Caso éxito COBIT –

Ecopetrol S.A

INTRODUCCIÓN

Hoy día, los procesos de negocio son cada vez más complejos y
cambiantes, los tiempos más acelerados y los mercados globales
imponen requerimientos cada vez más exigentes, por consiguiente, las
organizaciones deben buscar estrategias que les permitan innovar y ser
sostenibles en el tiempo y para ello las tecnología de la información y
comunicación – TIC son un pilar fundamental es este propósito.

A lo largo de la historia y a la fecha, los proyectos de tecnología se han

caracterizado por contar con lo indicadores más altos de fracaso, lo
anterior debido al exceso en los presupuestos, exceso en su cronograma
o entregan menos valor que el predicho, sin embargo, existen otros que
logran cumplir con la triple restricción de los proyectos, logrando el
alcance propuesto, en el tiempo indicado, el presupuesto definido y con
la calidad esperada. Para lograr que los proyectos sean exitosos, se ha
acudido a la experiencia y a las buenas prácticas establecidas por
expertos en esta materia, entre las cuales se encuentra la guía del
PMBOOK, ITIL, COBIT, CMMI, Val IT, TOGAF, entre muchos otros, los
cuales van desde buscar la mejora de los servicios ofrecidos por las
tecnologías, hasta otras que permiten realizar el control y seguimiento
para la información y la tecnología.

El trabajo, inicialmente hace una revisión de los marcos de referencia

para la gestión de TI más trabajados actualmente, seguido de la
presentación del caso Ecopetrol S.A y su implementación de COBIT
dentro de sus procesos de TI, mostrando los logros alcanzados, la
mejores prácticas para el éxito de este tipo de proyectos y finalmente se
cierra con la síntesis del caso expuesto anteriormente.

MARCOS DE REFERENCIA PARA LA GESTIÓN DE

SERVICIOS DE TI

La importancia que han cobrado las TI en las organizaciones y en la vida

de las personas es enorme, por cuanto estas se han convertido no solo
en herramientas de soporte, sino en algo totalmente necesario para
cualquier persona o empresa. Hoy día es difícil concebir una empresa
que no se apoye en las TIC´s para la gestión del día a día.

Son innumerables los problemas que se pueden presentar al administrar

las TIC´s, principalmente en el sentido de buscar que estas generen valor
para las organizaciones, que estén integradas con los objetivos de
negocio y que generen ventajas competitivas para esta.
Por lo anterior, se han creado en la industria marcos de trabajo y mejores
prácticas que tienen como propósito eliminar estas problemáticas,
buscando generar una nueva perspectiva desde un punto de vista
integrador, consistente y concentrado en responder a las nuevas
exigencias de los tiempos modernos. Por lo tanto, estas mejores
prácticas se han transformado en estándares de la industria, tanto así,
que se ha convertido en una necesidad para aquellas empresas que
desean gestionar las TI adecuadamente y lograr ventajas de negocio de
las mismas (Helkyn Coello Blog, 2008).

Teniendo en cuenta lo expuesto anteriormente, las organizaciones deben

pensar en cuál es la mejor forma o mecanismo para afrontar dicha
problemática y para ello en la industria actual existen diversos modelos o
estándares, sin embargo, existe más de un modelo aplicable de acuerdo
al tipo de problema, por consiguiente a continuación se presentan los
principales estándar de la industria, los más aceptados y usados para la
resolución de dichos problemas.

Figura 1: principales estándares de la industria de TI

Fuente: elaboración propia

A continuación se presenta cuadro resumen con los principales
estándares presentados en la figura 1.
Tabla 1: Principales estándares de gestión de TI
Estándar

PMBOK V5 ITIL V3 COBIT 5 CMMI

Estándar Es una fusión de

Estándar más
generalmente modelos de
Basado en el ampliamente
aceptado que brinda mejora de
marco de trabajo conocido para la
buenas prácticas procesos e
del PMBOOK gestión de
para gestión y ingeniería de
servicios de TI
control de las TI software

Los procesos de Tiene un triple Tiene su origen

ITIL están enfoque: enfocado al dentro de la
Creado por el PMI alineados con el management, a los industria militar
estándar de usuarios de TI y a los en los Estados
calidad ISO 9000 auditores Unidos

Ayuda a las
Constituye una
Conjunto de organizaciones a
forma de medir el
buenas prácticas crear un valor óptimo
Conjunto de grado de madurez
divididas en 10 a partir de la TI, al
buenas prácticas de las
áreas de mantener un
destinadas a organizaciones
conocimiento y 5 equilibrio entre la
mejorar la respecto a la
grupos de realización de
gestión y aplicación de las
procesos, los beneficios y la
provisión de mejores prácticas
cuales se optimización de los
servicios de TI de desarrollo y
subdividen en 47 niveles de riesgo y
gestión de
sub procesos utilización de los
software
recursos.

Tiene como Guía que permite a

objetivo mejorar Está conformado por las organizaciones
la calidad de los 5 principios y 7 mejorar sus
Brinda un servicios de TI habilitadores útiles procesos y su
esquema de ofrecidos, evitar para las habilidad para
trabajo para los problemas Organizaciones de organizar,
gestionar cada asociados a los cualquier tamaño, desarrollar,
aspecto de un mismos y en bien sean adquirir y
proyecto caso de que comerciales, sin fines mantener
estos ocurran de lucro o en el productos y
ofrecer un marco sector público servicios
de actuación informáticos
para que estos
 sean
solucionados con
el menor
impacto y a la
mayor brevedad
posible

Cada
Tiene su origen Presenta 5 niveles
organización
en la década de de madurez :
determina que
los 80 por Lanzado en el año de inicial, repetible,
partes del marco
iniciativa del 1996 definido,
de trabajo es
gobierno administrado y
aplicable a la
británico optimizado
organización

El principal
Desarrollado por
objetivo de estos
el PMI a finales de
Actualmente es niveles es lograr
los años 80 con el
AXELOS el un nivel de
objetivo de
organismo estandarización
documentar,
encargado de adecuado para
unificar y Guía proporcionada
velar por este cada empresa
estandarizar los por ISACA
estándar y la respecto a sus
conocimientos y
responsabilidad desarrollos de
prácticas dentro
de la última software, con la
del campo de la
versión finalidad de
administración de
gestionar los
proyectos
proyectos de SW.

Fuente: elaboración propia basada en (Helkyn Coello Blog, 2008), (ITIL

V3, 2016), (ISACA, 2016) & (PMI, 2013)

METODOLOGÍA

A) ECOPETROL S.A

Es una Sociedad de Economía Mixta, de carácter comercial, vinculada al

Ministerio de Minas y Energía, es la empresa más grande del país y la
principal compañía petrolera en Colombia, pertenece al grupo de las 39
petroleras más grandes del mundo y es una de las cinco principales de
Latinoamérica.

Cuenta con campos de extracción de hidrocarburos en el centro, el sur,

el oriente y el norte de Colombia, dos refinerías, puertos para exportación
e importación de combustibles y crudos en ambas costas y una red de
transporte de 8.500 kilómetros de oleoductos y poliductos a lo largo de
toda la geografía nacional.

Para garantizar la transparencia de las operaciones y fluidez e integridad

en la información, ha adoptado un código de Buen Gobierno (Ecopetrol
S.A, 2016).

B) IMPLEMENTACIÓN DE COBIT – ECOPETROL S.A

En el año 2007, la empresa adopta el modelo COSO para la gestión de

control interno, el cual es un documento de contiene las principales
directivas para la implantación, gestión y control de un sistema de control
(Cabello, N., 2011)

En el año 2008, la DTI (Dirección de Tecnología de Información) de la

empresa, decide adoptar COBIT, como marco para la implementación del
sistema de gestión de tecnologías de información, integrando los
esfuerzos de iniciativas en curso, relacionadas con el Diseño e
implementación de Servicios (ITIL), la Gestión por Procesos, Control
Interno y cumplimiento de regulaciones tales como la Ley Sarbanes
Oxley. (Léon, A., 2012).

DTI eligió COBIT como el marco de gobierno de TI adecuado para

integrar un sistema de gestión de TI, basado en las siguientes
características de COBIT (ISACA, 2016):
 Permite el mapeo de los objetivos de TI a los objetivos de negocio.

 Es el resultado de una mejor alineación, basado en un enfoque de

negocio.

 Proporciona una visión de lo que hace que sea comprensible para la

gestión.

 Indica claramente la propiedad y las responsabilidades basadas en la

orientación del proceso.

 En general se acepta por parte de terceros y reguladores.

 Proporciona un entendimiento compartido entre todas las partes

interesadas, sobre la base de un lenguaje común.

 Cumple con los requisitos de COSO y Sarbanes-Oxley para el entorno de

control de TI.

C) ¿QUÉ SE HIZO?

Inicialmente la DTI de Ecopetrol define los lineamientos, procesos y

objetivos de control a implementar, seguido de una identificación de
recursos internos que apoyarían la implementación del sistema y los
recursos asignados a contratar a los consultores externos.

Una vez realizado esto, se establece un proyecto, donde se presta

especial atención a cuestiones como:

 Asignación de recursos y un equipo interdisciplinario con representantes

de las áreas involucradas dentro de ella

 Definición de puntos de relación con las unidades de negocio y otras

unidades de apoyo

 Interacción con las áreas clave: finanzas, riesgos, estrategia, calidad y

auditoría interna y externa de manera continua
 Alineación con los proyectos empresariales tales como el fortalecimiento
del sistema de control interno (COSO) y (Ley Sarbanes – Oxley)
cumplimiento.

 Presentaciones al nivel más alto de gestión, con reuniones semanales de

seguimiento sobre el proyecto

 Identificación de las aplicaciones anteriores y procesos críticos de

negocio.

D) ¿CÓMO SE HIZO?

De acuerdo a lo anterior, Ecopetrol decidió implementar 28 procesos

COBIT, dando prioridad a los objetivos de control que apoyan el
cumplimiento de Sarbanes-Oxley (ISACA, 2016) (Léon, A., 2012).

El equipo del proyecto desarrolla el diseño y documentación de los

procesos y, posteriormente, la aplicación y el seguimiento de la
operación para la realización de los ajustes necesarios. Como resultado
de ello, en junio de 2009, la División había aplicado y asegurado 14
procesos de COBIT de alta prioridad. A diciembre de 2009, ya se habían
aplicado los 28 procesos (ISACA, 2016).

Como menciona (Valverde, F., 2014) a mediados del 2009 y al empezar

el 2010, se llevaron auditorias tanto de tipo interno como de tipo externo,
se implementaron medidas de corrección para las debilidades y el
mejoramiento en los principales procesos y controles de TI, la auditoria
externa reporto que no había deficiencias significativas o debilidades
materiales en los controles de TI que requieran ser informadas por el
CIO, el CFO, el CEO o el auditor externo.
 RESULTADOS OBTENIDOS

A lo largo del año 2010 y de acuerdo a las medidas de corrección y

auditorías realizadas se logra confirmar el nivel 3 de madurez de los
procesos de gestión de tecnología de información bajo la metodología
COBIT.

El resultado de este trabajo es documentado como un caso de éxito

internacional y fue aprobado por ISACA (Information System Audit and
Control Association).

Por otra parte como menciona (Valverde, F., 2014) se adelantaron planes
de trabajo con 21 áreas de la Empresa con un nivel de cumplimiento de
97,6%, y se ejecutaron inversiones por $51.600 millones con un
cumplimiento del indicador de proyectos del 100%. Dentro de los
resultados más destacados de 2010 se encuentran:

 Transición al nuevo prestador de servicios básicos de soporte

informático, bajo un enfoque de procesos acorde con la práctica
internacional – ITIL.

 Despliegue de la solución SAP en filiales (Bioenergy, Reficar, ODL);

actualización de Ellipse; segregación de funciones de usuario final con el
apoyo de la herramienta SAP GRC Access Control.

 Puesta en producción de las soluciones de información para transportes

alternativos y Nominaciones.

 Implementación de soluciones para aprendizaje virtual. Se logró una

participación de 2.126 funcionarios en programas técnicos e inglés
virtual.

 Cubrimiento de más de 3.900 funcionarios y contratistas para

sensibilizarlos en prácticas de gestión segura de la información.
 Desarrollo y valoración de la efectividad de seguridad informática de las
38 aplicaciones alcance SOX y su infraestructura asociada.

 Definición de las especificaciones técnicas de seguridad para proyectos

orientados hacia Cloud Computing
Finalmente, en diciembre de 2009, el proyecto COBIT recibió un premio
de la compañía por la excelencia para reconocer el rendimiento, la
iniciativa y el trabajo en equipo del equipo del proyecto.

FACTORES DE ÉXITO EN EL PROYECTO

Como menciona Alberto León Lozano, Vicepresidente de innovación y

Tecnología de Ecopetrol S.A en conferencia publicada por (ORG, 2014)
los factores que contribuyeron al éxito del proyecto de implementación de
COBIT fueron:

 Asignación de responsabilidades, sobre el diseño y operación de los

procesos, en cabeza de los líderes

 Respaldo pleno de la dirección

 Entrenamiento y replica de conocimientos del personal del proyecto

 Monitoreo frecuente

 Eficiente control de cambios

 Revisión de lecciones aprendidas periódicamente y aprendizaje de las

mismas

 Interacción permanente con los procesos de auditoria y los resultados

arrojados.

 Plan de comunicaciones enfocado en la trasformación de la cultura,

asegurando que las personas incorporaran las prácticas dentro de los
procesos

 Apoyo de consultorías de alto nivel

 Definición clara de estrategias y acciones de sostenibilidad

CONCLUSIONES

El marco de trabajo de COBIT se ha convertido en un modelo a seguir

para llevar un control de los procesos de TI que pertenecen a la
organización, sin embargo este debe ser tomado en cuenta para la
gobernabilidad de tecnología que por consiguiente será enfocado a la
gobernabilidad corporativa

Sin determinar el tamaño de la organización ni en el mercado que esta

pueda desempeñar los marcos de referencia para la gestión de TI
agregan valor a las empresas, le dan al gerente una visión sobre las
mejores prácticas en el desempeño de TI orientado netamente al
negocio.

La implementación de los marcos de referencia para la gestión de TI se

recomienda que se estructuren como un proyecto, con un plan de trabajo
detallado, hitos claramente definidos, asignación del trabajo en equipo,
gestión de riesgos y los entregables del proyecto.

Los factores de éxito evidenciados en el caso de estudio muestran la

importancia de contar con una eficiente gestión de los cambios, la
asignación de responsabilidades, el monitoreo frecuente, un plan de
comunicaciones bien definido, gestión de riesgos, apoyo permanente de
la lata dirección, entre muchos otros, que para este caso ayudaron a
alcanzar con éxito el proyecto.

Se resaltan las evaluaciones a nivel de madurez que se llevaron a cabo

por un tercero competente e independiente para la medición de madurez
de los procesos, así como la comunicación permanente con las
auditorías realizadas y la socialización de las lecciones aprendidas.
 BIBLIOGRAFÍA

Cabello, N. (06 de 09 de 2011). Recuperado el 06 de 06 de 2016, de

Consultora
Sur: https://blogconsultorasur.wordpress.com/2011/09/06/que-es-coso/

Consultoria ITIL. (06 de 06 de 2016). Consutaoria ITIL. Obtenido

de http://www.consultoriaitil.com.mx/3.html
Ecopetrol S.A. (2015). Ecopetrol S.A. Recuperado el 07 de 06 de 2016,
de http://www.ecopetrol.com.co/documentos/Ecopetrol_IA_2015_29marz
o.pdf
Ecopetrol S.A. (06 de 06 de 2016). Obtenido de Ecopetrol
S.A: http://www.ecopetrol.com.co/wps/portal/es/ecopetrol-web

Helkyn Coello Blog. (08 de 12 de 2008). Helkyn Coello Blog. Obtenido

de https://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbok-
como-integrar-y-adoptar-los-estandares-para-un-buen-gobierno-de-ti/
ISACA. (06 de 2016). ISACA. Obtenido
de http://www.isaca.org/cobit/pages/default.aspx
ISACA. (2016). ISACA. Recuperado el 06 de 06 de 2016,
de http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-
Study-Ecopetrol.aspx
ISACA Madrid Chapter. (13 de 12 de 2014). Youtube. Recuperado el 08
de 06 de 2016, de https://www.youtube.com/watch?v=n9Nt5JrUHbk
ITIL V3. (06 de 2016). Itilv3 Osiatis. Obtenido
de http://itilv3.osiatis.es/itil.php
Léon, A. (4 de 11 de 2012). itSMF. Obtenido
de http://itsmf.es/index.php?option=com_content&view=article&id=852
Mosquera. F, Andrade. D y Sierra, L. (2013). Guía para apoyar la
priorización de riesgos en la gestión de proyectos de tecnologías de la
información.
ORG, I. (2014). COBIT Case Study: Implementing COBIT for IT Governance,
Risk and Compliance at Ecopetrol S.A. (ISACA) Recuperado el 04 de 03 de
2014, de http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-
Case-Study-Ecopetrol.aspx
PMI. (2013). Guía de los fundamentos para la dirección de proyectos (Quinta
edición ed.).
Valverde, F. (2014). ECOPETROL S.A Un modelo de éxito en la
implementación de COBIT.

Presentación: Alberto León Lozano – ISACA Madrid

Chapter – diciembre de 2013
“ALINEANDO EL GOBIER NO, RIESGO Y CUMPLIMIENTO DE TI CON COBIT 5.”
CASO DE ESTUDIO ECOP ETROL.
ALBERTO LEÓN LOZANO, OFICIAL DE CUMPLIMIENTO DE TI – DTI,
VICEPRESIDENCIA DE INNOVACIÓN Y TECNOLOG ÍA, ECOPETROL
(COLOMBIA)