Gobierno Corporativo

Gobierno Corporativo

• “La distribución de derechos y responsabilidades entre los diferentes participantes en la corporación, tales como la Junta, los gerentes, los accionistas y otras partes interesadas, y explica las reglas y procedimientos para tomar decisiones sobre los asuntos corporativos”

Organización para la Cooperación y el Desarrollo Económico (OECD)

• Conjunto de responsabilidades y prácticas ejercidas por el personal y la dirección ejecutiva con el objetivo de:

• Proveer dirección estratégica 
• Asegurar que los objetivos son alcanzados 
• Controlar que los riesgos son manejados de manera apropiada 
• Verificar que los recursos de la empresa son usados con responsabilidad

• Estructura a través de la cual se fijan los objetivos de la compañía y los medios para lograr dichos objetivos y monitorear el desempeño 
• Requiere de un sistema de control interno para monitorear los riesgos 
• Provee una plataforma para la protección de las partes interesadas definiendo las responsabilidades de la Junta Directiva, en un marco de transparencia
• Objetivos principales:

• Velar por la transparencia 

• Permitir el conocimiento de cómo los directivos gestionan los recursos 

• Proveer de instrumentos de resolución de conflictos de interés entre los distintos grupos que conforman el gobierno

Prácticas de Monitoreo y Aseguramiento para la Junta y la Gerencia Ejecutiva

• Las empresas están regidas por las mejores prácticas generalmente aceptadas, cuyo aseguramiento está garantizado por ciertos controles 
• La TI es también gobernada por las mejores prácticas, que aseguran que la información y la tecnología relacionada de la organización soportan los objetivos del negocio, que sus recursos sean utilizados de manera responsable, y sus riesgos sean administrados de manera apropiada
• ¿Qué espera el negocio de TI? 

• Mantener los sistemas ejecutándose 

• Administrar complejidad 

• Alinear la TI con el negocio 

• Cumplimiento de regulaciones 

• Seguridad 

• Las organizaciones requieren de un enfoque estructurado para administrar estas y otras demandas
• El Gobierno de TI: 

• Es una parte integral del gobierno corporativo y consiste en la dirección, la estructura y los procesos organizacionales que aseguran que la TI corporativa soporta la consecución de la estrategia de la organización y sus objetivos 

• La responsabilidad del Gobierno de TI es de los ejecutivos y el directorio de la organización

* Mejores prácticas de ITGI para el Gobierno de TI 

• Áreas de enfoque del Gobierno de TI

• Alineación Estratégica 

• Se enfoca en garantizar el vínculo entre los planes del negocio y de TI, alinear las operaciones de TI con las operaciones de la empresa 

• Dar Valor 

• Se enfoca en asegurar que TI genere los beneficios prometidos en la estrategia 

• Gestión de Riesgos 

• Requiere conciencia de los riesgos por parte de los altos ejecutivos, un claro entendimiento del apetito al riesgo 

• Administración de Recursos 

• Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI, aplicaciones, información, infraestructura y personas 

• Medición del desempeño 

• Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio

"Los recursos de TI deben usarse responsablemente, y los riesgos relacionados con TI deben ser administrados de manera apropiada"

• Rol de la Auditoria en el Gobierno de TI

• Una empresa necesita evaluar su gobierno de TI, ya que se está volviendo una parte cada vez más importante del gobierno total de la empresa

• La auditoria proveerá recomendaciones de prácticas líderes a la alta gerencia, para ayudar a mejorar la calidad y la efectividad de las iniciativas del gobierno de TI implementadas

COBIT

COBIT

Control objetives for Information and related Technology

es un conjunto de mejores prácticas para la administración IT creado por ISACA, e ITGI en 1992. COBIT brinda a managers, auditores, y usuarios IT, un conjunto de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del usa de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización.

ISACA es el acrónimo de Informaction Systems Audit and Control Association (Asociación de Auditoría y Control de sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoria y control en sistemas de información.

IT Governance Institute (ITGI, en inglés: IT Governance Institute) Tecnología de la información de gobierno es una disciplina subconjunto de gobierno corporativo centrado en la informática de sistemas (IT) y de su rendimiento y la gestión de riesgos.

EDICIONES

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007. En la actualidad el ISACA lanzó Cobit 5 el día 10 de Abril.

Ámbito de evolución

Gobierno TI

COBIT 4.1

En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

Marco de Gobierno IT

COBIT 5

• Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de regerencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a tecnología y a la información como protagonistas en la creación de valor para las empresas.
• COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITL @) y las normas ISO relacionadas.

Gestión

MISIÓN

Investigar, desarrollar, publicar y promover en conjunto de objetivos de control de TI rectores, actualizados, internacional y generalmente aceptados para ser utilizados diariamente por Gerentes de negocio y Auditores.

Control

VISIÓN

Consolidarse como líder mundialmente conocido en materia de gobierno, control y aseguramiento de la gestión de TI.

Auditoria

VAL IT

Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.

Como satisface COBIT las necesidades

¿Para quiénes?

• Gerentes de negocio
• Gerentes de TI
• Gerentes de riesgo
• Usuarios de TI
• Auditores

¿Para qué?

• Alineación de objetivos de TI y del negocio.
• Establecer una orientación a procesos.
• Ser consistente con las mejores prácticas y estándares control (COSO) y de TI, independiente de tecnologías específicas.
• Proporcionar un lenguaje común para todos los interesados.

1. Orientado al negocio
2. Procesos orientados
3. Basado en controles
4. Generador de mediciones

1. ORIENTADO AL NEGOCIO

Es el tema principal de COBIT. Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

PRINCIPIO BÁSICO

Proporcionar la información que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.

CRITERIOS DE INFORMACIÓN

Para satisfacer los objetivos del negocio la información necesita adaptarse a ciertos criterios de control, los cuales son referidos por COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete áreas: 

METAS DE NEGOCIO Y DE TI

Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. 

2. PROCESOS ORIENTADOS

COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son:

• Planear y Organizar
• Adquirir e Implementar,
• Entregar y Dar Soporte
• Monitorear y Evaluar

PLANEAR Y ORGANIZAR

ADQUIRIR E IMPLEMENTAR

ENTREGAR Y SOPORTAR

MONITOREAR Y EVALUAR

2. BASADO EN CONTROLES

• CONTROL: Políticas, Procedimiento, prácticas diseñadas para brindar seguridad razonable que los objetivos serán alcanzados
• OBJETIVOS DE CONTROL DE COBIT: son los requerimientos mínimos para un control efectivo de cada proceso de IT además brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI.

PROCESOS COBIT

• PC1: Dueño del Proceso
• PC2: Reiterativo
• PC3: Metas y Objetivos
• PC4: Roles y Responsabilidades
• PC5: Desempeño del Proceso
• PC6: Políticas, Planes y Procedimiento

CONTROLES DEL NEGOCIO Y CONTROL DE TI

• AL NIVEL DE DIRECCIÓN EJECUTIVA: fijar objetivos políticas, tomas decisiones de cómo administrar los recursos.
• AL NIVEL DE PROCESO DE NEGOCIO: aplicar controles para actividades específicas del negocio.
• PARA SOPORTAR DEL NEGOCIO: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento)

GENERADORES DE MEDICIÓN

• Una necesidad básica de toda empresa es entender el estad de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa ¿Qué se debe medir y cómo? 
• Modelos de Madurez: por medio del Benchmarking identificación de las mejores practicas en la capacidad.
• Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los procesos internos

Indicadores de desempeño

Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr un meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.

Mediciones de desempeño

• COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño.
• Los indicadores clave de metas (KGI) definen mediciones para informar a la gerencia---después del hecho--si un proceso TI alcanzó sus requerimientos de negocio, y se expresan por lo general en términos de criterios de información:
• Disponibilidad de información necesaria para dar soporte a las necesidades del negocio. Ausencia de riesgos de integridad y de confidencialidad
• Rentabilidad de procesos y operaciones
• Confirmación de confiabilidad, efectividad y cumplimiento

Las métricas efectivas deben de tener las siguientes características:

• Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de lograrlos)
• Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo)
• Deben ser comparables externamente sin tomar en cuenta el tamaño de las empresa o la industria.

Caso Practico

Se comienza a preparar el software para el trabajo

Tarea 2

Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama

Se ingresan los procesos de negocio que son de interés. Menú : Centro de Análisis

Se identifican cuales son los requerimientos de la información necesarios que deben disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.

Se ingresa la información de los diversos recursos de TI

Se asignan los Procesos de Cobit

Mediante el botón "Comenzar con la Auditoria" iniciara las etapas para auditar los Procesos de Cobit (Objetivos de Alto nivel) seleccionados. A partir de aquí COBIT asiste al auditor en el proceso de arribar a una conclusión sobre el Objetivo de control de alto nivel (en este caso).

Etapa 1: Entrevistas

Las entrevistas permiten tener una primera visión del objeto de la auditoria. En este caso son con los usuarios del sistema para entender su visión en cuanto al funcionamiento.

Asimismo se entrevistara a la Gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo.

Etapa 2: Documentación

En este caso se obtienen los manuales técnicos y de usuarios de la aplicación.

Etapa 3: Emisión de una primera opinión

A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación.

Etapa 4: Verificar el cumplimiento de los controles

Aquí se revisa que esos controles estén funcionando.

Etapa 5: Emisión de una conclusión final

La conclusión se respalda en todos los pasos anteriores del proceso de auditoria. Además debe tener en cuenta los hallazgos. Es bueno usar escalas uniformes para las evaluaciones de modo de poder comparar los juicios.

Ejemplos

Sun Microsystems / Oracle enero 2012

Sun /Oracle ha encontrado matrices COBIT y documentos muy útiles mapas cuando se habla de cómo todos los diferente marcos encajan.

La empresa ha aprovechado con éxito los conceptos de las materias relacionadas con el COBIT para crear debate sobre la salud y la madurez auto-evaluaciones, proporcionar una línea de visión entre sus actividades y sus objetivos de negocio, llevar previsibilidad y la confiabilidad de cómo planea el grupo de TI y administra el trabajo en la empresa, y complementar su ciclo de planificación corporativa con un "ciclo de la gestión de TI".

Ecopetrol SA Junio 2010

La División de Tecnología de la Información eligió COBIT como marco adecuado gobierno de TI para integrar un sistema de gestión de TI.

Ecopetrol decidió implementar 28 procesos de COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley.

Grupo Bancolombia enero 2011

Grupo Bancolombia utilizar COBIT para crear una visión compartida, la lengua única, la alineación entre la planificación estratégica de negocios y planificación estratégica de TI, y la claridad en los roles y responsabilidades.

CONSULTA

¿Qué es Gobierno TI?

Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio. Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definido. Garantiza que:

TI está alineada con la estrategia de! negocio.

Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la forma más eficiente.

Todos los riesgos relacionados con TI son conocidos y administrados y tos recursos de TI están seguros.

¿Qué es Framework?

La palabra inglesa "framework" (marco de trabajo) define, en términos generales, un conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo de problemática particular que sirve como referencia, para enfrentar y resolver nuevos problemas de índole similar.

En el desarrollo de software, un framework o infraestructura digital, es una estructura conceptual y tecnológica de soporte definido, normalmente con artefactos o módulos de software concretos, que puede servir de base para la organización y desarrollo de software. Típicamente, puede incluir soporte de programas, bibliotecas, y un lenguaje interpretado, entre otras herramientas, para así ayudar a desarrollar y unir los diferentes componentes de un proyecto.

Ventajas

1. El desarrollo rápido de aplicaciones. Los componentes incluidos en un framework constituyen una capa que libera al programador de la escritura de código de bajo nivel.
2. La reutilización de componentes software al por mayor. Los frameworks son los paradigmas de la reutilización.
3. El uso y la programación de componentes que siguen una política de diseño uniforme. Un  framework  orientado  a  objetos  logra  que  los  componentes  sean  clases  que pertenezcan a una gran jerarquía de clases, lo que resulta en bibliotecas más fáciles de aprender a usar.

Desventajas:

1. La dependencia del código fuente de una aplicación con respecto al framework. Si se desea cambiar de framework, la mayor parte del código debe reescribirse.
2. La demanda de grandes cantidades de recursos computacionales debido a que la característica de reutilización de los frameworks tiende a generalizar la funcionalidad de los componentes. El resultado es que se incluyen características que están "de más", provocando una sobrecarga de recursos que se hace más grande en cuanto más amplio es el campo de reutilización.

Brecha Digital

Brecha digital hace referencia a una totalidad socio-económica entre aquellas comunidades que tienen accesibilidad a Internet y aquellas que no, aunque tales desigualdades también se pueden referir a todas las nuevas tecnologías de la información y la comunicación (TIC), como el computador personal, la telefonía móvil, la banda ancha y otros dispositivos. Como tal, la brecha digital se basa en diferencias previas al acceso a las tecnologías. Este término también hace referencia a las diferencias que hay entre grupos según su capacidad para utilizar las TIC de forma eficaz, debido a los distintos niveles de alfabetización, carencias, y problemas de accesibilidad a la tecnología. También se utiliza en ocasiones para señalar las diferencias entre aquellos grupos que tienen acceso a contenidos digitales de calidad y aquellos que no. El término opuesto que se emplea con más frecuencia es el de inclusión digital y el de inclusión digital genuina (Maggio, 2007). De aquí se extrae también el concepto de "infoexclusion" para designar los efectos discriminatorios de la brecha digital.

Ventajas y Desventajas de la Brecha Digital

La brecha digital tiene ventajas y desventajas que permiten tener así un mejor funcionamiento de la misma: como sus ventajas tenemos : permite eí acceso a dispositivos tecnológicos, permite expandir la tecnología a los lugares mas remotos de nuestro país .permite el desarrollo de los ciudadanos o de las regiones que no se producen por las desigualdades de acceso a las tecnologías de información y comunicación .

la tecnología aumenta a! igual que el valor de una red crece a! aumentar e! número de personas beneficiadas por esta plataforma ya que aumenta las posibilidades de conexión.

sirven de canal informativo , ayuda a contribuir y aumentar la calidad de vida , mejorando la educación en una única red.

¿Qué es ISO?

La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 153 países, uno por cada país.

La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de to intelectual, científico, tecnológico y económico. Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.

¿De donde proviene el nombre ISO?

Muchas personas  habrán advertido la falta de correspondencia entre el supuesto acrónimo en inglés de la Organización y la palabra "ISO". Así sería, pero ISO no es el acrónimo.

En efecto, "ISO" es una palabra, que deriva del Griego "¡sos", que significa "igual", el cual es    la    raíz    del prefijo "iso" el cual aparece en infinidad de términos.

Desde "igual" a "estándar" es fácil seguir por esta línea de pensamiento que fue lo que condujo a elegir "ISO" como nombre de la Organización

¿A que se basa la ISO en 17.799?

ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles

Conocer los fundamentos de la Norma internacional ISO 17799 para la gestión de la seguridad de la información. Analizar los objetivos de la Norma internacional ISO 17799. Enumerar las áreas de control de seguridad que abarca la Norma internacional ISO 17799. Identificar la estructura de la Norma internacional ISO 17799. Enumerar las ventajas que presenta la aplicación de la Norma internacional ISO 17799. Plantear el tipo de metodología utilizada para el desarrollo del tema.

4. Artículo II. Introducción La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándarinternacional, es el más extendido y aceptado.La Norma ISO 17799 es el Sistema de Gestión de Seguridad de la Información (Informational Security Management Systems, ISMS) reconocido internacionalmente. El ISO 17799 proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la información de una organización. La norma define a la información como un activo que tiene valor en una organización; y como todos los activos, es imperativo mantener su valor para el éxito de una organización.El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información .reconocida internacionalmente. Proporciona las pautas para la implementación basada en las sugerencias que deben ser consideradas por una organización para poder construir un programa comprensivo de gestión de seguridad de la información.

¿Qué es COSO I y COSO II?

COSO I

En 1992 la comisión publicó el primer informe "Internal Control - Integrated Framework" denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual pudieran valorar sus sistemas de control interno y generando una definición común de "control interno".

Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías.

• Eficacia y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento de las leyes, reglamentos y normas que sean aplicables

La estructura del estándar se dividía en cinco componentes:

1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.

COSO II

En 2004, se publicó el estándar "Enterprise Risk Management - Integrated Framework" (COSO H) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores.

COSO II (ERM) amplía la estructura de COSO I a ocho componentes:

1. Ambiente de control: son los valores y filosofía de la organización, influye en la visión de los trabajadores ante los riesgos y las actividades de control de los mismos.
2. Establecimiento de objetivos: estratégicos, operativos, de información y de cumplimientos.
3. Identificación de eventos, que pueden tener impacto en el cumplimiento de objetivos.
4. Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para la consecución de los objetivos.
5. Respuesta a ios riesgos: determinación de acciones frente a ios riesgos.
6. Actividades de control: Políticas y procedimientos que aseguran que se llevan a cabo acciones contra los riesgos.
7. Información y comunicación: eficaz en contenido y tiempo, para permitir a los trabajadores cumplir con sus responsabilidades.
8. Supervisión: para realizar el seguimiento de las actividades.

MODELO COBIT

HISTORIA DE COBIT—

Cobit ha tenido varias ediciones, siendo publicada la primera en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en Diciembre de 2005, y la versión 4.1 está disponible desde Mayo de 2007.

CobiT, lanzado en 1996, es una herramienta de gobierno de TI que vincula la tecnología informática y las prácticas de control.

Consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gestión, los profesionales de control y los auditores.

Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos.

CobiT está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

¿Qué es COBIT?

• Es un acrónimo que tiene como objetivos de Control para tecnología de la información.
• —Es un estándar cada vez más aceptado al ser de acceso libre en muchos de sus componentes 
• —Esta en evolución permanente 
• —Es 100 % compatible con ISO 17799, COSO I y COSO II y otros estándares relacionados.

Misión del COBIT

“Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores”.

¿A quiénes está dirigido?

• —La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. 
• —Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. 
• —Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. 
• —Los Responsables de TI: para identificar los controles que requieren en sus áreas. 

Alcances y Objetivos

• Estándares generalmente aplicados y aceptados para las buenas prácticas de control en TI (Tecnologías de la Información) 
• Para Sistemas de Información de la Organización 
• Fundamentado en una estructura de control de las TI

Beneficios

• Optimizar los servicios el costo de las TI y la tecnología 
• Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas 
• Gestión de nuevas tecnologías de información

Ventaja

• —Se aprecian resultados en indicadores de la eficiencia y efectividad 

Desventaja

• Resulta un modelo ambicioso que requiere de profundidad en el estudio

Características

• —Orientado al negocio 
• —Alineado con estándares y regulaciones “de facto” 
• —Basado en una revisión crítica y analítica de las tareas y actividades en TI 
• —Alineado con estándares de control y auditoria (COSO, IFAC, ISACA

Ciclo de Vida

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

La estructura de CobiT 

Se define a partir de una premisa simple y pragmática: “Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

COBIT se divide en 3 niveles:

• —Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. 
• —Actividades: Acciones requeridas para lograr un resultado medible. 
• —Dominios: 

           - —Planificación y organización
           - —Adquisición e implementación
           - —Prestación y Soporte
           - —Monitoreo

Caso PARMALAT

En el año 1961, Calisto Tanzi, de 22 años, abrió una pequeña planta de pasteurización en Parma, Italia. Cuatro décadas después la compañía ha crecido hasta convertirse en una compañía Multinacional, produciendo leche, bebidas varias, panadería, y otros productos diarios. En el año 2011 el 83% de sus acciones fue adquirido mediante una oferta pública de acciones por la empresa francesa Lactalis, convirtiéndose entonces en el grupo lácteo más grande del mundo, y primer comprador de leche global con un volumen aproximado de cuarenta millones de litros diarios. En los años 1980 trajo además productos de desayuno y en los años 1990 fue listado en la bolsa de valores de Milán.

Fue en 1997 cuando Parmalat saltó al mundo financiero, obteniendo varias adquisiciones internacionales, especialmente en el hemisferio Este, pero con deudas. Pero en el 2001, muchas de las nuevas divisiones corporativas y gubernamentales de la empresa empezaron a perder dinero.

En febrero del año 2003 el Contador Oficial Ejecutivo, Fausto Tonna de improvisto anunció una nueva edición de bonos de 500 millones de euros. Esto fue una sorpresa tanto para el gerente, Tanzi, y para toda la compañía. Tanzi despidió a Tonna y lo reemplazó con Alberto Ferraris.

El 11 de noviembre del 2003, Parmalat se desplomó en bolsa más de un ocho por ciento, hasta 2,37 euros, después de que su auditor, Deloitte & Touche, se negara a aprobar las cuentas del primer semestre. Deloitte expresó serias dudas sobre la transparencia y la corrección de las cuentas de su cliente.

Parmalat ha utilizado durante años la colocación de acciones y bonos convertibles en paraísos fiscales para financiar docenas de adquisiciones en todo el mundo. Entre 1993 y 2002 sus ventas se incrementaron un 410% y sus beneficios alcanzaron una cifra récord. El escándalo estalló cuando a finales de noviembre, la empresa reconoció que no podía garantizar la liquidez de una inversión de 496,5 millones de euros en un fondo de inversión de las Islas Caimán. Este hecho provocó la dimisión del director financiero de la compañía, Fausto Tonna.

El fraude se cometió con medios muy sencillos: control de la correspondencia de los auditores, recibos bancarios falsificados con un scanner y una fotocopiadora y cambios de domicilio social, para no tener que cambiar de auditor, como exige la ley italiana, con lo cual era más sencillo engañar al auditor tradicional, que continuaba haciendo su trabajo con la despreocupación nacida de la confianza ganada con una documentación uniforme e históricamente falsa. Las cifras de la falsificación del balance fueron de 14.000 millones de euros de activos inexistentes, compensados con la misma cantidad de créditos bancarios, obligación y fondos propios perdidos por todos los que han confiado en la empresa. La empresa falsificaba sus balances desde hacía 15 años al parecer con la complicidad de un grupo de bancos nacionales e internacionales (según los fiscales que investigan el caso), que contribuían a disimular las pérdidas y disfrazar las inversiones con complejos esquemas y de una estructura estable de ejecutivos leales a Tanzi, quien reinaba con estilo patriarcal.

Parmalat, estaba inmerso en un escándalo tras reconocer un "agujero" contable en su filial Bonlat, con sede en Islas Caimán, de 4.000 millones de euros pero que, según otras fuentes, alcanza en realidad entre 7.000 y 9.000 millones. La mecha la encendió la entidad financiera estadounidense Bank of America, al negar la autenticidad de un documento que garantizaba la existencia de 3.950 millones de euros en una cuenta de una compañía “off-shore”, Bonlat. 

Durante sus años como director financiero de Parmalat, Fausto Tonna fue el principal creador de la trama ilegal por orden de Calisto Tanzi, que ahora intenta dejarle con un muerto en las manos negando haber dado orden de destruir la contabilidad B y los computadores utilizados para falsificar las cartas de Bank of América que certificaban depósitos de 3.950 millones de euros a favor de Bonlat en las Islas Caimán. Al parecer, un contador del grupo interrogado por los fiscales milaneses, confesó que habían utilizado un escáner para copiar el logotipo de Bank of América y falsificar el documento en el que se acreditaban los 3.950 millones de euros. El Bank of América presentó en los tribunales de Milán una demanda contra la firma italiana por falsificación en escrito privado.

Mientras, los títulos de la compañía suspendieron su cotización en la Bolsa de Milán a la vez que se hizo efectiva su exclusión del MIB 30, principal índice de la bolsa italiana, las acciones de Parmalat perdieron en la Bolsa de Milán un 63,33%, situándose en los 0,11 euros. El 11 de noviembre del 2003, fecha del desencadenamiento de la crisis, el valor de las acciones de Parmalat al cierre era de 2,37 euros. 

Principales responsables del fraude de Parmalat

El principal participe de estas acciones fraudulentas fue el dueño y fundador de la misma Calisto Tanzi, gracias al afán de expansión, siendo este la persona que daba las órdenes, pero al igual que este, otras personas involucradas en el caso, quienes hacían cumplir esas órdenes y ayudar a esconder los grandes agujeros que existían en los libros contables de las numerosas compañías de Parmalat. Entre ellos están los siguientes:

Fauto Tonna, el ex financiero quien está considerado como el cerebro de las operaciones, y jugo un papel importante en el encubrimiento de las perdidas. - Giovanni Bonici, antiguo presidente de la filial en Venezuela, quien contribuyo a la falsificación de las cuentas. - Luciano del Soldado, antiguo jefe de auditoria y ex director financiero, quien ayudo a montar el sistema para desviar fondos a paraísos fiscales. - Gianfrancco Bocchi y Claudio Pessina, quienes eran los dos auditores internos, falsificando cuentas y supuestos documentos enviados por el Bank Of America. - Lorenzo Penca, presidente de Gran Thornton, auditaba la unidades que son el centro de investigación por fraude, con grandes influencias en la creación de la red de fraude. - Mauricio Bianchi, asesor para ocultar sus pérdidas, y por último, Gianpaolo Zini, el abogado y confidente de Tanzi

¿Que es COBIT?

COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).

COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. 

COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.

¿Para qué sirve COBIT?

Enfocarse en objetivos y necesidades del negocio mejorando la cooperación y comunicación entre los administradores del negocio y los auditores 

Ayuda a los administradores a entender como los asuntos de seguridad y control benefician sus áreas de operación.

Ayuda a las organizaciones a compararse con la competencia e implementar mejores prácticas de objetivos de control y la tecnología relacionada .

Se desarrollan fuertes relaciones de negocio a varios niveles y las sorpresas se vuelven raras.

Las organizaciones generan confianza y credibilidad hacía sus clientes 

Permite a las organizaciones cumplir con requerimientos regulatorios.

Caso AMERICAN AIRLINES

American Airlines (AA), del grupo AMR Corp, es una aerolínea de los Estados Unidos con sede en Fort Worth, Texas. Su sistema SABRE comenzó a principios de los años sesenta como un sistema interno de reservas de AA.

Poco después estaba disponible en más de 1.000 pantallas de las ciudades donde volaba AA. En 1976 se instala por primera vez en una agencia de viajes.

Hoy SABRE está instalado en más de 300.000 terminales.

Este sistema se desarrolló para ayudar a AA con los problemas que tenía desde los años cincuenta con su sistema de reserva de vuelos. Su primer sistema de reserva, diseñado en los años veinte, era completamente manual.

Usaba un archivo rotatorio con tarjetas. Cuando se reservaba un asiento ha cían una marca en la tarjeta del vuelo seleccionado y en lugar correspondiente al asiento. La tarea de buscar un vuelo, reservar un asiento y expedir el billete duraba 90 minutos de media, y hasta 3 horas en algunos casos.

En 1952 sustituyen el sistema manual por Magnetronic Reservisor, un equipo para el tratamiento de la información mediante un tambor magnético. Cada posición de memoria de esta máquina albergaba el número de asientos libres de un vuelo en concreto. Con este sistema pudieron aumentar el número de operadores que podían consultar la información al mismo tiempo. Estos operadores atendían a los agentes de viaje por teléfono y les in formaban de los asientos disponibles. Por tanto, cada vez que un agente de viajes deseaba hacer una consulta, tenía que llamar por teléfono a un operador de AA. Además, expedir el billete seguía siendo lento.

Casualmente, durante la fase de chequeo del sistema Magnetronic Reservisor, Blair Smith, de IBM, y el presidente de AA, C. R. Smith, se sentaron juntos en un vuelo y comenzaron a hablar. Antes de finalizar el vuelo Blair Smith comentó a C. R. Smith que IBM podría solucionar los problemas de AA.

En 1957 IBM y AA firman un acuerdo y desarrollan conjuntamente el prototipo SABER (Semi Automatic Business Evironment Research). El sistema definitivo se instala en 1962, con el nombre de SABRE (Semi-Automated Business Research Environment). SABRE fue el primer sistema de reservas informatizado de billetes (Computerized Reservation Systems, o CRS). Hoy en día no se concibe una aerolínea sin un CRS. Posteriormente a AA, la compañía United Airlines desarrolló su sistema Apollo; bastante más tarde el consorcio europeo entre British Airways, Alitalia, KLM y Swissair creó su sistema Galileo, y el consorcio entre Lufthansa, Air France e Iberia, el Amadeus.

Antes de SABRE, los agentes de viajes tenían que consultar los listados de vuelos de todas las rutas y sus precios hasta encontrar la opción más ajustada a lo solicitado por el cliente. Una vez seleccionada, el agente tenía que contactar telefónicamente con un operador de la aerolínea elegida para reservar una plaza. Esto no permitía elegir la mejor opción para el pasajero por la imposibilidad de comparar todos los vuelos, consumía mucho tiempo en el proceso de búsqueda y reserva tanto para los agentes como para los operadores de las aerolíneas, y suponía grandes costes de personal por el elevado número de operadores necesario para atender las llamadas procedentes de las agencias. De hecho, el sistema SABRE le ahorró a AA un 30 por 100 de sus gastos en personal.

Con SABRE los agentes tenían un terminal conectado a AA y podían hacer la reserva ellos mismos. Al principio se usó sólo para la venta de billetes y reservas. Posteriormente, incorporó una base de datos de pasajeros y su historial, información meteorológica, inventarios y un sistema de entrenamiento asistido por computadora llamado SAI.

Aunque inicialmente SABRE era para uso exclusivo de AA, posterior mente se vendieron sus servicios a otras aerolíneas de la competencia. De hecho, los rivales no tuvieron más remedio que incorporar su oferta a SABRE, ya que la gran implantación que consiguió en las agencias de viajes les disuadía de desarrollar un sistema propio por la resistencia de los agentes a aprender a usar un sistema distinto y por lo elevado de las inversiones requeridas en tecnologías. Únicamente la rápida reacción de United Airlines permitió la introducción de su sistema Apollo, posicionándose como un competidor importante en los CRS.

Poseer el control del sistema SABRE permitió a AA reaccionar en cada momento modificando sus rutas y precios según la oferta de la competencia, de la que tenía información privilegiada. También permitía mostrar en primer lugar los vuelos de AA (habían comprobado que en más de la mitad de las ocasiones los agentes seleccionaban el vuelo que les salía en la primera línea, y en un 92 por 100 elegían un vuelo de la primera pantalla), y hacer que las reservas fueran más sencillas y con menos pasos que las de otras compañías. Además, AA podía eliminar el alquiler del sistema para las agencias que les compraran un número dado de vuelos. Incluso, en ocasiones, dificultaron de forma deliberada la visualización y selección de vuelos de otras compañías que le hicieron competencia directa.

La posición hegemónica que logró AA provocó que sus competidores denunciaran estas dudosas prácticas ante las autoridades, que intervinieron para que AA las suspendiera.

Posteriormente, SABRE incluyó las reservas de otros servicios relacionados con los viajes, tales como ofertas procedentes de las agencias de viajes, alquileres de coches y hoteles.

El sistema SABRE llegó a ser la primera gran red no militar, y la red WAN más grande del mundo hasta mediados de los ochenta, cuando se extendió Internet.

Preguntas:

1. ¿Qué servicios de valor añadido (SVA) estima que requiere el uso de un CRS cualquiera?
2. El sistema SABRE descrito en el caso ¿es un software de base o de aplicación? Y dentro de estos, ¿qué tipo de software sería? Justifique su respuesta.

Preguntas de capítulos anteriores:

3. Indique si, en su opinión, las transacciones de un CRS se deben realizar online o por lotes.
4. Atendiendo al nivel de la pirámide jerárquica en el que funciona un CRS, ¿qué nivel de decisión apoya?

Preguntas de casos previos:
5. Diga si el sistema de gestión de nóminas del caso Motorola (capítulo 1) es un software estándar o a medida. ¿Y el software de gestión de personal?

Caso MOTOROLA

Motorola desarrolla su actividad prácticamente en todas las áreas de la electrónica y de las telecomunicaciones. Esta empresa destaca por su continua innovación tecnológica, como se pone de manifiesto, por ejemplo, en la fabricación pionera de telefonía celular, de semiconductores en la industria de

la microelectrónica, y de los equipos y sistemas de radio en los grandes sistemas de comunicación

Actualmente posee una plantilla formada por miles de trabajadores repartidos por muchos países del mundo. Gestionar un número tan elevado de trabajadores es una tarea compleja. En 1997 la empresa invirtió en la mejora y desarrollo del sistema de información de su Departamento de Recursos Humanos. Concretamente compró en el mercado una aplicación para la elaboración de nóminas y desarrolló un software para optimizar la gestión de personal.

El software de gestión de personal fue desarrollado conjuntamente con la consultora Andersen Consulting. Este sistema fue diseñado para sustituir los procedimientos manuales de actualización y consulta de los datos de personal.

Anteriormente, los trabajadores que tenían que actualizar sus datos y los directivos que requerían información de sus trabajadores para tomar decisiones de gestión de personal (cambios en sus nóminas, ascensos, traslados, cambios de turnos, gestión de vacaciones o permisos, etc.) tenían que cumplimentar

formularios en papel que enviaban a un centro de servicios compartidos para su procesamiento informático. De esta manera, se consumía mucho tiempo y se producía una doble captura de la información, la primera en papel y la segunda al procesar dicha información en las bases de datos de personal.

El programa de gestión de personal que se desarrolló era accesible a través de la Intranet ya existente en la empresa. El personal y los directivos podían entrar en el sistema introduciendo una clave que les identificaba y definía los privilegios de acceso y uso que tenían. Los trabajadores podían conectarse ahora online desde cualquier terminal de la red y actualizar sus datos personales y profesionales, o gestionar los beneficios sociales que Motorota ofrece a sus empleados. Igualmente, con el nuevo sistema, los directivos podían gestionar más rápidamente el personal a su cargo. Esto supuso a los directivos menores esperas en la toma de decisiones relativas a personal, y ahorros en las tareas administrativas básicas que se realizaban antes en el centro de servicios compartidos y en el Departamento de Recursos Humanos.

Preguntas:

1. Se ha comentado que la aplicación de gestión de personal funciona online. ¿Es necesario este tipo de procesamiento? Justifique su respuesta.
2. Atendiendo a los niveles de decisión de la pirámide jerárquica de la empresa en el que funciona la aplicación de gestión de personal, ¿qué tipo de decisiones apoya?
3. Señale en qué parte, o partes, de la estructura conceptual del sistema de información se representarían los sistemas para la gestión de personal antes y después de la implantación de la nueva aplicación desarrollada.
4. Este sistema, en el que los trabajadores introducen sus datos, algunos de ellos de carácter personal, previa identificación con una clave, ¿se trata de un sistema público o privado?, ¿formal o informal? Justifique su respuesta.