top of page

¿Qué es COBIT?

Las empresas poseen un capital activo muy valioso: Información y Tecnología. Cada vez en mayor medida, el éxito de una empresa depende de la comprensión de ambos componentes. Las buenas prácticas concentradas en el marco de referencia COBIT (Control Objectives for Information and related Technology), permiten que los negocios se alineen con la tecnología de la información para así alcanzar mejores resultados.

La información y la tecnología que la soporta representan los activos más valiosos de muchas empresas, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, es decir, el aumento en los requerimientos regulatorios, así como también una gran dependencia de muchos de los procesos de negocio en TI. Pero todos estos elementos son clave para el gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.

El gobierno de TI es responsabilidad de los ejecutivos agrupados en el consejo de directores de la empresa y para ello, es necesario el liderazgo y una buena base de estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.

Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán un patrón de medición con el cual se podrá calificar cuando las cosas no vayan bien. Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección empresarial debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:

  • Estableciendo un vínculo con los requerimientos del negocio

  • Organizando las actividades de TI en un modelo de procesos

  • Identificando los principales recursos de TI

  • Definiendo los objetivos de control gerenciales

 

La orientación al negocio que realiza COBIT consiste en vincular las metas del negocio con las metas de TI, brindando métricas y modelos de madurez para medir los logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 37 procesos de acuerdo a las responsabilidades de planear, construir, ejecutar y monitorear; de esta manera, se ofrece una visión de punta a punta de la TI. El concepto de arquitectura empresarial ayuda a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas. En resumen, para proporcionar la información que la empresa necesita de acuerdo a sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural.

Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y desempeño de TI, son los conceptos que COBIT define específicamente:

  • Benchmarking de la capacidad de los procesos de TI. Son modelos de madurez derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software

  • Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de Balanced Business Scorecard de Robert Kaplan y David Norton

  • Objetivos de las actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT

 

La evaluación de la capacidad de los procesos basada en los modelos de madurez de COBIT es una parte clave de la implementación del gobierno de TI. Después de identificar los procesos y controles críticos de TI, el modelado de la madurez permite identificar y demostrar a la dirección las brechas en la capacidad.

COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. COBIT permite el desarrollo de políticas claras y de buenas prácticas para el control de TI por parte de las empresas. COBIT constantemente se actualiza y armoniza con otros estándares, por lo tanto, COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a tomar.

 

Los cinco principios de COBIT

Principio 1: Satisfacer las Necesidades de las Partes Interesadas

  • Las Compañías existen para crear valor para sus partes interesadas.

  • Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes, a veces conflictivas, para cada una de ellas.

  • En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas.

  • El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos.

  • Para cada decisión se puede, y se debe, hacer las siguientes preguntas: 

  1. ¿Quién recibe los beneficios?

  2. ¿Quién asume el riesgo?

  3. ¿Qué recursos se necesitan?

  • Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización.

 

Principio 2: Cubrir la Compañía de Forma Integral:

  • COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización.

  • Esto significa que COBIT 5:

    • Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo.

  • Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización.

Principio 3. Aplicar un único Marco Integrado:

  • COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones:

    • Corporativo:  COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

    • Relacionado con TI:  ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI

    • Etc.

  • Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración.

  • ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.

 

Principio 4. Habilitar un Enfoque Holístico

  • Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.

 

Principio 5. Separar el Gobierno de la Administración:

  • El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración.

  • Dichas dos disciplinas:

    • Comprenden diferentes tipos de actividades

    • Requieren diferentes estructuras organizacionales

    • Cumplen diferentes propósitos

  • Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.

  • Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

  • El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como las condiciones y opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso comparándolos contra las directivas y objetivos fijados (EDM).

  • La Administración planifica, construye, ejecuta y monitorea  las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).

 

Los Siete Habilitadores de COBIT

  1. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.

  2. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.

  3. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización.

  4. Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.

  5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si.

  6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.

  7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.

Los Treinta y siete Procesos  de COBIT


Los procesos de COBIT 5 se dividen en "áreas" de gobierno y gestión. Estas 2 áreas contienen un total de 5 dominios y 37 procesos:

Gobernabilidad de la empresa TI

Evaluar, dirigir y supervisar (EDM) - 5 procesos

Gestión de TI Empresarial

Alinear, Planificar y Organizar (APO) - 13 procesos

Construir, Adquirir e Implementar (BAI) - 10 procesos

Entregar, Servicio y Soporte (DSS) - 6 procesos

Monitorear, Evaluar y Valorar (MEA) - 3 procesos


Evaluar, dirigir y monitorear (EDM)

La gobernanza asegura que los objetivos de la empresa se logren mediante la evaluación de las necesidades, condiciones y opciones de las partes interesadas; establecer la dirección a través de la priorización y la toma de decisiones; y monitorear el desempeño, el cumplimiento y el progreso en contra de la dirección y objetivos acordados (EDM). La siguiente tabla enumera los procesos de TI de alto nivel para el dominio de EDM.

  1. EDM01 Garantizar la configuración y el mantenimiento del marco de gobierno

  2. EDM02 garantiza la entrega de los beneficios

  3. EDM03 Garantizar la optimización del riesgo

  4. EDM04 asegura la optimización de recursos

  5. EDM05 Asegurar la transparencia de las partes interesadas

La administración planifica, construye, ejecuta y supervisa las actividades de acuerdo con la dirección establecida por el órgano de gobierno para alcanzar los objetivos empresariales. La gestión de TI empresarial cubre los 4 dominios siguientes:

Alinear, planificar y organizar (APO)

 

El dominio de alineación, planificación y organización cubre el uso de información y tecnología, y la mejor forma de utilizarlo en una empresa para ayudarlo a alcanzar las metas y los objetivos de la compañía. También destaca la forma organizacional e infraestructural que TI debe tomar para lograr los resultados óptimos y generar los mayores beneficios del uso de TI. La siguiente tabla enumera los procesos de TI de alto nivel para el dominio APO.

 

  1. APO01 Administrar el Marco de gestión de TI

  2. APO02 Gestionar estrategia

  3. APO03 Manage Entreprise Architecture

  4. APO04 Administrar la innovación

  5. APO05 Gestionar cartera

  6. APO06 Administre el presupuesto y los costos

  7. APO07 Administrar las relaciones humanas

  8. APO08 Administrar relaciones

  9. APO09 Administrar acuerdos de servicio

  10. APO10 Administrar proveedores

  11. APO11 Gestiona la calidad

  12. APO12 Administrar el riesgo

  13. APO13 Administrar la seguridad

 

Construir, adquirir e implementar (BAI)

 

El dominio Construir, Adquirir e Implementar cubre la identificación de requisitos de TI, la adquisición de la tecnología y su implementación dentro de los procesos comerciales actuales de la compañía. La siguiente tabla enumera los objetivos de control de alto nivel para el dominio BAI.

 

  1. BAI01 Gestiona programas y proyectos

  2. BAI02 Administre la definición de requisitos

  3. BAI03 Gestiona la identificación y creación de soluciones

  4. BAI04 Administrar disponibilidad y capacidad

  5. BAI05 Administrar la habilitación de cambio organizacional

  6. BAI06 Gestionar cambios

  7. BAI07 Gestionar la aceptación y la transición de cambios

  8. BAI08 Administre el conocimiento

  9. BAI09 Administrar activos

  10. BAI10 Administrar configuración

 

Entregar, Servicio y Soporte (DSS)

 

El dominio Entregar, Servicio y Soporte se centra en los aspectos de entrega de la tecnología de la información. Cubre áreas tales como la ejecución de las aplicaciones dentro del sistema de TI y sus resultados, así como los procesos de soporte que permiten la ejecución efectiva y eficiente de estos sistemas de TI. La siguiente tabla enumera los objetivos de control de alto nivel para el dominio DSS.

 

  1. DSS01 Administrar operaciones

  2. DSS02 Administrar solicitudes de servicio e incidentes

  3. DSS03 Administrar problemas

  4. DSS04 Gestionar la continuidad

  5. DSS05 Administrar servicios de seguridad

  6. DSS06 Manage Business Process Controls

 

Monitorear, Evaluar y Evaluar (MEA)

 

El dominio Monitorear, Evaluar y Evaluar trata con la estrategia de una compañía al evaluar las necesidades de la compañía y si el sistema de TI actual aún cumple con los objetivos para los cuales fue diseñado y los controles necesarios para cumplir con los requisitos regulatorios. El monitoreo también cubre el tema de una evaluación independiente de la efectividad del sistema de TI en su capacidad para cumplir los objetivos comerciales y los procesos de control de la compañía por parte de auditores internos y externos. La siguiente tabla enumera los objetivos de control de alto nivel para el dominio MEA

  1. MEA01 supervisa, evalúa y evalúa el rendimiento y la conformidad

  2. MEA02 supervisa, evalúa y analiza el sistema de control interno

  3. MEA03 Evaluar y evaluar el cumplimiento de los requisitos externos

Ejemplos de porque puede ser bueno implementar COBIT

Una muestra de 800 empresas en 21 países, acerca de los resultados de la implementación de Gobierno de TI, muestra los siguientes resultados:

  • 38 % citó la reducción de costos en el área como un beneficio del Gobierno de TI.

  • 28.1 % citó la mejora de la competitividad del negocio.

  • 27.1 % indicó un mejor retorno de la inversión en TI.

  • 42.2 % observó una mejora en la gestión del riesgo relativo a TI.

  • 39.6 % observó una mejora en la comunicación y relaciones entre negocio y TI.

  • 37.3 % observó una mejora en el cumplimiento de las metas empresariales.

 

Algunos mitos con respecto a COBIT

  • Cobit es ITIL explicado con otras palabras

    • COBIT define qué debemos controlar e ITIL define cómo debemos hacerlo.

    • COBIT se centra más en los objetivos que en la manera de alcanzarlos.

  • COBIT solo sirve para las grandes empresas

    • Cualquier empresa que quiera implementar controles lo puede implementar.

  • COBIT está dirigido a las tecnologías de la información no a la gestión de servicios de tecnologías de la información

    • COBIT va más allá de la Tecnología, sus Principios lo mencionan.

  • COBIT añade burocracia a la empresa

    • El objetivo a la hora de implantar COBIT es asimilar sus directivas de la mejor manera con el fin de aportar mayor control sobre las actividades/productos de la empresa.

  • COBIT es un software.

    • COBIT no es un software, son un conjunto de directivas que ayudan a conseguir una buena gestión de la empresa.

  • COBIT es solo para Auditores.

    • En la última versión de COBIT se deja clara la definición de "gobernabilidad" y gestión de manera que simplifica la labor de las partes interesadas (stakeholders) siendo éste uno de los cambios orientados a demostrar que COBIT no solo sirve para auditar las tecnologías de la información.

Conclusiones

El marco de referencia de COBIT nos ofrece una guía de alto nivel para la definición y evaluación de los procesos de negocios relacionados con las Tecnologías de Información. Por otra parte, permite el uso de otros marcos de trabajo más específicos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carácter generalista de COBIT.


Como en otros marcos de trabajo, sobre COBIT existen mitos, que en general lo único que persigue es la mejora sustancial de la manera en cómo hacemos las cosas. Mitos como Es sólo para Grandes Empresas o que es Sólo para Auditores, son generados por el desconocimiento de COBIT y los beneficios que traería su uso en Pequeñas o Medias Empresas que están en crecimiento, o para el personal de una empresa que lo que busca es mejorar la manera en como realiza su tarea dentro de la misma.

Referencias Bibliográficas:

https://es.wikiversity.org/wiki/Mitos_del_est%C3%A1ndar_COBIT

http://www.bitcompany.biz/que-es-cobit/#.Wjg0zlWnHIU

https://www.marblestation.com/?p=645

http://www.mejorespracticas.com.mx/detalle.php?id=5717

https://es.wikiversity.org/wiki/Mitos_del_est%C3%A1ndar_COBIT

http://www.qualified-audit-partners.be/index.php?cont=463

bottom of page