Professional Documents
Culture Documents
ESFUERZO?
Directora
Mg. LUZ MERY GUEVARA CHACN
Resumen 5
INTRODUCCIN 6
Modelo COBIT 10
REFERENCIAS 25
TABLA DE FIGURAS
de las Organizaciones 9
Resumen
Este ensayo busca dar una mirada al modelo COBIT como herramienta clave
en las organizaciones para apoyar la aplicacin y ejecucin de todos sus
procesos, a travs del uso adecuado de las tecnologas de la informacin y
comunicacin como soporte para la consecucin exitosa de los mismos. Para
esto, se realiz una revisin del Modelo con sus ventajas, desventajas y ejemplos
de aplicaciones, para determinar si se debe tomar la decisin por parte de la alta
gerencia, de guiar a sus compaas por el camino del uso administrado y
optimizado de las herramientas tecnolgicas apoyados en este modelo o slo se
deben ir adecuando a las situaciones y dar este uso de acuerdo a sus
experiencias u otros modelos conocidos.
*
Ingeniero de Sistemas de la Universidad Francisco Jos de Caldas. Ha desarrollado su carrera como analista
senior en Allianz-Colseguros desde el ao 2009 en el rea de control de gestin en lneas personales, donde
ha podido observar y aplicar conceptos sobre el control y su importancia para lograr los objetivos
estratgicos de la organizacin. alvaroialmanzag@gmail.com
5
Abstract
This essay try to give a view to the COBIT model like a key tool at the
organizations to support the appliance an execution of all their process, through to
adequate use of information and communication technologies like holder for the
successful achievement themselves. To achieve this objective, was made a
revision of the model looking its advantadges, disadvantadges and examples of
applies, trying to determinate if the senior management must be take the decision
to guide their companies by the way of administrated and optimized use of
technological tools supported in this model or just need go to adequate them to the
situations and give this use in accordance with their experiences or other models
known by them.
INTRODUCCIN
6
Cuando la junta directiva de las organizaciones realiza su planeacin
estratgica, es necesario que contemple el establecimiento de controles en todas
sus reas, con el fin de que la ejecucin de la misma se logre con el mximo de
eficiencia, eficacia y efectividad posible. Es en este momento en que el control
interno debe aparecer como el soporte y gua para determinar cul debe ser el
camino ms adecuado para desarrollar y aplicar todos aquellos procesos y
elementos que propendan por alcanzar todos los objetivos planteados por la
gerencia y as mismo, se mantengan en el tiempo.
7
a otros modelos, cmo se puede aplicar y finalmente el anlisis de todo esto nos
permitir dar la respuesta al interrogante origen del ensayo.
8
Un enfoque interesante es el expuesto por Malaver y Vargas (2007) con el cual
se pretende evaluar de manera cualitativa cules son las capacidades
tecnolgicas y de innovacin con las que cuenta una organizacin para determinar
sus pasos a seguir en materia de las Tecnologas de Informacin y Comunicacin,
tal como se pueden observar en la Figura 1:
9
calidad que se comparten a nivel mundial, en todo lo referente a las tecnologas de
informacin y comunicacin. A continuacin haremos la descripcin de nuestro
objeto de estudio: El modelo COBIT.
Modelo COBIT
10
necesidades que tiene toda organizacin de una manera esquematizada,
enfocndose en las necesidades que tienen los diferentes grupos objetivos (IT
Governance Institute, 2007), como se describe a continuacin:
Por otra parte, el negocio de cada organizacin tiene sus propias necesidades
respecto a la informacin, que son puntos clave para que su desarrollo se haga
efectivo y de manera prctica. Estos requerimientos se describen a continuacin:
11
e) Disponibilidad: La informacin de estar lista cuando sea requerida por los
procesos del negocio en cualquier momento.
12
Sarbanes-Oxley2 y Basilea II3. Aunque esto puede ser algo que inicialmente sea
complicado y costoso de implementar, en el mediano plazo se ha encontrado que
ste tipo de funcionamiento les ha permitido mejorar de manera considerable su
forma de realizar procesos y as mismo, innovar y buscar las mejores opciones en
beneficio de sus clientes y propio.
Para lograr todos estos propsitos, COBIT ofrece las herramientas necesarias
de tal manera que sean claras para todos los niveles jerrquicos y a su vez,
adaptables a los cambios que requiera la organizacin en momentos
determinados, tales como el benchmarking de los procesos, el establecimiento de
metas y mtricas de cada uno de ellos y actividades cuyos objetivos estn
recopilados en la metodologa que tiene cinco reas de enfoque para cubrir de
manera estratgica todos los aspectos referentes a las tecnologas de la
informacin (IT Governance Institute, 2007) tal como se pueden observar en la
Figura 2:
13
La alineacin estratgica se refiere a cmo el modelo induce a que todos los
planes estratgicos planteados por la organizacin estn soportados por las
tecnologas de informacin, teniendo en cuenta cmo su operacin y
funcionamiento van a aportar a llevar a cabo a satisfaccin los procesos
administrativos y operacionales de la misma, optimizando los costos de la
adquisicin y mantenimiento de los aplicativos, la informacin, la infraestructura y
las personas, convirtindose as en su entrega de valor.
14
generan procesos automticamente y los que son usados por los usuarios para
generacin de datos propios; la informacin, definida como los datos con los que
se cuenta en cualquiera de sus formas entradas, procesadas y salidas-; la
infraestructura, que son todos los recursos fsicos que soportan las aplicaciones y
los datos y los lugares de ubicacin y las personas, aquellas designadas para
realizar todas las operaciones de planeacin, organizacin, soporte, monitoreo,
entre otras, que pueden ser propias o por outsourcing, de acuerdo a como se
requieran.
Estas categoras determinadas por COBIT (Cereola & Cereola, 2011) son
tratadas bajo un enfoque de 34 Procesos, que estn definidos en cuatro dominios
interrelacionados de la misma manera como hemos visto que funciona el ciclo
Planear, Hacer, Verificar y Actuar PHVA-, tal como se puede observar en la
Figura 3:
15
alineadas con las de las tecnologas de informacin, si se est haciendo un uso
ptimo de los mismos, si stas son de calidad y cantidad suficiente para las
necesidades de la organizacin y se administran los riesgos inherentes a stas.
16
usuarios involucrados. Todo esto enfocado a optimizar los costos de las
tecnologas de informacin, que los usuarios saquen el mximo provecho de los
recurso disponibles y usar las mejores prcticas para implementar las
herramientas que brinden la confidencialidad, integridad y disponibilidad de la
informacin necesarias para el buen funcionamiento de la organizacin.
a) Control de Metas y Objetivos del Proceso: Que est enfocado en apoyar las
metas de la organizacin, teniendo las mtricas suficientes y reales para
medir su consecucin en el tiempo determinado.
b) Control de Propiedad del Proceso: Establecer quin es el dueo del
proceso y cul es su responsabilidad dentro del mismo, entre las que se
encuentra determinar su relacin con otros procesos, mostrar los resultados
obtenidos y las oportunidades de mejora que se determinen.
c) Control de Repeticin: Revisar que el diseo del proceso sea
suficientemente adecuado para que los resultados que se obtienen cada
vez que es ejecutado sean consecuentes con lo esperado y solamente
deba ser ajustado cuando ste sea el ltimo recurso disponible.
d) Control de Polticas, Planes y Procedimientos: Referente a toda la
documentacin que debe estar disponible para que los procesos puedan
ser llevados a cabo por cualquiera de los usuarios dispuestos para tal fin.
sta debe cumplir con las caractersticas de estar aprobados,
almacenados, difundidos, accesibles, correctos, entendidos y actualizados.
e) Control de Desempeo del Proceso: Establecer las mtricas necesarias
para revisar tanto el desempeo como las salidas que genera cada
17
proceso. Adems, comparar estos resultados con los establecidos en las
metas y tomar las acciones correctivas cuando se requiera.
A pesar de toda esta descripcin que hemos hecho sobre las caractersticas y
ventajas que presenta este modelo para las organizaciones, an no es claro de
manera suficiente como determinar en qu estado se encuentra cada una de ellas
frente a la metodologa, cmo se est frente al mercado, la competencia y cmo
medir los avances que se vayan implantando con el paso del tiempo. Es por esto
que tambin COBIT cuenta con un sistema de medicin de la madurez
(Marulanda, Lopez, & Cuesta, 2009), en el cual se describe tanto el estado que
puede ser actual, como el que debera ser el futuro, para cada uno de los
procesos mencionados anteriormente. stos no buscan ser cumplidos a cabalidad,
sino que, una vez ms, sean una gua de medicin, al contrario de lo que ocurre
con el modelo del Software Engineering Institute, que s especifica el cumplimiento
total de los parmetros para avanzar en el modelo.
18
d) 3 Definido: Se documentan y socializan las soluciones encontradas para
su uso general, pero se deja a la discrecin de cada usuario su aplicacin
dependiendo el caso, dejando una ventana abierta para que se den usos e
interpretaciones diferentes a las establecidas.
e) 4 Administrado: Existe el monitoreo y la medicin de los resultados
obtenidos con los procesos implementados y as mismo hacer las mejoras
que se consideren pertinentes, adems de trabajar la parte de
automatizacin como herramienta para evitar el error del trabajo manual.
f) 5 Optimizado: Es el mximo nivel, donde se encuentra que los procesos
estn optimizados por la mejora continua y son comparables con los ms
altos estndares de otras organizaciones similares. Adems, las
tecnologas de informacin estn siendo usadas de manera tal que brindan
el valor agregado necesario para que la eficiencia y efectividad de los
mismos sea la mxima posible.
Como podemos ver, el modelo est estructurado de manera tal que cualquier
organizacin que desee implementarlo encuentre el soporte y la gua para hacerlo,
lo cual es una ventaja enorme al momento de tomar la decisin de estandarizar
con normas de talla internacional los procesos relativos a las tecnologas de
informacin. Adems, otra gran ventaja es que no es necesaria su aplicacin
rigurosa al pie de la letra, ya que es adaptable a cada organizacin, permitiendo
que sta, tome slo aquellos elementos que considere que son los necesarios
para cumplir con sus objetivos.
Sin embargo, tambin es claro que sta decisin debe estar soportada en
profesionales de las tecnologas, ya que no basta con ser Gerente de una
organizacin para tomar las decisiones acertadas en esta materia, ya que aunque
el modelo puede parecer bastante claro, requiere de la interpretacin del personal
especializado para tomar lo realmente necesario, aplicarlo de manera adecuada y
as llegar hasta el nivel deseado dentro de las posibilidades de cada uno, teniendo
19
claro que el modelo ayuda a entender el qu y el por qu de lo que se debe hacer
en vez de determinar cmo lograrlo, ya que esto ltimo corresponder a la propia
experiencia y capacidad de aplicacin e innovacin de sus usuarios.
De ste reducido porcentaje es que han salido los grandes aportes al modelo,
para lograr que ms organizaciones lo adapten y se unifiquen en el modelo para
20
seguir el camino del mejoramiento continuo en esta materia. Esto se convierte
entonces en una oportunidad para que todo aquel que se quiera embarcar en este
proyecto, no slo tenga motivaciones adicionales a los beneficios que lograr
internamente, sino que adems su experiencia podr ser insumo de nuevas
mejoras al modelo a nivel general, ya que el grupo rector del modelo siempre est
en constante bsqueda y aceptacin de sugerencias que permitan la evolucin en
busca de la perfeccin a todo nivel.
21
servicio al cliente. tecnologas sean disponibles y
Establecer continuidad y seguros.
disponibilidad de los servicios. Proveer servicios que estn en
Ofrecer productos y servicios lnea con los requerimientos del
competitivos. negocio.
Responder gilmente a los Convertir las funcionalidades del
requerimientos de cambio del negocio y los requerimientos de
negocio. control en soluciones
Obtener informacin til para la automatizadas efectivas y
toma estratgica de decisiones. eficientes.
Perspectiva Interna: Excelencia operacional:
Mejorar y mantener funcionales los Mantener la seguridad
procesos de negocio. (confidencialidad, disponibilidad e
Mejorar y mantener la productividad integridad) de la informacin y la
de los grupos de trabajo. infraestructura de procesamiento.
Permitir y manejar los cambios del Desarrollar proyectos a tiempo
negocio. sobre los objetivos, aplicando
Permitir la relacin entre las estndares de calidad.
polticas internas. Optimizar la infraestructura, los
Optimizar los costos de los recursos y capacidades de
procesos de negocio. tecnologa.
Integrar las soluciones de
aplicaciones y tecnologa a los
procesos de negocio.
Aprendizaje y Aumento de Perspectiva: Orientacin Futura:
Contratar, desarrollar y mantener al Contratar, desarrollar y mantener al
personal hbil y motivado. personal hbil en tecnologas que
Identificar y manejar innovacin en respondan a la estrategia planteada
los productos y el negocio. para las mismas.
Adquirir conocimiento y experticia
en tecnologas emergentes para
optimizar e innovar en el negocio.
Asegurar que las tecnologas
presentan mejoramiento continuo
para los cambios futuros.
Fuente: (IT Governance Institute, 2008)
22
Un ejemplo muy exitoso y visible para todos es el caso de Ecopetrol (ISACA,
2010), que es la empresa de petrleos de Colombia y cuya transformacin a todo
nivel la ha convertido en la empresa estatal ms rentable y que figura en el puesto
179 del listado de las empresas ms grandes del mundo segn la revista Forbes
para el ao 2011. Para el campo de las tecnologas de informacin y
comunicacin, la compaa inici su proceso de aplicacin desde el 2007,
haciendo el anlisis de su estado inicial y luego el establecimiento de las metas a
alcanzar. Slo 2 aos despus empez a ver los frutos del esfuerzo, que
incluyeron la implementacin de 28 de los 34 procesos y la certificacin en la
aplicacin de las regulaciones de la Ley Sarbanes-Oxley.
Adicional a esto, se presentan otra serie de problemas crticos que deben ser
manejados con especial cuidado por parte de los lderes de aplicacin, ya que de
no hacerlo pueden llevar a mal trmino la aplicacin del modelo. Entre stos, se
pueden mencionar (Council, 2006): Confidencialidad de los datos, proteccin de la
integridad, disponibilidad de los aplicativos en los momentos requeridos, rigidez en
la aplicacin del modelo, falta de atencin por parte de los participantes a los
problemas generados durante la aplicacin y a sus responsabilidades de rutina
diaria y falta de tiempo.
23
Aunque pueden parecer muchas razones para pensar ms de dos veces el
embarcarse en esta aventura, ms en nuestro pas donde la mayora de
organizaciones son de tipo pequeo y mediano y la inversin en este tipo de
infraestructura no suele ser la prioridad, si los comparamos con las ventajas que
nos ofrece la implementacin del modelo, la decisin no debera ser tan difcil de
tomar. Basta con que la alta gerencia se asesore adecuadamente y evale la
disponibilidad que tendr de tiempo y recursos para buscar este objetivo, teniendo
siempre en cuenta que se debe tomar como que el hacerlo no va a ser un
desgaste para la organizacin sino que, muy por el contrario, ser una enorme
ventaja competitiva con la cual lograr sacar distancias enormes frente a aquellas
competidoras del mismo sector que no tengan esta decisin.
24
REFERENCIAS
Cereola, S., & Cereola, R. (2011). Breach of Data at TJX: An Instructional Case
Used to Study COSO and COBIT, with a Focus on Computer Controls, Data
Security, and Privacy Legislation. Issues in Accounting Education , 521-545.
ISACA. (2010). COBIT Case Study: Implementing COBIT for IT Governance, Risk
and Compliance at Ecopetrol S.A. Recuperado el 12 de Febrero de 2012, de
ISACA: http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-
Ecopetrol.aspx