esan

UNIVERSIDAD ESAN

MAESTRIA EN ADMINISTRACIÓN

MATC49 - 2

ASIGNATURA:GERENCIA DE TECNOLOGÍA DE INFORMACIÓN

ÁREA ACADÉMICA: OPERACIONES Y TECNOLOGÍA DE INFORMACIÓN

PROFESOR: GENARO MATUTE MEJÍA, PH.DPROFESOR ASISTENTE: NÉSTOR SALCEDO

TITULO TRABAJO:

CASO “COBIT”

El presente trabajo ha sido realizado de acuerdo a los reglamentos de la Universidad ESAN por:

Nombres y Apellidos Firma

Elmer Corasi Limache

Hugo Anon Leis

Jorge Eduardo Peralta Carhuamaca

___________________

___________________

___________________

Surco, 07 de marzo de 2013

I. INTRODUCCION

esan

En el actual mercado globalizado, en el que la mayoría de las fronteras son obsoletas, las tecnologías de información son los medios principales y esenciales para reducir las distancias entre las distintas partes interesadas y asegurar que se crean solidas redes económicos. Las informaciones son fuentes de ventaja competitiva, por lo tanto si las empresas no controlan a la perfección la información que fluye en su sistema, esto puede ser una amenaza para su supervivencia. Debido a que por lo general, las sistemas de informaciones contienen y hacen circular las informaciones sensibles o no a través de la cadena de valor de las compañías. Frente a la competencia que se desarrollada entre las empresas en los mercados económicos, la globalización del comercio y la “guerra económica” que existe hoy entre las diferentes organizaciones, el gobierno de la información en las empresas se ha convertido en una actividad esencial.

Por eso, una asociación, ISACA (Informations Systems Audit y Control Association) ha desarrollado el COBIT en 1994. COBIT (Control Objectives for Information and related Technology) es una herramienta que permite a las empresas para asegurarse que todas los procesos de los sistemas de información se encuentran en línea con los estrategias decididas por los gerentes. Esto es posible gracias a los indicadores, los “metrics” que sugiere el COBIT para medir la esfuerza del vínculo entre estrategias y informática y si es necesario, medir el mal funcionamiento que obstaculiza el desarrollo de la organización. COBIT es la única herramienta de referencia al nivel mundial para gobernar las tecnologías de información y su ventaja es que es adaptable a todo tipo de organizaciones y a todos los niveles de las compañías.

Dentro de las empresas, COBIT tiene dos orientaciones:

- La orientación de negocios : En esta orientación, la herramienta creara una relación entre los objetivos de cada negocio dentro de la empresa con los objetivos de TI. Por eso, define una lista de medidas que permitirán evaluar el grado de coincidencia entre estos dos objetivos y distinguir rápidamente de donde provienen si la integración no se hace a la perfección.

- La orientación de procesos: Esta orientación consiste en dividir el proceso de computación en muchos procesos y compartirles en las cuatro áreas de responsabilidades relacionado con el modelo del ciclo de Deming (ver Anexo 1): planear, hacer, verificar y actuar. Esto permite a la empresa de tener una visión completa y exhaustiva de su actividad de computación.

El COBIT supera el hecho de que las empresas, en la mayoría de los casos, sólo tienen un control informal sobre su tecnología de información, y esta herramienta les permite hablar de control oficial que podemos nombrar bajo el tema de “gobernanza de las tecnologías de información”.

II. DEFINICION DEL PROBLEMA

El COBIT no es una herramienta natural para las empresas y sus operaciones, pero hoy se revela esencial para su supervivencia. Así, podemos plantear el problema de cómo las organizaciones tendrán éxito para implementar esta herramienta en sus procesos? Y cómo eso va a cambiar la organización de los sistemas de información y la organización en general de los negocios de las empresas?

III. ANALISIS

La información y las tecnologías representan activos valiosos, algunas empresas tienen dependencia crítica sobre los procesos de TI; existe así, una necesidad de asegurar la TI. El valor, el riesgo, el control constituyen la esencia del gobierno de TI.

El Gobierno de TI está a cargo de aquellos que ejercen liderazgo en la empresa como directores y ejecutivos quienes a través de su liderazgo, estructuras y procesos organizacionales garanticen que las TI en la empresa sostengan y extiendan las estrategias y objetivos organizacionales.

1

esan

Existe un marco referencial donde pueden ser medidos los resultados de las TI para que sirvan para ajuste y soporte; tal es el caso de COSO (Committee Of Sponsoring Organisations Of The Treadway Commission) que es un marco de referencia integrado de control interno y es ampliamente aceptado por el Gobierno de TI, existen también marcos de referencia similares.

La dirección de TI debe de optimizar los recursos de TI tales como: aplicaciones, información, infraestructura y personas.

“Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.” COBIT, establece vínculos entre la estrategia de negocio y a estrategia TI, organiza actividades en un modelado d procesos, identifica los recursos TI y determina los objetivos de control.

La misión del COBIT es: “Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento.” Bajo esta premisa, el COBIT responde a preguntas como el ¿Por qué?, ¿Quién?, ¿Qué?, ¿Por qué?, se necesita garantizar el logro de los objetivos, ser flexibles al cambio y a la adaptación, alineación a la estrategia, que las metas fluyan gradualmente, etc. ¿Quién?, dirigido a interesados dentro y fuera de la empresa que tienen intereses en la creación de valor de las inversiones en TI. ¿Qué?, se debe de satisfacer requerimientos acerca de las metas del negocio, la orientación a los procesos, mejorar las prácticas y adecuación a los estándares establecidos y regulatorios, regulaciones y auditoría.

Los productos COBIT se han organizado en tres niveles diseñados para dar soporte a la administración y consejos ejecutivos, la administración del negocio y de TI; y los Profesionales en Gobierno, aseguramiento, control y seguridad. A sí mismo, el COBIT incluye directrices gerenciales, técnicas de bechmarks, manejo de brechas, asignación de responsabilidades, mejores prácticas, objetivos de control, alineación de los requerimientos del negocio, marcos de referencia para lograr los objetivos del gobierno TI, guías de implementación de gobierno TI, practicas de control y prácticas de aseguramiento de TI entre otras.

El modelado de procesos que propone COBIT está dividido en 34 procesos (Ver anexo 3), ubicados en las áreas de planear, construir, ejecutar y monitorear (Ver anexo 1). Existen 13 procesos que sirven para planear y organizar las estrategias y tácticas; 10 procesos para la adquisición y la implementación las soluciones que serán integradas en el proceso de negocio; 8 procesos para la realización de entregables y soporte; y 3 procesos para la medición, evaluación y monitoreo.

Los modelos de madurez sirven para determinar el grado o nivel alcanzado en el desarrollo de un proceso COBIT. Existen 6 niveles que van desde una puntuación de cero a cinco; el nivel cero es cuando no existen dichos procesos debido a que no se ha desarrollado o el negocio no lo necesita; el nivel uno determina si los procesos son desarrollado de manera desorganizada; el nivel dos, se da cuando los procesos siguen algún patrón regular; el nivel tres, cuando ya existe una grado de comunicación y documentación; el nivel cuatro, cuando existe monitoreo y supervisión de los procesos; y por último el nivel cinco que se da un plan de buenas prácticas y su automatización, (ver Anexo 10)

La organización establece objetivos de control para alcanzar los objetivos del negocio y permitan detectar y corregir eventos no esperados. Así mismo, busca la información oportuna y adecuada para la toma de decisiones. Para poder determinar el nivel del control y el desempeño de las TI se

2

esan

utilizan metas, métricas y benchmarking. De esta manera se determina las brechas para crear los planes que lleven a la organización al nivel deseado.

El gobierno TI tiene 5 áreas de enfoque que contribuyen lograr la medición del desempeño, establece y monitorea los objetivos referentes a los procesos TI describen los tópicos en los que la dirección ejecutiva debe poner mayor énfasis, estas áreas de enfoque tienen sus equivalencias en las áreas de enfoque del COBIT.

Las metas de TI están soportadas por las metas de TI los mismo que se apoyan en los procesos de TI, los mismos que están detallados bajo actividades de TI, cada uno de estos procesos bajo el marco referencial del COBIT responden a objetivos y mecanismos de control y aseguramiento de desempeño, practicas de control y pruebas de diseño. (Ver Anexo 6)

El COBIT está orientado al negocio, por tal motivo, está dirigido a proveedores, usuarios, auditores, y principalmente para la gerencia y ejecutivos a cargo. Los criterios que considera el COBIT, la efectividad de la información sea relevante, pertinente, oportuna, correcta, consistente y utilizable; la eficiencia (más productivo y económico) uso de los recursos; la confidencialidad, la integridad está relacionada con la precisión y completitud de la información,. La disponibilidad de la información, la protección de los recursos y las capacidades necesarias asociadas, el cumplimiento a las leyes, reglamentos y acuerdos contractuales; y La confiabilidad.

Cuando se dice que es orientado al negocio, se centra desde los requerimientos del negocio, a partir de allí de destina la inversión en los recursos de TI que serán necesarios para cumplir con dichos requerimientos, estos recursos son destinados a los procesos de TI que permiten otorgar la información requerida para el logro de los objetivos de la empresa. (Ver Anexo 7)

Las metas del negocio en TI parten de las metas del negocio y de la estrategia de la empresa. Las metas de TI nacen de los requerimientos del negocio y del gobierno TI, los mismo que requieren de servicios de TI para el logro de las metas TI. La arquitectura empresarial para TI sirve para el desarrollo de los procesos de TI, los procesos TI están desarrollados por una infraestructura, aplicaciones, información y personas. El resultado de estos procesos TI son medibles a través de métricas para evaluar su desempeño. A partir de allí se realiza un balance entre lo deseado y lo alcanzado y se determina las brechas a fin de buscar aproximarse a la estrategia de la empresa. (Ver Anexo 8).

Las metas de TI tienen soporte en los procesos de TI, los mismos que están apoyados sobre los recursos que se destinan para el desarrollo de dichos procesos (aplicaciones, información, infraestructura y personas). Estos procesos tienen información de salida o resultados, los mismo que pueden ser evaluados para determinar el grado del logro de las metas de la empresa (Ver Anexo 9)

En el Anexo 11 y Anexo 12 podemos el logro de las metas de las actividades llegan a obtener las metas del negocio. El logro de las metas están sujetos a métricas y mediciones que miden el desempeño de los procesos.

IV. CONCLUSIONES

El gobierno de Ti da mayor responsabilidad de administrar los controles de TI al dueño del proceso y ya no al de TI.

El COBIT ayuda a las empresas a generar mayor valor de las TI y soporta al alineamiento del negocio y el cumplimiento de los objetivos estratégicos.

Un factor importante es el compromiso del directorio. La dirección debe tener claro que el uso de "buenas prácticas" aplicadas a las TI como el COBIT son claves para el éxito empresarial.

3

esan

COBIT soporta al gobierna de TI, brinda la metodología y los buenas prácticas en procesos y control de TI, y trata de garantizar el cumplimiento de los objetivos estratégicos.

El uso del gobierno de Ti está vinculado al desarrollo a la gestión de la información para darle integridad, disponibilidad, confiabilidad y cumplimientos legales.

La importancia del Gobierno de TI en las organizaciones responde también a las fallas de gobernabilidad ocurridas en 2002 (Enron, worldcom), donde se da mayor a responsabilidad a los directores de las compañías (ley SOX).

V. RECOMENDACIONES

Dentro de las organizaciones debería ver un comité de gobierno corporativo que permita fomentar mejoras en la gobernabilidad de la organización y también introducir control a la generación del Valor de las TI a través del Gobierno de TI.

El Gobierno corporativo debería enfatizar en la ética desde una perspectiva que reduzca las fallas de gobernabilidad.

El Gobierno corporativo debe contemplar políticas internas que no solo generen un valor económico sino también social. Las normas por si solas no garantizar su cumplimiento sino que deberían de aplicarse políticas internas por decisión de los directores y gerentes para toda la organización.

4

esan

VI. ANEXOS

Anexo 1: El modelo del ciclo de Deming

Fuente: http://www.degerencia.com/articulo/estrategias-y-abordajes-para-incrementar-la-mejora-continua-en-las-organizaciones

Anexo 2: Administración de la Información

5

esan

Anexo 3: Diagrama de Procesos del Cobit

6

esan

Anexo 4: Mapa de Trabajo para Gobierno, riesgo y cumplimiento de TI

Fuente: Mapa Mental Creado por @FrancoIT_GRC – Abril 2012 – http://www.linkedin.com/in/francoitgrc

esan

Anexo 5: Áreas de Enfoque de Gobierno TI

Anexo 6: Interrelaciones del los componentes TI

esan

Anexo 7: Principios Basicos de TI

Anexo 8: Metas de TI y Arquitectura Empresarial de TI

1

esan

Anexo 9: Gestión de Recursos de TI para l logro de las metas TI

Anexo 10: Presentación grafica de los modelos de madurez

2

esan

Anexo 11: Ejemplo de relaciones entre metas

Anexo 12: Posibles medidas de resultados