Intro

RESUMEN EJECUTIVO

Para muchas empresas, la información y la tecnología que lo soporta representar a su más valioso, pero a menudo menos comprendido, activos. Empresas exitosas reconocen los beneficios de la tecnología de la información y utilizarla para impulsar el valor de sus accionistas. Estos las empresas también comprender y gestionar los riesgos asociados, como el aumento de cumplimiento de la normativa y la dependencia crítica de muchos procesos de negocio de TI.

La necesidad de seguridad sobre el valor de las TI, la gestión de los riesgos relacionados con la TI y el aumento de requisitos para el control de información son entendidos como elementos clave de la gobernanza empresarial. Del valor, riesgo y control constituyen el núcleo de las TI gobierno.

             *********************************************************************

LA NECESIDAD DE UN MARCO DE TRABAJO PARA EL CONTROL DEL GOBIERNO DE TI
Por que
¿Por qué cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de la empresa. Administración espera mayor comprensión de la tecnología de la información forma (TI) es operada y la probabilidad de que sea apalancado con éxito para lograr ventajas competitivas. En particular, la alta dirección necesita saber si la información está siendo gestionada por la empresa por lo que es:
  • Es probable que alcance sus objetivos
  • Resistencia suficiente para aprender y adaptarse
  • prudentemente la gestión de los riesgos que enfrenta
  • reconocer adecuadamente las oportunidades y actuar sobre ellos
El éxito de las empresas entender los riesgos y aprovechar los beneficios de la TI, y encontrar formas de lidiar con:
  • Alineación de TI con la estrategia de la estrategia de negocio
  • IT en cascada estrategia y metas en la empresa
  • Proporcionar estructuras organizativas que faciliten la implementación de la estrategia y los objetivos
  • Crear relaciones constructivas y una comunicación efectiva entre el negocio y TI, y con socios externos
  • Medición del desempeño de TI
Quién
Un marco de gobernanza y control de las necesidades para servir a una variedad de grupos de interés internos y externos cada uno de los cuales específica necesidades:

  • Las partes interesadas dentro de la empresa que tienen un interés en la generación de valor de las inversiones en TI:
  • Interior y grupos de interés externos que proporcionan los servicios de IT:
  • Interior y exterior de las partes interesadas que tienen un control y la responsabilidad de riesgo:

             *********************************************************************

COMO SATISFACE COBIT LA NECESIDAD
En respuesta a las necesidades descritas en el apartado anterior, el marco COBIT se ha creado con las principales características de ser centrado en las empresas, orientado a los procesos, controles y basada en la medición.
Orientado al negocio
La orientación de negocios es el tema principal de COBIT. Es diseñado para ser empleado no sólo por los prestadores de servicios de TI, los usuarios y auditores, sino también, y más importante, como se una orientación integral para la gestión y los negocios los dueños del proceso.
Criterios de Información de COBIT
Para satisfacer los objetivos de negocio, la información debe ajustarse a criterios de control determinados, que COBIT se refiere como negocio requisitos de información. Sobre la base de la calidad más amplio, fiduciarias y requisitos de seguridad.
Metas de Negocio y de TI
Aunque los criterios de información proporcionan un método genérico para definir los requerimientos de negocio, definiendo un conjunto de negocios y genéricos Objetivos de TI proporciona una base comercial y una más refinada para el establecimiento de requisitos de negocio y el desarrollo de las métricas que permitir la medición en contra de estos objetivos. Todas las empresas de TI utilizan para permitir que las iniciativas empresariales y estos puedan ser representados de los objetivos de negocio de TI.
Los Recursos de TI
La organización de TI ofrece a esas metas claramente definidas por un conjunto de procesos que utiliza habilidades de la gente y la tecnología infraestructura para ejecutar aplicaciones de negocio automatizados vez que aprovechan la información empresarial. Estos recursos, junto con el proceso, constituyen una arquitectura empresarial para TI.
Para responder a los requerimientos de negocio de las TI, la empresa debe invertir en los recursos necesarios para crear una adecuada capacidad técnica (por ejemplo, un sistema de planificación de recursos) para apoyar la capacidad de un negocio (por ejemplo, la aplicación de un suministro por ejemplo, de la cadena) que resulta en el resultado deseado (el aumento de las ventas y los beneficios financieros).

             *********************************************************************

PROCESOS ORIENTADOS
COBIT define las actividades de TI en un modelo de proceso genérico dentro de los cuatro dominios. Estos dominios son Planear y Organizar, Adquirir y Poner en práctica, entregar y dar soporte, y monitoreo y evaluación. Los dominios de mapa para las áreas tradicionales de la responsabilidad de planificar, construir, ejecutar y supervisar.
El marco COBIT proporciona un modelo de proceso de referencia y un lenguaje común para todo el mundo en una empresa para ver y gestionar las actividades de TI.
Planear y Organizar (PO)
Este ámbito abarca la estrategia y táctica, y se refiere a la identificación de la forma en que puede contribuir mejor a la consecución de los objetivos de negocio. Por otra parte, la realización de la visión estratégica necesita ser planeada, comunicada y administrada para diferentes perspectivas. Último, una buena organización así como la infraestructura tecnológica se debe poner en su lugar.
Adquirir e Implementar (AI)
Para llevar a cabo la estrategia de TI, soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, así como implementado e integrado en el proceso de negocio. Además, los cambios y el mantenimiento de los sistemas existentes son correspondientes a este ámbito para asegurarse de que las soluciones seguir cumpliendo los objetivos de negocio.
Entregar y dar Soporte (DS)
Este dominio se refiere a la prestación efectiva de servicios requeridos, que incluye la prestación de servicios, la gestión de la seguridad y la continuidad, el apoyo de servicios para los usuarios, y gestión de datos y las instalaciones en funcionamiento.
Monitorear y Evaluar (ME)
Todos los procesos de TI necesitan ser evaluados regularmente a través del tiempo por su calidad y cumplimiento de los requisitos de control. Este dominio de direcciones de gestión de la actuación, el seguimiento del control interno, cumplimiento normativo y proporcionar un gobierno. Normalmente aborda las cuestiones de gestión.

             *********************************************************************

BASADO EN CONTROLES
Los Procesos requieren Controles
El control se define como las políticas, procedimientos, prácticas y de organización estructuras diseñadas para proporcionar seguridad razonable de que los objetivos de negocio se lograrán y no deseados eventos serán prevenidos o detectados y corregido.
Un objetivo de control de TI es una declaración del resultado deseado o propósito que se logrado mediante la aplicación de procedimientos de control en una determinada actividad de TI. Objetivos de control de COBIT son los requisitos mínimos para un control efectivo de cada proceso de TI.
Controles del Negocio y Controles de TI
El sistema de la empresa de los controles internos de TI impactos en tres niveles:
  • A nivel de gestión ejecutiva, los objetivos de negocio se definen, se establecen políticas y se toman decisiones acerca de cómo implementar y administrar los recursos de la empresa para ejecutar la estrategia empresarial.
  • A nivel de procesos de negocio, los controles se aplican a las actividades empresariales específicas. La mayoría de los procesos de negocio automatizados e integrada con los sistemas de aplicación, resultando en muchos de los controles a este nivel están automatizando así.
  • Apoyar los procesos de negocio, TI proporciona servicios de TI, por lo general en un servicio común de muchos procesos empresariales, como muchos de los desarrollo y operativos los procesos de TI se proporcionan a la empresa en su conjunto, y gran parte de la infraestructura de TI se proporciona como un servicios comunes.
Controles Generales de TI y Controles de Aplicación
Los controles generales son los controles incorporados en los procesos de TI y servicios. Los ejemplos incluyen:
  • Desarrollo de sistemas
  • Gestión del cambio
  • Seguridad
  • Explotación
COBIT asume el diseño y la implementación de la aplicación automatizada controles a la responsabilidad de las TI, incluidas en el Adquirir y Aplicar de dominio, con base en los requisitos empresariales definidos según los criterios de información de COBIT. El operativo la responsabilidad de gestión y control para los controles de aplicación no está con él, pero con el propietario de procesos de negocio.

             *********************************************************************
 
GENERADORES DE MEDICIÓN
Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir que nivel administración y control debe proporcionar la empresa.

La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué se debe medir y como? Las empresas deben medir donde se encuentran y donde se requieren mejoras, e implementan un juego de herramientas gerenciales para monitorear esta mejora.
Modelo de Madurez
Cada vez con mas frecuencia, se les pide a los directivos de empresas corporativas y publicas que se considere que tan bien se esta administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información.
Modelo Genérico de Madurez
0 No existente. Carencia completa de cualquier proceso reconocible. La  empresa no ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa a reconocido que los problemas existen y requieren resultados. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.
2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probables que se detecten desviaciones. Los procedimientos en si no son sofisticados pero formalizan las prácticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.
5. Optimizado. Los procesos se han refinado hasta un nivel de mejor practica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
Medición de Desempeño
Las métricas y las metas se definen en COBIT a tres niveles:
  • Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría para medir a TI)
  • Metas y métricas de procesos que definen lo que el proceso de TI debe generar para <dar soporte a los objetivos de TI (como seria medido el propietario del proceso de TI)
  • Métricas de desempeño de los procesos (miden que tan bien se desempeña el proceso para indicar si es probable alcanzar las metas)
COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño. Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles altos.
El Modelo del Marco de Trabajo COBIT
El marco de trabajo COBIT, por lo tanto, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI.
Nivel de Aceptabilidad General del COBIT
COBIT se basa en el análisis y armonización de estándares y mejores practicas de TI existentes y se adapta a princiios de gobierno generalmente aceptados. Esta posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr en gobierno, administración y control efectivos. Por lo tanto, funciona como un integrador de prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio, para la gerencia y gobierno de TI. Este diseñado para ser complementario y para ser usado junto con otros estándares y mejores prácticas.