cobit tarea.docx
TRANSCRIPT
-
8/16/2019 cobit tarea.docx
1/15
Caso de estudio de ITIL
Ejemplo de Ecopetrol SA
Liliana Lobato Camarena 12120371
qwertyuiopasdfghjklzxcvb
mqwertyuiopasdfghjklzxcv
bnmqwertyuiopasdfghjklzx
cvbnmqwertyuiopasdfghjk
zxcvbnmqwertyuiopasdfgh
klzxcvbnmqwertyuiopasdf
hjklzxcvbnmqwertyuiopasdghjklzxcvbnmqwertyuiopa
sdfghjklzxcvbnmqwertyuio
pasdfghjklzxcvbnmqwertyopasdfghjklzxcvbnmqwert
yuiopasdfghjklzxcvbnmqw
rtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbn
mqwertyuiopasdfghjklzxcv
bnmqwertyuiopasdfghjklzx
-
8/16/2019 cobit tarea.docx
2/15
1
ContenidoIntroducción........................................................................................................ 2
Sobre la empresa................................................................................................3
Implementación del marco de COBIT.................................................................. 4
strate!ias implementadas..............................................................................11
Conclusiones.....................................................................................................14
Biblio!ra"#a........................................................................................................ 1$
-
8/16/2019 cobit tarea.docx
3/15
2
Introducción
Objetivos de Control para Información y Tecnologías Relacionadas (COIT! en
ingl"s# Control Objectives for Information and related Tec$nology% es &na g&ía demejores pr'cticas presentado como frameor)! dirigida al control y s&pervisión de
tecnología de la información (TI%* +antenido por ISACA (en ingl"s# Information
Systems A&dit and Control Association% y el IT ,I (en ingl"s# IT ,overnance
Instit&te%! tiene &na serie de rec&rsos -&e p&eden servir de modelo de referencia
para la gestión de TI! incl¥do &n res&men ejec&tivo! &n frameor)! objetivos de
control! mapas de a&ditoría! $erramientas para s& implementación y
principalmente! &na g&ía de t"cnicas de gestión*
Ecopetrol SA es &na compa.ía de petróleo cr&do y gas nat&ral integrada
verticalmente dedicada a la e/ploración! desarrollo y prod&cción de petróleo cr&do
y gas nat&ral*
En este doc&mento veremos como Ecopetrol SA contrató a &n cons<or e/terno
para llevar a cabo la eval&ación del nivel de mad&re0 de COIT para los catorce
procesos críticos*
1a eval&ación confirmó la consec&ción de nivel 2 en doce procesos y el nivel 3 en
dos procesos*
https://es.wikipedia.org/wiki/Frameworkhttps://es.wikipedia.org/wiki/ISACAhttps://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1https://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1https://es.wikipedia.org/wiki/Frameworkhttps://es.wikipedia.org/wiki/ISACAhttps://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1https://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1
-
8/16/2019 cobit tarea.docx
4/15
3
Sobre la empresa
Ecopetrol SA es &na compa.ía de petróleo cr&do y gas nat&ral integrada
verticalmente dedicada a la e/ploración! desarrollo y prod&cción de petróleo cr&doy gas nat&ral* Ecopetrol SA es la empresa m's grande de Colombia de aceiteintegrado con cerca de 4*555 empleados directos* Es &na de las 35 mejorescompa.ías de petróleo del m&ndo y las c&atro compa.ías petroleras m's grandesde Am"rica 1atina* Adem's de Colombia! -&e representa el 65 por ciento de laprod&cción total de Ecopetrol! la compa.ía est' invol&crada en actividades dee/ploración y prod&cción en rasil! 7er8 y Estados 9nidos (,olfo de+"/ico%* Ecopetrol tambi"n est' incrementando significativamente s& participaciónen biocomb&stibles*
1a Forbes revista lista an&al de las :*555 empresas m's grandes del m&ndo (abril
de :5;5% indica -&e Ecopetrol se enc&entra en la posición :::! con la sig&ienteinformación# 3*;3 mil millones*
El Código de &en ,obierno de Ecopetrol comprende las mejores pr'cticascorporativas necesarias para preservar la "tica de negocios y la correctaadministración y control de la empresa* Esto permite a la empresa para competir por el reconocimiento y el respeto de los derec$os de los accionistas! inversores yotras partes interesadas sobre la base de políticas claras de transparencia en lagestión y div&lgación de la información acerca de la empresa! -&e a s& ve0generar &na mayor confian0a entre las partes interesadas y el mercado en
general* El sistema de control interno de Ecopetrol se enmarca dentro de losest'ndares internacionales (COSO%*
?ivisión de Tecnología de la Información de Ecopetrol depende del
-
8/16/2019 cobit tarea.docx
5/15
4
Implementación del marco de C!I"
1a estr&ct&ra del est'ndar COIT se divide en dominios -&e son agr&paciones deprocesos -&e corresponden a &na responsabilidad personal! procesos -&e son&na serie de actividades &nidas con delimitación o cortes de control y objetivos decontrol o actividades re-&eridas para lograr &n res<ado medible*
Se definen 23 objetivos de control generales! &no para cada &no de los procesos
de las TI* Estos procesos est'n agr&pados en c&atro grandes dominios -&e se
describen a contin&ación j&nto con s&s procesos y &na descripción general de las
actividades de cada &no*
DOMINIOS PROCESOS
PLANEACIÓN Y ORGANIZACIÓN (PO):C&bre la estrategia y las t'cticas! se refiere a la identificación
de la forma en -&e la tecnología de la información p&ede
contrib&ir de la mejor manera al logro de los objetivos de la
organi0ación* 1a consec&ción de la visión estrat"gica debe ser
planeada! com&nicada y administrada desde diferentes
perspectivas y debe establecerse &na organi0ación y &na
infraestr&ct&ra tecnológicas apropiadas*
PO1 Definir un Plan Esentre las oport&nidades de
negocio! para aseg&rar s&s
PO& Definir la Ar'uitere-&erimientos de la organ
información! a trav"s de la
la organi0ación*
PO* Deterinar la $ire"tecnología disponible o tec
organi0ación! a trav"s de
tecnológica*
PO+ Definir la Or!ani,aservicios de TI! por medio
con tareas y responsabilida
PO. Mane/ar la In0erside la organi0ación! aseg&
rec&rsos financieros*
PO C#uni"ar las $aseg&rar el conocimiento y
gerencia! a trav"s de polític
necesit'ndose para esto es
de &s&ario pr'cticas y &tili0
PO3 A$inistrar Re"ursdel personal a los proceso
-
8/16/2019 cobit tarea.docx
6/15
$
trav"s de t"cnicas sólidas p
PO5 Ase!urar el "u2obligaciones legales! reg
identificación y an'lisis de
llevando a cabo las medida
PO7 E0aluar Ries!#s# Eresponder a las amena0
participación de la propia
an'lisis de impacto! tomand
PO18 A$inistrar 2r#-eservicios oport&namente y
&na identificación y priori0a
parte de la misma organi0
sólidas t"cnicas de adminis
PO11 A$inistrar Cali$a$
mediante &na planeación! de administración de calida
AD9ISICIÓN E IMPLEMEN%ACIÓN (AI)7ara llevar a cabo la estrategia de TI! las sol&ciones de TI
deben ser identificadas! desarrolladas o ad-&iridas! así como
implementadas e integradas dentro del proceso del negocio*
Adem's! este dominio c&bre los cambios y el mantenimiento
reali0ados a sistemas e/istentes*
AI1 I$entifi"ar S#lu"i#neslos re-&erimientos del &s
alternativas comparadas co
AI& A$'uirir - Mantenerf&nciones a&tomati0adas
declaraciones específicas
implementación estr&ct&rad
AI* A$'uirir - Mantenerplataformas apropiadas reali0ación de &na eval&ac
mantenimiento preventivo
softare del sistema*
AI+ Desarr#llar - Mantenaseg&rar el &so apropiad
establecidas! mediante la
man&ales de procedimien
servicio y material de entre
AI. Instalar - A"re$itar S
sea adec&ada para el propinstalación! conversión y pl
AI A$inistrar Ca
-
8/16/2019 cobit tarea.docx
7/15
%
SER=ICIOS Y SOPOR%E (DS)En este dominio se $ace referencia a la entrega de los
servicios re-&eridos! -&e abarca desde las operaciones
tradicionales $asta el entrenamiento! pasando por seg&ridad y
aspectos de contin&idad* Con el fin de proveer servicios!
deber'n establecerse los procesos de soporte necesarios*Este dominio incl&ye el procesamiento de los datos por
sistemas de aplicación! frec&entemente clasificados como
controles de aplicación*
DS1 Definir ni0eles $e sdel nivel de servicio re-&e
de servicio -&e formalicen
cantidad y la calidad del se
DS& A$inistrar Ser0i"iresponsabilidades de las tcontin8en satisfaciendo los
de control dirigidas a la rev
en c&anto a s& efectivid
organi0ación*
DS* A$inistrar Dese2adec&ada est' disponible y
desempe.o deseado! reali0
recopilen datos y reporte
aplicaciones! manejo y dem
DS+ Ase!urar Ser0i"i# Cac&erdo con los re-&erimi
mediante &n plan de contin
contin&idad del negocio y re
DS. Garanti,ar la Se!uinformación contra &sos n
reali0ando controles de acc
programas est' restringido
DS I$entifi"ar - Asi!naratrib&ido a los servicios de
aseg&re -&e "stos sean rere-&eridos*
DS3 Ca2a"itar suari#s#&so efectivo de la tecnolog
invol&crados reali0ando &n
DS5 Asistir a l#s Clientee/perimentado por los &s&a
ay&da -&e proporcione sop
DS7 A$inistrar la C#componentes de TI! preven
y proporcionar &na base pidentifi-&en y registren tod
programa reg&lar de verific
DS18 A$inistrar Pr#
-
8/16/2019 cobit tarea.docx
8/15
7
DS11 A$inistrar Dat#scompletos! precisos y
almacenamiento! a trav"s
aplicación sobre las operac
DS1& A$inistrar Instalaconveniente -&e proteja el polvo! calor e/cesivos% o fa
controles físicos y ambient
f&ncionamiento apropiado
del personal a las instalacio
DS1* A$inistrar O2eraimportantes de soporte de
manera ordenada a trav"s
registrada y completada en
MONI%OREO (M)Todos los procesos de &na organi0ación necesitan ser
eval&ados reg&larmente a trav"s del tiempo para verificar s&
calidad y s&ficiencia en c&anto a los re-&erimientos de control!
integridad y confidencialidad*
M1 M#nit#rear l#s 2r#"eestablecidos para los proc
gerencia reportes e indica
sistemas de soporte! así co
M& E0aluar l# a$e"ua$# $objetivos de control interno
M* O
-
8/16/2019 cobit tarea.docx
9/15
&
#strategias implementadas$
En :55@! la ?ivisión de Tecnología de la Información eligió COIT como marco degobierno de TI adec&ada para integrar &n sistema de gestión de TI! basado en lassig&ientes características de COIT#
• Se permite el mapeo de los objetivos de TI a los objetivos de negocio*
• Es el res<ado de &na mejor alineación! basado en &n enfo-&e de negocio*
• 7roporciona &na visión de lo -&e $ace -&e sea comprensible para la
gestión*
• Se indica claramente la propiedad y las responsabilidades basadas en laorientación del proceso*
• En general se acepta por parte de terceros y reg&ladores*
• 7roporciona &n entendimiento compartido entre todas las partesinteresadas! sobre la base de &n leng&aje com8n*
• C&mple con los re-&isitos de COSO y SarbanesO/ley para el entorno decontrol de TI*
Ecopetrol decidió implementar :@ procesos de COIT! dando prioridad a losobjetivos de control -&e apoyan el c&mplimiento de SarbanesO/ley* 1a ?ivisiónde Tecnología de la Información $a desarrollado &n ejercicio interno paradeterminar el nivel de mad&re0 de estos procesos* ?esp&"s de llegar a laconcl&sión de -&e estaban en &n nivel promedio de mad&re0 :! el e-&ipo identificólas brec$as y establecer planes de acción para alcan0ar el nivel 2 de los procesosm's críticos*
-
8/16/2019 cobit tarea.docx
10/15
'
1as c&estiones clave -&e llevaron a los e/celentes res<ados del primer a.o deimplementación de COIT en el sistema de gestión de TI de Ecopetrol incl¥#
• 1a implementación de COIT se estr&ct&ró como &n proyecto! con &n plande trabajo detallado! $itos claramente definidos! asignación de trabajo ene-&ipo con dedicación y confian0a en la gestión de proyectos! gestión deriesgos y control de tiempo y los res<ados finales del proyecto*
-
8/16/2019 cobit tarea.docx
11/15
10
• El e-&ipo contó con el apoyo total de la administración! siempre -&e losinformes de progreso semanal! y se crió las desviaciones y acciones -&ere-&ieren la garantía*
• 1a empresa contrató conocidas empresas de cons<oría especiali0adas
-&e integran los e-&ipos con amplios conocimientos y e/periencia*
• 9n frente de la gestión del cambio! incl¥do las actividades de formacióny acreditación profesional! se estableció*
• El proyecto de planificación! el desarrollo y los res<ados se com&nicanefectivamente dentro de la empresa*
• &scar la apropiación de pr'cticas por parte de los propietarios de los
procesos y controlar responsable*
• El proyecto f&e bien integrado con todas las 'reas invol&cradas! y seaprovec$ó sinergias! especialmente con el e-&ipo de soporte de TI enoperaciones de transporte -&e proporcionó los res<ados de los esf&er0osanteriores y garanti0ó la perspectiva de los &s&arios de negocios
• Se establecieron &na com&nidad de pr'ctica y gestión de las leccionesaprendidas*
• Se definieron las estrategias de sostenibilidad y &na mayor optimi0ación delos procesos*
• 1a ?ivisión de Tecnologías de interact&ó de manera efectiva con lose-&ipos de a&ditoría*
• Se prestó especial atención a la separación de f&nciones! control deacceso! planificación de la contin&idad! desarrollo de softare y losproblemas de seg&ridad de la información*
• eval&aciones a nivel de mad&re0 se llevaron a cabo por &n terceroindependiente y competente*
• +'s de :5 empleados pasaron el e/amen de B&ndamentos de COIT yobt&vieron &n certificado de COIT*
•
-
8/16/2019 cobit tarea.docx
12/15
11
-
8/16/2019 cobit tarea.docx
13/15
12
Conclusiones
Si bien COIT es &n marco general! s& fle/ibilidad y versatilidad nos permiteadaptarlo a c&al-&ier tipo y tama.o de empresa! reali0ando &na implementacióngrad&al y progresiva acorde a los rec&rsos disponibles y acompasando laestrategia empresarial*
Si bien a8n no es re-&erido formalmente en forma reg&latoria! es &n est'ndar defacto en toda 1atinoam"rica y es &na f&erte recomendación en los 'mbitosfinancieros* Es parte de la misión de ISACA! la div&lgación de COIT y apoyo enla implementación como forma de promover la eficiencia y b&ena gestión de los
procesos de tecnología -&e nos permita compararnos y mejorar día a día en posde la concreción de los Objetivos de egocio*
Como p&dimos ver en el caso anterior si se implementa correctamente COITp&ede darle gran valor a la empresa! adem's de -&e en &n corto tiempo sereali0an los procesos! por ejemplo Ecopetrol lo logro en &n pla0o de 2 a.os ( del:55@:5;;% para estar en &n nivel >*
Ecopetrol $i0o &na integración del Sistema de ,estión de TI con el apoyo de laimplementación de COIT y la estr&ct&ración de la sostenibilidad y el modelo deoptimi0ación basado en procesos! Ecopetrol $a sentado &na base sólida para laconsolidación de la gobernabilidad de TI! riesgo y c&mplimiento*
Así como Ecopetrol las empresas p&eden &sar m8ltiples marcos de referencia -&eay&den a la empresa a a&mentar s& valor*
http://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos/planificacion/planificacion.shtmlhttp://www.monografias.com/trabajos/planificacion/planificacion.shtmlhttp://www.monografias.com/trabajos7/gepla/gepla.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos/planificacion/planificacion.shtmlhttp://www.monografias.com/trabajos7/gepla/gepla.shtml
-
8/16/2019 cobit tarea.docx
14/15
13
-
8/16/2019 cobit tarea.docx
15/15
14
!ibliograf%aISACA. (s.".). *ecuperado el 23 de ma+o de 201%, de COBIT Case Stud+-
Implementin! COBIT "or IT o/ernance, *is and Compliance at
copetrol S..- ttp-.isaca.or!5noled!e6Centercobita!esCOBIT6Case6Stud+6copetrol.asp8
Auditoria en Informatica CUN. (s.".). *ecuperado el 23 de ma+o de 201%, de
9istribución de los dominios + procesos de COBIT-
ttps-sites.!oo!le.comsiteauditoriaenin"ormaticacuncobitdominios6+6
procesos
Lo:ano, . L. ($ de ;o/iembre de 2014). lineando el obierno, *ies!o +
Cumplimiento de TI con COBIT $ Caso de studio copetrol.