La COBIT y la Organización del Área Informática

En un artículo anterior les presenté el tema de la Gobernabilidad Tecnologías de Información (TI), y ahí mencioné COBIT señalando que es un marco de referencia para establecer un conjunto de procesos, que una vez establecidos, permitirían tener el área de TI perfectamente organizada, con procesos medibles, eficientes, y con un modelo de madurez (matutity) que facilita el mejoramiento continuo y la ejecución de las auditorias. Luego me referiré a los procesos que identifica la COBIT [1], al modelo de especificación de un proceso y al modelo de maduración.

Análisis de Contexto La COBIT la desarrollo y mantiene el IT Governance Institute (ITGI) [2]desde 1998 con el objetivo de crear estándares internacionales para la Gobernabilidad TI en las empresas. Un impulso importante ha tenido la COBIT debido al Acta Sarbanes-Oxley [3], vigente desde el 2002, y que obliga a las empresas que tranzan sus acciones en USA a controlar exhaustivamente la generación de sus estados financieros.

De modo que hoy observamos que en las grandes empresas que se tranzan en bolsa existe una preocupación mayor por controlar sus sistemas informáticos, es más este tema ya es parte, al menos, del quehacer de los Auditores y en muchos caso es también parte de la agenda de los directorios.

A que obedece toda esta preocupación por el control – gobernabilidad- de las TI, en mi opinión, al simple reconocimiento que los negocios sin TI no operan, por tanto parte del riesgo del negocio está en los sistemas informáticos y de ahí la necesidad imperiosa de controlar dichos riesgos.

Pues bien, sabemos de la Teoría de Sistemas que para controlar cualquier proceso es necesario contar con un mecanismo de medición, uno de detección de desviaciones y otro de rectificación de las desviaciones. Naturalmente la Gobernabilidad TI plantea estos mecanismos y en concreto la COBIT plantea un modelo al respecto. Pero, no debemos olvidar que todo mecanismo de control tiene su costo, requiere personal entrenado en el área de informática, auditores, consultores externos y nuevos elementos a considerar en los diseños e implementación del procedimientos y software, también implica un plan de transición desde la situación actual a la deseada.

En resumen, la COBIT es técnicamente posible de aplicar en toda área de Informática de cualquier empresa mediana hacia arriba, pero su costo de implementación solo se justifica si el directorio tiene poderosas razones para ello: por ejemplo la Sarbanes – Oxley, acuerdos de accionistas, regulaciones propias de cada país, etc.

Procesos Identificados por la COBIT La COBIT define las actividades TO en un modelo general de procesos compuesto por cuatro dominios: Planificar y Organizar (PO), Adquirir e Implementar (AI), Proveer y Soportar (DS) y Monitorear y Evaluar (ME). Esto dominios se corresponden con las áreas de responsabilidad tradicionales: planificar, construir, ejecutar y monitorear.

Modelo COBIT Para ver el diagrama del modelo en MS PowerPoint presione este link.

La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje común para que cada quién en la organización pueda visualizar y gestionar las actividades de la TI:

Planificar y Organizar (PO) Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras como las TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de la empresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión para diferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde son necesarias. De modo que en este dominio típicamente se tratan las siguiente interrogantes.

  1. ¿Están las TI alineadas con la estrategia de negocios?

  2. ¿Está la empresa utilizando a un nivel óptimos sus recursos informáticos?

  3. ¿Entiende todo el mundo de la empresa los objetivos de las TI?

  4. ¿Son comprendidos los riesgo TI y son debidamente gestionados?

  5. ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio?

Este dominio considera los procesos:

  1. PO1 Define a strategic IT plan.

  2. PO2 Define the information architecture.

  3. PO3 Determine technological direction.

  4. PO4 Define the IT processes, organisation and relationships.

  5. PO5 Manage the IT investment.

  6. PO6 Communicate management aims and direction.

  7. PO7 Manage IT human resources.

  8. PO8 Manage quality.

  9. PO9 Assess and manage IT risks.

  10. PO10 Manage projects.

Adquirir e Implementar (AI) Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas o adquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios. Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durante su operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen las preguntas:

  1. ¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las necesidades del negocio?

  2. ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos convenidos?

  3. ¿Los nuevos sistemas operaran adecuadamente una vez implementados?

  4. ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio?

Este dominio considera los procesos:

  1. AI1 Identify automated solutions.

  2. AI2 Acquire and maintain application software.

  3. AI3 Acquire and maintain technology infrastructure.

  4. AI4 Enable operation and use.

  5. AI5 Procure IT resources.

  6. AI6 Manage changes.

  7. AI7 Install and accredit solutions and changes.

Proveer y Soportar (DS) Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: la provisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, la administración de los datos y la gestión de la instalaciones de plataforma tecnológica. Para estos efectos es necesario formularse las preguntas siguientes:

  1. ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio?

  2. ¿Están los costos de TI optimizados?

  3. ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con seguridad?

  4. ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas TI?

Este dominio considera los procesos:

  1. DS1 Define and manage service levels.

  2. DS2 Manage third-party services.

  3. DS3 Manage performance and capacity.

  4. DS4 Ensure continuous service.

  5. DS5 Ensure systems security.

  6. DS6 Identify and allocate costs.

  7. DS7 Educate and train users.

  8. DS8 Manage service desk and incidents.

  9. DS9 Manage the configuration.

  10. DS10 Manage problems.

  11. DS11 Manage data.

  12. DS12 Manage the physical environment.

  13. DS13 Manage operations.

Monitorear y Evaluar (ME) Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad y conformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controles internos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntas típicas de este dominio son:

  1. ¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas?

  2. ¿La gestión asegura que los controles internos son efectivos y eficientes?

  3. ¿Puede la performance TI relacionarse con los objetivos de negocios?

  4. ¿Están siendo medidos e informados los riesgos, el control, la conformidad y la performance?

Este dominio considera los procesos:

  1. ME1 Monitor and evaluate IT performance.

  2. ME2 Monitor and evaluate internal control.

  3. ME3 Ensure regulatory compliance.

  4. ME4 Provide IT governance.

Maturity Model Es modelo es el que en definitiva posibilita que los procesos que establece la COBIT sean auditables, esto es procesos que se pueden verificar primero si se cumplen y ejecutan de acuerdo a lo que la empresa declaró –ocurre la declaración cuando se publica y difunde el proceso- y, por otro parte este modelo permite establecer cual es el nivel de desarrollo que tiene el proceso en la empresa. Para esto define 6 estados o niveles, cuya definición genérica es la se incluye en la lista siguiente, no obstante para cada uno de los 34 procesos que conforman la COBIT existe su propio y único Matutity Model.


De modo que es este modelo, a mi juicio, el que ha llevado que la COBIT sea marco de referencia preferido de las grandes compañías mundiales de auditoria.

La siguiente es la descripción genérica de los estados del Maturity Model:

Inexistente, se carece totalmente de un proceso. La empresa no ha reconocido la necesidad.

Inicial, existe evidencia que la empresa ha reconocido la necesidad del proceso. No existe un proceso formal – estandarizado – si no que existe enfoques ad-hoc que se aplican de manera individual o caso a caso. La gestión del mismo es desorganizada.

Repetible, el proceso se encuentra en un nivel de desarrollo tal que distintas personas ejecutan más o menos los mismos procedimientos. No existe una comunicación ni entrenamiento formal de los procedimientos, y la responsabilidad se mantiene individual. Existe una gran dependencia del conocimiento que tiene los individuos y, por tanto existe una probabilidad de error importante.

Definido, el proceso esta estandarizado, documentado y difundido mediante entrenamiento. Sin embargo, se deja a voluntad de los individuos la aplicación de los procedimientos del proceso y es poco probable que se detecten las desviaciones en su uso. Los procedimientos en sí no son sofisticados y corresponden a la formalización de las prácticas existentes.

Gestionado, es posible monitorear y medir la conformidad en la aplicación de los procedimientos del proceso y es posible tomar acciones cuando el proceso no está operando adecuadamente. Los procesos están mejorándose continuamente. Se dispone de automatizaciones y de herramientas que son usadas de una manera limitada o fragmentada.

Optimizado, el proceso ha sido refinado al nivel de las mejores prácticas, basado en los resultados del mejoramiento continuo y de los modelos ya maduros de otras compañías. Las TI son usadas integralmente para automatizar workflow, entregando herramientas que mejoran la calidad y efectividad, aumentando la capacidad de adaptación de le empresa.

Conclusiones Claramente la COBIT es un marco de referencia para profesionalizar el área informática de un compañía, que cuenta con capacidades propias o tercerizadas para la implementación de proyectos típicamente soportados con ERP de clase mundial, que tiene un área de operación con varias decenas de servidores que dan servicios a más de una locación, y que cuenta con áreas de mantenimiento y soporte. Y, más importante los Sistemas Informáticos son reconocidos por el directorio como un componente clave en el éxito comercial de la compañía y, por lo mismos que implican riesgos para el negocio. Con esto quiero de decir que si su área informática es pequeña la COBIT´puede resultar muy cara en su implementación y´por tanto no se justificaría. En el otro extremo si su empresa tranza su acciones en la Bolsa de New York es prácticamente obligatoria su implementación.

Referencias [1] Cobit 4.0 http://www.isaca.org/AMTemplate.cfm?Section=Overview&Template=/ContentManagement/ContentDisplay.cfm&ContentID=22940 [2] IT Governance Institute (ITGI) www.itgi.org [3]IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition Los link se verificaron el 3 de Marzo de 2007.

#COBIT #Gestión #Informática #Organización

©2020 by Sociedad Consultores Independientes SpA (SCIneu)

Av. Suecia 0142, Oficina 202, Providencia, Santiago, Chile Fono: (2) 2979 7042   info@scineu.com