IMPLEMENTACION DE COBIT EN UNA EMPRESA

METODOLOGÍA

A) PETROPERU

Es una Sociedad de Economía Mixta, de carácter comercial, vinculada al Ministerio de Minas y

Energía, es la empresa más grande del país y la principal compañía petrolera en perú, pertenece al
grupo de las 39 petroleras más grandes del mundo y es una de las cinco principales de
Latinoamérica.

Cuenta con campos de extracción de hidrocarburos en el centro, el sur, el oriente y el norte de

Colombia, dos refinerías, puertos para exportación e importación de combustibles y crudos en
ambas costas y una red de transporte de 8.500 kilómetros de oleoductos y poliductos a lo largo de
toda la geografía nacional.

Para garantizar la transparencia de las operaciones y fluidez e integridad en la información, ha

adoptado un código de Buen Gobierno (PETROPERU S.A, 2016).

B) IMPLEMENTACIÓN DE COBIT – PETROPERU S.A

En el año 2007, la empresa adopta el modelo COSO para la gestión de control interno, el cual es un
documento de contiene las principales directivas para la implantación, gestión y control de un
sistema de control.

En el año 2008, la DTI (Dirección de Tecnología de Información) de la empresa, decide adoptar

COBIT, como marco para la implementación del sistema de gestión de tecnologías de información,
integrando los esfuerzos de iniciativas en curso, relacionadas con el Diseño e implementación de
Servicios (ITIL), la Gestión por Procesos, Control Interno y cumplimiento de regulaciones tales como
la Ley Sarbanes Oxley. (Léon, A., 2012).
DTI eligió COBIT como el marco de gobierno de TI adecuado para integrar un sistema de gestión de
TI, basado en las siguientes características de COBIT (ISACA, 2016):

- Permite el mapeo de los objetivos de TI a los objetivos de negocio.

- Es el resultado de una mejor alineación, basado en un enfoque de negocio.
- Proporciona una visión de lo que hace que sea comprensible para la gestión.
- Indica claramente la propiedad y las responsabilidades basadas en la orientación del
proceso.
- En general se acepta por parte de terceros y reguladores.
- Proporciona un entendimiento compartido entre todas las partes interesadas, sobre la base
de un lenguaje común.
- Cumple con los requisitos de COSO y Sarbanes-Oxley para el entorno de control de TI.

C) ¿QUÉ SE HIZO?

Inicialmente la DTI de PETROPERU define los lineamientos, procesos y objetivos de control a

implementar, seguido de una identificación de recursos internos que apoyarían la implementación
del sistema y los recursos asignados a contratar a los consultores externos.

Una vez realizado esto, se establece un proyecto, donde se presta especial atención a cuestiones
como:

- Asignación de recursos y un equipo interdisciplinario con representantes de las áreas

involucradas dentro de ella
- Definición de puntos de relación con las unidades de negocio y otras unidades de apoyo
- Interacción con las áreas clave: finanzas, riesgos, estrategia, calidad y auditoría interna y
externa de manera continua
- Alineación con los proyectos empresariales tales como el fortalecimiento del sistema de
control interno (COSO) y (Ley Sarbanes – Oxley) cumplimiento.
- Presentaciones al nivel más alto de gestión, con reuniones semanales de seguimiento sobre
el proyecto
- Identificación de las aplicaciones anteriores y procesos críticos de negocio.

D) ¿CÓMO SE HIZO?

De acuerdo a lo anterior, PETROPERU decidió implementar 28 procesos COBIT, dando prioridad a

los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley (ISACA, 2016) (Léon, A.,
2012).

El equipo del proyecto desarrolla el diseño y documentación de los procesos y, posteriormente, la

aplicación y el seguimiento de la operación para la realización de los ajustes necesarios. Como
resultado de ello, en junio de 2009, la División había aplicado y asegurado 14 procesos de COBIT de
alta prioridad. A diciembre de 2009, ya se habían aplicado los 28 procesos (ISACA, 2016).
Como menciona (Valverde, F., 2014) a mediados del 2009 y al empezar el 2010, se llevaron
auditorias tanto de tipo interno como de tipo externo, se implementaron medidas de corrección
para las debilidades y el mejoramiento en los principales procesos y controles de TI, la auditoria
externa reporto que no había deficiencias significativas o debilidades materiales en los controles de
TI que requieran ser informadas por el CIO, el CFO, el CEO o el auditor externo.

RESULTADOS OBTENIDOS
A lo largo del año 2010 y de acuerdo a las medidas de corrección y auditorías realizadas se logra
confirmar el nivel 3 de madurez de los procesos de gestión de tecnología de información bajo la
metodología COBIT.

El resultado de este trabajo es documentado como un caso de éxito internacional y fue aprobado
por ISACA (Information System Audit and Control Association).

Por otra parte como menciona (Valverde, F., 2014) se adelantaron planes de trabajo con 21 áreas
de la Empresa con un nivel de cumplimiento de 97,6%, y se ejecutaron inversiones por $51.600
millones con un cumplimiento del indicador de proyectos del 100%. Dentro de los resultados más
destacados de 2010 se encuentran:

- Transición al nuevo prestador de servicios básicos de soporte informático, bajo un enfoque

de procesos acorde con la práctica internacional – ITIL.
- Despliegue de la solución SAP en filiales (Bioenergy, Reficar, ODL); actualización de Ellipse;
segregación de funciones de usuario final con el apoyo de la herramienta SAP GRC Access
Control.
- Puesta en producción de las soluciones de información para transportes alternativos y
Nominaciones.
- Implementación de soluciones para aprendizaje virtual. Se logró una participación de 2.126
funcionarios en programas técnicos e inglés virtual.
- Cubrimiento de más de 3.900 funcionarios y contratistas para sensibilizarlos en prácticas de
gestión segura de la información.
- Desarrollo y valoración de la efectividad de seguridad informática de las 38 aplicaciones
alcance SOX y su infraestructura asociada.
- Definición de las especificaciones técnicas de seguridad para proyectos orientados hacia
Cloud Computing
- Finalmente, en diciembre de 2009, el proyecto COBIT recibió un premio de la compañía por
la excelencia para reconocer el rendimiento, la iniciativa y el trabajo en equipo del equipo
del proyecto.
 FACTORES DE ÉXITO EN EL PROYECTO

Como menciona Alberto León Lozano, Vicepresidente de innovación y Tecnología de PETROPERU

S.A en conferencia publicada por (ORG, 2014) los factores que contribuyeron al éxito del proyecto
de implementación de COBIT fueron:

Asignación de responsabilidades, sobre el diseño y operación de los procesos, en cabeza de los

líderes

Respaldo pleno de la dirección

Entrenamiento y replica de conocimientos del personal del proyecto

Monitoreo frecuente

Eficiente control de cambios

Revisión de lecciones aprendidas periódicamente y aprendizaje de las mismas

Interacción permanente con los procesos de auditoria y los resultados arrojados.

Plan de comunicaciones enfocado en la trasformación de la cultura, asegurando que las personas

incorporaran las prácticas dentro de los procesos

Apoyo de consultorías de alto nivel

Definición clara de estrategias y acciones de sostenibilidad

 CONCLUSIONES

El marco de trabajo de COBIT se ha convertido en un modelo a seguir para llevar un control de los
procesos de TI que pertenecen a la organización, sin embargo, este debe ser tomado en cuenta para
la gobernabilidad de tecnología que por consiguiente será enfocado a la gobernabilidad corporativa

Sin determinar el tamaño de la organización ni en el mercado que esta pueda desempeñar los
marcos de referencia para la gestión de TI agregan valor a las empresas, le dan al gerente una visión
sobre las mejores prácticas en el desempeño de TI orientado netamente al negocio.

La implementación de los marcos de referencia para la gestión de TI se recomienda que se

estructuren como un proyecto, con un plan de trabajo detallado, hitos claramente definidos,
asignación del trabajo en equipo, gestión de riesgos y los entregables del proyecto.

Los factores de éxito evidenciados en el caso de estudio muestran la importancia de contar con una
eficiente gestión de los cambios, la asignación de responsabilidades, el monitoreo frecuente, un
plan de comunicaciones bien definido, gestión de riesgos, apoyo permanente de la lata dirección,
entre muchos otros, que para este caso ayudaron a alcanzar con éxito el proyecto.

Se resaltan las evaluaciones a nivel de madurez que se llevaron a cabo por un tercero competente
e independiente para la medición de madurez de los procesos, así como la comunicación
permanente con las auditorías realizadas y la socialización de las lecciones aprendidas.