COBIT

Objetivos

de

Control para Tecnologas de

informacin
y
relacionadas(COBIT,
en
ingls:Control Objectives for Information and
related Technology) es un conjunto demejores
practicas para el manejo de informacin creado
por la Asociacin para la Auditora y Control de
Sistemas
de
Informacin,(ISACA,
en
ingls:Information Systems Auditand and Control
Association), y el Instituto de Administracin de
las Tecnologas de la Informacin (ITGI, en
ingls:IT Governance Institute) en 1992.

COBIT
La evaluacin de los requerimientos del negocio, los

recursos y procesos IT, son puntos bastante

importantes para el buen funcionamiento de una
compaa y para el aseguramiento de su
supervivencia
en
el
mercado.
El COBIT es precisamente un modelo para auditar la
gestin y control de los sistemas de informacin y
tecnologa, orientado a todos los sectores de una
organizacin, es decir, administradores IT, usuarios
y por supuesto, los auditores involucrados en el
proceso.

COBIT
La estructura del modelo COBIT propone un marco de

accin donde se evalan los criterios de informacin, como

por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnologa de informacin, como por
ejemplo el recurso humano, instalaciones, sistemas, entre
otros, y finalmente se realiza una evaluacin sobre los
procesos
involucrados
en
la
organizacin.
El COBIT es un modelo de evaluacin y monitoreo que
enfatiza en el control de negocios y la seguridad IT y que
abarca controles especficos de IT desde una perspectiva
de
negocios.

EDICIONES
La primera edicin fue publicada en 1996; la

segunda edicin en 1998; la tercera edicin

en 2000 (la edicin on-line estuvo disponible
en 2003); y la cuarta edicin en diciembre de
2005, y la versin 4.1est disponible desde
mayo de 2007. En la actualidad el ISACA lanz
Cobit 5 el da 10 de Abril.

COBIT 4.1
En su cuarta edicin, COBIT tiene 34 objetivos

de alto nivel que cubren 210 objetivos de

control (especficos o detallados) clasificados
en
cuatro
dominios:
Planificacin
y
Organizacin, Adquisicin e Implementacin,
Entrega y Soporte, y, Supervisin y
Evaluacin. En ingls: Plan and Organize,
Acquire and Implement, Deliver and Support,
and Monitor and Evaluate.

COBIT 5
Isaca lanz el 10 de abril del 2012 la nueva edicin

de este marco de referencia. COBIT 5 es la ltima

edicin del framework mundialmente aceptado, el
cual proporciona una visin empresarial de del
Gobierno de TI que tiene a tecnologa y a la
informacin como protagonistas en la creacin de
valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo ampla
mediante la integracin de otros importantes
marcos y normas como Val IT y Risk IT, Information
Technology Infrastructure Library (ITIL ) y las
normas ISO relacionadas.

MISIN
Investigar, desarrollar, publicar y
promover un conjunto de objetivos de
control de TI rectores, actualizados,
internacional y generalmente aceptados
para ser utilizados diariamente por
Gerentes de negocio y Auditores.
VISIN
Consolidarse como lder
mundialmente conocido
en materia de gobierno,
control y aseguramiento
de la gestin de TI
VAL IT
Recientemente, ISACA ha publicadoVal
IT, que relaciona los procesos de COBIT
con los procesos de la gerencia mayor
requeridos para conseguir un buen valor
de las inversiones en tecnologas de la
informacin.

COBIT
Para quines?

Gerentes de negocio

Gerentes de TI
Gerentes de riesgo

Usuarios de TI

Auditores

Para qu?

Alineacin de objetivos de TI y del negocio.

Establecer una orientacin a procesos.
Ser consistente con las mejores prcticas y estndares control
(COSO) y de TI, independiente de tecnologas especficas.
Proporcionar un lenguaje comn para todos los interesados.

COMO SATISFACE COBIT LAS

NECESIDADES
1. Orientado al negocio
2. Procesos orientados
3. Basado en controles
4.Generador de mediciones

1. ORIENTADO AL NEGOCIO
Es el tema principal de COBIT. Est diseado

para ser utilizado no solo por proveedores de

servicios, usuarios y auditores de TI, sino
tambin y principalmente, como gua integral
para la gerencia y para los propietarios de los
procesos de negocio.

PRINCIPIO BASICO
Proporcionar
la
informacin que la
empresa necesita
para logro de sus
objetivos, requiere
administrar
y
controlar
los
recursos
de
TI
usando
un
conjunto
estructurado
de
procesos
que
ofrezcan
los
servicios
requeridos
de

CRITERIOS DE INFORMACIN
Para satisfacer los objetivos del negocio la

informacin necesita adaptarse a ciertos

criterios de control, los cuales son referidos
por
COBIT
como
requerimientos
de
informacin del negocio. Con base en los
requerimientos de calidad, fiduciarios y de
seguridad, se definieron las siguientes siete
reas:

CRITERIOS DE INFORMACIN
Efectividad
Integridad
Disponibilidad
Confiabilidad

Informacin relevante y pertinente para el negocio,

provista de manera oportuna, correcta, consistente y
utilizable.
Exactitud, completitud y validez de la informacin.
Informacin actual y futura, salvaguarda de los
recursos necesarios.
Propiedad de la informacin que se usar en la toma de
decisiones.

Proveer informacin a travs de la utilizacin ptima, productiva

Eficiencia y econmica de los recursos.
Cumplimiento

Cumplimiento de leyes, regulaciones y acuerdos a los que el

proceso esta sujeto.

Confidencialida
d

Proteccin de informacin sensible contra divulgacin no

autorizada.

METAS DE NEGOCIOS Y
DE TI
Mientras que los criterios de informacin

proporcionan un mtodo genrico para definir

los requerimientos del negocio, la definicin
de un conjunto de metas genricas de
negocio y de TI ofrece una base ms refinada
y relacionada con el negocio para el
establecimiento de requerimientos de negocio
y para el desarrollo de mtricas que permitan
la medicin con respecto a estas metas.

2. PROCESOS
ORIENTADOS
COBIT define las actividades de TI en un

modelo genrico de procesos en cuatro

dominios. Estos dominios son:
Planear y Organizar
Adquirir e Implementar,
Entregar y Dar Soporte
Monitorear y Evaluar

Planear y Organizar
Este dominio cubre las estrategias y las tcticas, y
tiene que ver con identificar la manera en que TI
pueda contribuir al logro de los objetivos del
negocio. Adems, la realizacin de la visin
estratgica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura
organizacional y una estructura tecnolgica
apropiada.

Adquirir e Implantar
Para llevar a cabo la estrategia de TI, las
soluciones
de
TI
necesitan
ser
identificadas, desarrolladas o adquiridas
as como la implementacin e integracin
en los procesos del negocio. Adems, el
cambio y el mantenimiento de los sistemas
existentes est cubierto por este dominio
para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio.

Entregar y Soportar
Este dominio cubre la entrega en s
de los servicios requeridos, lo que
incluye la prestacin del servicio, la
administracin de la seguridad y de
la continuidad, el soporte del
servicio
a
los
usuarios,
la
administracin de los datos y de las
instalaciones operacionales.

Monitorear y Evaluar
Todos los procesos de TI deben
evaluarse de forma regular en el
tiempo en cuanto a su calidad y
cumplimiento de los requerimientos
de control. Este dominio abarca la
administracin del desempeo, el
monitoreo del control interno, el
cumplimiento
regulatorio
y
la
aplicacin del gobierno.

BASADO EN CONTROLES
CONTROL:

Polticas,
Procedimiento,
prcticas diseadas para brindar seguridad
razonable
que
los
objetivos
sern
alcanzados
OBJETIVOS DE CONTROL DE COBIT: son los
requerimientos mnimos para un control
efectivo de cada proceso de IT adems
brinda un modelo genrico de procesos
que representa todos los procesos que
normalmente se encuentran en las
funciones de TI.

PROCESOS COBIT
PC1:
PC2:
PC3:
PC4:
PC5:
PC6:

Dueo del Proceso

Reiterativo
Metas y Objetivos
Roles y Responsabilidades
Desempeo del Proceso
Polticas, Planes y Procedimiento

CONTROLES DEL NEGOCIO Y

CONTROLES DE TI
AL NIVEL DE DIRECCION EJECUTIVA: fijar objetivos
polticas, tomar decisiones de cmo administrar los
recursos.
AL NIVEL DE PROCESO DE NEGOCIO: aplicar
controles para actividades especificas del negocio
PARA SOPORTAR DEL NEGOCIO: TI provee un servicio
comn (redes, bases de datos, sistemas operativos,
almacenamiento)

GENERADORES DE
MEDICION
Una

necesidad bsica de toda empresa es

entender el estado de sus propios sistemas de TI y
decidir qu nivel de administracin y control debe
proporcionar la empresa Qu se debe medir y
cmo?
Modelos
de
Madurez:
por
medio
del
Benchmarking
identificacin de las mejores
practicas en la capacidad.
Metas y Mediciones de desempeo para
procesos TI: demuestran como los procesos
satisfacen las necesidades del negocio y de TI y
como se usan para medir el desempeo de los
proceso internos

Mediciones de desempeo
COBIT utiliza dos tipos de mtrica: indicadores de

metas e indicadores de desempeo.

Los indicadores clave de metas (KGI) definen
mediciones para informar a la gerenciadespus
del hechosi un proceso TI alcanz sus
requerimientos de negocio, y se expresan por lo
general en trminos de criterios de informacin:
Disponibilidad de informacin necesaria para dar
soporte a las necesidades del negocio Ausencia
de riesgos de integridad y de confidencialidad
Rentabilidad de procesos y operaciones
Confirmacin de confiabilidad, efectividad y
cumplimiento

Indicadores de
desempeo
Los indicadores clave de desempeo (KPI)

definen mediciones que determinan qu tan

bien se est desempeando el proceso de TI
para alcanzar la meta. Son los indicadores
principales que indican si ser factible lograr
una meta o no, y son buenos indicadores de
las capacidades, prcticas y habilidades. Miden
las metas de las actividades, las cuales son las
acciones que el propietario del proceso debe
seguir para lograr un efectivo desempeo del
proceso.

de tener las siguientes

caractersticas:
Una

alta
proporcin
entendimiento-esfuerzo
(esto
es,
el
entendimiento
del
desempeo y del logro de las
metas en contraste con el
esfuerzo de lograrlos)

Deben
ser
comparables
internamente (esto es, un
porcentaje en contraste con una
base o nmeros en el tiempo)

Deben
ser
comparables
externamente sin tomar en
cuenta el tamao de la empresa
o la industria.

EMPRESAS BAJO SISTEMA COBIT EN

LATINOAMERICA
Grupo Bancolombiaes un grupo financiero que opera
los servicios de banca mltiple que incluyen
inversiones, factoring, fiduciarias, arrendamiento
financiero y mercado de valores, y es el primer banco
en Colombia por activos y participacin en el mercado.
Fundada en 1875, Bancolombia opera en Colombia y El
Salvador, tiene filiales en Panam, las Islas Caimn,
Puerto Rico y Per, y tiene una agencia en Miami,
Florida, EE.UU..
Aunque el Grupo Bancolombia ya contaba con polticas
de control interno antes de la creacin de la ley
Sarbanes-Oxley, el grupo financiero busco adoptar y
aplicar un sistema de control interno de gestin que

CoBiT ayuda a garantizar el cumplimiento de la ley estadounidense

Sarbanes-Oxley.
CoBiT ofrece un enfoque proactivo para mejorar los procesos de
tecnologa y servicios.
Adems, CoBiT fue elegido porque establece un equilibrio entre el

cumplimiento y el rendimiento y complementa COSO, el modelo de

control interno de la organizacin. Grupo Bancolombia utiliza CoBiT
para abordar de manera proactiva las auditoras internas y externas y
el cumplimiento de operacin de riesgo.
Grupo Bancolombia ha logrado excelentes resultados utilizando COBIT.

En la actualidad existe una visin compartida, un lenguaje nico, la

alineacin entre la planificacin estratgica de negocios y planificacin
estratgica de TI, claridad en los roles y responsabilidades, un mayor
sentido de trabajo en equipo y el conocimiento de las fortalezas y
debilidades. Varias iniciativas estn todava en curso, incluida la
consolidacin de TI en toda la empresa.

GRACIAS POR LA ATENCIN