sábado, 30 de noviembre de 2013

COBIT

COBIT
Control objetives for Information and related Technology

es un conjunto de mejores prácticas para la administración IT creado por ISACA, e ITGI en 1992. COBIT brinda a managers, auditores, y usuarios IT, un conjunto de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del usa de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización.
ISACA es el acrónimo de Informaction Systems Audit and Control Association (Asociación de Auditoría y Control de sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoria y control en sistemas de información.
IT Governance Institute (ITGI, en inglés: IT Governance Institute) Tecnología de la información de gobierno es una disciplina subconjunto de gobierno corporativo centrado en la informática de sistemas (IT) y de su rendimiento y la gestión de riesgos.

EDICIONES
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007. En la actualidad el ISACA lanzó Cobit 5 el día 10 de Abril.

Ámbito de evolución
Gobierno TI
COBIT 4.1
En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

Marco de Gobierno IT
COBIT 5
  • Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de regerencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a tecnología y a la información como protagonistas en la creación de valor para las empresas.
  • COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITL @) y las normas ISO relacionadas.

Gestión
MISIÓN
Investigar, desarrollar, publicar y promover en conjunto de objetivos de control de TI rectores, actualizados, internacional y generalmente aceptados para ser utilizados diariamente por Gerentes de negocio y Auditores.


Control
VISIÓN
Consolidarse como líder mundialmente conocido en materia de gobierno, control y aseguramiento de la gestión de TI.
Auditoria
VAL IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.
Como satisface COBIT las necesidades



¿Para quiénes?
  • Gerentes de negocio
  • Gerentes de TI
  • Gerentes de riesgo
  • Usuarios de TI
  • Auditores

¿Para qué?

  • Alineación de objetivos de TI y del negocio.
  • Establecer una orientación a procesos.
  • Ser consistente con las mejores prácticas y estándares control (COSO) y de TI, independiente de tecnologías específicas.
  • Proporcionar un lenguaje común para todos los interesados.
  1. Orientado al negocio
  2. Procesos orientados
  3. Basado en controles
  4. Generador de mediciones


1. ORIENTADO AL NEGOCIO
Es el tema principal de COBIT. Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

PRINCIPIO BÁSICO
Proporcionar la información que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.


CRITERIOS DE INFORMACIÓN
Para satisfacer los objetivos del negocio la información necesita adaptarse a ciertos criterios de control, los cuales son referidos por COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete áreas: 


METAS DE NEGOCIO Y DE TI
Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. 

2. PROCESOS ORIENTADOS
COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son:

  • Planear y Organizar
  • Adquirir e Implementar,
  • Entregar y Dar Soporte
  • Monitorear y Evaluar
PLANEAR Y ORGANIZAR


ADQUIRIR E IMPLEMENTAR


ENTREGAR Y SOPORTAR


MONITOREAR Y EVALUAR


2. BASADO EN CONTROLES
  • CONTROL: Políticas, Procedimiento, prácticas diseñadas para brindar seguridad razonable que los objetivos serán alcanzados
  • OBJETIVOS DE CONTROL DE COBIT: son los requerimientos mínimos para un control efectivo de cada proceso de IT además brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI.

PROCESOS COBIT
  • PC1: Dueño del Proceso
  • PC2: Reiterativo
  • PC3: Metas y Objetivos
  • PC4: Roles y Responsabilidades
  • PC5: Desempeño del Proceso
  • PC6: Políticas, Planes y Procedimiento
CONTROLES DEL NEGOCIO Y CONTROL DE TI

  • AL NIVEL DE DIRECCIÓN EJECUTIVA: fijar objetivos políticas, tomas decisiones de cómo administrar los recursos.
  • AL NIVEL DE PROCESO DE NEGOCIO: aplicar controles para actividades específicas del negocio.
  • PARA SOPORTAR DEL NEGOCIO: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento)

GENERADORES DE MEDICIÓN

  • Una necesidad básica de toda empresa es entender el estad de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa ¿Qué se debe medir y cómo? 
  • Modelos de Madurez: por medio del Benchmarking identificación de las mejores practicas en la capacidad.
  • Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los procesos internos
Indicadores de desempeño
Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr un meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.

Mediciones de desempeño
  • COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño.
  • Los indicadores clave de metas (KGI) definen mediciones para informar a la gerencia---después del hecho--si un proceso TI alcanzó sus requerimientos de negocio, y se expresan por lo general en términos de criterios de información:
  • Disponibilidad de información necesaria para dar soporte a las necesidades del negocio. Ausencia de riesgos de integridad y de confidencialidad
  • Rentabilidad de procesos y operaciones
  • Confirmación de confiabilidad, efectividad y cumplimiento

Las métricas efectivas deben de tener las siguientes características:
  • Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de lograrlos)
  • Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo)
  • Deben ser comparables externamente sin tomar en cuenta el tamaño de las empresa o la industria.
Caso Practico
Se comienza a preparar el software para el trabajo


Tarea 2


Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama


Se ingresan los procesos de negocio que son de interés. Menú : Centro de Análisis



Se identifican cuales son los requerimientos de la información necesarios que deben disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.


Se ingresa la información de los diversos recursos de TI


Se asignan los Procesos de Cobit


Mediante el botón "Comenzar con la Auditoria" iniciara las etapas para auditar los Procesos de Cobit (Objetivos de Alto nivel) seleccionados. A partir de aquí COBIT asiste al auditor en el proceso de arribar a una conclusión sobre el Objetivo de control de alto nivel (en este caso).


Etapa 1: Entrevistas
Las entrevistas permiten tener una primera visión del objeto de la auditoria. En este caso son con los usuarios del sistema para entender su visión en cuanto al funcionamiento.
Asimismo se entrevistara a la Gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo.


Etapa 2: Documentación
En este caso se obtienen los manuales técnicos y de usuarios de la aplicación.


Etapa 3: Emisión de una primera opinión
A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación.


Etapa 4: Verificar el cumplimiento de los controles
Aquí se revisa que esos controles estén funcionando.


Etapa 5: Emisión de una conclusión final
La conclusión se respalda en todos los pasos anteriores del proceso de auditoria. Además debe tener en cuenta los hallazgos. Es bueno usar escalas uniformes para las evaluaciones de modo de poder comparar los juicios.


Ejemplos
Sun Microsystems / Oracle enero 2012
Sun /Oracle ha encontrado matrices COBIT y documentos muy útiles mapas cuando se habla de cómo todos los diferente marcos encajan.
La empresa ha aprovechado con éxito los conceptos de las materias relacionadas con el COBIT para crear debate sobre la salud y la madurez auto-evaluaciones, proporcionar una línea de visión entre sus actividades y sus objetivos de negocio, llevar previsibilidad y la confiabilidad de cómo planea el grupo de TI y administra el trabajo en la empresa, y complementar su ciclo de planificación corporativa con un "ciclo de la gestión de TI".


Ecopetrol SA Junio 2010
La División de Tecnología de la Información eligió COBIT como marco adecuado gobierno de TI para integrar un sistema de gestión de TI.
Ecopetrol decidió implementar 28 procesos de COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley.


Grupo Bancolombia enero 2011
Grupo Bancolombia utilizar COBIT para crear una visión compartida, la lengua única, la alineación entre la planificación estratégica de negocios y planificación estratégica de TI, y la claridad en los roles y responsabilidades.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)