efecto, COBIT proporciona la siguiente definicin de
gobierno de TI:

Una estructura de relaciones y procesos para dirigir y controlar la empresa

con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus procesos. 4

La estructura del gobierno de TI permite que los procesos de TI sean unidos

con los recursos de TI, as como con las estrategias y los objetivos de la empresa.
Por lo tanto, el gobierno de TI es parte integral del xito del gobierno corporativo o
de la empresa, garantizando as una medicin efectiva y eficiente de los procesos
de la empresa para mejorarlos.

Las empresas deben ser gobernadas por mejores prcticas generalmente

aceptadas, que permitan asegurar que la empresa est cumpliendo sus metas y
que esto est soportado por ciertos controles.

De la misma manera, TI debe ser gobernado por mejores prcticas que

garanticen que la informacin de la empresa y sus tecnologas relacionadas
apoyen a los objetivos del negocio, estos recursos deben ser utilizados de manera

COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 5

34
responsable y los riesgos relacionados a TI son manejados apropiadamente.
COBIT est diseado para su uso por parte de tres diferentes audiencias:

Administracin/Gerencia: Para apoyarlos en el logro de un balance

adecuado entre los riesgos y las inversiones en un ambiente de TI frecuentemente
impredecible.

Usuarios: Para garantizar la seguridad y los controles de los servicios

proporcionados por tecnologa de informacin o por terceros.

Auditores: Para soportar sus criterios de revisin y proporcionar

recomendaciones referentes a los controles internos a la administracin.

Orientacin a los objetivos del negocio

COBIT est alineado con los objetivos del negocio, debido que los objetivos
de control tienen una clara relacin con los objetivos del negocio, ya que estn
definidos con una orientacin a los procesos del negocio.

Con base en las actividades de investigacin, en el marco de referencia de

COBIT se han identificado:

4 Dominios.
34 Objetivos de alto nivel.

35
318 Objetivos de control detallados.
Los cuales se representan a continuacin:

Grfica 1. Los proceso de TI definidos en los dominios de COBIT. 5

COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 8

36
I.2.C.b. COBIT como integrador de estndares

Actualmente se tienen dos diferentes tipos de modelos de control:

Los modelos de control de negocios (como COSO)

Los modelos ms enfocados a TI (como DTI). 6

COBIT est diseado para cubrir la brecha existente entre los dos tipos de
modelos de control; por lo tanto, COBIT se visualiza como una herramienta ms
completa para llevar a cabo la administracin y para operar a un nivel ms alto a
los estndares de tecnologa. Por lo anterior se dice que COBIT es el modelo para
el gobierno de TI.

I.2.C.c. El principio fundamental de COBIT

El principio fundamental del marco referencial de COBIT se refiere a que

el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria
para dar soporte a los procesos de negocio y considerando a la informacin como
el resultado de la aplicacin combinada de recursos relacionados con la
Tecnologa de Informacin que deben ser administrados por procesos de TI. 7

6
7

Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido)
COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 14

37

Requerimientos
de Negocio

Procesos
de TI

Recursos
de TI

Grfica 2. El principio fundamental de COBIT

Para que los objetivos del negocio puedan ser satisfechos, la informacin
debe cumplir con ciertos criterios del negocio, que de acuerdo a COBIT son
conocidos como requerimientos del negocio para la informacin. Dichos criterios
son resumidos a continuacin:

Tabla II. Requerimientos del Negocio para la informacin 8

Tipo
Requerimiento
Calidad
Requerimientos de Calidad
Costo
Entrega o Distribucin de Servicios
Efectividad y eficiencia de las operaciones
Requerimientos Fiduciarios
Confiabilidad de la informacin
(COSO)
Cumplimiento de las leyes y regulaciones
Confidencialidad
Requerimientos de Seguridad
Integridad
Disponibilidad

Dentro de estos requerimientos, se observ que varios de ellos se

traslapaban con algunos otros de un tipo diferente; as por ejemplo, el aspecto de
entrega o distribucin del servicio (de la Calidad) se traslapa con el aspecto de

COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 15

38
disponibilidad (de seguridad) y tambin con el de efectividad y eficiencia.

Analizando los requerimientos de calidad, fiduciarios y de seguridad de

manera ms amplia, se lleg a siete categoras distintas, mismas que se describen
a continuacin:

Tabla III. Definiciones de las categoras de la informacin 9

Categora
Requerimiento
Se refiere a que la informacin relevante sea
pertinente para el proceso del negocio, as
Efectividad
como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
Se refiere a la provisin de informacin a
Eficiencia
travs de la utilizacin ptima (ms
productiva y econmica) de recursos.
Se refiere a la proteccin de informacin
Confidencialidad
sensible contra divulgacin no autorizada.
Se refiere a la precisin y suficiencia de la
informacin, as como a su validez de
Integridad
acuerdo con los valores y expectativas del
negocio.
Se refiere a la disponibilidad de la informacin
cuando sta es requerida por el proceso de
Disponibilidad
negocio ahora y en el futuro. Tambin se
refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.
Se refiere al cumplimiento de aquellas leyes,
regulaciones y acuerdos contractuales a los
Cumplimiento
que el proceso de negocios est sujeto, por
ejemplo, criterios de negocio impuestos
externamente.
Se refiere a la provisin de informacin
apropiada para la administracin con el fin de
Confiabilidad de la Informacin
operar la entidad y para ejercer sus
responsabilidades de reportes financieros y
de cumplimiento.

I.2.C.d. Los recursos de COBIT

Ibidem.

39

Los recursos de TI que COBIT ha identificado son los siguientes:

Tabla IV. Definiciones de los recursos de TI 10

Recurso
Descripcin
Son objetos en su ms amplio sentido, (por
Datos
ejemplo, externos e internos), estructurados y
no estructurados, grficos, sonido, etc.
Se entiende como sistemas de aplicacin la
Sistemas de Aplicaciones
suma de procedimientos manuales y
programados.
La tecnologa cubre hardware, sistemas
Tecnologa
operativos, sistemas de administracin de
bases de datos, redes, multimedia, etc.
Recursos para alojar y dar soporte a los
Instalaciones
sistemas de informacin.
Habilidades del personal, conocimiento,
sensibilizacin y productividad para planear,
Personal
organizar, adquirir, entregar, soportar y
monitorear servicios
y sistemas de informacin.

I.2.D. Los dominios de COBIT

Como se mencion anteriormente, se tienen cuatro grandes dominios

identificados por COBIT, los cuales son identificados por las palabras que la
gerencia utilizara en las actividades del da a da:

Planeacin y organizacin.
Adquisicin e implementacin.
Entrega y Soporte.
Monitoreo

10

Ibidem.

40

Cada uno de estos dominios son descritos a continuacin; adicionalmente,

se muestra la relacin existente entre los procesos (objetivos de alto nivel) y los
objetivos control (detallados).

I.2.D.a. Planeacin y Organizacin (PO)

Este dominio cubre las estrategias y las tcticas y se refiere a la
identificacin de la forma en que la tecnologa de informacin puede contribuir de
la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de
la visin estratgica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, deber establecerse una organizacin y una
infraestructura tecnolgica apropiadas. 11
Tabla V. Procesos y Objetivos de Control del Dominio PO
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin
1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo
1.2 Plan a largo plazo de Tecnologa de Informacin
1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin
1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin
1.6 Comunicacin de los planes de TI
1.7 Evaluacin y Monitoreo de los planes de TI.
1.8 Valoracin de los sistemas existentes.
2.0 Definicin de la Arquitectura de Informacin
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de sintaxis de datos corporativos
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad.
3.0 Determinacin de la Direccin Tecnolgica
3.1 Planeacin de la Infraestructura Tecnolgica
3.2 Monitoreo de Tendencias y Regulaciones Futuras
3.3 Contingencias en la Infraestructura Tecnolgica
3.4 Planes de Adquisicin de Hardware y Software
3.5 Estndares de Tecnologa
4.0 Definicin de la Organizacin y de las Relaciones de TI
4.1 Planeacin de TI o Comit de planeacin/direccin de la funcin de servicios de

11

COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 17.

41
informacin
4.2 Ubicacin de los servicios de informacin en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de calidad
4.6 Responsabilidad por la seguridad lgica y fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones
4.11 Asignacin de Personal para Tecnologa de Informacin
4.12 Descripcin de Puestos para el Personal de la Funcin de TI
4.13 Personal clave de TI
4.14 Procedimientos y polticas para el personal contratado
4.15 Relaciones
5.0 Manejo de la Inversin en Tecnologa de Informacin
5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo Beneficio
6.0 Comunicacin de los Objetivos y Aspiraciones de la Gerencia
6.1 Ambiente positivo de control de la informacin
6.2 Responsabilidad de la Gerencia en cuanto a Polticas
6.3 Comunicacin de las Polticas de la Organizacin
6.4 Recursos para la implementacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco Referencial para la Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad en TI
7.0 Administracin de Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Calificacin del Personal
7.3 Roles y Responsabilidades
7.4 Entrenamiento del personal
7.5 Entrenamiento Cruzado o Respaldo de Personal
7.6 Procedimientos para la Acreditacin del Personal
7.7 Evaluacin de Desempeo de los Empleados
7.8 Cambios de Puesto y Terminacin de contrato de trabajo
8.0 Aseguramiento del Cumplimiento con Requerimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
9.0 Anlisis de Riesgos
9.1 Anlisis de Riesgos del Negocio
9.2 Enfoque de Anlisis de Riesgos
9.3 Identificacin de Riesgos

42
9.4 Medicin de Riesgos
9.5 Plan de Accin para mitigar los Riesgos
9.6 Aceptacin de Riesgos
9.7 Seleccin de Proteccin.
9.8 Compromiso de Anlisis de Riesgos
10.0 Administracin de Proyectos
10.1 Marco Referencial para la Administracin de Proyectos
10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Plan maestro del proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de Calidad de Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y
procedimientos de la Funcin de Servicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la
Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco Referencial para la Adquisicin y Mantenimiento de la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes en su rol de Implementadores
11.11 Estndares para la Documentacin de Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del Sistema
11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de
Desarrollo
11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin
de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de Aseguramiento de la Calidad

I.2.D.b. Adquisicin e implementacin (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser

43
identificadas, desarrolladas o adquiridas, as como implementadas e integradas
dentro del proceso del negocio. Adems, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida
es continuo para esos sistemas. 12
Tabla VI. Procesos y Objetivos de Control del Dominio AI
1.0 Identificacin de Soluciones
1.1 Definicin de Requerimientos de Informacin
1.2 Formulacin de Acciones Alternativas
1.3 Formulacin de Estrategias de Adquisicin.
1.4 Requerimientos de Servicios de Terceros
1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica
1.7 Arquitectura de Informacin
1.8 Reporte de Anlisis de Riesgos
1.9 Controles de Seguridad costo-efectivo
1.10 Diseo de Pistas de Auditora
1.11 Ergonoma
1.12 Seleccin de Software del Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras Partes
1.16 Contratos para la Programacin de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos Fuente
2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos
2.8 Definicin de Interfases
2.9 Interfases Usuario-Mquina
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Consideracin de Integridad de TI en programas de software de aplicaciones
2.15 Pruebas al Software de Aplicacin
2.16 Materiales de Consulta y Soporte para Usuario
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de la Arquitectura de Tecnologa
3.1 Evaluacin de Nuevo Hardware y Software
3.2 Mantenimiento Preventivo para Hardware
3.3 Seguridad del Software del Sistema

12

Ibidem. pp. 17-18.

44
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Software del Sistema
3.7 Uso y Monitoreo de Utilidades/Utilitarios del Sistema
4.0 Procedimientos de Desarrollo y Mantenimiento de TI
4.1 Requerimientos Operacionales y Niveles de Servicio
4.2 Manual de Procedimientos para Usuario
4.3 Manual de Operacin
4.4 Material de Entrenamiento
5.0 Instalacin y Acreditacin de Sistemas
5.1 Entrenamiento
5.2 Medicin del Desempeo del Software de Aplicacin
5.3 Plan de Implementacin
5.4 Conversin del Sistema
5.5 Conversin de datos
5.6 Planes y estrategias de pruebas
5.7 Pruebas a cambios
5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.9 Prueba de Aceptacin Final
5.10 Pruebas y Acreditacin de la Seguridad
5.11 Prueba Operacional
5.12 Promocin a Produccin
5.13 Evaluacin de la Satisfaccin de los Requerimientos del Usuario
5.14 Revisin Gerencial Post Implementacin
6.0 Administracin de Cambios
6.1 Inicio y Control de Solicitudes de Cambio
6.2 Anlisis de Impacto
6.3 Control de Cambios
6.4 Cambios de Emergencia
6.5 Documentacin y Procedimientos
6.6 Mantenimiento Autorizado
6.7 Poltica de Liberacin de Software
6.8 Distribucin de Software

I.2.D.c. Entrega y Soporte (DS)

En este dominio se hace referencia a la entrega o distribucin de los

servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las
operaciones as como aspectos sobre entrenamiento. Con el fin de proveer
servicios, debern establecerse los procesos de soporte necesarios. Este dominio
incluye el procesamiento de los datos el cual es ejecutado por los sistemas de

45
aplicacin, frecuentemente clasificados como controles de aplicacin. 13
Tabla VII. Procesos y Objetivos de Control del Dominio DS
1.0 Definicin de Niveles de Servicio
1.1 Marco de Referencia para acuerdos de Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de Servicio
1.3 Procedimientos de Desempeo
1.4 Monitoreo y Reporte
1.5 Revisin de Contratos y Acuerdos de Nivel de Servicio
1.6 Elementos sujetos a Cargo
1.7 Programa de Mejoramiento del Servicio
2.0 Administracin de Servicios prestados por Terceros
2.1 Interfases con Proveedores
2.2 Relaciones con los Dueos
2.3 Contratos con Terceros
2.4 Calificaciones de terceros
2.5 Contratos con Outsourcing
2.6 Continuidad del Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo
3.0 Administracin de Desempeo y Capacidad
3.1 Requerimientos de Disponibilidad y Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelado
3.5 Administracin de Desempeo Proactivo
3.6 Pronstico de Carga de Trabajo
3.7 Administracin de Capacidad de Recursos
3.8 Disponibilidad de Recursos
3.9 Calendarizacin / Programacin de recursos
4.0 Aseguramiento de Servicio Continuo
4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin
4.2 Estrategia y Filosofa del Plan de Continuidad de Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
4.7 Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin
4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Informacin
4.11 Centro de Cmputo y Hardware de respaldo
4.12 Almacenamiento de copias de respaldo fuera del sitio
4.13 Procedimientos de Refinamiento del Plan de Continuidad de TI
5.0 Garantizar la Seguridad de Sistemas
5.1 Administrar Medidas de Seguridad

13

Ibidem. p. 18.

46
5.2 Identificacin, Autenticacin y Acceso
5.3 Seguridad de Acceso a Datos en Lnea
5.4 Administracin de Cuentas de Usuario
5.5 Revisin Gerencial de Cuentas de Usuario
5.6 Control de Usuarios sobre Cuentas de Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Administracin Centralizada de Identificacin y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades de Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en las Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de las funciones de seguridad
5.18 Administracin de las Llaves Criptogrficas
5.19 Prevencin, Deteccin y Correccin de Software Malicioso
5.20 Arquitecturas de Firewalls y conexin a redes pblicas
5.21 Proteccin de Valores Electrnicos
6.0 Identificacin y Asignacin de Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a Usuarios
7.0 Educacin y Entrenamiento de Usuarios
7.1 Identificacin de Necesidades de Entrenamiento
7.2 Organizacin de Entrenamiento
7.3 Entrenamiento sobre Principios y Conciencia de Seguridad
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin
8.1 Help Desk
8.2 Registro de consultas del Cliente
8.3 Escalamiento de consultas del Cliente
8.4 Monitoreo de Atencin a Clientes
8.5 Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin
9.1 Registro de la Configuracin
9.2 Base de la Configuracin
9.3 Registro de status
9.4 Control de la Configuracin
9.5 Software no Autorizado
9.6 Almacenamiento de Software
9.7 Procedimientos para la Administracin de la Configuracin
9.8 Contabilidad y registro del Software
10.0 Administracin de Problemas e Incidentes
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
10.4 Autorizaciones para acceso temporal y de emergencia.
10.5 Prioridades en Procesos de Emergencia
11.0 Administracin de Datos

47
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos para la Autorizacin de Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de Datos
11.11 Manejo de Errores en el Procesamiento de Datos
11.12 Manejo y Retencin de Datos de Salida
11.13 Distribucin de Datos de Salida
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de Errores
11.16 Provisiones de Seguridad para Reportes de Salida
11.17 Proteccin de Informacin Sensitiva durante transmisin y transporte
11.18 Proteccin de Informacin Sensitiva a ser Desechada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera de Medios
11.22 Responsabilidades de la Administracin de la Librera de Medios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
12.0 Administracin de Instalaciones
12.1 Seguridad Fsica
12.2 Discrecin (bajo perfil) de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
13.0 Administracin de Operaciones
13.1 Manual de Instrucciones y procedimientos de Operaciones de procesamiento
13.2 Documentacin del Proceso de Inicio y de Otras Operaciones
13.3 Calendarizacin/programacin de Trabajos
13.4 Ejecucin de los Trabajos estndar programados
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Proteccin de Formas Especiales y dispositivos de salida
13.8 Operaciones Remotas

48
I.2.D.d. Monitoreo

Todos los procesos necesitan ser evaluados regularmente a travs del

tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de
control. Este dominio tambin advierte a la Administracin sobre la necesidad de
asegurar procesos de control independientes, los cuales son provistos por
auditoras internas y externas u obtenidas de fuentes alternativas.14
Tabla VIII. Procesos y Objetivos de Control del Dominio M
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Anlisis del Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
2.0 Evaluar lo adecuado del Control Interno
2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
2.3 Reporte sobre el Nivel de Control Interno
2.4 Seguridad en las operaciones y aseguramiento del Control Interno
3.0 Obtencin de Aseguramiento Independiente
3.1 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de los servicios
de TI
3.2 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de proveedores
externos de servicios
3.3 Evaluacin Independiente de la Efectividad de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y
compromisos contractuales
3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y
compromisos contractuales con proveedores externos de servicios
3.7 Competencia de la Funcin de Aseguramiento Independiente
3.8 Participacin Proactiva de Auditora
4.0 Proveer Auditora Independiente
4.1 Estatutos de Auditoria
4.2 Independencia
4.3 tica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditoria
4.7 Reporte
4.8 Actividades de Seguimiento

14

Ibidem.

49
I.2.E. Modelos de madurez de COBIT

COBIT provee modelos de madurez para el control de los procesos de TI,

los cuales permitan a la administracin ubicarse en el punto donde se encuentra la
organizacin actualmente, comparar donde est la organizacin en relacin a las
mejores empresas de su clase y compararse contra los estndares internacionales
para que de esta manera pueda determinar hasta dnde quiere llegar la empresa.

Este modelo de madurez para la administracin y control de los procesos

de TI, est basado en un mecanismo que permita que la empresa se evale a s
misma en una escala de de 0 (no existente) hasta 5 (nivel optimizado).

Dicho modelo toma como base el modelo de madurez que utiliza el

Software Engineering Institute para evaluar la madurez de la capacidad de
desarrollo de software.

En la siguiente figura se muestra un mtodo grfico de presentacin que

permite reflejar los resultados de manera ms fcil en los resmenes gerenciales:

50

Grfica 3. Representacin grfica de los modelos de madurez

15

Mediante esta representacin grfica, se puede ubicar fcilmente el estado

que guarda la empresa en el momento de la evaluacin e indicar en el mismo
grfico donde se encuentra el promedio de industria, as como marcar el objetivo
al que se quiere llegar.

Cabe aclarar que aunque este grfico NO se presenta en la versin 3.0 de

COBIT (que es la que se est usando para el proyecto) y se obtuvo de la versin
4.0, aplica de la misma manera para representar el grado de madurez en la
versin 3.0

Las mediciones son realizadas tomando como base el modelo genrico de

madurez que se muestra a continuacin:

15

COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 127.

51
Tabla IX. Modelo genrico de madurez 16
0 No existente. Hay una completa falta de cualquier proceso de gobierno de TI identificable. La
organizacin no ha reconocido aun que hay aspectos que deben ser identificados y por lo tanto no
hay comunicacin al respecto.
.
1 Inicial / Ad Hoc. Hay evidencia de que la organizacin ha reconocido que existen aspectos del
gobierno de TI que deben ser considerados. Hay, sin embargo, procesos no estandarizados, pero
en su lugar, hay procedimientos ad hoc aplicados sobre un caso individual o sobre bases de caso a
caso. El enfoque Gerencial es catico y hay una espordica e inconsistente comunicacin sobre
aspectos y enfoques que deban ser considerados. Puede haber algn reconocimiento para utilizar
el valor de TI en el desempeo orientado al resultado de los procesos relacionados de la empresa.
No hay procesos de anlisis estndar. El monitoreo de TI est implementado en una forma reactiva
a incidentes que han causado algunas prdidas o apuros a la organizacin.
2 Repetible pero intuitiva. Hay una conciencia global sobre los aspectos del gobierno de TI. Las
actividades del gobierno de TI y los indicadores de desempeo estn en desarrollo, incluyendo la
planeacin de TI y los procesos de entrega y monitoreo. Como parte de los esfuerzos, las
actividades del gobierno de TI estn formalmente establecidas dentro del proceso de
administracin del cambio con el involucramiento activo de la alta gerencia. Procesos
seleccionados de TI son identificados para mejorar y/o controlar el ncleo de los procesos de la
empresa, son efectivamente planeados y monitoreados como si fueran inversiones y son derivados
en el contexto de un marco de referencia de la arquitectura de TI. La gerencia ha identificado los
mtodos y tcnicas bsicos de anlisis y medicin del gobierno de TI, sin embargo, el proceso no
ha sido adoptado a travs la organizacin. No hay entrenamiento y comunicacin sobre los
estndares de gobernabilidad y las responsabilidades son dejadas a los individuos. Los individuos
direccionan los procesos de gobernabilidad como si no fueran procesos y proyectos de TI. Las
herramientas de gobernabilidad son limitadas, escogidas e implementadas para lograr mtricas de
gobernabilidad pero puede que no se usen en toda su capacidad debido a la falta de experiencia
en su funcionalidad.

3 Procesos Definidos. La necesidad de actuar con respecto al gobierno de TI es entendida y

aceptada. Se desarrolla un grupo bsico de indicadores de Gobierno de TI, donde el
encadenamiento entre medidas de ingresos y controladores de desempeo es definido,
documentado e integrado dentro de la planeacin operacional y estratgica. Los procedimientos
han sido estandarizados, documentados e implementados. La Gerencia ha comunicado los
procedimientos estandarizados y se establece un entrenamiento informal. Los indicadores de
desempeo sobre las actividades de gobernabilidad de TI son registrados y monitoreados
generando mejoras a todo lo largo de la empresa. Aunque medidos, los procedimientos no son
sofisticados pero son la formalizacin de prcticas existentes. Las herramientas estn
estandarizadas, utilizando tcnicas disponibles y modernas. La idea de utilizar tarjetas de medicin
que balancean el negocio y TI son adoptadas por la organizacin. Esto, sin embargo, deja que el
individuo, de acuerdo con su entrenamiento, siga y aplique los estndares. El anlisis de causa
efecto es ocasionalmente aplicado. La mayora de los procesos son monitoreados sobre mtricas
(bases), pero cualquier desviacin, debido a que generalmente se basa en las iniciativas de los
individuos, probablemente no seran detectadas por la Gerencia. De todas maneras, el registro
total del desempeo de los procesos claves es realizado y la gerencia es recompensada basada en
mediciones clave de desempeo.
4 Administrado y medible. Hay un completo entendimiento de los aspectos de Gobierno de TI a
todos los niveles de la organizacin, soportado por un entrenamiento formal. Hay un claro

16

Ibidem. p. 21.

52
entendimiento de quien es el cliente y sus responsabilidades estn definidas y monitoreadas a
travs de acuerdos de nivel de servicio. Las responsabilidades son claras y el proceso de
propiedad est establecido. Los procesos de TI estn alineados con el negocio y con la estrategia
de TI. El mejoramiento de los procesos de TI est basado primariamente sobre un entendimiento
cuantitativo y por ello es posible monitorear y medir el cumplimiento con procesos y con mtrica de
procesos. Todos los responsables o propietarios de los procesos son advertidos sobre los riesgos,
la importancia de TI y las oportunidades que TI puede ofrecer. La Gerencia ha definido una
tolerancia bajo la cual los procesos deben operar. Se toman acciones en la mayora, pero no en
todos los casos, donde parece que los procesos no estn operando efectiva o eficientemente. Los
procesos se mejoran ocasionalmente y se refuerzan las mejores prcticas internas. Se estandariza
el uso de anlisis causa-efectos. Hay un limitado, primario y tctico uso de la tecnologa, basado en
tcnicas de madurez y reforzado con herramientas estndar. Hay involucramiento de todos los
expertos internos requeridos. El gobierno de TI involucra los procesos a todo lo ancho de la
empresa. Las actividades del gobierno de TI estn llegando a integrarse con los procesos de
gobierno de la empresa.

5 Optimizado. En esta fase hay un entendimiento avanzado y hacia futuro de los aspectos y
soluciones del gobierno de TI. El entrenamiento y las comunicaciones son soportadas por
conceptos y tcnicas de vanguardia. Los procesos han sido refinados a un nivel de mejores
prcticas externas basadas sobre resultados de mejoramiento continuo y modelos de madurez con
otras organizaciones. La implementacin de esas polticas han permitido a la organizacin, a la
gente y a los procesos que se adapten rpidamente y por completo a los requerimientos de
gobierno de TI. Todos los problemas y desviaciones son analizados de raz y con base en ese
anlisis se identifican e inician acciones eficientes y oportunas. La Tecnologa de Informacin es
utilizada de una manera extensiva y optimizada para automatizar el flujo de trabajo y proporcionar
herramientas para mejorar la calidad y la efectividad. Los riesgos y el retorno de los procesos de TI
son definidos, balanceados y comunicados a travs de toda la empresa. Se aprovechan expertos
externos y se utilizan benchmarks como guas. El monitoreo y el autoanlisis de riesgos y las
comunicaciones acerca de las expectativas del gobierno influencian la organizacin y hay un
ptimo uso de la tecnologa para soportar la medicin, el anlisis, las comunicaciones y el
entrenamiento. El gobierno de la empresa y el gobierno de TI estn estratgicamente conectados
empujando a los recursos humanos y financieros a incrementar la ventaja competitiva de la
empresa.

La siguiente tabla lista los atributos y las caractersticas de administracin

de los procesos de TI, al tiempo que describe la evolucin desde un proceso no
existente (0) hasta uno optimizado (5). Dichos atributos pueden utilizarse para
realizar una evaluacin ms profunda y para realizar un anlisis de las brechas
existentes entre la situacin actual que guarda alguna organizacin y para
establecer los mecanismos de control necesarios para cerrar esas brechas.

53

Tabla X. Atributos de madurez

Conciencia y
comunicacin
1 Surge el
reconocimiento de
la necesidad del
proceso
Existe
comunicacin
espordica de los
problemas.

2 Existe conciencia
de la necesidad de
actuar
La gerencia
comunica los
problemas
generales

17

Ibidem. p. 23.

Polticas,
estndares y
procedimientos
Existen enfoques ad
hoc hacia los
procesos y las
prcticas
Los procesos y las
prcticas no estn
definidos

Surgen procesos
similares y comunes
pero en su mayora
son intuitivos y
parten de la
experiencia individual
Algunos aspectos de
los procesos son
repetibles debido a la
experiencia
individual, y puede
existir alguna
documentacin y
entendimiento
informal de las
polticas y
procedimientos

17

Herramientas y
automatizacin

Habilidades y
experiencia

Responsabilidad y
rendicin de cuentas

Establecimiento y
medicin de metas

Pueden existir
algunas
herramientas; el
uso se basa en
herramienta
estndar de
escritorio
No existe un
enfoque planeado
para el uso de
herramientas
Existen enfoques
comunes para el
uso de
herramientas pero
se basan en
soluciones
desarrolladas por
individuos clave.
Pueden haberse
adquirido
herramientas de
proveedores, pero
probablemente no
se aplican de
forma correcta o
incluso no usarse.

No estn definidas las

habilidades requeridas
para el proceso
No existe un plan de
entrenamiento y no hay
entrenamiento formal

No existe definicin de
responsabilidades y de
rendicin de cuentas.
Las personas toman la
propiedad de los
problemas con base en
su propia iniciativa de
manera reactiva.

Las metas no estn

claras y no existen las
mediciones.

Se identifican los
requerimientos mnimos
de habilidades para
reas crticas
Se da entrenamiento
como respuesta a las
necesidades, en lugar
de hacerlo con base en
un plan acordado.
Existe entrenamiento
informal sobre la
marcha.

Un individuo asume su
responsabilidad, y por lo
general debe rendir
cuentas an si esto no
est acordado de modo
formal. Existe confusin
acerca de la
responsabilidad cuando
ocurren problemas y
una cultura de culpas
tiende a existir.

Existen algunas metas;

se establecen algunas
mediciones financieras
pero solo las conoce la
alta direccin. Hay
monitoreo inconsistente
en reas aisladas.

54

3 Existe el
entendimiento de
la necesidad de
actuar
La gerencia es
ms formal y
estructurada en su
comunicacin

Surge el uso de
buenas prcticas
Los procesos,
polticas y
procedimientos estn
definidos y
documentados para
todas las actividades
clave

4 Hay
entendimiento de
los requerimientos
completos
Se aplican
tcnicas maduras
de comunicacin y
se usan
herramientas
estndar de
comunicacin

El proceso es slido
y completo; se
aplican las mejores
prcticas internas.
Todos los aspectos
del proceso estn
documentados y son
repetibles. La
direccin ha
terminado y
aprobado las
polticas. Se adoptan
y siguen estndares
para el desarrollo y
mantenimiento de
procesos y
procedimientos.

Existe un plan para

el uso y
estandarizacin de
las herramientas
para automatizar el
proceso
Se usan
herramientas por
su propsito
bsico, pero
pueden no estar de
acuerdo al plan
acordado, y
pueden no estar
integradas entre s
Se implantan las
herramientas de
acuerdo a un plan
estndar y algunas
se han integrado
con otras
herramientas
relacionadas
Se usan
herramientas en
las principales
reas para
automatizar la
administracin del
proceso y
monitorear las
actividades y
controles crticos

Se definen y
documentan los
requerimientos y
habilidades para todas
las reas.
Existe un plan de
entrenamiento formal
pero todava se basa en
iniciativas individuales

La responsabilidad y la
rendicin de cuentas
sobre los procesos
estn definidas y se han
identificado a los
propietarios de los
procesos de negocio.
Es poco probable que el
propietario del proceso
tenga la autoridad plena
para ejercer las
responsabilidades.

Los requerimientos de
habilidades se
actualizan
rutinariamente para
todas las reas, se
asegura la capacidad
para todas las reas
crticas y se fomenta la
certificacin
Se aplican tcnicas
maduras de
entrenamiento de
acuerdo al plan y se
fomenta la comparticin
del conocimiento.
Todos los expertos
internos estn
involucrados y se
evala la efectividad del
plan de entrenamiento.

Las responsabilidades y
la rendicin de cuentas
sobre los procesos
estn aceptadas y
funcionan de modo que
se permite al propietario
del proceso descargar
sus responsabilidades.
Existe una cultura de
recompensas que activa
la accin positiva.

Se establecen algunas
mediciones y metas de
efectividad, pero no se
comunican, y existe una
relacin clara con las
metas del negocio.
Surgen los procesos de
medicin pero no se
aplican de modo
consistente. Se adoptan
ideas de un balanced
scorecard de TI as
como la aplicacin
intuitiva ocasional de
anlisis de causas raz.
La eficiencia y la
efectividad se miden y
comunican y estn
ligadas a las metas del
negocio y al plan
estratgico de TI. Se
implementa el balanced
scorecard de TI en
algunas reas, con
excepciones conocidas
por la gerencia y se est
estandarizando el
anlisis de causas raz.
Surge la mejora
continua.

55

5 Existe un
entendimiento
avanzado y a
futuro de los
requerimientos
Existe una
comunicacin
proactiva de los
problemas, basada
en las tendencias,
se aplican tcnicas
maduras de
comunicacin y se
usan herramientas
integradas de
comunicacin

Se aplican las
mejores prcticas y
estndares externos
La documentacin de
procesos ha
evolucionado a flujos
de trabajo
automatizados. Los
procesos, las
polticas y los
procedimientos estn
estandarizados e
integrados para
permitir una
administracin y
mejoras integrales

Se usan juegos de
herramientas
estandarizados a
lo largo de la
empresa.
Las herramientas
estn
completamente
integradas con
otras herramientas
relacionadas para
permitir un soporte
integral de los
procesos.
Se usan las
herramientas para
dar soporte a la
mejora del proceso
y detectar de forma
automtica las
excepciones de
control

La organizacin
fomenta de manera
formal la mejora
continua de las
habilidades, con base
en metas personales y
organizacionales
claramente definidas.
El entrenamiento y la
educacin dan soporte
a las mejores prcticas
externas y al uso de
conceptos y tcnicas de
vanguardia. La
comparticin del
conocimiento es parte
de la cultura
empresarial y se
implementan sistemas
basados en
conocimiento. Se usan
a expertos externos y a
lderes de la industria
como gua.

Los propietarios de
procesos tienen la
facultad de tomar
decisiones y medidas.
La aceptacin de la
responsabilidad ha
descendido en cascada
a travs de la
organizacin de forma
consistente.

Existe un sistema de
medicin de desempeo
integrado que liga al
desempeo de TI con
las metas del negocio
por la aplicacin global
del balanced scorecard
de TI. La direccin nota
las excepciones de
forma global y
consistente y el anlisis
de causas raz se aplica.
La mejora continua es
una forma de vida.

56
I.3. LOS ESTNDARES ACEPTADOS

I.3.A. COSO

El informe COSO es un documento que establece una definicin comn de

un sistema de control interno y proporciona un estndar con el cual las
organizaciones pueden comparar y mejorar sus sistemas de control interno. Este
documento fue publicado en 1992 y desde entonces ha contado con una gran
aceptacin que lo ha llevado a ser el estndar de referencia para el control interno.

El inters en este documento ha sido reavivado por las exigencias de la ley

Sarbanes-Oxley, ya que mediante la utilizacin de COSO (modelo de Gobierno
Corporativo) y la de COBIT (modelo de Gobierno de TI), entre otros, se logra la
conformidad con la ley Sarbanes-Oxley.

El objetivo de COSO es:

Asegurar la calidad de la informacin financiera, haciendo nfasis en

el control interno y las normas ticas.
Estandarizar criterios sobre las interpretaciones y conceptos
relacionados a control interno.

El informe COSO est conformado por dos secciones:

57
Un resumen ejecutivo para la direccin, en el cual se explican de
manera general los principales conceptos del informe.
El marco de referencia, en el cual se presentan en detalle los 5
elementos bsicos del control interno que interactan entre ellos y
estn integrados en el proceso de direccin:
o Entorno de Control.
o Administracin de los riesgos.
o Actividades de Control.
o Informacin y comunicacin.
o Monitoreo.

El Informe COSO define el control interno como una forma de garantizar

que se cumplan los tres objetivos siguientes:

1. Eficacia y eficiencia de las operaciones

2. Fiabilidad de la informacin financiera
3. Cumplimiento de las leyes y normas que sean aplicables.

I.3.A.a. Entorno de control

Se refiere a la cultura organizacional de la empresa y la actitud y filosofa

de la direccin con respecto al control interno. Se consideran elementos como la
tica, la integridad de las personas, la capacidad de los empleados, la asignacin

58
de autoridades y responsabilidades, el desarrollo de los empleados, entre otras.

I.3.A.b. Evaluacin de los riesgos

Una vez que se han establecido los objetivos de la empresa, se deben

identificar y evaluar los riesgos relevantes que podran impedir que se alcancen
dichos objetivos.

Los riesgos deben ser administrados tomando en cuenta que las empresas
se encuentran en un entorno dinmico y cambiante.

I.3.A.c. Actividades de control

Se refiere a todas aquellas medidas que ayudan a asegurar que las

operaciones se estn realizando bajo un cierto nivel de control. Estas medidas
incluyen polticas y procedimientos y todos aquellos controles que son revisados
por una auditora externa.

I.3.A.d. Informacin y comunicacin

Se refiere a la difusin oportuna de la informacin necesaria para que todos

los niveles puedan cumplir con sus actividades y obligaciones, dicha informacin
debe ser identificada y ordenada antes de ser difundida. Se considera tanto la

59
informacin interna como la externa.

Se deben establecer los canales adecuados que aseguren que se lleve a

cabo una adecuada comunicacin.

El personal debe estar informado sobre la relevancia que cobra su

participacin en el esfuerzo de implementacin del control interno.

I.3.A.e. Monitoreo

El sistema de control interno requiere de un proceso de monitoreo continuo

que permita verificar que est funcionando de manera adecuada, que permita
detectar desviaciones en el momento adecuado para establecer acciones
correctivas para regresar a los parmetros normales de funcionamiento.

Dicho monitoreo tambin brinda la ventaja de detectar reas de mejora

como parte del proceso de mejora continua en el que se deben tener este tipo de
sistemas de control interno.

Aun y cuando la direccin de la empresa es la principal responsable del

control interno, cabe mencionar que todos los colaboradores de la organizacin
son responsables en mayor o menor medida del diseo, la implantacin y correcto
funcionamiento del control interno.

60
I.3.B. ITIL (Information Technology Infrastructure Library)

La biblioteca de infraestructura de tecnologas de informacin, la cual fue

creada por la OGC (Office of Government Commerce).

Es una serie de libros que brindan un conjunto detallado de mejores

prcticas referentes a los procesos de administracin y entrega de los servicios de
TI.

Los objetivos de ITIL son:

Alinear y administrar eficientemente los servicios de TI de acuerdo a

las necesidades actuales y futuras de la empresa.
Mejorar la calidad de los servicios de TI entregados a los clientes.
Eficientar los costos que representa el proveer el servicio.
Reducir los riesgos asociados a los servicios de TI.
Agregar valor al negocio

En la versin 2.0 de ITIL se tienen 7 libros de los cuales 2 son los ms

utilizados:

61
I.3.B.a. Soporte al Servicio

Soporte al Servicio contempla los siguientes Procesos:

Mesa de Servicio
Administracin de Incidentes.
Administracin de Problemas.
Administracin de Cambios.
Administracin de Liberaciones.
Administracin de Configuraciones.

I.3.B.b. Entrega del Servicio

Entrega del servicio contempla los siguientes procesos:

Administracin del Nivel de Servicio.
Administracin de la Disponibilidad.
Administracin de la Capacidad.
Administracin financiera para servicios de TI.
Administracin de la Continuidad del Servicio de TI.

62
I.4 LA DIRECCIN DE TI DE GRUPO MODELO

I.4.A. Breve resea histrica

La Direccin de Tecnologa de Informacin de Grupo Modelo ha pasado por

varias transformaciones en su estructura, originalmente slo se tenan
consideradas dos grandes reas:

Infraestructura.
Desarrollo de Aplicaciones.

Con esta distribucin, se coordinaba al personal de TI de las fbricas de

cerveza, compaas de servicio y fleteras.

A principios del 2000 se realiz una reestructuracin corporativa mediante

la cual la direccin de TI empez a coordinar tambin al personal de las agencias
distribuidoras.

Con el paso del tiempo, se han tenido diversas reestructuraciones tanto a

nivel corporativo como en la direccin de TI, mismas que se han dado buscando
una mayor eficiencia en la entrega de servicios y la administracin de los recursos.

Obviamente que estas reestructuraciones y los constantes cambios en las

estrategias a nivel corporativo hicieron crecer de manera ms que importante las

63
actividades que se desarrollaban en el corporativo, lo que dio lugar a la necesidad
de iniciar a implantar un esquema de control interno que permitiera una
administracin adecuada de los recursos y servicios que se generan en la
direccin de TI.

I.4.B. Estructura Actual

Actualmente la direccin de tecnologa de informacin depende de la

direccin de procesos y tecnologa de informacin y est conformada por las reas
de:
Infraestructura.
Proyectos y mantenimiento a Aplicaciones.
Seguridad Informtica.
Gestin de TI.

En la direccin de TI se coordina desde el corporativo al personal de TI de

las diferentes UEN (Unidad Estratgica de Negocios) como lo son cerveceras,
agencias, compaas de servicio, fleteras y recientemente de las tiendas de
conveniencia, etc.

La coordinacin de tal cantidad de personal y de recursos requiere que se

tenga una robusta plantilla de personal dentro de cada una de las reas
mencionadas anteriormente.

64

La plantilla de personal de la direccin de TI est conformada por personal

interno (perteneciente a Grupo Modelo) y personal externo, ya que para muchos
proyectos se contratan servicios en outsourcing y en otros casos se contrata al
personal a travs de terceros.

La mayor parte de las actividades y personal de TI se encuentra

concentrada en el corporativo en la Cd. De Mxico. D.F. y se tiene personal en las
UENs mencionadas anteriormente. Las cantidades de personal en cada una de
ellas depende de las actividades que se realicen; sin embargo, para agencias se
tiene una persona que atiende a la agencia y sus sub-agencias y en el caso de las
fbricas se tiene un poco ms de personal.

I.4.C. Servicios de la direccin de TI

Actualmente los servicios que proporciona la direccin de TI se basan

principalmente en el desarrollo de soluciones de tecnologa de informacin para el
negocio, dentro de estas soluciones se est considerando tanto a las aplicaciones
como la infraestructura y los servicios que soportan a las aplicaciones.

Adicionalmente se tienen servicios de administracin de plataformas; es

decir, la creacin de cuentas de usuario para red, correo, internet y dems
servicios habilitadores (an y cuando estos servicios tambin soportan a las
aplicaciones, requieren de cierta interaccin con el usuario).

65

Otro servicio que tambin requiere de interaccin directa con el usuario es

la mesa de servicio, ya que es el nico punto de contacto para la resolucin de
incidentes y problemas relacionados con aplicaciones, servicios e infraestructura.

La entrega de equipo de cmputo es otro servicio habilitador que requiere

de una interaccin directa con el usuario.

I.5. COBIT EN LA DIRECCIN DE TI DE GRUPO MODELO

I.5.A. Orgenes del proyecto

Aun y cuando ya se haba venido trabajando para establecer un sistema de

control interno en la direccin de TI, siempre se haban tenido varios esfuerzos
aislados que no fructificaron de manera adecuada, ya que los mismos se
realizaban por reas sin involucrar al resto de las reas de la direccin de TI.

Estos esfuerzos se vean minados tambin por el cambio de prioridades en

la direccin de TI, lo que provocaba que se abandonaran los esfuerzos antes de
ver los resultados palpables.

El detonante para la implementacin del control interno mediante COBIT,

fue la probabilidad de que Grupo Modelo se tuviera que certificar en la Ley

66
Sarbanes-Oxley, lo cual podra darse por alguna de las siguientes situaciones:
Por el probable ingreso de Grupo Modelo a cotizar en la bolsa de
valores estadounidense.
Por la sociedad que se tiene con la compaa Anhausser-Bush, ya
que siendo una compaa estadounidense est obligada a apegarse
a la Ley SOx y cabra la posibilidad de que siendo socios se obligara
a Grupo Modelo a apegarse a dicha Ley.

Visualizando el escenario descrito, Grupo Modelo decidi empezar a

prepararse para una posible certificacin en Sox, ya que a partir de que se notifica
a una empresa de que se debe apegar a Sox, solo tiene seis meses para
evidenciar que tiene un control interno adecuado que garantice la transparencia y
confiabilidad de la informacin financiera que se emite a la bolsa y al pblico en
general.

Como se coment anteriormente, para la generacin de un esquema de

control interno adecuado que cumpla los requerimientos de la ley Sox, se puede
tomar como base los marcos de referencia COSO y COBIT. COSO establece las
pautas para el gobierno corporativo (control interno corporativo) y COBIT
establece los lineamientos para el Gobierno de TI (control interno de TI).

Lo anterior se debe a que la ley Sox es muy general y slo proporciona las
pautas de lo que se deber hacer para tener un adecuado nivel de control interno
que garantice la transparencia de la informacin financiera. En este sentido,

67
COSO y COBIT son un poco ms particulares aunque solo dicen el qu y no el
cmo, es por esto, que estos marcos de referencia se pueden complementar con
otros estndares que indican el cmo.

Por lo anteriormente descrito, para la parte del negocio se empez a

implementar COSO y para la direccin de TI se inici con la implementacin de
COBIT.

De acuerdo a los lineamientos establecidos por la Ley Sox, cuando se est

realizando la preparacin para la certificacin en dicha ley, es vlido que las
empresas se asesoren con compaas de auditora para que les ayuden a
detectar las brechas existentes en su control interno tomando como base los
requerimientos de Sox.

Tomando como base esa facilidad, se contrat a una empresa de auditora

que apoy a la direccin de TI de Grupo Modelo a determinar cules controles de
COBIT deberan ser implementados y a detectar las brechas existentes entre el
control interno que se tena contra el que se requera tener para cumplir con
COBIT y por ende con Sox.

I.5.B. Los controles a implementar

Una vez que se determin cuales de los controles de COBIT se necesitaban

implementar en la direccin de TI y que fueron documentadas las brechas

68
existentes, stos fueron asignados a las diferentes reas de la direccin para que
se realizara el diseo de los documentos que cerraran las brechas detectadas
entre la situacin de la direccin de TI y los objetivos de control de COBIT.

En la siguiente tabla se muestran los Controles COBIT clasificados por el

rea responsable del diseo y por el dominio COBIT correspondiente:

Tabla XI. Los controles a implementar en la Direccin de TI

rea
Dominio COBIT
Descripcin del Control
Responsable
DS1.6 Elementos Sujetos a Cargos
DS2.1 Interfaces con proveedores
DS2.2 Relaciones con los propietarios (usuarios dueos)
Administracin
DS2.3 Contratos con terceros
de Proveedores DS
DS2.4 Calificaciones de terceros
y Finanzas
DS2.5 Contratos de Outsourcing
DS2.6 Continuidad de servicios
DS2.7 Relaciones con la seguridad
DS2.8 Monitoreo
AI5.13 Evaluacin del Cumplimiento de los Requerimientos
AI
del Usuario
AI5.14 Revisin Gerencial Post Implementacin
DS1.1 Marco de Referencia para el Acuerdo de Niveles de
Servicio
Calidad de
DS1.2 Aspectos Sobre los Acuerdos de Niveles de
Procesos
Servicios.
DS
DS1.3 Procedimiento de desempeo
DS1.4 Monitoreo y Reporte
DS1.5 Revisin de Acuerdos y Contratos de Nivel de
Servicio
DS1.7 Programa de Mejoramiento de Servicio
AI5.1 Entrenamiento
Comunicacin y
AI
Formacin TI
AI5.3 Plan de implementacin
AI2.1 Mtodos de Diseo
AI2.10 Definicin y Documentacin de Requerimientos de
Procesamiento
AI2.11 Definicin y Documentacin de Requerimientos de
Salida de Datos
AI2.12 Controlabilidad
Desarrollo
AI
AI2.13 Disponibilidad como Factor Clave de Diseo
AI2.15 Pruebas de Software de Aplicacin
AI2.16 Materiales de Consulta y Soporte para Usuarios
AI2.17 Reevaluacin del Diseo del Sistema
AI2.3 Aprobacin del Diseo
AI2.4 Definicin y Documentacin de Requerimientos de
Archivos

69

DS

Desarrollo/Mant
enimiento

AI

AI

Infraestructura

DS

AI2.5 Especificaciones de Programas

AI2.6 Diseo para la Recopilacin de Datos Fuente
AI2.7 Definicin y Documentacin de Requerimientos de
Entrada de Datos
AI2.8 Definicin de Interfaces
AI2.9 Interfaz Usuario-Mquina
AI4.1 Requerimientos Operacionales y Niveles de Servicio
AI4.2 Manual de Procedimientos para Usuario
AI4.4 Material de Entrenamiento
AI5.10 Pruebas y Acreditacin de Seguridad
AI5.11 Prueba Operacional
AI5.2 Medicin del Desempeo del Software de Aplicacin
AI5.4 Conversin del Sistema
AI5.5 Conversin de Datos
AI5.6 Planes y estrategias de pruebas
AI5.7 Pruebas a Cambios
AI5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto
AI5.9 Prueba de Aceptacin Final
DS11.11 Manejo de Errores en el Procesamiento de Datos
DS11.14 Balanceo y Conciliacin de Datos de Salida
DS11.15 Revisin de Salida de Datos y Manejo de Errores
DS11.6 Procedimientos para la autorizacin de entrada de
datos
DS11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
DS11.8 Manejo de Errores en la Entrada de Dato
DS11.9 Integridad de Procesamiento de Datos
AI2.2 Cambios Significativos a Sistemas Actuales
AI6.1 Inicio y Control de Solicitudes de Cambio
AI6.2 Anlisis de Impacto
AI6.3 Control de Cambios
AI6.4 Cambios de Emergencia
AI6.5 Documentacin y Procedimientos
AI6.6 Mantenimiento Autorizado
AI6.7 Poltica de Liberacin de Software
AI6.8 Distribucin de Software
AI3.2 Mantenimiento Preventivo para Hardware
AI3.3 Seguridad del Software del Sistema
AI3.4 Instalacin del Software del Sistema
AI3.5 Mantenimiento del Software del Sistema
AI3.6 Controles para cambios del software del sistema
AI3.7 Uso y monitoreo de los utilitarios (utilities) del
sistema
AI4.3 Manual de Operaciones
AI5.12 Paso o promocin a Produccin (Separacin de
Ambiente de Pruebas y Desarrollo)
DS10.1 Sistema de administracin de problemas
DS10.2 Escalamiento de Problemas.
DS10.3 Seguimiento de problemas y pistas de auditora
DS10.4 Autorizaciones de Accesos temporales y de
Emergencia
DS11.12 Manejo y Relacin de Datos de Salida
DS11.19 Administracin de Almacenamiento
DS11.20 Perodos de Retencin y Trminos de
Almacenamiento
DS11.21 Sistema de Administracin de la Librera de
Medios

70

Innovacin y
Arquitectura

AI
DS

Seguridad
Informtica

DS

DS11.22 Responsabilidades de la Administracin de la

Librera de Medios
DS11.23 Respaldo y Restauracin
DS11.24 Funciones de Respaldo
DS11.25 Almacenamiento de Respaldo
DS11.26 Archivo
DS11.30 Integridad Continua de Datos Almacenados
DS13.1 Manual de instrucciones y Procedimientos de
operaciones de procesamiento
DS13.2 Documentacin del Proceso de Inicio y de Otras
Operaciones
DS13.3 Programacin de trabajos
DS13.4 Desviaciones de la programacin de trabajos
estndar
DS13.5 Continuidad del procesamiento
DS13.6 Bitcoras de operacin
DS13.7 Custodia de Formularios Especiales y de
Dispositivos de Salida
DS13.8 Operaciones remotas
DS5.20 Arquitecturas de Firewalls y conexin a redes
pblicas
DS5.21 Proteccin de valores
DS5.4 Administracin de Cuentas de Usuario
DS5.9 Administracin Centralizada de Identificacin y
Derechos de Acceso
DS9.1 Registro de la Configuracin
DS9.2 Configuracin Base
DS9.3 Registro de Estatus
DS9.4 Control de la Configuracin
DS9.6 Almacenamiento de Software
DS9.7 Procesamientos administrativos de la Configuracin
DS9.8 Registro o contabilidad del software
AI2.14 Consideraciones de Integridad de TI para el
Software de Programas de Aplicacin
AI3.1 Evaluacin de Nuevo Hardware y Software
DS11.10 Validacin y Edicin de Procesamiento de Datos
DS10.5 Prioridades de Procesamiento de Emergencia
DS11.13 Distribucin de Datos de salida
DS11.16 Provisiones de Seguridad para Reportes de
Salida
DS11.17 Proteccin de Informacin Sensitiva durante
transmisin y transporte
DS11.18 Proteccin de Informacin Sensitiva a ser
Desechada
DS11.27 Proteccin de Mensajes Sensitivos
DS11.28 Autenticacin e Integridad
DS11.29 Integridad de Transacciones Electrnicas
DS5.1 Administrar medidas de Seguridad
DS5.10 Reportes de Violacin y Actividades de Seguridad
DS5.11 Manejo de Incidentes
DS5.12 Re-Acreditacin
DS5.13 Confianza en las contrapartes
DS5.14 Autorizacin de Transacciones.
DS5.15 No Rechazo
DS5.16 Sendero Seguro
DS5.17 Proteccin de las Funciones de Seguridad

71
DS5.18 Administracin de las Llaves Criptogrficas
DS5.19 Prevencin, Deteccin y Correccin de Software
NO autorizado
DS5.2 Identificacin, Autentificacin y Acceso
DS5.3 Seguridad de Acceso a Datos en Lnea
DS5.5 Revisin General de Cuentas de Usuario
DS5.6 Control de Usuarios sobre Cuentas de Usuario
DS5.7 Vigilancia de Seguridad
DS5.8 Clasificacin de Datos
DS9.5 Software NO autorizado

I.5.C. Roles y responsabilidades

Para la implementacin de COBIT en la direccin de TI de Grupo Modelo,

se establecieron los siguientes roles:

Consultora:

Empresa de auditora que fue contratada para llevar a cabo las siguientes
actividades:

1.- Determinar los controles de COBIT que se deban implantar en la

direccin de TI de Grupo Modelo.
2.- Realizar el anlisis para detectar las brechas existentes entre la
situacin de Grupo Modelo contra los objetivos de control de COBIT.
3.- Realizar las pruebas del diseo de los controles de COBIT, para
asegurar que dichos controles fueron diseados en apego a los objetivos de
control.
4.- Realizar las pruebas de ejecucin (efectividad) para asegurar que lo que

72
se haba establecido en los controles (polticas, procesos, procedimientos,
formatos, etc,) se estaba ejecutando adecuadamente.

Auditora de QA:

Empresa de auditora encargada de validar que las pruebas realizadas por

la consultora se hayan realizado en apego a los controles y a los estndares de
auditora establecidos.

Dueos de los Controles:

Los cuales son los responsables del diseo de los controles, tomando en
cuenta las brechas detectadas por la consultora y estableciendo y documentando
la forma de cerrar las mismas para asegurar que el objetivo de control se
cumpliera.

Responsable tambin de implantar los controles; es decir, gestionar que las

actividades que se documentaron en polticas, procesos, procedimientos, etc., se
estn ejecutando de manera adecuada, con apego a lo establecido y generando la
evidencia correspondiente.

Calidad de Procesos:

Responsable de realizar la gestin del proyecto de control interno (Sox-

73
COBIT) a travs de las siguientes actividades:
Gestin del plan de trabajo del proyecto en general y de las
remediaciones particulares de los controles.
Programar y gestionar las revisiones de diseo y efectividad de los
controles.
Llevar el control de la informacin generada por el proyecto y de la
actualizacin del indicador de desempeo del proyecto.
Administrar la documentacin generada por las diferentes reas para
su oficializacin y custodia.
Gestionar las mejoras a la documentacin vigente.

Operadores y Colaboradores de la Direccin de TI:

Responsables de poner en prctica los controles, ya que an y cuando se

tienen responsables puntuales del diseo e implementacin de los controles, la
responsabilidad de ejecutarlos, seguirlos y mantenerlos es de todos los
colaboradores de la direccin de TI.

74
CAPITULO II
DESARROLLO DE LA INVESTIGACIN

II.1. ANLISIS DE LA SITUACIN ACTUAL

Para la realizacin del presente trabajo de investigacin se opt por realizar

una serie de entrevistas entre los directivos de TI con la finalidad de obtener
informacin referente a la percepcin de los mismos acerca del proyecto de
implantacin de controles COBIT en la direccin de TI.

Originalmente los datos de la entrevista se estuvieron capturando en una

hoja de Microsoft Excel a manera de concentrarlos en un solo lugar para que se
facilitara la tarea del anlisis de la informacin obtenida.

Posteriormente con la informacin cualitativa de las entrevistas, se realiz

un anlisis e interpretacin de la misma y se realiz una tabla en Microsoft Excel
para poder transformar esa informacin cualitativa en parmetros cuantitativos de
frecuencias que nos permitieran visualizar de manera estadstica las opiniones de
los entrevistados.

Dicha representacin cuantitativa se realiz tomando en cuenta las

diferentes reas en las que se dividi la entrevista y que podremos apreciar a en la
seccin posterior.

75
Para realizar la representacin grfica de los resultados obtenidos, se utiliz
el software SPSS for Windows Ver 12.0.

II.1.A. Formato de entrevista

Tabla XII. Formato de entrevista
Entrevista sobre la implementacin de Controles COBIT (Activity Level)
Pregunta
Comunicacin
Como se dio a conocer su participacin en el
diseo y/o implantacin de los controles Sox
(COBIT)
Como se dan a conocer los cambios en los
controles Sox?.
Como se comunican las responsabilidades del
personal a su cargo respecto a los contoles Sox
(COBIT).
Diseo
Considera que el diseo de los controles ha sido
el adecuado?
En el diseo de los controles se involucr a
todos los niveles de la estructura?.
Lo que est documentado corresponde a lo que
realmente se ejecuta?.
Implantacin
Como se valida en el rea el cumplimiento hacia
los controles Sox?.
La estructura organizacional actual es suficiente
para llevar a cabo lo establecido por los
controles Sox?.
Cual es la principal complicacin para que los
controles sean llevados de manera correcta?.
Estrategia
El apoyo de la Direccin de TI ha sido el
suficiente para la implantacin de los controles
Sox?.
Actitud / Percepcin
Como percibe el personal su participacin hacia
los Controles Sox?.
El personal est conciente y acepta sus
responsabilidades hacia los Controles Sox?.
Comentarios

SI/NO

Comentario

Comentarios Adicionales

Este es el formato que se utiliz en la entrevista que fue aplicada a la

primera lnea de reporte de la direccin de TI de GRUPO MODELO.

76
Con esta entrevista se busc obtener informacin relevante sobre la
percepcin que tienen los directores, gerentes y coordinadores acerca del
proyecto de implementacin de los controles COBIT.

El formato de entrevista est dividido en 5 secciones, mismas que se

describen a continuacin:

Comunicacin:

En esta seccin se pretende detectar la efectividad que se ha tenido en la

comunicacin del proyecto desde sus inicios hasta la actualidad y ver cules son
los principales obstculos que se han tenido en este aspecto.

Diseo:

Con esta seccin se busca obtener retroalimentacin de parte de los

encuestados sobre el diseo de los controles; detectar si desde su punto de vista
los controles reflejan la realidad de la operacin, lo que permitira que la
implementacin de los controles fuera mucho ms sencilla.

Implantacin:

Esta seccin fue diseada para obtener informacin acerca del estado
actual de la implantacin de los controles, saber si actualmente se est

77
monitoreando el cumplimiento de los mismos, si la estructura organizacional actual
es la adecuada para trabajar con el nivel de control que se requiere y determinar
cules son los principales obstculos que se han visualizado para la correcta
implantacin de los controles.

Estrategia:

En el apartado de estrategia, bsicamente se busca determinar si se ha

tenido el suficiente apoyo por parte de la direccin de TI para el logro de la
implementacin de los controles COBIT.

Actitud / Percepcin:

Finalmente, con la seccin de actitud / percepcin se busca obtener

informacin sobre la percepcin que tiene el personal de TI y si se aceptan las
responsabilidades que conlleva trabajar bajo el nivel de control que se requiere y
que se est buscando con la implantacin de los mismos.

78
II.1.B. Anlisis de datos e interpretacin de resultados

Tabla XIII. Poblacin Entrevistada

Puesto

Valid

Director
Gerente
Coordinador
Total

Frequency
3
5
3
11

Percent
27.3
45.5
27.3
100.0

Valid Percent
27.3
45.5
27.3
100.0

Cumulative
Percent
27.3
72.7
100.0

Grfica 4. Poblacin Entrevistada

En la grfica se puede observar la poblacin a la que se entrevist. sta

poblacin corresponde a la primera lnea de reporte de la direccin de TI.

79
II.1.B.a. Comunicacin

Tabla XIV. Percepcin sobre la Comunicacin

Comunicacin

Valid

No Efectiva

Frequency
11

Percent
100.0

Valid Percent
100.0

Cumulative
Percent
100.0

Grfica 5. Percepcin sobre la comunicacin del proyecto

En la grfica se puede apreciar que el 100% del personal encuestado

coincide en que la comunicacin del proyecto no ha sido efectiva. Entendiendo
como comunicacin efectiva aquella mediante la cual se ha dado a conocer de
manera satisfactoria los objetivos del proyecto, los cambios en los controles y la

80
comunicacin de las responsabilidades en todos los niveles de la estructura
organizacional de TI.

II.1.B.b. Diseo de los Controles

Tabla XV. Percepcin sobre el diseo de los controles

Diseo de los Controles

Valid

Inadecuado
Adecuado
Total

Frequency
7
4
11

Percent
63.6
36.4
100.0

Valid Percent
63.6
36.4
100.0

Grfica 6. Percepcin sobre el diseo de los controles

Cumulative
Percent
63.6
100.0

81
En esta grfica se puede observar que el 63.6% de los entrevistados
consideran que el diseo de los controles no es el adecuado. Un diseo adecuado
significa que el control se apega a la realidad operativa pero guardando siempre el
factor de control requerido por COBIT. Un diseo adecuado facilita la implantacin
del control y ayuda a que el cumplimiento del mismo sea ms sencillo, lo que
favorece al xito del control.

II.1.B.c. Implementacin

Tabla XVI. Validacin del cumplimiento de los controles

Validacin del Cumplimiento

Valid

No se realiza
Se realiza
Total

Frequency
8
3
11

Percent
72.7
27.3
100.0

Valid Percent
72.7
27.3
100.0

Cumulative
Percent
72.7
100.0

82

Grfica 7. Percepcin sobre la validacin del cumplimiento de los controles

En esta grfica se puede observar que el 72.7% de los entrevistados hizo

saber que actualmente no se realiza una validacin del cumplimiento de los
controles COBIT que ayude a garantizar la implantacin adecuada de los mismos.

En este sentido se debe entender como validacin del cumplimento a una

serie de actividades de revisin/verificacin de que los controles se estn
cumpliendo en cada una de las reas de la direccin de TI de manera adecuada y
que se est generando la evidencia necesaria que soporte dicho cumplimiento.

83

II.1.B.d. Estructura Organizacional

Tabla XVII. Percepcin sobre la estructura organizacional de TI

Estructura Organizacional

Valid

Inadecuado
Adecuado
Total

Frequency
3
8
11

Percent
27.3
72.7
100.0

Valid Percent
27.3
72.7
100.0

Cumulative
Percent
27.3
100.0

Grfica 8. Percepcin sobre la estructura organizacional de TI

En esta grfica se puede observar que el 72.7% de la poblacin

entrevistada considera que la estructura organizacional actual de la direccin de TI

84
es la adecuada para la operacin de los controles COBIT

Se entiende como estructura organizacional adecuada a los recursos

humanos que se encuentran distribuidos en las diferentes reas de TI y que son
suficientes y adecuados para llevar a cabo las actividades del da a da (operacin
normal) bajo un ambiente de control requerido por los controles COBIT.

II.1.B.e. Apoyo de la Direccin

Tabla XVIII. Percepcin sobre el apoyo de la direccin

Apoyo de la Direccin

Valid

Insuficiente
Suficiente
Total

Frequency
6
5
11

Percent
54.5
45.5
100.0

Valid Percent
54.5
45.5
100.0

Cumulative
Percent
54.5
100.0

85

Grfica 9. Percepcin sobre el apoyo de la direccin

En esta grfica se puede ver que la percepcin sobre el apoyo que la

direccin de TI ha brindado al proyecto se encuentra muy dividida entre los
entrevistados. Mientras que el 54.55% opina que el apoyo ha sido insuficiente, el
resto opina lo contrario, esta diferencia la hace la opinin de una persona.

Se debe entender como apoyo de la direccin a las actividades que la

misma ha realizado para que el proyecto sea exitoso; es decir, que la direccin
haya tomado medidas para garantizar el cumplimiento de los controles, as como

86
que ha proporcionado los recursos suficientes y necesarios para la adecuada
implementacin de los mismos.

II.1.B.f. Percepcin de los Controles

Tabla XIX. Percepcin sobre cmo se visualizan los controles

Visualizacin de los Controles

Valid

Carga Adicional
Apoyo
Total

Frequency
7
4
11

Percent
63.6
36.4
100.0

Valid Percent
63.6
36.4
100.0

Cumulative
Percent
63.6
100.0

Grfica 10. Percepcin sobre cmo se visualizan los controles

87

Esta grfica es muy interesante y muestra como el 63.6% de los

entrevistados percibe que el personal a su cargo considera que los controles
COBIT son una carga adicional a su trabajo, ms que como un apoyo para que el
trabajo que ejecutan da a da sea mejor y les ayuden a ser ms eficientes y tener
un mejor control sobre las actividades que realizan.

II.1.B.g. Grado de Conciencia del Personal

Tabla XX. Grado de conciencia del personal de TI sobre los controles

Personal Conciente

Valid

No Conciente
Cociente
Total

Frequency
4
7
11

Percent
36.4
63.6
100.0

Valid Percent
36.4
63.6
100.0

Cumulative
Percent
36.4
100.0

88

Grfica 11. Grado de conciencia del personal de TI sobre los controles

En este caso se aprecia que el 63.6% de los entrevistados opina que el

personal a su cargo es consciente de la importancia de llevar a cabo las
operaciones bajo un nivel adecuado de control; mientras que el resto an no
comprende la finalidad de realizar sus actividades bajo control y menos an que
acepten sus responsabilidades para realizar sus actividades bajo este marco de
control que se busca implementar.

89
II.1.C. Explicacin de la situacin actual

De acuerdo a las entrevistas realizadas al personal anteriormente descrito,

a continuacin se describe la situacin actual de la implantacin de los controles
COBIT en la direccin de TI.

La situacin actual tambin fue dividida en las mismas reas que se han
venido manejando a lo largo del Captulo II para una mejor clasificacin de las
brechas detectadas.

Cabe hacer mencin que todas las opiniones levantadas fueron analizadas
de manera individual y posteriormente en su conjunto; todas aquellas que carecan
de un sustento y que parecan ms excusa que problema, no fueron tomadas en
cuenta para NO sesgar el resultado de la investigacin.

II.1.C.a. Comunicacin

Una de los datos ms relevantes obtenidos durante las entrevistas, es que

casi la totalidad del personal entrevistado coincide en que nunca se dio a conocer
el alcance completo del proyecto, los objetivos y los beneficios del mismo.

Esto provoc una falta de visin de lo que se deseaba lograr con el

proyecto, por lo que al carecer de un objetivo claro, el personal no poda aportar
sus ideas para la adecuada implementacin de los objetivos de control.

90

An cuando al inicio del proyecto se realiz una serie de reuniones con las
personas que estaran involucradas en el diseo de los controles, procesos y
procedimientos, no se realiz una concientizacin general sobre el proyecto. Se
asumi que todo el personal saba de lo que se trataba el proyecto y sobre
trminos desconocidos para el personal de TI, tal es el caso de SOx, ITIL, COBIT,
etc.

Slo algunas personas que tenan conocimiento sobre esos temas

entendan bien los conceptos y lo que se pretenda lograr con la implantacin de
los controles; mientras que la gran mayora desconoca por completo el tema. Esto
provoc que en la mayora de las personas no se supiera que era lo que
aportaban al hacer las cosas del da a da bajo un entorno de control, por lo que al
final de cuentas se perciba como una carga adicional que no les daba ningn
valor a la manera en la que venan operando durante mucho tiempo.

Durante el transcurso del proyecto no fueron dados a conocer los procesos,

los mapas de procesos y la interrelacin entre los mismos. Dado que nadie saba
cmo participaba dentro de los procesos, nunca se tuvo visibilidad de cmo
impactaba el que algn colaborador dejara de hacer lo que estaba establecido en
los controles.

Una vez que se inici con el proyecto, slo se involucr a muy pocas
personas de muy alto nivel (en la estructura organizacional); se tuvieron muchos

91
problemas para que dichas personas permearan la informacin hacia sus
colaboradores, por lo que muchos de ellos se vieron en la necesidad de buscar
otras alternativas para obtener la informacin clave sobre el proyecto y muchos
ms se quedaron al margen esperando que la informacin les fuera entregada a
manera de instruccin para seguirlo como se debera.

Actualmente los colaboradores no tienen claro cules son los controles y la

documentacin que deben conocer y dominar para cada puesto. Esto ha resultado
complicado para ellos, ya que no saben cul es la totalidad de controles que se
deben seguir y cules son las evidencias que se deberan estar generando como
parte del soporte a los controles.

Todos los controles y la documentacin que los soporta estn sujetos a un

proceso de mejora continua; como parte de dicho proceso, se van teniendo una
serie de adecuaciones necesarias para que los controles se mantengan vigentes.
Cuando se realizan dichas adecuaciones, se enva un comunicado a todo el
personal de TI informando que determinado control ha cambiado y an cuando en
dicho comunicado se resaltan los principales cambios en el control, esta
comunicacin no est siendo efectiva.

Se ha detectado que cuando se envan dichos comunicados por correo

electrnico, la mayora de los colaboradores los omiten o no los leen con
detenimiento; lo que provoca que los cambios no sean asimilados y entendidos
por el personal involucrado. Lo anterior trae consigo que el personal nunca

92
conozca los principales cambios que se van generando en cada proceso y por
ende, que siempre se estn queriendo seguir los controles como originalmente se
tenan definidos, por lo que al final de cuentas se cae en re-trabajos al tener que
adaptar lo que ya se haba hecho hacia las nuevas formas de trabajo o nuevos
formatos.

II.1.C.b. Diseo

Referente al diseo de los controles, el personal percibe que durante el

diseo de dichos controles no se involucr a todo el personal que conoca los
detalles finos de la operacin. Al carecer de esta visibilidad de la operacin fina, se
desarrollaron controles que son difciles de llevar porque significan una actividad
adicional a la de la operacin diaria; de hecho, los controles no son visualizados
como parte de la operacin y como actualmente la mayora del personal est
demasiado ocupado con la operacin, dejan de lado todo aquello que es ajeno a la
misma.

Como parte de esa falta de involucramiento del personal clave, los diseos
de los controles fueron realizados a muy alto nivel y de manera compleja, por lo
que resultan difciles de entender y muchas veces de operar por parte del personal
que los debe llevar a cabo en el da a da.

Actualmente el personal ha detectado que muchos de los documentos

tienen reas de mejora que se pueden corregir y simplificar. Como se coment en

93
prrafos anteriores, estos controles estn sujetos a un proceso de mejora continua
y adicionalmente, en la direccin de TI se han tenido muchos cambios que han
impactado tambin la manera de operar y por ende, se tienen desviaciones de los
controles que fueron diseados originalmente contra la situacin actual de la
direccin de TI.

II.1.C.c. Implantacin

Existen varios factores que no han permitido una adecuada implantacin de

los controles, uno de ellos es el diseo de los controles, lo cual ya fue comentado
en prrafos anteriores por lo que ya no se tocar en este punto.

Debido a que no se logra tener an el compromiso pleno de parte de todas

las reas de la direccin de TI, actualmente no se est llevando a cabo una
validacin del cumplimiento de los controles por parte de las mismas.

Si bien, existe un rea que es encargada de realizar las revisiones de

apego a procesos, es necesario que cada rea est validando que los controles
que debe cumplir sean llevados tal y como se tiene documentado.

En algunos casos para cumplir con los controles, algunas reas han
solicitado a sus colaboradores que se generen evidencias de las actividades
aunque no sea en los formatos oficiales que se han definido para cada caso. Esto
es debido a la supuesta complejidad que existe para el llenado de los formatos

94
que se tienen definidos; sin embargo, esta es una de las principales excusas que
se han manifestado desde el principio del proyecto. Si bien existe alguna
complejidad para el llenado de los formatos, la falta de cumplimiento ha sido ms
bien consecuencia de que an no se consigue planificar los proyectos tomando en
cuenta que todos ellos requieren de cierta documentacin (evidencia) que es
necesario generar para comprobar el cumplimiento de los controles.

En el caso de las reas de desarrollo de sistemas, se ha visualizado que los

usuarios por parte del negocio son ajenos al proyecto de control interno y de
cumplimiento a la Ley SOX, por lo que no comprenden que los controles que se
estn implantando van a permitir a la direccin de TI entregar productos y
servicios de mejor calidad.

Lejos de tener un apoyo por parte de los usuarios, se tienen mayores

presiones debido a que para cada usuario su aplicacin es la ms importante y
tratan de recortarle tiempo a los proyectos sin tomar en cuenta que durante el
proyecto se est considerando la generacin de la documentacin necesaria para
el cumplimiento de los controles que se tienen definidos.

Algunas de las reas que se estn proponiendo trabajar bajo los esquemas
de control establecidos, son visualizadas por el resto de las reas como
obstculos y no como reas que estn tratando de generar valor al llevar al pie de
la letra los controles establecidos.

95
Se percibe tambin que la estructura organizacional de la direccin de TI no
es la adecuada para la correcta implementacin de los controles, ya que en
muchos de los casos, la postura de las reas es rgida para responder a los
cambios que se han tenido en la direccin de TI.

II.1.C.d. Apoyo por parte de la direccin de TI

En cuestin de apoyo por parte de la direccin de TI, se considera que este

no ha sido el suficiente para garantizar que los controles sean implantados de la
manera adecuada. Esto ha sido en parte debido a los diferentes cambios que se
han tenido en la estrategia de la direccin de TI, lo que ha obligado a asignar
prioridades menores a este proyecto que a otros que se van presentando y que
tienen una mayor urgencia que la implantacin de los controles.

Debido a la reciente incorporacin de la direccin de TI hacia la direccin de

procesos y tecnologa de informacin, actualmente se estn unificando los criterios
con los que se deber operar en la direccin de TI.

II.1.C.e. Percepcin de los controles por parte del personal de TI

Actualmente el personal de la direccin de TI percibe los controles como

algo tedioso y adicional al trabajo, esto es debido a los siguientes factores:

96
El personal se encuentra demasiado involucrado en la operacin del
da a da.
Se ha trabajado de la misma forma (sin control) durante mucho
tiempo, por lo que ahora se tiene un problema de resistencia al
cambio.
En algunos casos no se tiene un diseo del todo adecuado en los
controles.

En la mayora de los casos, el personal tiene claro que se deben cumplir los
controles de manera adecuada pero les cuesta trabajo adaptarse a este esquema
de trabajo bajo control.

II.1.C.f. Principales obstculos para la implantacin de los controles

A manera de resumen, se pueden listar los principales obstculos

detectados para la adecuada implantacin de los controles:

Falta de comunicacin del objetivo, beneficios y alcance.

Cambio en las prioridades por parte de la Direccin de TI.
No se tiene la conviccin de los beneficios que tiene trabajar bajo
control.
El Control Interno NO se ha adoptado como necesario.
Resistencia al cambio.

97
El medio ambiente de urgencia de los usuarios del negocio, lo cual
no permite que los proyectos sean programados con los tiempos
adecuados para la generacin de los controles.

II.2. ANLISIS DE LA SITUACIN DESEADA

Como en todo proyecto de apego a normativas, es de suma importancia

que el cumplimiento de los controles que soportan a dichas normativas se lleve a
cabo de manera estricta para garantizar que las actividades que se realizan se
hacen de la misma manera siempre y bajo los requerimientos de control
estipulados por la normativa.

Por lo anteriormente descrito, la situacin deseada es la siguiente:

Diseo de los controles lo ms acercado posible a la realidad operativa para

que el cumplimiento de los mismos sea ms fcil de lograr.

Es necesaria una comunicacin efectiva que garantice que los objetivos, las
implicaciones y las consecuencias de la falta de cumplimiento a los controles son
comprendidos por todos los colaboradores de la direccin de TI.

Se requiere un apoyo suficiente de la direccin de TI para que se obligue al

personal al cumplimento de los controles, ya que este tipo de proyectos no son

98
cuestin de voluntad y buenos deseos; por el contrario, an y cuando no se est
muy de acuerdo con ellos, se debern cumplir al pie de la letra.

Es de suma importancia el compromiso por parte de todos los

colaboradores de la direccin de TI para el cumplimiento de los controles, ya que
todos intervienen en el cumplimiento de una u otra manera; por lo tanto, a medida
que el personal se comprometa con el cumplimiento, ser mayor el grado de xito
que se tenga en el cumplimiento a las normativas.

II.3. PROPUESTA DE MEJORA O SOLUCIN

Como se mencion anteriormente, las resultados de las entrevistas fueron

analizados de manera individual y en su conjunto para tener una mejor visibilidad
de las brechas existentes entre la situacin actual de TI y lo que representa la
situacin deseada.

Con base en lo anterior, se emitieron recomendaciones de mejora para

cada una de las observaciones que se consideraron que estaban bien
fundamentadas y que no evidenciaban algn tipo de excusa por parte del personal
de TI.

Adicionalmente, en estas propuestas de mejora se incluyen aquellos puntos

que se ha observado que tienen oportunidades de mejora desde la perspectiva del

99
rea de Calidad de Procesos, quien es el rea responsable de la coordinacin del
proyecto de implantacin de los controles COBIT.

II.3.A. Comunicacin

Una de las principales reas que tienen oportunidades de mejora es la de

comunicacin en todos los sentidos del proyecto, para cubrir las brechas
detectadas

en

cuanto

la

comunicacin

se

emitieron

las

siguientes

recomendaciones que tienen la finalidad de lograr una comunicacin efectiva

durante el proyecto, ya que el cumplimiento a los controles COBIT no son un
proyecto momentneo que en algn tiempo se vaya a dejar de cumplir, por el
contrario, es una cultura que lleg para quedarse dentro de la direccin de TI

Curso de concientizacin sobre el cumplimento de los controles:

Para asegurar que todo el personal de la direccin de TI tiene el

conocimiento necesario sobre el alcance del proyecto, los objetivos y beneficios
del mismo, se considera necesario realizar un curso de concientizacin sobre el
cumplimiento de los controles, el cual deber contener los siguientes temas:

La Ley SOx para Grupo Modelo.- Donde se explique el porqu Grupo

Modelo est buscando cumplir con dicha Ley.

Los marcos de referencia.- Donde se describan los diferentes marcos de

100
referencia que se utilizan para el cumplimiento de la ley Sox y su aplicacin
en la direccin de TI (COSO, COBIT, ITIL, etc.)

Los controles COBIT.- En el cual se exponga la relacin existente entre los

controles de COBIT y el cumplimiento con la ley Sox.

Objetivos y alcance del proyecto de cumplimiento a los controles COBIT.Donde se explique a detalle lo que se espera del proyecto y como cada
rea participa en l.

Este curso de concientizacin se realizar a manera de e-learning de

certificacin; es decir, que ser de carcter obligatorio para el personal de la
direccin de TI y se deber presentar una evaluacin que el personal deber
aprobar con un mnimo de 80%.

En caso de que alguien no apruebe la evaluacin en dos oportunidades,

deber tomar nuevamente el curso de concientizacin.

Para la elaboracin de este curso, se buscar el apoyo de Tecnologa

Educativa de Grupo Modelo y en caso de que no sea posible el apoyo, se
contratar un proveedor para que sea desarrollado con base en material
preparado previamente por la direccin de TI.

Generar y difundir los mapas de procesos y sus interrelaciones:

101

Con la finalidad de que cada colaborador identifique los procesos en los que
participa y como impacta en los dems el que l deje de hacer las cosas, es
necesario generar los mapas de los procesos individuales y su interrelacin con el
resto de los procesos (mapa general de procesos).

Los mapas de procesos incluirn los siguientes datos:

Responsables del proceso.

Principales clientes y proveedores.
Principales entradas y salidas.
Las interrelaciones con el resto de los procesos.

Una vez que se hayan generado dichos mapas, ser necesario realizar
sesiones de retroalimentacin con los participantes de cada proceso. En estas
sesiones se explicarn cada uno de los procesos y de manera general el mapa
general de procesos.

Generar y difundir el registro de documentos que aplican por persona:

Para ayudar al personal a conocer cules son los controles puntuales que
deber cumplir y los documentos que deber conocer, se generar un registro de

102
los documentos que aplican por persona.

En este registro se reflejar a manera de tabla, aquellos documentos en los

cuales se mencione la participacin de un rol en especfico, o bien, las
responsabilidades que se tienen en cada uno de los documentos.

Dentro de los documentos que se mencionarn en dicho registro se

encuentran:

Mapas de procesos.
Procesos.
Procedimientos
Formatos
Registros
Estndares
Mejores prcticas
Guas
Otros documentos (documentos diferentes a los anteriores pero que
ser necesario que se conozcan).

Este registro ser seccionado por rea y en cada una de ellas se tendr a
todos los integrantes de la misma y los documentos que deber conocer cada uno
de ellos.

103

Sesiones de retroalimentacin sobre los cambios a documentos:

Para asegurar que los cambios a los documentos son comprendidos por
todos los involucrados, ahora en lugar de generar un comunicado dando a conocer
los cambios a los documentos, se generarn sesiones de retroalimentacin, en las
cuales se explique de manera detallada los cambios en dichos documentos a
todos los involucrados en ellos. Estas sesiones se realizarn de manera presencial
en un aula.

Envo de comunicados confirmando las decisiones importantes sobre

el proyecto:

Para evitar que se interpreten de manera diferente los lineamientos o

acuerdos que se tomen sobre el proyecto y que por ende, se den indicaciones
diferentes a las originales a las reas de la direccin de TI, cada vez que se llegue
a algn acuerdo sobre el proyecto, estos debern ser comunicados a travs de
comunicacin interna de TI a todos los involucrados en el proyecto.

Asimismo, se deber utilizar a comunicacin interna para dar a conocer de

manera peridica el estatus del proyecto, avances y compromisos.

Comunicar al negocio el proyecto que se est llevando dentro de la

direccin de TI:

104

Para lograr la sensibilidad del usuario del negocio sobre el esfuerzo que
est realizando la direccin de TI para la implantacin de un esquema de control
interno adecuado, se emitir un comunicado dirigido a todos los usuarios de TI, en
el cual se d a conocer de manera general:

Por qu TI est implantando controles.

El objetivo de los controles.
La participacin del usuario en este proceso de implantacin de los
controles.
La participacin del usuario una vez que se concluya la implantacin.

Este comunicado se enviar a travs de comunicacin interna de Grupo

Modelo y se incluir en el Informativo Modelo.

Evaluaciones de conocimiento de Control Interno:

Para asegurar que el personal de la direccin de TI tiene los conocimientos

suficientes acerca del proyecto, ser necesario realizar evaluaciones de
conocimiento

peridicas,

estas

evaluaciones

se

realizarn

durante

las

evaluaciones de efectividad de los controles, mismas que se tienen contempladas

realizar cada seis meses.

105

II.3.B. Diseo

Referente al diseo de los controles, estos se encuentran en un proceso de

mejora continua, por lo que en este sentido, lo que se hace y se seguir
promoviendo es mejorarlos de acuerdo a las observaciones del personal que haga
uso de los mismos y de la propia rea de calidad de procesos.

Cabe mencionar que siempre que exista algn cambio en las condiciones
de la direccin de TI, se debern realizar reuniones para determinar el impacto de
dichos cambios sobre los controles que se tengan implementados en ese
momento.

Actualmente la validacin de la efectividad del diseo de los controles la

realiza una casa consultora, con la intencin de que posteriormente sea la propia
rea de calidad de procesos quien realice esas validaciones, es necesario que el
equipo de calidad de procesos adquiera el conocimiento necesario para realizar
dichas validaciones para asegurar que cuando se tengan cambios en los
documentos estos sigan cumpliendo los objetivos de control.

106
II.3.C. Implementacin

Establecer el cumplimiento de los controles en las evaluaciones de

desempeo:

Debido a que actualmente no se ha podido responsabilizar a todos los

colaboradores de la direccin de TI sobre el cumplimento de los controles y
considerando que mientras que no se tenga un esquema de sanciones que se
apliquen cuando no se cumpla con lo establecido ser difcil de garantizar el
cumplimiento, se deber incluir como parte de la evaluacin de desempeo y
potencial del personal el cumplimiento a los controles correspondientes (con base
en el registro de documentos que aplican por persona que se propone en el
apartado de comunicacin).

Dichas evaluaciones forman parte del sistema de evaluacin y desempeo

de potencial, dentro del cual se establecen las metas con las que se medir el
desempeo de cada colaborador durante el ao. Cada una de esas metas
representa un porcentaje de la puntuacin total que puede obtener un colaborador
como parte de su desempeo y con base a ese porcentaje total obtenido se
calcula el aumento de sueldo al que ser acreedor el colaborador.

Con esta actividad se busca que el personal se preocupe por el

cumplimiento de los controles, ya que de lo contrario estar en juego su beneficio
personal reflejndose en el porcentaje de aumento que percibir en el ao.

107
Tablero operativo de cumplimiento a los controles:

Con la finalidad de efectuar un seguimiento peridico del cumplimiento a los

controles por cada una de las reas, se debern generar tableros operativos en
los que se vayan plasmando los resultados obtenidos mes con mes (al estilo de
los tableros de Balanced Score Card).

Ser de suma importancia que adicional a los tableros de control operativo,

se generen reuniones formales de revisin mensual, en las cuales se revisen
dichos tableros para medir de manera constante el desempeo de los mismos y
por ende de cada rea. En estas reuniones se debern tomar las medidas
necesarias para corregir las desviaciones que sean detectadas durante las
revisiones para posteriormente generar los planes de trabajo adecuados para la
remediacin de dichas desviaciones.

Equipo de revisin de apego a procesos:

Ser necesario implementar un equipo de revisin de apego a procesos que

revise peridicamente el cumplimiento a los controles por parte de cada una de las
reas y de los controles que le corresponden al rea de calidad de procesos.

Las revisiones que deber realizar el equipo de revisin sern las

siguientes:

108
Apego a procesos.
Eficiencia de procesos.
Calidad de software.

Sistema de control de documentos:

Actualmente en la direccin de TI se lleva el control documental de manera

manual sin el apoyo de alguna herramienta de control de documentos, lo cual
complica la gestin de los documentos que soportan a los controles COBIT que se
estn implantando; por tal motivo, se recomienda de manera importante que sea
implementada una herramienta de ese tipo.

Considerando que Grupo Modelo ya cuenta con un sistema (desarrollado

internamente) para el control de los documentos, el cual se utiliza para la gestin
de la documentacin de las normativas (como ISO) que deben cumplir las
diferentes unidades de negocio de Grupo Modelo y tomando en cuenta que el
objetivo es muy similar sino es que idntico, se hace la recomendacin de
implantar dicho sistema para facilitar la gestin de la documentacin que se
genera para soporte de los controles COBIT.

Dentro de las funcionalidades con las que cuenta dicho sistema,

mencionaremos las ms destacadas:

109
La informacin se almacena en un solo repositorio de datos.
Se cuenta con un control de acceso, lo que permite que cada
persona pueda consultar nicamente los documentos a los que tiene
derecho de consultar.
Se cuenta con un flujo de autorizacin y publicacin de informacin
que facilita dicho proceso al hacerse a travs de la misma
herramienta.
Se pueden obtener de manera automtica los registros de
documentos que aplican por persona.
Cuando surgen cambios de nomenclaturas, formatos, etc., dichos
cambios slo se generan una vez en las plantillas y los documentos
basados en las mismas heredan los cambios de forma automtica.

Para cerrar la seccin de recomendaciones, cabe mencionar que para llevar

a cabo la implantacin de la mayora de ellas, ser necesario generar planes de
trabajo individuales considerando las condiciones en las que se inicie cada una de
esas recomendaciones.

C O N C L U S I O N E S

111
Al trmino del presente trabajo de investigacin se observ que las
principales problemticas para la implantacin adecuada de los controles COBIT
que ayudarn al cumplimiento de la Ley SOx a la direccin de TI de Grupo Modelo
son:

La falta de una comunicacin efectiva que haga conscientes a los

colaboradores de la direccin de TI sobre los objetivos del proyecto de
cumplimiento a la Ley Sox, sus beneficios y consecuencias de no cumplir con los
mismos; lo anterior queda de manifiesto ya que el 100% de las personas
entrevistadas opinan que la comunicacin a lo largo del proyecto no ha logrado
sus objetivos y en la actualidad no se puede considerar como efectiva.

Lo anterior queda demostrado tambin en cuanto a la conciencia de parte

del personal de TI, ya que aunque 63% del personal entrevistado considera que el
personal es consciente de que se debe cumplir con los controles, el mismo
porcentaje opina que el personal de TI visualiza los controles como una carga
adicional al trabajo.

El 63% del personal opina que el diseo de los controles no ha sido del todo
adecuado, lo que ha trado como consecuencia que los mismos no sean
implementados fcilmente como parte de la operacin normal de la direccin.

En este sentido, es necesario mencionar que originalmente los controles

fueron diseados de manera que se tuviera incluida la operacin dentro del

112
documento pero sin llevarse los vicios que ya tena la operacin. Si actualmente
algunos controles no se adaptan a la operacin, ha sido tambin parte de la
evolucin que ha venido teniendo la direccin de TI, por lo que ahora ser
necesario retomar aquellos que han tenido cambios significativos para adecuarlos
a la operacin actual.

Cabe mencionar que mucha de esta problemtica se debe a que se carece

an de una lnea bien definida por parte de la direccin de TI, misma que ha
cambiado de prioridades de manera frecuente para adaptarse a los cambios que
va marcando el negocio.

Si bien existen varias reas de oportunidad para lograr los objetivos del
proyecto, el camino no es del todo difcil, ya que se cuenta con los principales
recursos para llevar a cabo el cambio en la forma en la que se ha venido llevando
el proyecto; de tal suerte, que permita una mejor administracin del mismo y un
cumplimiento adecuado; sin embargo, se tendr que trabajar muy intensamente
para disminuir la resistencia al cambio que an se tiene en la direccin de TI de
Grupo Modelo.

Fundamental sern las acciones que se tomen en caso de incumplimientos

a los controles, ya que el cumplimiento de los mismos no es una alternativa, sino
la nica opcin para lograr un adecuado nivel de control interno que permita el
cumplimiento con la Ley SOx.

113
Algo que tambin es sumamente importante, es que para todos los
controles, ser necesario asignar de manera adecuada la responsabilidad, as
como los recursos necesarios para garantizar el xito de los mismos.

B I B L I O G R A F A

115

APM Grupo. (19 de Octubre de 2007). Qu es ITIL? Recuperado el 2007, de

www.itil-officialsite.com:
www.itilofficialsite.com/Qualifications/Examiners/SharonTaylor.asp&sa=X&oi=translate&re
snum=10&ct=result&prev=/search%3Fq%3DSharon%2BTaylor%26hl%3Des
Asofis. (s.f.). Control interno -Informe Coso. Recuperado el 2007,
www.asofis.org.mx: http://www.asofis.org.mx/mejores_practicas/COSO.pdf

de

Betz, C. T. (13 de Mayo de 2007). We already have service strategists.

Recuperado
el
2007,
de
www.erp4it.com:
http://www.itskeptic.org/node/188#comment-929
Carnegie Mellon University. (Agosto de 2006). CMMI for Acquisition, Versin 1.2.
Recuperado
el
2007,
de
www.sei.cmu.edu:
http://www.sei.cmu.edu/publications/documents/07.reports/07tr017.html
Carnegie Mellon University. (Agosto de 2006). CMMI for development, Versin 1.2.
Recuperado
el
2007,
de
www.sei.cmu.edu:
http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06tr008.pdf
Carnegie Mellon University. (09 de Diciembre de 2006). CMMI-DEV, Version 1.2
Errata
Sheet.
Recuperado
el
2007,
de
www.sei.cmu.edu:
http://www.sei.cmu.edu/cmmi/models/errata-dev.pdf
Cash, D. (s.f.). World-class Service Management Standard Moves with the Times
by OGC's Debra Cash. Recuperado el 2007, de www.best-managementpractice.com:
http://www.best-management-practice.com/KnowledgeCentre/Guest-Writer/ITIL/?DI=571311
Channel Planet, Colaboracin de Etek. (07 de Febrero de 2005). El modelo COBIT
para auditora y control de sistemas de informacin. Recuperado el 2007, de
www.channelplanet.com:
http://www.channelplanet.com/index.php?idcategoria=13932
Comit Directivo de COBIT y el IT Governance Institute MR. (s.f.). COBIT
Objetivos de COntrol. Recuperado el 2007, de www.itgi.org: www.itgi.org
Coopers & Lybrand. (1997). Los nuevos conceptos del control interno (informe
COSO) (1 ed.). Madrid: Diaz de Santos, S.A.
DATASEC IT Security & Control. (s.f.). Control Interno _Basado en el informe
COSO. Recuperado el 2007, de www.datasec-soft.com: http://www.datasecsoft.com/archivos/sp/PPTS/Presentacion_Control_Interno_COSO-ES.ppt
Deloitte. (s.f.). Sarbanes Oxley FAQs. Recuperado el 2007, de www.deloitte.com:
http://www.deloitte.com/dtt/article/0,1002,cid%253D112807,00.html

116
Deloitte. (s.f.). Sarbanes-Oxley. Recuperado el 2007, de www.deloitte.com:
http://www.deloitte.com/dtt/section_node/0,1042,sid%253D96325,00.html
Dugmore, J. a. (s.f.). ISO/IEC 20000 and ITIL - The Difference Explained by Jenny
Dugmore and Alison Holt. Recuperado el 2007, de www.best-managementpractice.com:
http://www.best-management-practice.com/KnowledgeCentre/Guest-Writer/ITIL/?DI=571307
Ezcobit.
(s.f.).
Overview.
Obtenido
http://www.ezcobit.com/UsingCobit/index.html

de

www.ezcobit.com:

Fernandez de Lara, C. (Abril de 2007). Alineacin de TI con el negocio. InfoWorld ,

12-15.
FoxIT.
(s.f.).
BS15000.
Recuperado
el
2007,
de
www.foxit.net:
http://www.foxit.net/asp/FOX_HTML_Page.asp?pageid=190&go2=190,x
FoxIT. (s.f.). Consolidated ITIL and Sarbanes-Oxley. Recuperado el 2007, de
www.foxit.net: http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). Consultancy Introduction. Recuperado el 2007, de www.foxit.net:
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). Fox IT Governance Methodology. Obtenido de www.foxit.net:
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). Fox IT Governance Model. Recuperado el 2007, de www.foxit.net:
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). From BS15000 to ISO20000. Recuperado el 2007, de www.foxit.net:
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). International standard for IT service management. Recuperado el
2007, de www.foxit.net: http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT.
(s.f.).
ISO20000.
Recuperado
el
2007,
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT.
(s.f.).
ISO20000
Overview.
Obtenido
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000

de
de

www.foxit.net:
www.foxit.net:

FoxIT. (s.f.). ISO20000Compliance Assessment. Recuperado el 2007, de

www.foxit.net: http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). Iso2000is the quality standar for IT service Management. Recuperado
el 2007, de www.foxit.net: http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). IT Effectiveness. Recuperado el 2007,
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000

de

www.foxit.net:

117
FoxIT. (s.f.). IT Governance. Recuperado el 2007,
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). Preparing for ISO20000. Recuperado
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000:
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000

de

www.foxit.net:
el

2007,

de

FoxIT. (s.f.). S-ox Compiance-Sustainability. Recuperado el 2007,

www.foxit.net: http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000

de

Gonzlez, E. (19 de Febrero de 2007). Las implantaciones de ITIL ganan terreno

para optimizar las necesidades empresariales. Recuperado el 2007, de
www.idg.es:
http://www.idg.es/pcworldtech/mostrarnoticia.asp?id=54135&seccion=actualidad
Government Technology. (9 de Mayo de 2005). European Commission Selects
COBIT as an Information Systems Security Standard. Recuperado el 2007, de
www.govtech.com: http://www.govtech.com/gt/articles/93952
Gurney, R. (s.f.). Roadmap to ITIL Qualifications by Wardown Consulting Ltd's
Rosemary Gurney. Recuperado el 2007, de www.best-management-practice.com:
http://www.best-management-practice.com/Knowledge-Centre/GuestWriter/ITIL/?DI=571309
Hernndez Ayala, N. J. (s.f.). Porqu afecta la Sarbanes Oxley Act a las
empresas mexicanas? Recuperado el 2007, de www.gestiopolis.com:
http://www.gestiopolis.com/canales3/ger/oxley.htm
IBM Global Services. (Septiembre de 2004). IBM and the IT Infrastructure Library.
How IBM supports ITIL and provides ITIL-based capabilities and solutions.
Recuperado
el
2007,
de
www.ibm.com:
http://www935.ibm.com/services/us/igs/pdf/wp-g510-3008-03f-supports-provides-itilcapabilities-solutions.pdf
Ingall, S. (s.f.). "...but i dont know what to do!" by FOS ITs Steve Ingall.
Recuperado el 2007, de www.best-management-practice.com: http://www.bestmanagement-practice.com/Knowledge-Centre/Guest-Writer/ITIL/?DI=571310
IT Governance Institute. (2006). COBIT 4.1.
www.isaca.org: http://www.isaca.org/cobit

Recuperado el 2007, de

IT Governance Institute. (1996). COBIT Objetivos de Control 3.0 (3ra ed.). USA: IT
Governance Institute.
IT Governance Institute. (s.f.). COBIT Reunin Informativa del consejo sobre la
gobernabilidad
TI.
Recuperado
el
2007,
de
www.itgi.org:
http://www.itgi.org/template_ITGI.cfm?template=/ContentManagement/ContentDisp
lay.cfm&ContentID=33303

118
IT Governance Institute EE. UU. (Junio de 2006). IT Governance Institute.
Obtenido de www.itgi.org: www.itgi.org
IT Governance Institute. (2004). IT Control objectives for Sarbanes-Oxley. IL, USA:
IT Governance Institute.
IT Governance Institute. (2006). IT Control Objectives for Sarbanes-Oxley: The
Role of IT in the Design and Implementation of Internal Control Over Financial
Reporting,
2nd
Edition.
Recuperado
el
2007,
de
www.isaca.org:
http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=32621&TEMPL
ATE=/ContentManagement/ContentDisplay.cfm
IT Governance Institute. (2007). ITASSURANCEGUIDE:
Recuperado el 2007, de www.itgi.org: http://www.itgi.org

USINGCOBIT.

IT Governance Institute. (2006). Mapping of SEIs CMM for Software With COBIT
4.0. Recuperado el 2007, de www.itgi.org: http://www.itgi.org
IT Governance Institute. (Julio de 2000). The ITGovernance Institute is pleased
to offer you this complimentary download of COBIT. Recuperado el 2007, de
www.itgi.org:
http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=33925
Iturbide, F. (2005). Ley Sarbanes-Oxley Act (SOX, SOA). Recuperado el 2007, de
www.cybsec.com:
http://web.unvi.utp.ac.pa/bibliotecavirtual/files/LEY_SOX_314.pdf
Jaimes, C. (Julio de 2004). El nuevo rol del CIO. Information Week , 6-7.
Kalendae. (s.f.). BS15000 and ISO20000 Frequently Asked Question (FAQs).
Recuperado
el
2007,
de
kalendae.com.mx:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=43&It
emid=20
kalendae. (s.f.). Gobernabilidad Modelo. Recuperado el 2007, de
www.kalendae.com.mx:
URL:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=38&It
emid=197
Kalendae. (s.f.). Gobernabilidad-Metodologa. Recuperado el 2007, de
www.kalendae.com.mx:
URL:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=39&It
emid=246
Kalendae. (s.f.). Gobernabilidad-Tecnologa de la informacin. Obtenido de
www.kalendae.com.mx:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=34&It
emid=196

119
Kalendae. (s.f.). ITIL. Recuperado el 2007, de www.kalendae.com.mx:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=35&It
emid=202
kpmg. (s.f.). Ley Sabanes-Oxley. Recuperado el 2007, de www.kpmg.com.mx:
http://www.kpmg.com.mx/gobiernocorporativo/html/rrr_sox.htm
La web de Auditoria. (s.f.). El especial Sarbanes Oxley. Recuperado el 2007, de
www.lawebdeauditoria.com:
http://212.9.83.4/auditoria/home.nsf/SOX_pral?OpenForm
La web de Auditoria. (s.f.). El informe COSO. Recuperado el 2007, de
www.lawebdeauditoria.com:
http://212.9.83.4/auditoria/home.nsf/COSO_1?OpenPage
La web de auditora. (s.f.). El paso de la SOX en la organizacin. Recuperado el
2007,
de
www.lawebdeauditoria.com:
http://www.auditoria.com.mx/noticias/boletin/2005/0509.htm
Marn de Guerrero, M. A. (02 de Julio de 2002). Nuevos conceptos de control
interno
informe
COSO.
Recuperado
el
2007,
de
www.iicau.cl:
http://www.iicau.cl/SAC/Descargas/COSO.pdf
Marlin, S. (Mayo de 2005). Las Ventajas de Sarbanes-Oxley. Information Week ,
19-23.
Palacios, J. (14 de Mayo de 2007). Entrevista con Sharon Taylor, Arquitecto en
Jefe de ITIL v3. Recuperado el Agosto de 2007, de www.sg.com.mx:
http://www.sg.com.mx/content/view/249/
Paz, O. (10 de Enero de 2006). ITIL: Mejores prcticas para gestionar los servicios
de tecnologas de informacin. Recuperado el 2007, de www.channelplanet.com:
http://www.channelplanet.com/index.php?idcategoria=15742
Philips, R. a. (s.f.). Bridging the Gap between Project and Service Management by
FGI's Ruth Phillips and Angelina Lukehurst. Recuperado el 2007, de www.bestmanagement-practice.com:
http://www.best-managementpractice.com/Knowledge-Centre/Guest-Writer/ITIL/?DI=571308
Picas, R. (s.f.). El rol del gerente de sistemas (CIO). Recuperado el 2007, de
www.logistec.cl: http://www.logistec.cl/noticia.php?noticia_id=1370&categoria_id=6
Picas, R. (s.f.). Gerente equipo gerencial en el uso de la tecnoliga. Recuperado el
Septiembre
de
2007,
de
www.logistec.cl:
http://www.logistec.cl/noticia.php?noticia_id=1320&categoria_id=6
Rezzoagli, L. C. (2005). Manual para la elaboracin de tesis (1 Edicin ed.).
Durango, Mxico: Fomento Educativo y Cultural Francisco de Ibarra, A.C.

120
Santiago, E. (17 de Mayo de 2006). Importancia y retos de la gobernabilidad de
tecnologa.
Recuperado
el
2007,
de
ww.channelplanet.com:
http://www.channelplanet.com/?idcategoria=1634
SAS. (s.f.). Sarbanes-Oxley Compliance. Recuperado el 2007, de www.sas.com:
http://www.sas.com/offices/latinamerica/chile/solutions/financial/sox/
SEC. (s.f.). La SEC en Espaol: Informacin para los inversionistas. Recuperado
el 2007, de www.sec.gov: http://www.sec.gov/investor/espanol/quehacemos.htm
SEC. (2002). Sarbanes Oxley Act of 2002. USA: SEC.
SEC. (s.f.). Sobre el
http://www.secbd.org/

SEC.

Recuperado

el

2007,

de

www.secbd.org/:

Taylor, S. (s.f.). Sobre APMG. Recuperado el 2007, de www.itil-officialsite.com:

http://www.itilofficialsite.com/Qualifications/Examiners/SharonTaylor.asp&sa=X&oi=translate&re
snum=10&ct=result&prev=/search%3Fq%3DSharon%2BTaylor%26hl%3Des
Taylor, S. (s.f.). Sobre TSO. Recuperado el 2007, de www.itil-officialsite.com:
www.itilofficialsite.com/Qualifications/Examiners/SharonTaylor.asp&sa=X&oi=translate&re
snum=10&ct=result&prev=/search%3Fq%3DSharon%2BTaylor%26hl%3Des
Taylor, S. (s.f.). Something better than ITIL? by ITIL Chief Architect Sharon Taylor.
Recuperado el 2007, de www.best-management-practice.com: http://www.bestmanagement-practice.com/Knowledge-Centre/Guest-Writer/ITIL-?DI=571036
Vargas Fernndez, L. (Junio de 2007). En que consiste COBIT 4.0. Recuperado el
2007,
de
www.monografias.com:
http://www.monografias.com/trabajos38/cobit/cobit.shtml
Wikipedia. (s.f.). Acto de Sarbanes-Oxley. Recuperado el 2007, de
en.wikipedia.org:
http://en.wikipedia.org/wiki/SarbanesOxley_Act&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3DSarb
anes-Oxley%26hl%3Des
Wikipedia. (s.f.). Comisin de seguridades y de intercambio de Estados Unidos.
Recuperado
el
2007,
de
en.wikipedia.org:
http://en.wikipedia.org/wiki/United_States_Securities_and_Exchange_Commission
Young, J. (Junio de 2006). PCAOB (Public Company Accounting Oversight Board).
Recuperado
el
2007,
de
www.contadoresaic.org:
http://www.contadoresaic.org/noticias/boletin%202006/boletin%20115%20septiembre%2006/pcaob.htm

121
Zayas, J. (2006). ITIL. Recuperado
http://www.inlac.org/documentos/28-4.pdf

el

2007,

de

www.inlac.org:

ANEXOS

A-1
A.
ANEXO A. DEFINICIN DE TRMINOS

Balanced Score Card

Es un Sistema de integrado de Gestin Estratgica, que permite ver, como
la estrategia se traslada a la accin, gestionando la misma a travs de relaciones
causa efecto, vinculando el logro de objetivos estratgicos a travs de cuatro
perspectivas con Indicadores e Inductores ejecutados a travs de Iniciativas.
Acta como un sistema de medicin, un sistema de administracin estratgica, y
una herramienta de comunicacin.

COBIT
Objetivos de Control para la informacin y Tecnologas relacionadas
(COBIT, en ingls: Control Objectives for Information and related Technology) es
un conjunto de mejores prcticas para el manejo de informacin creado por la
Asociacin para la Auditora y Control de Sistemas de Informacin (ISACA, en
ingls: Information Systems Audit and Control Association), y el Instituto de
Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT
Governance Institute) en 1992.

Controles Activity Level

Controles de COBIT que definen la parte operacional en las Organizaciones
de TI.

Controles Company Level

Controles de COBIT que definen la parte estratgica en las Organizaciones
de TI.

COSO (Committee of Sponsoring Organizations of the Treadway

Commission)
Comit de organizaciones patrocinadoras de la comisin Treadway.
Estndar aceptado a nivel internacional para el gobierno corporativo.

A-2

e-learning
De Electronic Learning Anglicismo,, Neologismo. Aprendizaje asistido por
tecnologas de la informacin. El e-Learning fomenta el uso intensivo de las TIC
facilitando la creacin, adopcin y distribucin de contenidos, as como la
adaptacin del ritmo de aprendizaje y la disponibilidad de las herramientas de
aprendizaje independientemente de lmites horarios o geogrficos. Permitiendo al
alumno intercambiar opiniones y aportes a travs de las Tecnologas de
Informacin y Comunicacin.

Gobernabilidad de TI
Una estructura de relaciones y procesos para dirigir y controlar la empresa
con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus procesos.

ISO:27001
El estndar para la seguridad de la informacin ISO/IEC 27001 (Information
technology - Security techniques - Information security management systems Requirements) fue aprobado y publicado como estndar internacional en Octubre
de 2005 por International Organization for Standardization y por la comisin
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el
conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en
ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisin de la norma
britnica British Standard BS 7799-2:2002.

ITIL (Information Technology Infrastructure Library)

La Information Technology Infrastructure Library (Biblioteca de
Infraestructura de Tecnologas de Informacin), frecuentemente abreviada ITIL, es
un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de
servicios de tecnologas de la informacin (TI) de alta calidad. ITIL resume un
extenso conjunto de procedimientos de gestin ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las operaciones de TI.

Ley Sarbanes-Oxley (SOx):

A-3
La Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de
julio de 2002), es una ley de Estados Unidos tambin conocida como el Acta de
Reforma de la Contabilidad Pblica de Empresas y de Proteccin al Inversionista.
Tambin es llamada SOx o SarbOx.

PCAOB (Public Company Accounting Oversight Board)

La PCAOB establece y supervisa las normas de las empresas de auditora
y de las personas que invierten en las sociedades con cotizacin oficial. Se
encarga de mantener la integridad de la empresa pblica del proceso de auditora
y garantizar que los auditores y las sociedades de auditora son independientes.

Tecnologas de informacin (TI)

Las Tecnologas de la Informacin han sido conceptualizadas como la
integracin y convergencia de la computacin microelectrnica, las
telecomunicaciones y la tcnica para el procesamiento de datos, sus principales
componentes son: el factor humano, los contenidos de la informacin, el
equipamiento, la infraestructura material, el software y los mecanismos de
intercambio electrnico de informacin, los elementos de poltica y regulaciones y
los recursos financieros.