IV JORNADA ACADMICA PISIS 2011 Una Visin Integral para el Manejo de las TIC

COBIT HERRAMIENTA DE GOBIERNO DE TI

First A. Luis Garrido
Abstractel uso de COBIT como estndar mundial le ayuda a los departamentos de TI a mejorar la imagen que tienen las diferentes areas de negocio, para lo cual se hace importante conocer COBIT con la finalidad de lograr que TI tenga herramientas de administracin con las mejores prcticas de negocio. Index Terms TI (Tecnologias de Informacion), BSC balance scored card

Comunicacin de voz y Datos Administracin de Email y Archivos Almacenamiento y restauracin de la informacin Desarrollo de Software. Soporte y Recomendaciones de hardware. Contratar servicios de mantenimiento de hardware, comunicaciones e internet. Soporte a Usuarios. Entrenamientos a usuarios. C.Problemas de TI Uno de los aspectos en los cuales deben mejorar los departamentos de tecnologas del pas son los siguientes: Proyectos inconclusos o No realizados en los tiempos planeados. Desperdicio de dinero e implementaciones de software de nuevas versiones ejemplo Windows 7 o office 2010 o usos de nuevas plataformas de punta de lanza. Atencin a clientes todos queremos ser atendidos ya. Fallas en los sistemas sin tener respuestas. Gran parte de estos problemas radican en la forma como nos perciben las otras reas de la compaa. Pero nos hemos detenido a pensar si: tenemos reglas claras de cmo debe funcionar los servicios prestados? Sabemos cules son las responsabilidades de los usuarios y los tramites que deberan darse para darnos respuestas? En muchas organizaciones ni siquiera se tienen reglas claras de los proyectos a trabajar por parte de TI, ni cules son los tiempos esperados para que nos den respuestas ejemplo una empresa de Celular tienen reglas claras y unos tiempos estipulados cuando se daa un equipo y el procedimiento que debe realizar el usuario para el y tramite de la solicitud. III. GOBIERNO CORPORATIVO Y GOBIERNO DE TI A. Definicion de Government (Gobierno) Para poder gobernar o dirigir es necesario tener una serie de reglas claras que permitan mejorar la productividad y lograr las metas trazadas desde la alta gerencia. Un Gobierno se puede representar sobre dos pilares : Gobierno Adecuada Direccin Capacidad Logros Responsabilidad

I. INTRODUCTION L proceso de admistrar recursos puede ser considerado una experiencia solo usada por el personal que estudia administracion de empresas u otras areas financieras., en donde a lo largo de la carrera se les ha fomentado estas competencias, sin embargo para que los recursos de TI puedar ser utilizados de una manera correcta y como soporte a las diferentes areas de negocio. Por eso se hace necesario que el personasl de tecnologa tenga un estndar mundial que le ayude a mejorar los niveles de servicio. El uso de COBIT le permitir tener una gua para la administracin de TI basasdos en el modelo de madures y el balanced scorecard. Esta metodologa actualmente es usada en diferentes pases con lo cual se garantiza su portabilida y la garanta de xito. Adicionalmente en el mercado nacional existen grandes centros de enseanza de la metodologia

II. TI Y SUS SERVICIOS A. Que es TI? TI lo podemos definir como una unidad de negocio cuya responsabilidad es generar y entregar servicios tecnolgicos a la empresa a la que sirve, de manera consistente con el valor que esos servicios representan para la organizacin. Esto quiere decir que tenemos una empresa de servicios tecnolgicos dentro de una empresa mayor, la cual tiene unos clientes internos, externos, maneja presupuesto, equipos y personal humano. Para un gerente de TI el conocimiento de tecnologia es solo la base de su Negocio, adicionalmente tiene que adquirir conocimientos contables, administrativos y de personal para poder tener un control efectivo de su empresa. B. Servicios de TI Dentro de los servicios que Vende TI podemos describir los siguientes:

Diligencia

IV JORNADA ACADMICA PISIS 2011 Una Visin Integral para el Manejo de las TIC Conocimiento Calidad - necesidad de control Medicin suministro de informacin Alineamiento Recursos apoyando el cumplimiento de objetivos Dentro de una empresa se tienen dos tipos de gobierno el corporativo y el de TI, el primero rige las mtas de la organizacin, disea y da las directrices globales, el segundo disea y planea las directrices de tecnologa. El gobierno de TI siempre depender del corporativo. B. Caracteristicas del Gobierno Corporativo Segun el Center for Central Baking studies las buenas practicas para que pueda tenerse un buen gobierno corporativo son: La forma en que la organizacin est alcanzando efectividad, eficiencia tica, valores, estndares ticos A nivel de compaa Tratamiento de accionistas minoritarios Independencia de la Junta Divulgacin de informacin Mejores prcticas de negocio A nivel pas Ambiente regulatorio y legal exigencias legales Impulso a la inversin Si un pas no tiene reputacin de aplicar buenas prcticas de gobierno corporativo, el capital se ir. Si los inversionistas no estn contentos con el nivel de confidencialidad, el capital se ir. S un pas opta por estndares contables y de reporte laxos, el capital se ir. Qu se puede hacer? No existe una nica frmula pero existen guas internacionales Establecimiento de objetivos estratgicos y valores corporativos; Lneas claras de responsabilidad y contabilizacin; Miembros de las juntas calificados e independientes; Apropiado seguimiento por la alta gerencia; Uso efectivo de auditores internos y externos; Compensacin consistente con valores ticos, objetivos, etc.; Gobierno corporativo conducido en una forma transparente Liderando por ejemplo ... Cumplimiento de requerimientos de gobierno corporativo y administracin de riesgos Alta calidad de la informacin divulgada Adherir a requerimientos de auditora externa efectivos Mantener un riguroso marco de contabilizacin Colocar procedimientos adecuados y efectivos C. Gobierno de TI Segn el IT Governance Roudtable se define el gobierno de

TI como : Es el proceso de administracin que asegura la obtencin de los beneficios esperados de la tecnologa de informacin (TI) de manera controlada para acrecentar el xito sostenido de una empresa a largo plazo Este es un proceso y como tal debe hacerse progresivamente para asegurar la obtencin de los beneficios esperados de la tecnologa de la informacin (TI). Este proceso debe realizarse de una manera controlada para acrecentar el xito sostenido de una empresa a largo plazo. Este proceso es necesario debido a la mala comunicacin que ha existido entre TI y el resto de las unidades de negocio de las compaas durante estos aos. D. Gobierno de TI como herramienta estratgica de la Empresa TI es el soporte de la otras unidades de negocio de las compaias, enmarcados por en las reglas y metas corporativas, y en la cual las actividades de la compaa dependen de TI para poder realizarse (email con proveedores, servicios de envos de archivos etc.). Pero los altos ejecutivos si ven a TI como socio estratgico o como solo un departamento necesario? Si el negocio sacara a TI como empresa contratada tendria que mejorar los procesos asignados. La figura1 muestra como interactan el Gobierno Corporativo y el Gobierno de TI

Fig. 1 TI Elemento estrategico IV. GOBIERNO DE TI Y COBIT Desarrollar un framework o un marco de referencia para la Junta Directiva y la Alta Gerencia que permita atender sus expectativas y riesgos de TI fue una de las metas que se trazaron el IT Goverment Institute e ISACA. La definicin de COBIT es: Governance, Control and Audit for Information and Related Technology, que en espaol se aplicaria como: Riesgos, controles, auditoria y aseguramiento de TI estn evolucionando en COBIT haca el ms amplio concepto del gobierno de TI; una parte integral del gobierno Corporativo TI est teniendo un impacto creciente en el funcionamiento

IV JORNADA ACADMICA PISIS 2011 Una Visin Integral para el Manejo de las TIC de las empresas y en el logro de los objetivos que ellas definen. El Gobierno est orientado a asegurar que las empresas cumplan sus objetivos, en dirigir a la gerencia en ese sentido, en ensearle buenas prcticas de planeacin y organizacin en respuesta a la direccin recibida, y en proveer gobierno al siguiente nivel en la empresa. A. Que es ISACA (Information Systems Audi and Control Associations) Fundada en 1969, como EDP Auditors Association (35 aos) actualmente cuenta con ms de 30,000 miembros en ms de 100 pases y con 170 captulos alrededor del mundo. Hacen de este instituto una referencia importante en manejo de las tecnologas de informacin. B. Objetivos y Beneficios Los siguiente objetivos se pueden presentar al crear un marco de referencia como Cobit : Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI. Consolidar y armonizar estndares originados y desarrollados en diferentes pases. Concientizar a la comunidad sobre importancia del control y la auditoria de TI. Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. Reiterar sobre la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa. C. Antecedentes La poder realizar COBIT se basaron enlos siguientes antecedentes : COBIT Integra y concilia normas existentes como: COSO (Committe Of Sponsoring Org. of the Treadway Commission) OECD (Organizarion for Economic Cooperation and Development) ISO (International Standars Organization) NIST (National Institute of Standars and Technology) DTI (Departament of Trade and Industry of the U.K) ITSEC (Information Technology Security Evaluation Criteria - Europa) TCSEC (Trusted Computer Evaluacin Criteria Orange Book- E.U) IIA SAC (Institute of Internal Auditors - Systems Auditability and Control) IS Auditing Standars Japn Incluye los Objetivos de Control emitidos por ISACA (EDPAA) La figura 2 muetsra como se creo cobit con base en los antecedentes: Fig. 2 Antecedes de Integracion de COBIT D. Usuarios de Cobit

La Gerencia: apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible Los Usuarios Finales: obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Organismos estatales de control: para saber que es lo mnimo que pueden exigir. E. Principios de Cobit La figura 3 muestra los principios

Fig 3 Principios de COBIT Dentro de los requerimientos del negocio se basan en :

IV JORNADA ACADMICA PISIS 2011 Una Visin Integral para el Manejo de las TIC Requerimiento de Calidad : para esto se hace necesario el tener calidad o el cumplimiento d los requerimientos, Costos (los cuales se deben encontrar dentro del presupuesto) y Oportunidad (realizar las cosas en el tiempo necesario). Requerimientos financieros(COSO): Efectividad y eficiencia Operacional, Confiabilidad en los reportes financieros, y cumplimientos de leyes y regulaciones. Requerimientos de Seguridad: La informacin debe tener disponibilidad, confiabilidad y Seguridad.

COBIT se descompone en tres niveles : Dominios : los cuales corresponde a una responsabilidad organizacional. Procesos: Conjunto de Actividades con delimitacin o cortes de control. Tareas: Acciones requeridas para lograr los resultados medibles La figura 5 muestra como se integran Dominios, procesos y tareas.

Los recursos de TI son :

Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o n, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

Fig. 5 Procesos de TI A. Dominios de TI Los siguientes conforman los dominios de Cobit Planeacin y Organizacin (Planning and Organization) Abarca aspectos estratgicos y tcticos Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir la manera ms adecuada con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas. Adquisicin e implementacin (Acquisition and Implementation) Identificacin, desarrollo o adquisicin de soluciones de TI. Implantacin e integracin en el proceso de negocio. Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. Prestacin de Servicios y Soporte (Delivery and Support) Prestacin efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitacin. Procesos de soporte necesarios.

V. DOMINIOS DE COBIT Cobit divide en 4 dominios y 34 procesos y 318 objetivos de control, que le permitan TI cumplir con las metas trazadas. El objetivo de control es una declaracin de resultado deseado o propsito que debe ser alcanzado por medio de la implementacin de procedimientos de control en una actividad particular de TI La figura 4 muestra los dominios de Cobit con sus respectivos

Fig. 4 Dominios de COBIT.

IV JORNADA ACADMICA PISIS 2011 Una Visin Integral para el Manejo de las TIC Procesamiento real de los datos por los sistemas de aplicacin. Seguimiento (monitoring) Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Seguimiento de la gerencia sobre los procesos de control de la organizacin. Garanta independiente provista por la auditora interna y externa u obtenida de fuentes alternas. VI. MODELO DE MADUREZ A. Definicion El Modelo de Madurez es una forma de medir el grado de desarrollo de los procesos de la organizacin. Este modelo define perfiles de organizaciones, en relacin a los progresos en el gobierno de TI de cada una de ellas. Atiende aspectos tales como : el grado de formalidad con que se cumplen los procesos el reconocimiento de que existen problemas las posibilidades de entrenamiento y capacitacin el grado de automatizacin de los procesos el nivel de avance de la organizacin en materia de administracin del conocimiento relativo a buenas prcticas en TI. El abordaje del Modelo de Madurez para el control de los procesos de TI, consiste en el desarrollo de un mtodo de puntuacin mediante el cual una organizacin puede autoevaluar su realidad respecto de los procesos COBIT de TI en una escala que va desde no-existente hasta optimizada (de 0 a 5). Este enfoque est basado en el Modelo de Madurez del desarrollo de software, CMM-SW del SEI-Software Engineering Institute de Carnie de Mellon University. Los niveles que pueden ser evaluados en este modelo son: El nivel actual de la organizacin donde est posicionada hoy en da El nivel actual de la industria el nivel con el cual compararse El nivel actual de las guas estndares internacionales ms referencias de comparacin La estrategia de mejora de la organizacin donde la organizacin quiere estar posicionada La figura 6 muestra la representacin de lo que se necesita como se debe evaluar el modelo de madurez. B. Escala De Evaluacin

La escala de evaluacin va de 0 a 5 en donde cada nivel se evalan ciertas caractersticas. La escala de evaluacin es la siguiente: 0 Inexistente Hay una absoluta carencia de procesos reconocibles. La organizacin no ha reconocido que haya una necesidad de acciones en ese sentido. 1 Inicial/Ad Hoc Hay evidencia de que la organizacin ha reconocido que existen problemas y necesitan ser tratados. No hay procesos estandarizados sino que por el contrario hay acercamientos puntuales que tienden a ser aplicados slo por un individuo o a un caso concreto. La aproximacin global de la gerencia al tema no es planificada ni proactiva. 2 Repetitivo pero intuitivo Los procesos se encuentran en una etapa en la cual diversos grupos que emprenden la misma tarea siguen procedimientos similares. No hay ningn entrenamiento formal o comunicacin estndar de procedimientos La responsabilidad descansa en los individuos. Hay un alto grado de confianza en el conocimiento de los individuos y por lo tanto los errores son probables. 3 Definido Los procedimientos estn estandarizados y se han documentado. Se han comunicado mediante el entrenamiento. Los individuos deciden seguir o no estos procesos. Es difcil que las desviaciones sean detectadas. Los procedimientos en si mismos, no son sofisticados sino que son la formalizacin de prcticas existentes. 4 Gerenciado y Medible Es posible vigilar y medir el cumplimiento de los procedimientos y tomar acciones en los casos en los que los procesos resultan no trabajar con eficacia. Los procesos estn bajo mejora constante y proporcionan buenas prcticas aplicables. La automatizacin y las herramientas se utilizan en una manera limitada o de modo parcial. 5 Optimizado Los procesos de TI se han refinado al nivel de la mejor prctica, basndose los resultados en la mejora continua y las iniciativas en

Fig. 6 Evaluacion del Modelo de Madurez

IV JORNADA ACADMICA PISIS 2011 Una Visin Integral para el Manejo de las TIC materia de madurez que toma como modelo a otras organizaciones. La tecnologa se utiliza como un camino integrado para automatizar el proceso de trabajo, proporcionando calidad y eficacia a las herramientas para mejorar, haciendo que la empresa se adapte rpidamente a los cambios. VII. BALANCE SCORECARD El Balance Scorecard (BSC) es un sistema de medicin desasrrollado por Robert S. Kaplan y David P. Norton con la intencin de complementar los sistemas tradicionales de evaluacin de desempeo de las empresas, los cuales se orientaban primordialmente a los indicadores financieros El BSC mira a TI desde el punto de vista financier, de procesos, clientes y aprendizaje y conocimiento La figura 7 muestra el BSC de TI en donde podemos distribuir

Fig 8 Procesos Claves del gobierno de TI VIII.COMO IMPLEMENTAR COBIT Uno de los puntos importantes para el personal de TI es tener pautas para implementar el estandar COBIT, lo primero es tener el apoyo de la gerencia general, luego hacer una evaluacin utilizando el BSC y ver cmo nos ven los diferentes departamentos miran a TI en los procesos que corresponden. La Figura 9 muestra los pasos necesarios para la implementacin de COBIT en las compaas.

Fig 9 Implementacion de COBIT Fig 7 BSC de TI TI tiene los procesos claves en los cuales hay que trabajar tomando como base el BSC. LA figura 8 muestra los procesos a los cuales hay que hacer referencia IX. CONCLUSION El uso de estndares mundiales ayudan a las empresas en Colombia a mejorar las comunicacin entre TI y las diferentes areas de la empresa. Depende de los departamentos de TI logra formalizar la cultura de Cobit en el resto de la organizacin, y una vez lograda esta cultura se podr disfrutar de reglas claras en toda la organizacin. TI es el soporte de las diferentes reas de negocio ayudando a lograr las metas corporativas. Aunque es un proceso lento la implementacin de COBIT representa un gran reto en toda la organizacin, se necesita atacar los procesos crticos de la mayora de areas de negocio. .

IV JORNADA ACADMICA PISIS 2011 Una Visin Integral para el Manejo de las TIC REFERENCES
[1] COBIT, manual de referencia,

First A. Author (M76SM81F87Luis Garrido barrios, ingeniero de sistemas egresado de la Universidad del Norte, con Especializacion en gerencia de sistemas de informacin en la misma Universidad. Con 15 aos de experiencia en el desarrollo de software en la empresa privada, 6 aos como jefe de sistemas de Dole Colombia, gerencio el proyecto de implementacin de la ERP JDEdwards , implemento COBIT para cumplir con los requerimientos de SOX para el gobierno Americano. Adicionalmente ha sido docente por 10 aos en la universidad Cooperativa de Colombia y la Universidad del Magdalena como catedrtico y director de proyectos de grados.