COBIT

COBITObjetivos de Control para Tecnologas de informacin y relacionadas(COBIT, en ingls:Control Objectives for Information and related Technology) es un conjunto demejores practicas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls:Information Systems Auditand and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls:IT Governance Institute) en 1992.COBITLa evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento de su supervivencia en el mercado.

El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.COBITLa estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin.

El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios.

EDICIONESLa primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera edicin en 2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin en diciembre de 2005, y la versin 4.1est disponible desde mayo de 2007. En la actualidad el ISACA lanz Cobit 5 el da 10 de Abril.

COBIT 4.1En su cuarta edicin, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (especficos o detallados) clasificados en cuatro dominios: Planificacin y Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y, Supervisin y Evaluacin. En ingls: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

COBIT 5Isaca lanz el 10 de abril del 2012 la nueva edicin de este marco de referencia. COBIT 5 es la ltima edicin del framework mundialmente aceptado, el cual proporciona una visin empresarial de del Gobierno de TI que tiene a tecnologa y a la informacin como protagonistas en la creacin de valor para las empresas.COBIT 5 se basa en COBIT 4.1, y a su vez lo ampla mediante la integracin de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ) y las normas ISO relacionadas.

MISINInvestigar, desarrollar, publicar y promover un conjunto de objetivos de control de TI rectores, actualizados, internacional y generalmente aceptados para ser utilizados diariamente por Gerentes de negocio y Auditores.

VISINConsolidarse como lder mundialmente conocido en materia de gobierno, control y aseguramiento de la gestin de TIVAL ITRecientemente, ISACA ha publicadoVal IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologas de la informacin.

Para quines?Gerentes de negocioGerentes de TIGerentes de riesgoUsuarios de TIAuditores

Para qu? Alineacin de objetivos de TI y del negocio.Establecer una orientacin a procesos.Ser consistente con las mejores prcticas y estndares control (COSO) y de TI, independiente de tecnologas especficas. Proporcionar un lenguaje comn para todos los interesados. COBIT

1. Orientado al negocio2. Procesos orientados3. Basado en controles4.Generador de medicionesCOMO SATISFACE COBIT LAS NECESIDADES1. ORIENTADO AL NEGOCIOEs el tema principal de COBIT. Est diseado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino tambin y principalmente, como gua integral para la gerencia y para los propietarios de los procesos de negocio.

PRINCIPIO BASICO

Proporcionar la informacin que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de informacin. CRITERIOS DE INFORMACINPara satisfacer los objetivos del negocio la informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos por COBIT como requerimientos de informacin del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete reas:CRITERIOS DE INFORMACIN

Disponibilidad

IntegridadExactitud, completitud y validez de la informacin.

Informacin actual y futura, salvaguarda de los recursos necesarios.

EfectividadInformacin relevante y pertinente para el negocio, provista de manera oportuna, correcta, consistente y utilizable.

ConfiabilidadPropiedad de la informacin que se usar en la toma de decisiones.

EficienciaProveer informacin a travs de la utilizacin ptima, productiva y econmica de los recursos.

CumplimientoCumplimiento de leyes, regulaciones y acuerdos a los que elproceso esta sujeto.

ConfidencialidadProteccin de informacin sensible contra divulgacin noautorizada.METAS DE NEGOCIOS Y DE TIMientras que los criterios de informacin proporcionan un mtodo genrico para definir los requerimientos del negocio, la definicin de un conjunto de metas genricas de negocio y de TI ofrece una base ms refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de mtricas que permitan la medicin con respecto a estas metas.

2. PROCESOS ORIENTADOSCOBIT define las actividades de TI en un modelo genrico de procesos en cuatro dominios. Estos dominios son: Planear y OrganizarAdquirir e Implementar, Entregar y Dar Soporte Monitorear y Evaluar

Planear y OrganizarEste dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI pueda contribuir al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

Adquirir e Implantar

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales.

Entregar y Soportar

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.

Monitorear y Evaluar

BASADO EN CONTROLESCONTROL: Polticas, Procedimiento, prcticas diseadas para brindar seguridad razonable que los objetivos sern alcanzadosOBJETIVOS DE CONTROL DE COBIT: son los requerimientos mnimos para un control efectivo de cada proceso de IT adems brinda un modelo genrico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI.

PROCESOS COBITPC1: Dueo del Proceso PC2: ReiterativoPC3: Metas y ObjetivosPC4: Roles y ResponsabilidadesPC5: Desempeo del ProcesoPC6: Polticas, Planes y ProcedimientoCONTROLES DEL NEGOCIO Y CONTROLES DE TIAL NIVEL DE DIRECCION EJECUTIVA: fijar objetivos polticas, tomar decisiones de cmo administrar los recursos.AL NIVEL DE PROCESO DE NEGOCIO: aplicar controles para actividades especificas del negocioPARA SOPORTAR DEL NEGOCIO: TI provee un servicio comn (redes, bases de datos, sistemas operativos, almacenamiento)GENERADORES DE MEDICIONUna necesidad bsica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qu nivel de administracin y control debe proporcionar la empresa Qu se debe medir y cmo? Modelos de Madurez: por medio del Benchmarking identificacin de las mejores practicas en la capacidad.Metas y Mediciones de desempeo para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeo de los proceso internos

COBIT utiliza dos tipos de mtrica: indicadores de metas e indicadores de desempeo. Los indicadores clave de metas (KGI) definen mediciones para informar a la gerenciadespus del hechosi un proceso TI alcanz sus requerimientos de negocio, y se expresan por lo general en trminos de criterios de informacin: Disponibilidad de informacin necesaria para dar soporte a las necesidades del negocio Ausencia de riesgos de integridad y de confidencialidad Rentabilidad de procesos y operaciones Confirmacin de confiabilidad, efectividad y cumplimiento

Mediciones de desempeoLos indicadores clave de desempeo (KPI) definen mediciones que determinan qu tan bien se est desempeando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si ser factible lograr una meta o no, y son buenos indicadores de las capacidades, prcticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeo del proceso.

Indicadores de desempeoUna alta proporcin entendimiento-esfuerzo (esto es, el entendimiento del desempeo y del logro de las metas en contraste con el esfuerzo de lograrlos) Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o nmeros en el tiempo) Deben ser comparables externamente sin tomar en cuenta el tamao de la empresa o la industria.

Las mtricas efectivas deben de tener las siguientes caractersticas:EMPRESAS BAJO SISTEMA COBIT EN LATINOAMERICA

Grupo Bancolombiaes un grupo financiero que opera los servicios de banca mltiple que incluyen inversiones, factoring, fiduciarias, arrendamiento financiero y mercado de valores, y es el primer banco en Colombia por activos y participacin en el mercado. Fundada en 1875, Bancolombia opera en Colombia y El Salvador, tiene filiales en Panam, las Islas Caimn, Puerto Rico y Per, y tiene una agencia en Miami, Florida, EE.UU..

Aunque el Grupo Bancolombia ya contaba con polticas de control interno antes de la creacin de la ley Sarbanes-Oxley, el grupo financiero busco adoptar y aplicar un sistema de control interno de gestin que ayudara a garantizar el cumplimiento del mismo.

CoBiT ayuda a garantizar el cumplimiento de la ley estadounidense Sarbanes-Oxley.CoBiT ofrece un enfoque proactivo para mejorar los procesos de tecnologa y servicios.

Adems, CoBiT fue elegido porque establece un equilibrio entre el cumplimiento y el rendimiento y complementa COSO, el modelo de control interno de la organizacin. Grupo Bancolombia utiliza CoBiT para abordar de manera proactiva las auditoras internas y externas y el cumplimiento de operacin de riesgo.

Grupo Bancolombia ha logrado excelentes resultados utilizando COBIT. En la actualidad existe una visin compartida, un lenguaje nico, la alineacin entre la planificacin estratgica de negocios y planificacin estratgica de TI, claridad en los roles y responsabilidades, un mayor sentido de trabajo en equipo y el conocimiento de las fortalezas y debilidades. Varias iniciativas estn todava en curso, incluida la consolidacin de TI en toda la empresa.

GRACIAS POR LA ATENCIN