RESUMEN EJECUTIVO

Para muchas empresas, la información y la tecnología que las soportan representan sus mas valiosos activos. Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios. El gobierno de TI es responsabilidad de los ejecutivos , del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y entiende las estrategias y objetivos organizacionales. Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su información, asi como de todos sus activos. Los objetivos de control para la información y al tecnología relacionada (COBIT) brindan buenas practicas a través de un marco de trabajo de dominios y procesos, y representa las actividades en una estructura manejable y lógica. Las buenas practicas del COBIT representan el consenso de los expertos. En resumen, para proporcionar la información que la empresa necesita para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural.

COBIT 4.0

La dirección busca continuamente información oportuna y condensada, para tomar decisiones difíciles respecto a riesgos y controles, de manera rápida y exitosa. ¿Qué se debe medir y como? Las empresas requieren una medición objetiva de donde se encuentran y donde se requieren mejoras, y deben implantar una caja de herramientas gerenciales para monitorear esta mejora. Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de control y desempeño de TI son las definiciones especificas de COBIT de los siguientes conceptos:Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados de Modelo de Madurez de la Capacidad del instituto de Ingenieria de Software. Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton. Metas de actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT.

Areas Locales del Gobierno de TI

Alineación estratégica se enfoca en garantizar el vinculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. Entrega de valor se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI. Administración de recursos se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI, aplicaciones, información, infraestructura y personas.Los temas claves se refieren a la optimización de conocimiento y de infraestructura. Administración de riesgos requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización. Medición del desempeño rastrea y monitorea la estrategia de implementar, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para lograr las metas que se puedan medir mas allá del registro convencional.

Estas áreas focales de gobierno de TI describen los tópicos en los que la dirección ejecutiva requiere poner atención para gobernar la TI en sus empresas. COBIT se enfoca en que se requiere para lograr una administración y un control adecuado de TI, y se posiciona en un nivel alto. Los beneficios de implementar COBIT como marco de referencia de gobierno sobre la TI incluyen:

Mejor alineación, con base en su enfoque de negocios Una visión, entendible para la gerencia, de los que hace TI. Propiedad y responsabilidades claras, con base en su orientación a procesos Aceptación general de terceros y reguladores Entendimiento compartido entre todos los participantes, con base en un lenguaje común Cumplimiento de los requerimiento COSO para el ambiento de control de TI

             *********************************************************************

LA NECESIDAD DE UN MARCO DE TRABAJO PARA EL CONTROL DEL GOBIERNO DE TI

Por que Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. En particular la alta dirección necesita saber si con la información administrada en la empresa es posible que: Garantice el logro de sus objetivos Tenga suficiente flexibilidad para aprender y adaptarse Cuente con un manejo juicioso de los riesgos que enfrenta Reconozca de forma apropiada las oportunidades y actué de acuerdo a ellas

Quién Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades especificas: Interesados dentro de la empresa que tengas un interés en generar valor de las inversiones en TI: - Aquellos que tomen decisiones de inversiones - Aquellos que deciden respecto a los requerimientos - Aquellos que utilicen los servicios de TI Interesados internos y externos que proporcionen servicios de TI: - Aquellos que administren la organización y los procesos de TI. - Aquellos que desarrollen capacidades. - Aquellos que operen los servicios. Interesados internos y externos con responsabilidades de control/riesgo: - Aquellos con responsabilidades de seguridad, privacidad y/o riesgo. - Aquellos que realicen funciones de cumplimiento. - Aquellos que requieren o proporcionen servicios de aseguramiento.

Qué Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI deben satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineación entre los objetivos de negocio y de TI. Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el contenido. Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas. Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en lo general para todos los interesados. Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por agentes reguladores y auditores externos.

             *********************************************************************

COMO SATISFACE COBIT LA NECESIDAD

Como respuesta a las necesidades descritas en la sección anterior, el marco de trabajo COBIT se creo con las características principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado pro mediciones. Orientado al negocio La orientación a negocios es el tema principal de COBIT. Esta diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

Criterios de Información de COBIT

Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio.

Metas de Negocio y de TI

Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base mas refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas.

Recursos de TI

La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI.

             *********************************************************************

PROCESOS ORIENTADOS

COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son plantear y organizar, adquirir e implementar, entregar y dar soporte y monitorear y evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Estos se pueden resumir como sigue:

Planear y Organizar (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

Adquirir e Implementar (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio.

Entregar y dar Soporte (DS)

Este dominio cubre la entrega en si de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

Monitorear y Evaluar (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

             *********************************************************************

BASADO EN CONTROLES

Los Procesos requieren Controles

Control se define como las políticas, procedimientos, practicas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzaran, y los eventos no deseados serán prevenidos o detectados y corregidos. Un objetivo de control TI es una declaración el resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de TI en particular.

Controles del Negocio y Controles de TI

El sistema empresarial de controles internos impacta a TI en tres niveles: Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compañía. El enfoque genérico hacia el gobierno y el control se establece por parte del consejo y se comunica a todo lo largo de la empresa. El ambiente de control de TI es guiado por este conjunto de objetivos y políticas de alto nivel. Al nivel de procesos de negocio, se aplican controles para actividades especificas del negocio. La mayoría de lso procesos de negocio están automatizados e integrados con los sistemas aplicativos de TI, dando como resultado que muchos de los controles a este nivel estén automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos controles dentro del proceso de negocios permanecen como procedimientos manuales, como la autorización de transacciones, la separación de funciones y las conciliaciones manuales. Los controles al nivel de procesos de negocio son, por lo tanto, una combinación de controles manuales operados pro el negocio, controles de negocio y controles de aplicación automatizados. Ambos son responsabilidad del negocio en cuanto a su definición y administración aunque los controles de aplicación requieren que la función de TI de soporte a su diseño y desarrollo.

Controles Generales de TI y Controles de Aplicación

Los controles generales con aquellos que están incrustados en los procesos y servicios de TI. Algunos ejemplos son: Desarrollo de sistemas Administración de cambios Seguridad Operación del computador Los controles incluidos en las aplicaciones del procesos de negocios se conocen por lo general como controles de aplicación. Ejemplos: Integridad (completitud) Precisión Validez Autorización Segregación de funciones COBIT asume que el diseño e implementación de los controles de aplicación automatizados son responsabilidad de TI, y están cubiertos en el dominio de Adquirir E implementar, con base en los requerimientos de negocio definidos, usando los criterios de información de COBIT. La responsabilidad operacional de administrar y controlar los controles de aplicación no es de TI, sino del propietario del proceso de negocio.

             *********************************************************************

GENERADORES DE MEDICIÓN

Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir que nivel administración y control debe proporcionar la empresa. La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué se debe medir y como? Las empresas deben medir donde se encuentran y donde se requieren mejoras, e implementan un juego de herramientas gerenciales para monitorear esta mejora.

Modelo de Madurez

Cada vez con mas frecuencia, se les pide a los directivos de empresas corporativas y publicas que se considere que tan bien se esta administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información.

Modelo Genérico de Madurez

0 No existente. Carencia completa de cualquier proceso reconocible. La  empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial. Existe evidencia que la empresa a reconocido que los problemas existen y requieren resultados. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. 2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probables que se detecten desviaciones. Los procedimientos en si no son sofisticados pero formalizan las prácticas existentes. 4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. 5. Optimizado. Los procesos se han refinado hasta un nivel de mejor practica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

Medición de Desempeño

Las métricas y las metas se definen en COBIT a tres niveles: Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría para medir a TI) Metas y métricas de procesos que definen lo que el proceso de TI debe generar para <dar soporte a los objetivos de TI (como seria medido el propietario del proceso de TI) Métricas de desempeño de los procesos (miden que tan bien se desempeña el proceso para indicar si es probable alcanzar las metas) COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño. Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles altos.

El Modelo del Marco de Trabajo COBIT

El marco de trabajo COBIT, por lo tanto, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI.

Nivel de Aceptabilidad General del COBIT

COBIT se basa en el análisis y armonización de estándares y mejores practicas de TI existentes y se adapta a princiios de gobierno generalmente aceptados. Esta posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr en gobierno, administración y control efectivos. Por lo tanto, funciona como un integrador de prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio, para la gerencia y gobierno de TI. Este diseñado para ser complementario y para ser usado junto con otros estándares y mejores prácticas. La implantación de las mejores prácticas debe ser consistente con el gobierno y el marco de control de la empresa, debe ser apropiada para la organización, y debe estar integrada con otros métodos y practicas que se utilicen. Los estándares y las mejores prácticas no son una panacea y su efectividad depende de cómo hayan sido implantados en realidad y de cómo se mantengas actualizados. Son más útiles cuando se aplican como un conjunto de principios y como un punto de partida para adaptar procedimientos específicos. La gerencia y el equipo deben entender que hacer, como hacerlo y porque es importante hacerlo para garantizar que se utilicen las practicas.