4.0
Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT)
Para muchas empresas la información y la tecnología que las soportan representan sus más valiosos activos.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Áreas de enfoque del Gobierno de TI
• Alineamiento estratégico: Su enfoque está dirigido a la relación entre el Negocio y el Plan de TI; a la propuesta de valor que debe entregar su definición, a la mantención y validación; y al alineamiento lógico entre las operaciones de TI con las operaciones de la empresa.
• Valor Agregado: Es el ciclo que permite asegurar la entrega del valor propuesto, asegurando que la TI proporcionará los beneficios prometidos en la estrategia, concentrándose en la optimización de los costos y facilitándolo con el valor intrínseco de la TI.
• Administración de Recursos: Se trata de invertir en forma óptima y apropiada, la administración de los recursos críticos en TI: Aplicaciones, Información, Infraestructura y las Personas. Se enfoca en la optimización del conocimiento y en la infraestructura.
• Administración del Riesgo: El administrador debe tener consciencia del riesgo empresarial, un claro entendimiento del apetito de la empresa por el riesgo, transparencia sobre el significado de los riesgos empresariales, y que debe incorporar la responsabilidad de los riesgos empresariales en la administración de la organización.
• Medición de Resultados: a través de una estrategia de implementación de pistas y mediciones, plan de término, recursos utilizados, medición de procesos y entrega de servicios, usando por ejemplo el BSC para traducir la estrategia en acción para lograr las metas medibles con la contabilidad convencional.
Estas áreas focales de gobierno de TI describen los tópicos en los que la dirección ejecutiva requiere poner atención para gobernar la TI en sus empresas.
COBIT se enfoca en qué se requiere para lograr una administración y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estándares y mejores prácticas más detallados de TI
COBIT es el marco de trabajo de control interno generalmente aceptado para TI.
COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes.
Los beneficios de implementar COBIT como marco de referencia de gobierno sobre la TI incluyen:
• Mejor alineación, con base en su enfoque de negocios
• Una visión, entendible para la gerencia, de lo que hace TI
• Propiedad y responsabilidades claras, con base en su orientación a procesos
• Aceptación general de terceros y reguladores
• Entendimiento compartido entre todos los participantes, con base en un lenguaje común
• Cumplimiento de los requerimientos COSO para el ambiente de control de TI
MARCO DE TRABAJO COBIT
LA NECESIDAD DE UN MARCO DE TRABAJO PARA EL CONTROL DEL GOBIERNO DE TI
Por qué
Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva.
Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI.
Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para TI.
Además, el gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración de TI y sirven como facilitadores para establecer el gobierno de TI y cumplir con el constante incremento de requerimientos regulatorios.
Quién
Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades específicas:
· Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones en TI:
Aquellos que tomen decisiones de inversión, respecto a requerimientos, y utilicen servicios de TI.
· Interesados internos y externos que proporcionen servicios de TI:
Aquellos que administren los procesos de TI, desarrollen capacidades, operen servicios.
· Interesados internos y externos con responsabilidades de control/riesgo:
Aquellos con responsabilidad de segurar, riesgos, funciones de cumplimiento, y los que requienren o proporcionen servicio de aseguramiento.
Qué
Un Marco de referencia para el gobierno y el control de TI deben satisfacer:
· Brindar un enfoque de negocios que permita la alineación entre los objetivos de negocio y de TI.
· Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el contenido.
· Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas.
· Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en lo general para todos los Interesados.
· Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por agentes reguladores y auditores externos.
COMO SATISFACE COBIT LA NECESIDAD
El marco de trabajo COBIT se creó con las características principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones
Orientado al negocio
Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.
El marco de trabajo de COBIT se basa en el principio de:
CRITERIOS DE INFORMACIÓN DE COBIT
La información necesita adaptarse a ciertos criterios de control los cuales son:
· La efectividad tiene que ver con que la información sea relevante y pertinente
· La eficiencia consiste en que la información sea generada optimizando los recursos
· La confidencialidad
· La integridad está relacionada con la precisión y completitud de la información
· La disponibilidad se refiere a que la información esté disponible
· El cumplimiento tiene que ver con acatar aquellas leyes
· La confiabilidad significa proporcionar la información apropiada
METAS DE NEGOCIOS Y DE TI
Ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas.
El siguiente grafico ilustra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos para su uso de iniciativas facilitadas por TI (Las metas de negocio para TI).
RECURSOS DE TI
La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI
Los recursos de TI identificados en COBIT se pueden definir como sigue:
· Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
· La información son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio.
· La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
· Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
A continuación en el siguiente grafico se muestra un resumen de cómo las metas de negocio para TI influencian la manera en que se manejan los recursos necesarios de TI por parte de los procesos de TI para lograr las metas de TI.
Procesos orientados
Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear.
PLANEAR Y ORGANIZAR (PO)
Cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.
Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:
· ¿Están alineadas las estrategias de TI y del negocio?
· ¿La empresa está alcanzando un uso óptimo de sus recursos?
· ¿Entienden todas las personas dentro de la organización los objetivos de TI?
· ¿Se entienden y administran los riesgos de TI?
· ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio.
· Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:
· ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
· ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
· ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
· ¿Los cambios afectarán las operaciones actuales del negocio?
ENTREGAR Y DAR SOPORTE (DS)
Cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.
Por lo general aclara las siguientes preguntas de la gerencia:
· ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
· ¿Están optimizados los costos de TI?
· ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?
· ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
MONITOREAR Y EVALUAR (ME)
Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
Por lo general abarca las siguientes preguntas de la gerencia:
· ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde?
· ¿La Gerencia garantiza que los controles internos son efectivos y eficientes?
· ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
· ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Basado en controles
LOS PROCESOS REQUIEREN CONTROLES
Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.
Según el grafico anterior, Sigue los principios que se evidencian en la siguiente analogía: cuando se ajusta la temperatura ambiente (estándar) para el sistema de calefacción (proceso), el sistema verificará de forma constante (comparar) la temperatura ambiente (inf. de control) e indicará (actuar) al sistema de calefacción para que genere más o menos calor.
Cada proceso COBIT tiene requerimientos de control genéricos que se identifican con PCn, que significa número de control de proceso.
PC1 Dueño del proceso
PC2 Reiterativo
PC3 Metas y objetivos
PC4 Roles y responsabilidades
PC5 Desempeño del proceso
PC6 Políticas, planes y procedimientos
CONTROLES DEL NEGOCIO Y CONTROLES DE TI
El sistema empresarial de controles internos impacta a TI en tres niveles:
· Al nivel de dirección ejecutiva: recursos empresariales para ejecutar la estrategia de la compañía.
· Al nivel de procesos de negocio: se aplican controles para actividades específicas del negocio.
· Para soportar los procesos de negocio: TI proporciona servicios, por lo general de forma compartida.
CONTROLES GENERALES DE TI Y CONTROLES DE APLICACIÓN
Los controles generales son aquellos que están incrustados en los procesos y servicios de TI. Algunos ejemplos son:
· Desarrollo de sistemas
· Administración de cambios
· Seguridad
· Operación del computador
Los controles incluidos en las aplicaciones del proceso de negocios se conocen por lo general como controles de aplicación. Ejemplos:
· Integridad (Completitud)
· Precisión
· Validez
· Autorización
· Segregación de funciones
Controles de origen de datos/ autorización
AC1 Procedimientos de preparación de datos
AC2 Procedimientos de autorización de documentos fuente
AC3 Recolección de datos de documentos fuente
AC4 Manejo de errores en documentos fuente
AC5 Retención de documentos fuente
Controles de entrada de datos
AC6 Procedimientos de autorización de captura de datos
AC7 Verificaciones de precisión, integridad y autorización
AC8 Manejo de errores en la entrada de datos
Controles en el Procesamiento de datos
AC9 Integridad en el procesamiento de datos
AC10 Validación y edición del procesamiento de datos
AC11 Manejo de errores en el procesamiento de datos
Controles de salida de datos
AC12 Manejo y retención de salidas
AC13 Distribución de salidas
AC14 Cuadre y conciliación de salidas
AC15 Revisión de salidas y manejo de errores
AC16 Provisión de seguridad para reportes de salida
Controles de límites
AC17 Autenticidad e integridad
AC18 Protección de información sensitiva durante su transmisión y transporte
Generadores de mediciones
Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa.
La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué se debe medir y cómo? Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora.
Para decidir cuál es el nivel correcto, la gerencia debe preguntarse a sí misma: ¿Qué tan lejos debemos ir, y está justificado el costo por el beneficio?
MODELOS DE MADUREZ
Aunque pocos argumentarían que esto no es algo bueno, se debe considerar el equilibrio del costo beneficio y éstas preguntas relacionadas:
· ¿Qué están haciendo nuestra competencia en la industria, y cómo estamos posicionados en relación a ellos?
· ¿Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos posicionados con respecto a estas prácticas?
· Con base en estas comparaciones, ¿se puede decir que estamos haciendo lo suficiente?
· ¿Cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de TI?
El modelado de la madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software.
Para hacer que los resultados sean utilizables con facilidad en resúmenes gerenciales, donde se presentarán como un medio para dar soporte al caso de negocio para planes futuros, se requiere contar con un método gráfico de presentación.
Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado. El desarrollo se basó en las descripciones del modelo de madurez genérico descritas en la siguiente grafica.
 |
La capacidad, el desempeño y el control son dimensiones de la madurez de un proceso como se ilustra en la grafica siguiente.
El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos, esto es, qué tan capaces son en realidad. Qué tan bien desarrollados o capaces deberían ser, principalmente dependen de las metas de TI y en las necesidades del negocio subyacentes a la cuales sirven de base.
Las escalas del modelo de madurez ayudarán a los profesionales a explicarle a la gerencia dónde se encuentran los defectos en la administración de procesos de TI y a establecer objetivos donde se requieran.
Los modelos de madurez se desarrollan empezando con el modelo genérico cualitativo (consulte la figura 10) al cual se añaden, en forma creciente, algunos principios contenidos en los siguientes atributos, a través de niveles:
• Conciencia y comunicación
• Políticas, estándares y procedimientos
• Herramientas y automatización
• Habilidades y experiencia
• Responsabilidad y rendición de cuentas
• Establecimiento y medición de metas
La tabla de atributos de madurez que se muestra en la grafica 12 lista las características de cómo se administran los procesos de TI y describe cómo evolucionan desde un proceso no existente hasta uno optimizado. Estos atributos se pueden usar para una evaluación más integral, para un análisis de brechas y para la planeación de mejoras.
| Conciencia y comunicación | Políticas, estándares y | Herramientas y | Habilidades y experiencia | Responsabilidad y rendición de | Establecimiento y medición de |
| | procedimientos | automatización | | cuentas | metas |
| 1 Surge el reconocimiento de la | Existen enfoques ad hoc hacia | Pueden existir algunas | No están definidas las habilidades | No existe definición de | Las metas no están claras y no |
| necesidad del proceso | los procesos y las prácticas | herramientas; el uso se basa en | requeridas para el proceso | responsabilidades y de rendición de | existen las mediciones. |
| | | herramienta estándar de | | cuentas. Las personas toman la | |
| Existe comunicación esporádica | Los procesos y las prácticas no | escritorio | No existe un plan de entrenamiento | propiedad de los problemas con | |
| de los problemas. | están definidos | | y no hay entrenamiento formal | base en su propia iniciativa de | |
| | | No existe un enfoque planeado | | manera reactiva. | |
| | | para el uso de herramientas | | | |
| 2 Existe conciencia de la | Surgen procesos similares y | Existen enfoques comunes para | Se identifican los requerimientos | Un individuo asume su | Existen algunas metas; se |
| necesidad de actuar | comunes pero en su mayoría | el uso de herramientas pero se | mínimos de habilidades para áreas | responsabilidad, y por lo general | establecen algunas mediciones |
| | son intuitivos y parten de la | basan en soluciones | críticas | debe rendir cuentas aún si esto no | financieras pero solo las conoce la |
| La gerencia comunica los | experiencia individual | desarrolladas por individuos | | está acordado de modo formal. | alta dirección. Hay monitoreo |
| problemas generales | | clave. | Se da entrenamiento como | Existe confusión acerca de la | inconsistente en áreas aisladas. |
| | Algunos aspectos de los | | respuesta a las necesidades, en | responsabilidad cuando ocurren | |
| | procesos son repetibles debido | Pueden haberse adquirido | lugar de hacerlo con base en un plan | problemas y una cultura de culpas | |
| | a la experiencia individual, y | herramientas de proveedores, | acordado. Existe entrenamiento | tiende a existir. | |
| | puede existir alguna | pero probablemente no se | informal sobre la marcha. | | |
| | documentación y entendimiento | aplican de forma correcta o | | | |
| | informal de las políticas y | incluso no usarse. | | | |
| | procedimientos | | | | |
| 3 Existe el entendimiento de la | Surge el uso de buenas | Existe un plan para el uso y | Se definen y documentan los | La responsabilidad y la rendición de | Se establecen algunas mediciones y |
| necesidad de actuar | prácticas | estandarización de las | requerimientos y habilidades para | cuentas sobre los procesos están | metas de efectividad, pero no se |
| | | herramientas para automatizar el | todas las áreas. | definidas y se han identificado a los | comunican, y existe una relación |
| La gerencia es más formal y | Los procesos, políticas y | proceso | | propietarios de los procesos de | clara con las metas del negocio. |
| estructurada en su | procedimientos están definidos y | | Existe un plan de entrenamiento | negocio. Es poco probable que el | Surgen los procesos de medición |
| comunicación | documentados para todas las | Se usan herramientas por su | formal pero todavía se basa en | propietario del proceso tenga la | pero no se aplican de modo |
| | actividades clave | propósito básico, pero pueden | iniciativas individuales | autoridad plena para ejercer las | consistente. Se adoptan ideas de un |
| | | no estar de acuerdo al plan | | responsabilidades. | balanced scorecard de TI así como |
| | | acordado, y pueden no estar | | | la aplicación intuitiva ocasional de |
| | | integradas entre sí | | | análisis de causas raíz. |
| 4 Hay entendimiento de los | El proceso es sólido y completo; | Se implantan las herramientas | Los requerimientos de habilidades | Las responsabilidades y la rendición | La eficiencia y la efectividad se |
| requerimientos completos | se aplican las mejores prácticas | de acuerdo a un plan estándar y | se actualizan rutinariamente para | de cuentas sobre los procesos están | miden y comunican y están ligadas a |
| | internas. | algunas se han integrado con | todas las áreas, se asegura la | aceptadas y funcionan de modo que | las metas del negocio y al plan |
| Se aplican técnicas maduras de | | otras herramientas relacionadas | capacidad para todas las áreas | se permite al propietario del proceso | estratégico de TI. Se implementa el |
| comunicación y se usan | Todos los aspectos del proceso | | críticas y se fomenta la certificación | descargar sus responsabilidades. | balanced scorecard de TI en algunas |
| herramientas estándar de | están documentados y son | Se usan herramientas en las | Se aplican técnicas maduras de | Existe una cultura de recompensas | áreas, con excepciones conocidas |
| comunicación | repetibles. La dirección ha | principales áreas para | entrenamiento de acuerdo al plan y | que activa la acción positiva. | por la gerencia y se está |
| | terminado y aprobado las | automatizar la administración del | se fomenta la compartición del | | estandarizando el análisis de causas |
| | políticas. Se adoptan y siguen | proceso y monitorear las | conocimiento. Todos los expertos | | raíz. Surge la mejora continua. |
| | estándares para el desarrollo y | actividades y controles críticos | internos están involucrados y se | | |
| | mantenimiento de procesos y | | evalúa la efectividad del plan de | | |
| | procedimientos. | | entrenamiento. | | |
| 5 Existe un entendimiento | Se aplican las mejores prácticas | Se usan juegos de herramientas | La organización fomenta de manera | Los propietarios de procesos tienen | Existe un sistema de medición de |
| avanzado y a futuro de los | y estándares externos | estandarizados a lo largo de la | formal la mejora continua de las | la facultad de tomar decisiones y | desempeño integrado que liga al |
| requerimientos | | empresa. | habilidades, con base en metas | medidas. La aceptación de la | desempeño de TI con las metas del |
| | La documentación de procesos | | personales y organizacionales | responsabilidad ha descendido en | negocio por la aplicación global del |
| Existe una comunicación | ha evolucionado a flujos de | Las herramientas están | claramente definidas. | cascada a través de la organización | balanced scorecard de TI. La |
| proactiva de los problemas, | trabajo automatizados. Los | completamente integradas con | | de forma consistente. | dirección nota las excepciones de |
| basada en las tendencias, se | procesos, las políticas y los | otras herramientas relacionadas | El entrenamiento y la educación dan | | forma global y consistente y el |
| aplican técnicas maduras de | procedimientos están | para permitir un soporte integral | soporte a las mejores prácticas | | análisis de causas raíz se aplica. La |
| comunicación y se usan | estandarizados e integrados | de los procesos. | externas y al uso de conceptos y | | mejora continua es una forma de |
| herramientas integradas de | para permitir una administración | | técnicas de vanguardia. La | | vida. |
| comunicación | y mejoras integrales | Se usan las herramientas para | compartición del conocimiento es | | |
| | | dar soporte a la mejora del | parte de la cultura empresarial y se | | |
| | | proceso y detectar de forma | implementan sistemas basados en | | |
| | | automática las excepciones de | conocimiento. Se usan a expertos | | |
| | | control | externos y a líderes de la industria | | |
| | | | como guía. | | |
MEDICIÓN DEL DESEMPEÑO
Las métricas y las metas se definen en COBIT a tres niveles:
· Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría para medir a TI)
· Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI (cómo sería medido el propietario del proceso de TI)
· Métricas de desempeño de los procesos (miden qué tan bien se desempeña el proceso para indicar si es probable alcanzar las metas)
Las métricas efectivas deben tener las siguientes características:
· Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de lograrlos)
· Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo)
· Deben ser comparables externamente sin tomar en cuenta el tamaño de la empresa o la industria
· Es mejor tener pocas métricas (quizá una sola muy buena que pueda ser influenciada por distintos medios) que una lista más larga de menor calidad
· Debe ser fácil de medir y no se debe confundir con las metas
La grafica siguiente ilustra la relación entre los procesos, TI y las metas del negocio, y entre las diferentes métricas, con ejemplo tomados de DS5 Garantizar la seguridad de los sistemas.
El modelo del marco de trabajo COBIT
El marco de trabajo COBIT, por lo tanto, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT, como se ilustra enel siguiente grafico.
Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT del siguiente grafico.
En detalle, el marco de trabajo general COBIT se muestra gráficamente en la figura 16, con el modelo de procesos de COBIT compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno.
Nivel de aceptabilidad general de COBIT
COBIT se basa en el análisis y armonización de estándares y mejores prácticas de TI existentes y se adapta a principios de gobierno generalmente aceptados. Está posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr un gobierno, administración y control efectivos.
COBIT resulta de interés a distintos usuarios:
· Dirección ejecutiva—Para obtener valor de las inversiones y riesgos de TI y para controlar la inversión en un ambiente de TI con frecuencia impredecible
· Gerencia del negocio—Para obtener certidumbre sobre la administración y control de los servicios de TI, proporcionados internamente o por terceros
· Gerencia de TI—Para proporcionar los servicios de TI que el negocio requiere para dar soporte a la estrategia del negocio de una forma controlada y administrada
· Auditores—Para respaldar sus opiniones y/o para proporcionar asesoría a la gerencia sobre controles internos
· La siguiente grafica resume cómo los distintos elementos del marco de trabajo de COBIT se relacionan con las áreas focales del gobierno de TI.
