Quiénes han adoptado el COBIT

Advirtiendo la necesidad de contar con un adecuado marco de referencia para el

gobierno de los sistemas de información y las tecnologías relacionadas, muchas
organizaciones en el ámbito nacional e internacional ya han adoptado el COBIT
como una de las mejores prácticas. Algunos ejemplos de quienes hacen uso de
COBIT Gobierno de la Provincia de Mendoza; Superintendencia de
Administradoras de Fondos de Jubilaciones y Pensiones; Superintendencia de
Entidades Financieras y Cambiarias; la Reserva Federal de los Estados Unidos de
América; Daimler - Chrysler en Alemania y los EE. UU., entre otras entidades
como Bancolombia y Banco Supervielle S.A. Argentina han adoptado y logrado
excelentes resultados utilizando COBIT.

El sistema COBIT es empleado en todo el mundo por personas quienes tienen

como responsabilidad principal los procesos de negocio y la tecnología, son
aquellos de quien depende la tecnología y la información confiable, fiable y los que
proveen calidad, confiabilidad y control de tecnología de información.

En 1992 comenzó la actualización de los objetivos de control de ISACA y, en

1996, ISACA proporcionó a los profesionales de TI un marco de prácticas control
de la TI generalmente aplicables y aceptadas.

LA EVOLUCIÓN DE COBIT:
COBIT1 (1996): Audit
COBIT2 (1998): Control
COBIT3 (2000): Management
COBIT4 (2005/2007): IT Governance
Val IT 2.0
Risk IT
COBIT5 (2012): Governance of Enterprise IT

En respuesta a las necesidades actuales, COBIT ha evolucionado desde una

herramienta para auditoría a un marco de buen gobierno de TIC, con la
publicación de COBIT 4, en el año 2005, y COBIT 5, en 2012.

COBIT 4
Partiendo de la premisa de que IT necesita entregar la información que la
organización necesita para alcanzar sus objetivos, COBIT promueve el enfoque de
procesos y propiedad/responsabilidad de procesos.
ES NECESARIO NORMALIZAR LA ACTIVIDAD DE IT A TRAVÉS DE
PROCESOS PROPUESTOS POR COBIT, AGRUPADOS EN LOS SIGUIENTES
DOMINIOS:
Planificar y organizar (PO).
Adquirir e implementar (AI).
Entregar y dar soporte (ES).
Evaluar y monitorear (M).

COBIT 4 se estructura en 4 dominios, éstos incluyen los 34 procesos necesarios

para gobernar las IT, y para cada proceso se describen las actividades o tareas
detalladas que permiten cumplir con los objetivos y la finalidad de cada proceso.

ORIENTACIÓN A PROCESOS
Cada proceso, en el ámbito de las IT, debe ser definido formalmente, indicando y
describiendo las actividades principales y sub - actividades, la información de
entrada necesaria y el resultado esperado del proceso.

PARA UN CORRECTO CONTROL DE CADA PROCESO, SE DEBEN DEFINIR

LOS SIGUIENTES ELEMENTOS:
Responsable del proceso: quien responde por el proceso a la gerencia.
Metas del proceso: son los KGI definidos.
Objetivos de control e indicadores clave de desempeño: son los KPI definidos para
cada proceso.

PLANIFICACIÓN Y ORGANIZACIÓN (PO)

Este dominio abarca la estrategia y la táctica, y se vincula con la identificación de
la forma en que la tecnología de información puede contribuir más adecuadamente
con el logro de los objetivos de negocio. Además, es preciso planificar, comunicar
y administrar la realización de la visión estratégica desde distintas perspectivas.
Por último, debe existir una correcta organización e infraestructura tecnológica.

ESTE DOMINO RESPONDE A LAS SIGUIENTES PREGUNTAS:

¿IT y la estrategia de negocio están alineadas?
¿La organización está alcanzando un uso óptimo de sus recursos?
¿Todos los miembros de la organización comprenden los objetivos de IT?
¿Los riesgos de IT son comprendidos y administrados?
¿La calidad de los sistemas de IT es apropiada para las necesidades del negocio?

LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:

PO1. Definición de un plan estratégico de TI.
PO2. Definición de la arquitectura de información.
PO3. Determinación de la dirección tecnológica.
PO4. Definición de la organización y relaciones de TI.
PO5. Administrar las inversiones de TI.
PO6. Comunicación de los objetivos y expectativas de la gerencia.
PO7. Administración de los recursos humanos.
PO8. Garantía del cumplimiento de requisitos externos.
PO9. Evaluación de riesgos.
PO10. Administración de proyectos.
PO11. Administración de la calidad.

ADQUIRIR E IMPLEMENTAR (AI)

Para realizar la estrategia de TI, deben identificarse, desarrollarse o adquirirse
soluciones de TI y luego implementarse e integrarse en el proceso de negocio.
Además, este dominio abarca los cambios y el mantenimiento de los sistemas
existentes para garantizar que el ciclo de vida perdure para estos sistemas.

ESTE DOMINO RESPONDE A LAS SIGUIENTES PREGUNTAS:

¿Los nuevos proyectos son capaces de entregar soluciones que cumplan con las
necesidades del negocio?
¿Los nuevos proyectos son capaces de desarrollarse de acuerdo con los
cronogramas y presupuestos establecidos?
¿Los nuevos sistemas operan adecuadamente una vez que se implementan?
¿Se realizan cambios sin considerar el impacto y configuración actual de las
operaciones del negocio?
¿La calidad de los sistemas de IT es apropiada para las necesidades del negocio?

LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:

AI1. Identificación de soluciones.
AI2. Adquisición y mantenimiento de software de aplicación.
AI3. Adquisición y mantenimiento de la arquitectura tecnológica.
AI4. Desarrollo y mantenimiento de TI.
AI5. Instalación y acreditación de sistemas.
AI6. Administración de cambios.

ENTREGAR Y DAR SOPORTE (ES)

Este dominio se ocupa de la entrega o prestación eficaz de los servicios
requeridos, que comprenden desde las operaciones tradicionales sobre aspectos
de seguridad y continuidad, hasta la capacitación. Para prestar los servicios,
deben establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento real de los datos por los sistemas de aplicación, a menudo
clasificados como controles de aplicaciones.

Este domino responde a las siguientes preguntas:

¿Los servicios de TI están siendo entregados en línea con las prioridades del
negocio?
¿Los costos de TI son optimizados?
¿Los sistemas de TI son utilizados en forma productiva y segura por parte de los
miembros de la organización?
¿Se cuenta con una adecuada confidencialidad, integridad y disponibilidad a nivel
de las tecnologías de información?

LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:

ES1. Definición de niveles de servicio.
ES2. Administrar servicios prestados por terceros.
ES3. Administración de capacidad y desempeño.
ES4. Garantía de servicio continuo.
ES5. Garantía de seguridad de los sistemas.
ES6. Identificación y asignación de costos.
ES7. Educación y entrenamiento de usuarios.
ES8. Apoyo y asistencia a los clientes de TI.
ES9. Administración de la configuración.
ES10. Administración de problemas e incidentes.
ES11. Administración de datos.
ES12. Administración de las instalaciones.
ES13. Administración de las operaciones.

EVALUAR Y MONITORIZAR (M)

Es preciso evaluar regularmente todos los procesos de TI, a medida que
transcurre el tiempo, para determinar su calidad y el cumplimiento de los
requerimientos de control. De este modo, este dominio corresponde a la vigilancia
de la función gerencial sobre los procesos de control de la organización y la
garantía independiente provista por la auditoría interna y externa, u obtenida de
fuentes alternativas.

ESTE DOMINO RESPONDE A LAS SIGUIENTES PREGUNTAS:

¿Se mide el desempeño de TI para detectar problemas antes de que sea
demasiado tarde?
¿La administración se asegura que los controles internos sean efectivos y
eficientes?
¿Es posible establecer la relación entre el desempeño de TI y las metas del
negocio?
¿Existen mecanismos para medir y reportar los riesgos, el control, cumplimiento y
desempeño de TI?

LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:

M1. Monitoreo de procesos.
M2. Evaluación del control interno.
M3. Obtención de certificación independiente.
M4. Provisión de auditoría independiente.
Una necesidad básica de toda empresa es entender el estado de sus propios
sistemas de IT y decidir qué nivel de administración y control debe proporcionar.
Para decidir el nivel correcto, la gerencia debe preguntarse: ¿hasta dónde
debemos ir? ¿Está el costo justificado por el beneficio?

COBIT ATIENDE ESTOS TEMAS A TRAVÉS DE:

- Modelos de madurez que facilitan la evaluación por medio de benchmarking
y la identificación de las mejoras necesarias en la capacidad.
- Metas y mediciones de desempeño para los procesos de IT, que
demuestran cómo los procesos satisfacen las necesidades del negocio y de
TI, y cómo se usan para medir el desempeño de los procesos internos
basados en BSC.
- Metas de actividades para facilitar el desempeño efectivo de los procesos.
- El modelo de madurez para la administración y el control de los procesos
de TI se basa en un método de evaluación de la organización de tal forma
que se pueda evaluar a sí misma, desde un nivel de no-existente hasta un
nivel de optimizado.

Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya
que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no
es justificable debido a que, en general, el fin es identificar dónde se encuentran
los problemas y cómo fijar prioridades para las mejoras.

Los niveles de madurez están diseñados como perfiles de procesos de TI que una
empresa reconocería como descripciones de estados posibles actuales y futuros.
No están diseñados para ser usados como un modelo limitante, donde no se
puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones
del nivel inferior.

Con los modelos de madurez de COBIT, a diferencia de la aproximación del CMM

original de SEI, no hay intención de medir los niveles de forma precisa o probar a
certificar que un nivel se ha conseguido con exactitud. Una evaluación de la
madurez de COBIT resultara en un perfil donde las condiciones relevantes a
diferentes niveles de madurez se han conseguido.

Esto se debe a que cuando se emplea la evaluación de la madurez con los

modelos de COBIT, a menudo algunas implementaciones estarán en diferentes
niveles, aunque no esté completa o suficiente.
 UTILIZANDO LOS MODELOS DE MADUREZ DESARROLLADOS PARA CADA
UNO DE LOS 34 PROCESOS IT DE COBIT, LA GERENCIA PODRÁ
IDENTIFICAR:

El desempeño real de la empresa. Dónde se encuentra la empresa hoy.

El estatus actual de la industria. La comparación.
El objetivo de mejora de la empresa. Dónde desea estar la empresa.

COBIT es un marco publicado en 1996 por el Instituto de Control de TI, es

mantenida por ISACA (Asociación de Auditoría y Control de Sistemas de
Información) que se usa para evaluar el departamento de informática de una
compañía.

En cada versión se implementan diferentes estándares que agrego de otros

marcos y los agrego dentro de sus versiones. El 10 de abril de 2012 ISACA
publicó Cobit 5, que integra Val IT, Risk IT, BMIS (Business Model for Information
Security) e ITA (IT Assurance Framework), también desarrollados y publicados por
ISACA, además de considerar para sus procesos otros estándares
internacionales, mejores prácticas y marcos de referencia como COSO, ISO-9000,
ISO-31000, ISO-38500, ITIL, TOGAF y la familia ISO-27000, entre otros.

Esta nueva versión de Cobit fue desarrollada para ayudar a organizaciones de

todos los tamaños y de cualquier sector a obtener el valor óptimo de las
tecnologías de información, tratando de satisfacer las necesidades de los
interesados internos y externos mediante la creación de valor para la empresa a
través de TI (tecnologías de información), con un enfoque de gestión holística de
extremo a extremo, cumpliendo de mejor manera con leyes, regulaciones,
políticas, y basándose en buenas prácticas internacionales.

Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de

información, a diferencia de su antecesor, enfocado principalmente al gobierno de
TI.

 1996-primera edición. Esta incluía la colección y análisis de fuentes

internacionales reconocidas y fue realizada por equipos en Europa, Estados
Unidos y Australia.

 1998-segunda edición. Su cambio principal fue la adición de las guías de gestión.

Esta versión se enfoca a la gestión y control de los procesos.

 2000-tercera edición fue publicada y en el 2003, la versión en línea ya se

encontraba disponible en el sitio de ISACA. Fue posterior al 2003 que el marco de
referencia de COBIT fue revisado y mejorado para soportar el incremento del
 control gerencial, introducir el manejo del desempeño y mayor desarrollo del
Gobierno de TI.

 Diciembre del 2005-cuarta edición fue publicada y en Mayo de 2007, se liberó la

versión 4.1. Indica que las TI estén alineadas con los objetivos de negocio, sus
recursos sean usados responsablemente y sus riesgos administrados de forma
apropiada. 

 Quinta edición, Lanzada el mes de junio del 2012, resultado del trabajo de un gran
grupo de practicantes de diversas regiones geográficas. Este nuevo marco de
referencia se enfoca Seguridad de la Información, el Aseguramiento de la
Tecnología de la Información y evitar riesgos.

Ventajas
- Mejora la calidad y medición de las TI
- Ayuda a implementar un sistema de control
- Presenta las actividades en una estructura manejable y lógica.
- Suministra un lenguaje común que le permite a los ejecutivos de negocios
comunicar sus metas, objetivos y resultados con Auditores, IT y otros
profesionales.
- Proporciona las mejores prácticas y herramientas para monitorear y
gestionar las actividades de IT.
- Protege la información, es decir lograr la confidencialidad de la información.
 - Disponibilidad de la información cuando ésta se requiere por el proceso de
negocio en todo momento.
- COBIT proporciona las directrices para tomar las decisiones en la
realización de servicios. 
- Este marco de referencia proporciona roles y responsabilidades. 
- Proporciona la optimización de los costos de las TI. 
- Este marco no obliga a adoptar todos los procesos. 
- Implementa directrices destinados a la alta gerencia para tomar decisiones
respecto al servicio que se vaya a implementar o modificar.
- Cobit es uno de los marcos más fuertes por que le da su apartado al
gobierno a diferencia de otros que lo va separando.
- Una de sus grandes ventajas es dar las directrices a la alta gerencia para
tomar decisiones respecto al servicio q se vaya a implementar o modificar.
- Cobit integra auditoria que es el proceso para indicar como deben hacerse
las cosas, a comparación de otros marcos que no tienen este apartado.  
- Cobit se alinea a los objetivos de la empresa.
- El gobierno de TI es un apartado que integra Cobit lo cual da un panorama
para indicar las tecnologías que le convengan a la empresa. Este apartado
permite darle una visión a la alta dirección para tomar mejores decisiones.
- Roles y responsabilidades es una de las ventajas que implementa Cobit.
- Integra la optimización de los costos de TI lo cual se refiere a
proponer servicios que realmente requiere la empresa. 
- COBIT integra auditorias, analiza todo su proceso a través de las
auditorias. 

Desventajas
- Las buenas prácticas de COBIT están enfocadas en el control y no en la
ejecución
- El marco de referencia mejora las áreas TI desde el punto de vista del
gobierno corporativo.
- COBIT resulta un modelo ambicioso que requiere de profundidad en el
estudio.
- Se requiere de un esfuerzo de la organización, para adoptar los estándares.
- No existe en la bibliografía resultados de la experiencia práctica de los
países en la implementación de este modelo que lo hagan medible.
- Se requiere un cambio de cultura en las personas que hacen el servicio
(cambiar las formas de pensar de las personas). 
- Lleva tiempo ver las reducciones de costos y la mejora en la entrega de los
servicios. 
- Una implementación exitosa implica compromiso del personal a todos los
niveles de la organización.
 - Adoptar el modelo de Cobit podría ser complicado adoptarlo ya que el
cambio de cultura podría ser difícil (cambiar la forma de pensar de las
personas).
- Los procesos se deben llevar acorde a los objetivos planeados.    
- No debe existir desinformación en el personal porque pueden incumplir con
los objetivos de la organización.
- Lo invertido en la organización puede ser una inversión que en ocasiones
pudiera obtenerse a largo plazo.
- Todos tienen asignado un rol dentro del servicio si uno falla el servicio
puede venirse abajo (todos deben estar comprometidos).
- Cuando se hace un servicio deben de ver la información que pudiera
requerirse de los diferentes departamentos, el servicio debe darse a
conocer en las áreas que pudieran implicarse.
- Dentro del servicio a implementar se debe hacer una valoración de las
responsabilidades que tiene cada uno, en base a esto se pudiera quitar
o agregar más trabajadores (modificar el organigrama).
-  COBIT es un modelo ambicioso que requiere de un profundo estudio para
realizar la implementación dentro de la organización. Si se desea
adoptar no importa el tamaño de la organización estos marcos están
hechos para adoptarlos (es un mundo de información para adoptarlo)

¿Por qué Adoptar COBIT y no otros marcos?

 COBIT se enfoca en normas y otros marcos, por ejemplo, la base de COBIT es
ITIL. 
 COBIT abarca los procesos de gobierno y de la organización. 
 Se puede adoptar COBIT en organizaciones que no tiene fines de lucros. 
 COBIT tiene la gestión de riesgos y otros no los tiene. 
 Al ser COBIT reconocida y aceptada internacionalmente como una herramienta de
gestión, su implementación es indicativo de seriedad de una organización. 
 Es más completo y sistemático.
 COBIT ayuda a las organizaciones a crear un valor optimo a partir de la TI, al
mantener un equilibrio entre la realización de beneficios y la optimización de los
niveles de riesgos y utilización de los recursos. 

¿Cuándo debemos adoptar COBIT?

 Se debe adoptar COBIT cuando en una organización sus procesos de TI no se
están llevando adecuadamente, que aún no poseen ningún marco de referencia
para sus procesos. 
 COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr
sus metas y entregar valor mediante un gobierno y una administración efectivos
de la TI de la Organización.