UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS 

FACULTAD DE INGENIERÍA 
INGENIERÍA INDUSTRIAL 
GESTIÓN DE CALIDAD 
COBIT 
8 Julio 2019

COBIT
Introducción

Revisar según varios autores es básicamente ver con atención y cuidado o someter
algo a nuevo examen para corregirlo, enmendarlo o repararlo. El presente artículo
de revisión se realiza con el fin de estudiar el tema de COBIT, es decir realizar un
estudio detallado, selectivo y crítico que integra la información esencial y más
importante del tema ya mencionado. El objetivo fundamental del presente trabajo es
intentar identificar qué se conoce del tema, que se ha investigado y qué aspectos
permanecen desconocidos, para finalizar con una opinión grupal.

Objetivos
A continuación se presentan los objetivos del presente trabajo.

Objetivo General
Realizar una revisión descriptiva de la literatura que nos permita identificar los
aspectos más importantes del COBIT.

Objetivos Específicos
● Identificar los aspectos más importantes del COBIT
● Proporcionar información lo más amplia y clara posible sobre el tema
● Discutir críticamente puntos de vista procedentes de diferentes estudios.

Descripción de la metodología de gestión COBIT

Objetivos de control para la información y tecnología relacionada también conocida

como (COBIT), es un marco mundialmente aceptado para la gestión de TI. Alinea
las metas de negocio con los procesos y metas de TI proporcionando herramientas,
recursos y orientación para lograr, identificar y asociar las responsabilidades de los
procesos empresariales y de TI. COBIT estimula la innovación en TI, superando la
brecha entre los requisitos de control, las cuestiones técnicas y los riesgos
empresariales.

COBIT sirve a optimizar el costo de los servicios de TI y la tecnología, a través de la

integración de un sistema operativo mejorado de TI. Proporcionando una visión
clara de los roles y responsabilidades internas dando así a una organización una
ventaja competitiva.
La Metodología Cobit se centra en el nivel estratégico, y es un marco de control,
tiene su rendimiento medido y sus riesgos debidamente designados y tratados.

Al estudiar el marco de COBIT con mayor profundidad es posible para identificar

que especifica los objetivos de control, pero no detalla cómo se pueden definir los
procesos.

La metodología cobit no es una norma, no es una norma como la ISO 20000, ISO
17799 o ISO 9001, y también no sirve como guía para maximizar los beneficios de
la TI.

En su lugar, COBIT ayuda directamente a priorizar los esfuerzos y recursos de TI

para satisfacer los requerimientos del negocio. La adopción de COBIT no ha tratar
de controlar todos los procesos, pero sólo identificar qué procesos de TI están
afectando, o la generación de riesgos para la empresa con el fin de dar prioridad a
la gestión de estos procesos.

El marco de la metodología COBIT fue creado con las características principales se

centran en los negocios, el proceso de orientación, se basará en los controles e
impulsado por métricas.

La adopción de COBIT ayuda a una empresa para implementar las mejores

prácticas de gobierno de TI , ya que ofrece una guía de mejores prácticas y la
dirección.

Estructura del COBIT

La estructura del estándar COBIT se divide en dominios que son agrupaciones de

procesos que corresponden a una responsabilidad personal.

Se divide en 5 dominios de los cuales 4 dominios se centran en la gestión y 1

dominio en el gobierno

El proceso de gobierno es:

Evaluar, Orientar y Supervisar (EDM)

La evaluación, orientación y supervisión es parte de la responsabilidad de los

gerentes de la compañía quienes son los invitados a tomar acciones sobre este
dominio perteneciente al Gobierno de IT y que cuenta con cinco procesos, mediante
los cuales se encarga de asegurar el establecimiento y mantenimiento de un marco
de gobernanza, haciendo que los beneficios se concreten, a través de la
optimización de riesgos y recursos manteniendo la transparencia hacia los
interesados, es decir hacia la alta gerencia de la compañía.

Dentro de los dominios de gestión encontramos:

Alinear, Planificar y Organizar (APO)

El dominio APO, pertenece al grupo de dominios de gestión, Tienen como finalidad

encargarse de gestionar el marco de gestión de TI, la estrategia, la arquitectura
empresarial, la innovación, el portafolio, el presupuesto y los costes, los recursos
humanos, las relaciones, acuerdos de servicio, proveedores, calidad, riesgo y la
seguridad.

Construcción, Adquisición e Implementación (BAI)

El dominio de gestión BAI, Es el encargado de diseñar e implementar las soluciones

que indique el dominio APO, con un enfoque en gestionar programas y proyectos,
definir los requisitos, identificar y construir soluciones, gestionar la disponibilidad y
capacidad, introducir el cambio organizativo, gestionar cambios, aceptar los cambios
y la transición, gestionar también el conocimiento, los activos y la configuración.

Entregar, Dar Servicio y Soporte (DSS)

Es importante lograr que la Tecnología acompañe de manera activa a los procesos

de negocio, por lo que el dominio DSS que permiten que la compañía alcance
excelentes resultados y es oportuno explotar las facilidades que proporciona la TI,
con la finalidad de ejecutar acciones que permiten optimizar los recursos logrando
ahorros importantes a través de la ejecución de procesos enfocados a las buenas
prácticas como gestión de operaciones, incidentes y requerimientos, problemas,
continuidad, servicios de seguridad y controles de procesos de negocio.

Monitorizar, Evaluar y Estimar (MEA)

El dominio de gestión MEA, se encargan del rendimiento y conformidad, el sistema

de control interno y la conformidad con los requerimientos externos, los mismos que
son vitales en el giro del negocio de la compañía, debido a que por medio de las
mediciones y el control permanente se garantiza la eficiencia operativa y permite
encontrar oportunidades de mejora a los procesos que maneja el área de TI.

Aplicación de la guıa generica COBIT

La ejecución de la revisión del proceso de monitoreo de las transferencias
electrónicas de datos contable-financieros de la unidad de contralorıa y
administración de la región Occidente del Grupo lácteos los Andes aplicando las
normas COBIT:
a) Identificación/Documentación: El objetivo de este paso “es permitir al auditor un
mayor conocimiento de las tareas relacionadas con el objetivo de control e
identificar si los gerentes TI creen que están controlando dicho objetivo. Incluye la
identificación de los individuos que la ejecutan, proceso al cual pertenece y
ubicación de la tarea, ası como también los procedimientos establecidos para
controlarla” (Governance Institute, 2000a). La primera actividad realizada fue la
aplicación de entrevistas a nivel gerencial a los informantes claves para ganar una
mayor comprensión del proceso de transferencia electrónica de los datos
contable-financieros. Los resultados acerca de la percepción que poseen los
entrevistados acerca del proceso se obtuvieron utilizando el instrumento de
diagnóstico de conocimiento gerencial propuesto por Guldentops (2003), el cual
contiene interrogantes tales como: El proceso es importante para el ´éxito de la
empresa? Está claro quién es el responsable de los resultados finales? El proceso
es ejecutado de una manera formal? El proceso es ejecutado bien? Esta claro quien
es el responsable del proceso? El proceso tiene objetivos y metas claros? El
proceso es medido? El proceso es auditado? El proceso posee controles de
debilidad conocidos? La tecnología la utilizada tiene vulnerabilidades? Los
entrevistados brindan su percepción indicando para cada interrogante el valor que
ellos consideran apropiado basados en una escala especıfica (Status). Por ejemplo,
para la interrogante: El proceso es importante para el éxito de la empresa? Se
cuenta con la siguiente escala: 1 (Es crıtico), 2 (Es muy significativo), 3 (Hace las
cosas más fáciles), 4 (Se puede sobrevivir sin el) y 5 (No, en absoluto).
La segunda actividad consistió en definir los responsables de las funciones del
proceso. Para ello se utilizó una tabla RACI. Dicha tabla permite la documentación
de quién es el responsable del proceso, quien debe rendir cuentas y quién debe ser
consultado y/o informado. Todo con la finalidad de poder
evaluar el grado de madurez (responsabilidad) del proceso de acuerdo a los
objetivos de control detallado de COBIT. En este caso se puede decir que la
estructura de responsables en el proceso es adecuada. Sin embargo, se propone
involucrar a la auditoría interna en los objetivos de control, ya que esta unidad le
permitirá a futuro asegurar auditorías independientes, siendo uno de los objetivos
de control del dominio de monitoreo (ME4).
b) Evaluación: En este punto se utilizó el modelo de madurez COBIT para el control
de procesos. Los mismos permiten a la Administración definir el punto donde la
organización está hoy en relación con los estándares internacionales, ası como
determinar a dónde se quiere llegar. A fin de definir el puntaje en la columna de
grado de madurez de las tablas diseñadas para tal fin se utilizaron los ındices o
modelo de madurez indicados en el modelo COBIT. El objetivo de este paso es
evaluar los procedimientos establecidos y determinar si los mismos proveen una
estructura de control efectivo. Según el Programa de Auditorıa COBIT, se deben
identificar los procedimientos que permiten monitorear y evaluar la suficiencia del
control interno asegurando que el proceso de las transferencias electrónicas de
datos contable-financieros desde las estaciones de cada distribuidora hasta el
servidor master del Staff, esté definido para el logro de los objetivos del negocio y
proporcione seguridad respecto a las operaciones eficientes y efectivas además del
cumplimiento de las leyes y regulaciones aplicables. Para ello se analizaron
individualmente los objetivos de control de alto nivel correspondientes al dominio de
monitoreo, especıficamente los objetivos de control de alto nivel ME1 y ME2,
tomando algunos objetivos detallados de los mismos de acuerdo al alcance de la
auditorıa.

A continuación se describe el programa de auditorıa desarrollado, especıfico para el

dominio de Monitoreo, de acuerdo a los objetivos de control seleccionados para la
revisión del proceso de transferencia y revisión de data contable-financiera
(Governance Institute, 2000b):
Elementos de Revisión y prueba Contempla las polıticas y procedimientos del
proceso de transferencia de datos contable-financieros desde las distribuidoras
hasta el servidor del Staff, reportes de fallos, sistemas de controles, controles
establecidos en el proceso en estudio, riesgos inherentes del proceso en estudio y
la opinión de los involucrados en el proceso de transferencia de datos.
Papeles de Trabajo Diagnóstico del conocimiento gerencial, Modelo de Madurez del
Objetivo de control, Grafica de RACI, Ficha de evaluación del control interno.
Objetivo de Negocio ME1 Monitorear el proceso.
• Efecto: Evaluacion del desempeño
• Objetivo de control de alto nivel:
a) Recolectar datos de monitoreo. Garantizar el conocimiento del proceso.
b) Evaluar el desempeño. Realizar el análisis de la efectividad del proceso.
Objetivo de Negocio ME2 Evaluar la suficiencia del control interno.
• Efecto
a) La definición de un sistema de control interno integrado en el marco de trabajo de
los
procesos de transferencia de datos.
b) Monitorear y reportar la efectividad de los controles internos existentes y
propuestos para el mejoramiento continuo.
c) Reportar las excepciones de control a la gerencia para seleccionar las acciones
pertinentes.
• Objetivo de control de alto nivel
a) Monitorear el marco de trabajo de control interno. Se debe realizar la evaluación
usando las mejores prácticas de la organización.
b) Operación oportuna de los controles internos: La confiabilidad en los controles
internos requiere que operen rápidamente para detectar errores e inconsistencias y
que
estos sean corregidos oportunamente.
c) Reportes de nivel de control Evaluar la complejidad y efectividad de los controles
internos del proceso de transferencia de datos y la revisión de la data
contable-financiera. Deberá llevarse a cabo acciones para identificar qué
información es necesaria y a que nivel en particular para facilitar la toma de
decisiones.
d) Aseguramiento de seguridad operacional y de control interno Identificar medidas
correctivas basadas en las evaluaciones y en los reportes de auto revisión. La
actividad
de Monitoreo por parte de la Unidad de Contralorıa y Administración deberá revisar
la
existencia de puntos vulnerables y problemas de seguridad en el proceso de
transferencia
de datos contable-financieros y de revisión.

Una vez obtenidos resultados de la evaluación de acuerdo al modelo de madurez

COBIT, se procede a graficar los resultados e interpretar las evidencias obtenidas.
Por último, se estructuró el reporte final de Auditorıa (ISACA, 2004), en el cual se
plasmaron los siguientes aspectos: identificación de la organización, destinatarios
del informe, restricciones de circulación, alcance de la auditorıa, objetivos,
periodo de cobertura, naturaleza de la labor de auditoría, plazo de la labor de
auditoría y redacción.

Ventajas y desventajas del COBIT

A continuación se presentan las ventajas y desventajas del COBIT

Ventajas

● La toma de decisiones para niveles gerenciales es más eficaz, porque COBIT

ayuda la dirección en la definición de un plan de TI estratégico, la definición
de la arquitectura de la información, la adquisición del hardware necesario TI
y el software para ejecutar una estrategia TI, la aseguración del servicio
continuo, y la supervisión del funcionamiento del sistema TI.

● Los usuarios se benefician de COBIT debido al aseguramiento proporcionado

a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de
información cumplen con COBIT ya que esto implica mandos y la seguridad
es en el lugar para gobernar los procesos.
 ● A interventores porque esto les ayuda a identificar cuestiones de control de TI
dentro de la infraestructura TI de una empresa.

● Esto también les ayuda a corroborar sus conclusiones de auditoría.

Desventajas

● Las buenas prácticas de COBIT están enfocadas fuertemente en el control y

de menor forma en la ejecución. El marco de referencia mejora las áreas de
TI desde el punto de vista solamente del gobierno corporativo. COBIT es un
modelo ambicioso que requiere de un profundo estudio para realizar la
implementación dentro de la organización.

● Los estándares no cubren todos los temas en detalle.

● Se requiere de un esfuerzo de la organización, para adoptar los estándares.

● Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

incrementar su valor a través de las tecnologías, y permite su alineamiento
con los objetivos del negocio

● Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y

Dar Soporte y Monitorear y Evaluar.

● A veces proporciona un modelo de procesos de referencia y un lenguaje

común para todos los implicados en los trabajos de la organización.

● Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI

Beneficio al utilizar COBIT 5

● Incremento de la creación de valor a través un gobierno y gestión efectiva de

la información y de los activos tecnológicos. La función de TI se vuelve mas
enfocada al negocio.

● Incremento de la satisfacción del usuario con el compromiso de TI y sus

servicios prestados – TI es visto como facilitador clave.

● Incremento del nivel de cumplimiento con las leyes regulaciones y políticas

relevantes.
 ● Las personas que participan son más proactivas en la creación de valor a
partir de la gestión de TI.

Opinión acerca del COBIT

COBIT posee un efecto considerable a lo que se refiere con aseguramiento de la

calidad y recursos de la tecnología de la información (la disponibilidad de la misma,
manejo, confidencialidad) y gracias a ellos proporcionar herramientas eficaces que
guían a los propietarios de las empresas a mejorar constantemente los procesos y
operaciones pertinentes, por ende se habla de que COBIT suministra la informaciòn
que todas las empresas requieren para lograr cumplir sus objetivos, y estos
objetivos se cumplen mediante la adaptación de la información a criterios de control
los cuales están parametrizados por COBIT.

Cualquier tipo de empresa puede adoptar una metodología COBIT dado su fácil
implementación y las ventajas que este método proyecta para la organización ,
además de esto como parte de un proceso de reingeniería reduce en gran manera
la incertidumbre que puede causar los recursos organizacionales y nos da una gran
oportunidad de poder cumplir con los objetivos planeados por la empresa basados
en los procesos tecnológicos organizacionales.

En la actualidad es fundamental establecer procesos comunicativos acertados así

podremos desenvolvernos en la telaraña empresarial sin ningún problema es por
esto que es de vital importancia buscar cómo generar, dirigir, controlar y dar
seguridad a todos los procesos e información de la empresa, con la ayuda del
COBIT esto será mucho más fácil de implementar y nos puede dar una ventaja
competitiva frente a la competencia local.

Con la implementación adecuada del COBIT dada la facilidad de implementar en la

empresa se podrá gestionar de manera más eficiente la información y la tecnología
en las organizaciones, esto es una de las grandes características que nos ofrece
este método dado esto se podrá ver a corto plazo que con la implementación del
COBIT se reducirán los costos asociados a la implementación y al mismo tiempo
conocer su comportamiento de acuerdo a IT, y de esta manera actuar con bases de
información transparente y verificable, al mismo tiempo de brindar una herramienta
de calidad y mucha seguridad.
El correcto uso de esta herramienta nos brindabuen uso y manejo de esta
herramienta COBIT, garantiza a las compañías que lo implementan una
estandarización en general de todas las áreas de la organización en cuanto a ,
ayudando de esa manera a los gerentes y diferentes usuarios conocer la situación
actual de la compañía de forma verídica y en tiempo real.

BIBLIOGRAFÍA
● https://ieeexplore.ieee.org/abstract/document/1265566
● https://www.aaajournals.org/doi/abs/10.2308/jis.2000.14.s-1.21?journalC
ode=isys
● https://metodoss.com/metodologia-cobit/
● http://egstimarcos.blogspot.com/p/ventajas-y-desventajas.html
● https://dialnet.unirioja.es/descarga/articulo/3832428.pdf