Desarrollo de Casos para Cobit

Si usted es gerente de TI de una organización, como podría alcanzar mejoramientos en los

procesos de su área de COBIT, teniendo en cuenta que:

Identificación de Gobierno TI

Pentágono de Cobit 4.1 Pentágono de Cobit 5.0

- Alineamiento Estratégico -Prácticas de Evaluar y Dirigir
- Entrega de Valor (governance)
- Administración de Recursos -Práctica de Dirigir (management)
- Administración de Riesgos -Proceso de EDM2
Evaluación de desempeño -Proceso de EDM3
-Proceso de EDM4
-Proceso de EDM5 y práctica de
Monitoreo

EDM: viene de Evaluar, Dirigir y Monitorear

Debe crearse las condiciones para el alineamiento del gobierno de TI.

Auditoria de Sistemas - Cod: 3734 7

 Desarrollo de Casos para Cobit

Criterios de la información Los dominios del Cobit y los criterios de la información.

1. Efectividad
2. Eficiencia
3. Confidencialidad
4. Integridad
5. Disponibilidad
6. Integridad
7. Disponibilidad
8. Cumplimiento
9. Confiabilidad

Los responsables del gobierno de TI son aquel equipo de trabajo del Gerente de TI debe coordinar
y estar conformado por: Dirección Ejecutiva, Gerencia de negocio, Gerencia de TI, Auditoría,
Responsable de Riesgos, Identificación de Procesos.

COBIT 4.1 agrupa los 34 procesos en 4 cuadrantes Y COBIT 5 agrupa 37 procesos.

PLANEAR Y
ORGANIZAR

MONITOREAR ADQUIRIR E
Y EVALUAR IMPLEMENTAR

ENTREGAR
SOPORTE

Auditoria de Sistemas - Cod: 3734 7

 Desarrollo de Casos para Cobit

Auditoria de Sistemas - Cod: 3734 7

 Desarrollo de Casos para Cobit

Descripción del Caso

Implementación de COBIT 4.0 en Scotiabank, Costa Rica
Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los cinco grandes
bancos de Canadá. Ha existido por más de 178 años y tiene presencia en más de 50
países, siendo el banco más "internacional" de los bancos canadienses por la cantidad de
sucursales que tiene fuera del país, utilizando la red internacional de sucursales y oficinas
en Latinoamérica, Canadá y Estados Unidos, el Caribe, Europa, Asia y el Pacífico.

En BNS se dio inicio con el proyecto de implementación de COBIT 4.0 con una encuesta
internacional dirigida a los encargados de las direcciones de TI en BNS, para conocer si
alguno de ellos aplica una normativa que implique la obligatoriedad de contar con
procesos basados en el marco de referencia de COBIT en cualquiera de sus versiones;
encontramos gran cantidad de “scotiabankers” con certificaciones de ISACA, pero
ninguna otra sucursal manifestó poseer regulaciones semejantes a la costarricense, tales
como el acuerdo SUGEF 14-09 1 (es como SVS en Chile, SEC en Estados
Unidos), aprobado por el Consejo Nacional de Supervisión del Sistema Financiero de
Costa Rica (SUGEF), y tampoco existen otras sucursales que estén sujetas a
lineamientos o directrices parecidos a los que rigen a los bancos en Costa Rica en el
“reglamento sobre la gestión de la tecnología de información [TI]” incluido en el acuerdo.

Antecedentes
El SUGEF aprobó el “reglamento sobre la gestión de la TI”, aplicable para todas las
entidades bancarias y financieras del país, a partir de 2009, estableciendo la
obligatoriedad de implementar los 34 procesos de COBIT y alcanzar el tercer nivel de
madurez en los próximos tres años.

El cumplimiento de este reglamento se realiza mediante la ejecución de auditorías

externas independientes, lideradas por un profesional con certificación CISA plenamente
vigente y enmarcándose en las guías de auditoría externa 2 y los criterios profesionales y
éticos3 dictados por ISACA, tomando como requisito de aplicación obligatoria el estándar

Auditoria de Sistemas - Cod: 3734 7

 Desarrollo de Casos para Cobit

S74de auditoría y aseguramiento de TI, además de la guía de auditoría y aseguramiento

G20.5

Decisión Corporativa
Siendo la cultura del control uno de los principios de BNS, la TI se apoya en los canales
existentes para difundir los controles implementados basados en la utilización de los
servicios web y en la unidad de cumplimiento de temas regulatorios de TI (unidad
encargada de la verificación del cumplimiento de regulaciones externas). Uno de los
factores críticos del éxito en la implementación de un buen gobierno de TI, fue utilizar la
actual estructura organizacional; para que planifique, organice, dirija, coordine, monitoree
y tome las decisiones adecuadas y oportunas para aprovechar las ventajas, beneficios y
oportunidades que se derivan de su utilización. Esto permitió que la unidad de
cumplimiento se convirtiera en el único canal autorizado para recibir y entregar
requerimientos de parte de los auditores ya fueran internos o externos.

Aunque la responsabilidad total para el buen gobierno de TI recae por definición en la

junta directiva, se delegan funciones a las distintas unidades del banco; cuyo control,
evaluación y rendimiento de cuentas sigue el esquema de autoridad y responsabilidad
que mantiene vigente el banco.

Enfrentando el Reto

Para enfrentar el reto de la implementación de los procesos obligatorios siguiendo los

términos y condiciones establecidos por el regulador local, en este caso el SUGEF, BNS
diseñó un plan de ruta (plan diseñado para lograr cumplir en el menor tiempo posible los
objetivos de control de COBIT 4.0) para la priorización de las medidas a seguir para
cumplir con éxito el requerimiento. Este plan contempló en primer término, el
involucramiento del comité de TI con la participación activa de la alta gerencia y los
principales ejecutivos del banco.

En un segundo plano se verificó la adecuada implementación de los controles utilizando

los documentos existentes y realizar la tarea de acondicionarlos, referenciarlos y realizar
las homologaciones necesarias, para cumplir tanto con los controles detallados como con

Auditoria de Sistemas - Cod: 3734 7

 Desarrollo de Casos para Cobit

los requerimientos de los niveles de madurez de COBIT requeridos por el SUGEF, para
cada uno de los procesos. Se asignaron dos funcionarios dedicados de tiempo completo
al proyecto, para asegurar la continuidad y el seguimiento del plan de ruta.

Estrategia de Implementación

La estrategia de implementación definió con claridad los objetivos generales y específicos,

que permitieran al equipo de TI alcanzar los objetivos de manera efectiva, eficiente y
económica, así como de garantizar la disponibilidad de los recursos requeridos de
acuerdo a las tareas programadas, la asignación de personal comprometido y capaz de
ejecutar con excelencia las labores encomendadas y el seguimiento activo permanente
del avance del proyecto por parte del comité de TI.

El plan analizó en su primera fase, 17 procesos que requieren cumplir con los niveles de
madurez 2 y 3 de acuerdo con el proceso seleccionado. 6 Los procesos incluidos fueron:
PO1, PO3, PO5, PO9, PO10, AI3, AI5, AI6, DS2, DS3, DS4, DS5, DS9, DS10, DS11,
DS12, y el ME2. En la segunda fase de implementación se analizaron los 17 procesos
restantes que deben alcanzar el nivel de madurez 1 para posteriormente alcanzar de
manera paulatina el nivel de madurez 3 en un máximo de 3 años a partir del año 2010.

Dentro del proceso se incluyeron capacitaciones en COBIT y de buen gobierno de TI,

éstas se enfocaron a fortalecer los conocimientos del personal participante en la
implementación.

Resultados Obtenidos

Entre los beneficios que BNS ha recibido al utilizar el marco conceptual de COBIT 4.0 se
encuentran los siguientes:

 Fortalecimiento del alineamiento entre las estrategias de negocio y de TI, por

medio de la coherencia entre dominios y procesos de COBIT
 Creación de procesos definidos con estructuras internacionalmente aceptadas,
auditables, medibles y que integren las mejores prácticas de la industria bancaria
 Identificación de los controles claves que deben ser reforzados e implementados
para asegurar un adecuado control interno para TI

Auditoria de Sistemas - Cod: 3734 7

 Desarrollo de Casos para Cobit

 Procesos mejorados y más confiables que fortalecen la aplicación de las prácticas

relacionadas con la gestión de los cinco elementos de control que constituyen el
buen gobierno de TI.

Lecciones Aprendidas

Esta primera experiencia relacionada con la implementación simultánea de varios

procesos de alto nivel, muchos de los cuales son sumamente complejos y detallados;
además de la necesidad de crear condiciones para que rindan los beneficios esperados,
ha demandado un esfuerzo significativo por parte de la institución, pero con excelentes
resultados.

El esfuerzo ha sido cuantioso en lo económico así como en la cantidad de tiempo

dedicado por los líderes de procesos de BNS, el demandante y continuo seguimiento,
monitoreo y control, como también el involucramiento constante de toda la organización,
la junta directiva, la administración, las jefaturas y la dirección de TI.

A pesar de las dificultades y el riesgo que involucra la ejecución de un proyecto de estas

dimensiones, la estrategia planteada con anticipación, el seguimiento y toma de
decisiones oportunas y acertadas para retomar el rumbo han rendido los resultados
esperados, que si bien apenas comienzan a emerger, seguramente generarán un banco
más competitivo, ágil, con procesos fortalecidos, con mayor enfoque de negocio y con una
cultura tecnológica envidiable.

Manuel Vargas, CISM, CGEIT

Con más de 29 años de experiencia en TI, es gerente senior de seguridad de la información y cumplimiento de TI en
BNS.

Auditoria de Sistemas - Cod: 3734 7