p. 1

4 4.1 marco de trabajo objetivos de control directrices gerenciales modelos de madurez

[close]

p. 2

cobit 4.1 el it governance institute® el it governance institute itgitm por sus siglas en inglés www.itgi.org se estableció en 1998 para evolucionar el pensamiento y los estándares internacionales respecto a la dirección y control de la tecnología de información de una empresa un gobierno de ti efectivo ayuda a garantizar que ti soporte las metas del negocio optimice la inversión del negocio en ti y administre de forma adecuada los riesgos y oportunidades asociados a la ti el it governance institute ofrece investigación original recursos electrónicos y casos de estudio para ayudar a los líderes de las empresas y a sus consejos directivos en sus responsabilidades de gobierno de ti cláusula de limitación de responsabilidad el it governance institute el dueño diseñó y creó esta publicación titulada cobit® 4.1 el trabajo en primer lugar como un recurso educacional para los directores ejecutivos de información para la dirección general y para los profesionales de administración y control de ti el dueño no garantiza que el uso de alguna parte del trabajo asegure un resultado exitoso no se debe considerar que el trabajo incluya alguna información procedimientos o pruebas propias o exclusivas de otra información procedimientos y pruebas que estén dirigidas a obtener los mismos resultados de modo razonable al determinar la propiedad de cualquier información procedimiento o prueba específica los directores ejecutivos de información la dirección general la gerencia de ti y los profesionales de control deben aplicar su propio juicio profesional a las circunstancias específicas que surjan de los sistemas específicos o del entorno de tecnología de información acuerdo de licencia de uso disclosure derechos de autor copyright © 2007 por el it governance institute todos los derechos reservados está prohibido copiar reproducir modificar distribuir desplegar almacenar en cualquier sistema de recuperación de información o transmitir cualquier parte de esta publicación de alguna forma y por algún medio electrónico mecánico fotocopias grabación o cualquier otro sin la autorización previa y por escrito del it governance institute la reproducción de partes de esta publicación para uso interno no comercial ó académico exclusivamente está permitida y deberá incluir la referencia completa al origen del material no se otorga ningún otro derecho o permiso con respecto a este material it governance institute 3701 algonquin road suite 1010 rolling meadows il 60008 ee.uu teléfono +1.847.590.7491 fax +1.847.253.1443 correo electrónico info@itgi.org sitio web www.itgi.org cobit® 4.1 printed in the united states of america © 2007 it governance institute all rights reserved www.itgi.org

[close]

p. 3

cobit 4.1 agradecimientos it governance institute desea reconocer a desarrolladores expertos y revisores mark adler cisa cism cia cissp allstate ins co usa peter andrews cisa citp mcmi pja consulting uk georges ataya cisa cism cissp mscs pba solvay business school belgium gary austin cisa cia cissp cgfm kpmg llp usa gary s baker ca deloitte touche canada david h barnett cism cissp applera corp usa christine bellino cpa citp jefferson wells usa john w beveridge cisa cism cfe cgfm cqa massachusetts office of the state auditor usa alan boardman cisa cism ca cissp fox ti uk david bonewell cisa cissp-issep accomac consulting llc usa dirk bruyndonckx cisa cism kpmg advisory belgium don canilglia cisa cism usa luis a capua cism sindicatura general de la nación argentina boyd carter pmp elegantsolutions.ca canada dan casciano cisa ernst young llp usa sean v casey cisa cpa usa sushil chatterji edutech singapore edward chavannes cisa cissp ernst young llp usa christina cheng cisa cissp sscp deloitte touche llp usa dharmesh choksey cisa cpa cissp pmp kpmg llp usa jeffrey d custer cisa cpa cia ernst young llp usa beverly g davis cisa federal home loan bank of san francisco usa peter de bruyne cisa banksys belgium steven de haes university of antwerp management school belgium peter de koninck cisa cfsa cia swift sc belgium philip de picker cisa mca national bank of belgium belgium kimberly de vries cisa pmp zurich financial services usa roger s debreceny ph.d fcpa university of hawaii usa zama dlamini deloitte touche llp south africa rupert dodds cisa cism fca kpmg new zealand troy dumoulin pink elephant canada bill a durrand cisa cism ca ernst young llp canada justus ekeigwe cisa mbcs deloitte touche llp usa rafael eduardo fabius cisa republica afap s.a uruguay urs fischer cisa cia cpa swiss swiss life switzerland christopher fox aca pricewaterhousecoopers usa bob frelinger cisa sun microsystems inc usa zhiwei fu ph d fannie mae usa monique garsoux dexia bank belgium edson gin cisa cfe sscp usa sauvik ghosh cisa cia cissp cpa ernst young llp usa guy groner cisa cia cissp usa erik guldentops cisa cism university of antwerp management school belgium gary hardy ti winners south africa jimmy heschl cisa cism kpmg austria benjamin k hsaio cisa federal deposit insurance corp usa tom hughes acumen alliance australia monica jain csqa covansys corp us wayne d jones cisa australian national audit office australia john a kay cisa usa lisa kinyon cisa countrywide usa rodney kocot systems control and security inc usa luc kordel cisa cism cissp cia re rfa dexia bank belgium linda kostic cisa cpa usa john w lainhart iv cisa cism ibm usa philip le grand capita education services uk elsa k lee cisa cism csqa advansoft international inc usa kenny k lee cisa cissp countrywide smart governance usa debbie lew cisa ernst young llp usa it governance institute 1

[close]

p. 4

cobit 4.1 agradecimientos cont donald lorete cpa deloitte touche llp usa addie c.p lui mcsa mcse first hawaiian bank usa debra mallette cisa cssbb kaiser permanente usa charles mansour cisa charles mansour audit risk service uk mario micallef cpaa fia national australia bank group australia niels thor mikkelsen cisa cia danske bank denmark john mitchell cisa cfe citp fbcs fiia miia qica lhs business control uk anita montgomery cisa cia countrywide usa karl muise cisa city national bank usa jay s munnelly cisa cia cgfm federal deposit insurance corp usa sang nguyen cisa cissp mcse nova southeastern university usa ed o donnell ph.d cpa university of kansas usa sue owen department of veterans affairs australia robert g parker cisa ca cmc fca robert g parker consulting canada robert payne trencor services pty ltd south africa thomas phelps iv cisa pricewaterhousecoopers llp usa vitor prisca cism novabase portugal martin rosenberg ph.d ti business management uk claus rosenquist cisa trygvesata denmark jaco sadie sasol south africa max shanahan cisa fcpa max shanahan associates australia craig w silverthorne cisa cism cpa ibm business consulting services usa chad smith great-west life canada roger southgate cisa cism fcca cubeit management ltd uk paula spinner csc usa mark stanley cisa toyota financial services usa dirk e steuperaert cisa pricewaterhousecoopers belgium robert e stroud ca inc usa scott l summers ph.d brigham young university usa lance m turcato cisa cism cpa city of phoenix ti audit division usa wim van grembergen ph.d university of antwerp management school belgium johan van grieken cisa deloitte belgium greet volders voquals nv belgium thomas m wagner gartner inc usa robert m walters cisa cpa cga office of the comptroller general canada freddy withagels cisa capgemini belgium tom wong cisa cia cma ernst young llp canada amanda xu cisa pmp kpmg llp usa junta de síndicos de itgi everett c johnson cpa deloitte touche llp retired usa international president georges ataya cisa cism cissp solvay business school belgium vice president william c boni cism motorola usa vice president avinash kadam cisa cism cissp cbcp gsec gcih miel e-security pvt ltd india vice president jean-louis leignel mage conseil france vice president lucio augusto molina focazzio cisa colombia vice president howard nicholson cisa city of salisbury australia vice president frank yam cisa fhkiod fhkcs ffa cia cfe ccp cfsa focus strategic group hong kong vice president marios damianides cisa cism ca cpa ernst young llp usa past international president robert s roussey cpa university of southern california usa past international president ronald saull csp great-west life and igm financial canada trustee comité de gobierno de ti tony hayes fcpa queensland government australia chair max blecher virtual alliance south africa sushil chatterji edutech singapore anil jogani cisa fca tally solutions limited uk john w lainhart iv cisa cism ibm usa rómulo lomparte cisa banco de crédito bcp peru michael schirmbrand ph.d cisa cism cpa kpmg llp austria ronald saull csp great-west life assurance and igm financial canada 2 © 2007 it governance institute all rights reserved www.itgi.org

[close]

p. 5

cobit 4.1 comité directivo de cobit roger debreceny ph.d fcpa university of hawaii usa chair gary s baker ca deloitte touche canada dan casciano cisa ernst young llp usa steven de haes university of antwerp management school belgium peter de koninck cisa cfsa cia swift sc belgium rafael eduardo fabius cisa república afap sa uruguay urs fischer cisa cia cpa swiss swiss life switzerland erik guldentops cisa cism university of antwerp management school belgium gary hardy ti winners south africa jimmy heschl cisa cism kpmg austria debbie a lew cisa ernst young llp usa maxwell j shanahan cisa fcpa max shanahan associates australia dirk steuperaert cisa pricewaterhousecoopers llc belgium robert e stroud ca inc usa grupo asesor de itgi ronald saull csp great-west life assurance and igm financial canada chair roland bader f hoffmann-la roche ag switzerland linda betz ibm corporation usa jean-pierre corniou renault france rob clyde cism symantec usa richard granger nhs connecting for health uk howard schmidt cism r&h security consulting llc usa alex siow yuen khong starhub ltd singapore amit yoran yoran associates usa afiliados y patrocinadores de itgi isaca chapters american institute for certified public accountants asis international the center for internet security commonwealth association of corporate governance fida inform information security forum the information systems security association institut de la gouvernance des systèmes d information institute of management accountants isaca itgi japan solvay business school university of antwerp management school aldion consulting pte lte ca hewlett-packard ibm loglogic inc phoenix business and systems process inc symantec corporation wolcott group llc world pass ti solutions isaca desea agradecer a los siguientes asociados la traducción y revision de cobit 4.1 versión en español alexander zapata lenis cgeit cisa cobit accredited trainer pmp itil roberto soriano doménech cism cisa cobit-f © 2007 it governance institute all rights reserved www.itgi.org 3

[close]

p. 6

cobit 4.1 Índice resumen ejecutivo 5 marco de trabajo cobit 9 planear y organizar 29 adquirir e implementar 73 entregar y dar soporte 101 monitorear y evaluar 153 apéndice i tabla de enlaces entre metas y procedimientos 169 apéndice ii mapeo entre los procesos de ti y las Áreas focales de gobierno de ti coso los recursos ti de cobit y los criterios de información de cobit 173 apéndice iii ­ modelo de madurez para el control interno 175 apéndice iv ­ cobit 4.1 material de referencia primario 177 apéndice v ­ referencias cruzadas entre la 3ª edición de cobit y cobit 4.1 179 apéndice vi ­ aproximación a investigación y desarrollo 187 apéndice vii glosario 189 apéndice viii cobit y productos relacionados 195 tus comentarios sobre cobit 4.1 serán bienvenidos por favor visita www.isaca.org/cobitfeedback para enviar comentarios 4 © 2007 it governance institute all rights reserved www.itgi.org

[close]

p. 7

resumen ejecutivo resumen ejecutivo

[close]

p. 8

resumen ejecutivo resumen ejecutivo para muchas empresas la información y la tecnología que las soportan representan sus más valiosos activos aunque con frecuencia son poco entendidos las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados stakeholders estas empresas también entienden y administran los riesgos asociados tales como el aumento en requerimientos regulatorios así como la dependencia crítica de muchos procesos de negocio en ti la necesidad del aseguramiento del valor de ti la administración de los riesgos asociados a ti así como el incremento de requerimientos para controlar la información se entienden ahora como elementos clave del gobierno corporativo el valor el riesgo y el control constituyen la esencia del gobierno de ti el gobierno de ti es responsabilidad de los ejecutivos del consejo de directores y consta de liderazgo estructuras y procesos organizacionales que garantizan que ti en la empresa sostiene y extiende las estrategias y objetivos organizacionales más aún el gobierno de ti integra e institucionaliza las buenas prácticas para garantizar que ti en la empresa soporta los objetivos del negocio de esta manera el gobierno de ti facilita que la empresa aproveche al máximo su información maximizando así los beneficios capitalizando las oportunidades y ganando ventajas competitivas estos resultados requieren un marco de referencia para controlar la ti que se ajuste y sirva como soporte a coso committee of sponsoring organisations of the treadway commission marco de referencia integrado ­ control interno el marco de referencia de control ampliamente aceptado para gobierno corporativo y para la administración de riesgos así como a marcos compatibles similares las organizaciones deben satisfacer la calidad los requerimientos fiduciarios y de seguridad de su información así como de todos sus activos la dirección también debe optimizar el uso de los recursos disponibles de ti incluyendo aplicaciones información infraestructura y personas para descargar estas responsabilidades así como para lograr sus objetivos la dirección debe entender el estatus de su arquitectura empresarial para ti y decidir qué tipo de gobierno y de control debe aplicar los objetivos de control para la información y la tecnología relacionada cobit® brindan buenas prácticas a través de un marco de trabajo de dominios y procesos y presenta las actividades en una estructura manejable y lógica las buenas prácticas de cobit representan el consenso de los expertos están enfocadas fuertemente en el control y menos en la ejecución estas prácticas ayudarán a optimizar las inversiones habilitadas por ti asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien para que ti tenga éxito en satisfacer los requerimientos del negocio la dirección debe implementar un sistema de control interno o un marco de trabajo el marco de trabajo de control cobit contribuye a estas necesidades de la siguiente manera · estableciendo un vínculo con los requerimientos del negocio · organizando las actividades de ti en un modelo de procesos generalmente aceptado · identificando los principales recursos de ti a ser utilizados · definiendo los objetivos de control gerenciales a ser considerados la orientación al negocio que enfoca cobit consiste en alinear las metas de negocio con las metas de ti brindando métricas y modelos de madurez para medir sus logros e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de ti el enfoque hacia procesos de cobit se ilustra con un modelo de procesos el cual subdivide ti en 34 procesos de acuerdo a las áreas de responsabilidad de planear construir ejecutar y monitorear ofreciendo una visión de punta a punta de la ti los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos es decir aplicaciones información infraestructura y personas en resumen para proporcionar la información que la empresa necesita para lograr sus objetivos los recursos de ti deben ser administrados por un conjunto de procesos agrupados de forma natural pero ¿cómo puede la empresa poner bajo control ti de tal manera que genere la información que la empresa necesita ¿cómo puede administrar los riesgos y asegurar los recursos de ti de los cuales depende tanto ¿cómo puede la empresa asegurar que ti logre sus objetivos y soporte los del negocio primero la dirección requiere objetivos de control que definan la meta final de implementar políticas procedimientos prácticas y estructuras organizacionales diseñadas para brindar un aseguramiento razonable de que · se alcancen los objetivos del negocio · se prevengan o se detecten y corrijan los eventos no deseados © 2007 it governance institute all rights reserved www.itgi.org 5

[close]

p. 9

cobit 4.1 en segundo lugar en los complejos ambientes de hoy en día la dirección busca continuamente información oportuna y condensada para tomar decisiones difíciles respecto a riesgos y controles de manera rápida y exitosa ¿qué se debe medir y cómo las empresas requieren una medición objetiva de dónde se encuentran y dónde se requieren mejoras y deben implementar una caja de herramientas gerenciales para monitorear esta mejora la figura 1 muestra algunas preguntas frecuentes y las herramientas gerenciales de información usadas para encontrar las respuestas aunque estos tableros de control requieren indicadores los marcadores de puntuación requieren mediciones y los benchmarking requieren una escala de comparación una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de control y desempeño de ti son las definiciones específicas de cobit de los siguientes conceptos · benchmarking de la capacidad de los procesos de ti expresada como modelos de madurez derivados del modelo de madurez de la capacidad del instituto de ingeniería de software · metas y métricas de los procesos de ti para definir y medir sus resultados y su desempeño basados en los principios de balanced scorecard de negocio de robert kaplan y david norton · metas de actividades para controlar estos procesos con base en los objetivos de control detallados de cobit la evaluación de la capacidad de los procesos basada en los modelos de madurez de cobit es una parte clave de la implementación del gobierno de ti después de identificar los procesos y controles críticos de ti el modelo de madurez permite identificar y demostrar a la dirección las brechas en la capacidad entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de capacidad deseado 2 cobit da soporte al gobierno de ti figura 2 al brindar un marco de trabajo que garantiza que f · ti está alineada con el negocio · ti habilita al negocio y maximiza los beneficios · los recursos de ti se usan de manera responsable · los riesgos de ti se administran apropiadamente la medición del desempeño es esencial para el gobierno de ti cobit le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir referentes a lo que los procesos de ti requieren generar resultado del proceso y cómo lo generan capacidad y desempeño del proceso muchos estudios han identificado que la falta de transparencia en los costos valor y riesgos de ti es uno de los más importantes impulsores para el gobierno de ti mientras las otras áreas consideradas contribuyen la transparencia se logra de forma principal por medio de la medición del desempeño 6 © 2007 it governance institute all rights reserved www.itgi.org

[close]

p. 10

resumen ejecutivo estas áreas de enfoque de gobierno de ti describen los tópicos en los que la dirección ejecutiva requiere poner atención para gobernar a ti en sus empresas la dirección operacional usa procesos para organizar y administrar las actividades cotidianas de ti cobit brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de ti ofreciendo un modelo de referencia común entendible para los gerentes operativos de ti y del negocio se establecieron equivalencias entre los modelos de procesos cobit y las áreas de enfoque del gobierno de ti vea apéndice ii equivalencia entre procesos de ti y las áreas de enfoque del gobierno de ti coso recursos ti de cobit y criterios de información cobit ofreciendo así un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar para lograr un gobierno efectivo los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se encuentren dentro de un marco de control definido para todo los procesos de ti los objetivos de control de ti de cobit están organizados por proceso de ti por lo tanto el marco de trabajo brinda una alineación clara entre los requerimientos de gobierno de ti los procesos de ti y los controles de ti cobit se enfoca en qué se requiere para lograr una administración y un control adecuado de ti y se posiciona en un nivel alto cobit ha sido alineado y armonizado con otros estándares y mejores prácticas más detallados de ti vea apéndice iv cobit actúa como un integrador de todos estos materiales guía resumiendo los objetivos clave bajo un mismo marco de trabajo integral que también se alinea con los requerimientos de gobierno y de negocios coso y marcos de trabajo compatibles similares es generalmente aceptado como el marco de trabajo de control interno para las empresas cobit es el marco de trabajo de control interno generalmente aceptado para ti los productos cobit se han organizado en tres niveles figura 3 diseñados para dar soporte a f 3 · administración y consejos ejecutivos · administración del negocio y de ti · profesionales en gobierno aseguramiento control y seguridad brevemente los productos cobit incluyen · el resumen informativo al consejo sobre el gobierno de ti 2ª edición diseñado para ayudar a los ejecutivos a entender porqué el gobierno de ti es importante cuáles son sus intereses y cuales son sus responsabilidades para administrarlo · directrices gerenciales modelos de madurez ayudan a asignar responsabilidades medir el desempeño llevar a cabo benchmarks y manejar brechas en la capacidad · marco de referencia explica cómo cobit organiza los objetivos de gobierno y las mejores prácticas de ti con base en dominios y procesos de ti y los alinea a los requerimientos del negocio · objetivos de control brindan objetivos a la dirección basados en las mejores prácticas genéricas para todas los procesos de ti · guía de implementación de gobierno de ti usando cobit y val ti 2ª edición proporciona un mapa de ruta para implementar gobierno ti utilizando los recursos cobit y val ti · prácticas de control de cobit guía para conseguir los objetivos de control para el Éxito del gobierno de ti 2ª edición ­ proporciona una guía de por qué vale la pena implementar controles y cómo implementarlos · guía de aseguramiento de ti usando cobit ­ proporciona una guía de cómo cobit puede utilizarse para soportar una variedad de actividades de aseguramiento junto con los pasos de prueba sugeridos para todos los procesos de ti y objetivos de control el diagrama de contenido de cobit mostrado en la figura 3 presenta las audiencias principales sus preguntas sobre gobierno ti y los productos que generalmente les aplican para proporcionar las respuestas también hay productos derivados para propósitos específicos para dominios tales como seguridad o empresas especificas © 2007 it governance institute all rights reserved www.itgi.org 7

[close]

p. 11

cobit 4.1 todos estos componentes de cobit se interrelacionan ofreciendo soporte para las necesidades de gobierno de administración de control y de auditoría de los distintos interesados como se muestra en la figura 4 4 cobit es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control temas técnicos y riesgos de negocio y comunicar ese nivel de control a los interesados stakeholders cobit permite el desarrollo de políticas claras y de buenas prácticas para control de ti a través de las empresas cobit constantemente se actualiza y armoniza con otros estándares por lo tanto cobit se ha convertido en el integrador de las mejores prácticas de ti y el marco de referencia general para el gobierno de ti que ayuda a comprender y administrar los riesgos y beneficios asociados con ti la estructura de procesos de cobit y su enfoque de alto nivel orientado al negocio brindan una visión completa de ti y de las decisiones a tomar acerca de la misma los beneficios de implementar cobit como marco de referencia de gobierno sobre ti incluyen · mejor alineación con base en su enfoque de negocios · una visión entendible para la gerencia de lo que hace ti · propiedad y responsabilidades claras con base en su orientación a procesos · aceptación general de terceros y reguladores · entendimiento compartido entre todos los interesados con base en un lenguaje común · cumplimiento de los requerimientos coso para el ambiente de control de ti el resto de este documento brinda una descripción del marco de trabajo cobit así como todos los componentes esenciales organizados por los dominios ti de cobit y 34 procesos de ti esto proporciona un útil libro de referencia para toda la guía principal de cobit también se ofrecen varios apéndices como referencias útiles la información más reciente sobre cobit y los productos relacionados incluyendo herramientas en línea guías de implementación casos de estudio newsletter y materiales educativos se pueden consultar en www.isaca.org/cobit 8 © 2007 it governance institute all rights reserved www.itgi.org

[close]

p. 12

marco de trabajo marco de trabajo cobit

[close]

p. 13

marco de trabajo cobit marco de trabajo cobit la misión de cobit investigar desarrollar hacer público y promover un marco de control de gobierno de ti autorizado actualizado aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio profesionales de ti y profesionales de aseguramiento la necesidad de un marco de trabajo de control para el gobierno de ti ti un marco de control para el gobierno ti define las razones de por qué se necesita el gobierno de ti los interesados y que se necesita cumplir en el gobierno de ti por qué cada vez más la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa la dirección espera un alto entendimiento de la manera en que la tecnología de información ti es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva en particular la alta dirección necesita saber si con la información administrada en la empresa es posible que · garantice el logro de sus objetivos · tenga suficiente flexibilidad para aprender y adaptarse · cuente con un manejo juicioso de los riesgos que enfrenta · reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas las empresas exitosas entienden los riesgos y aprovechan los beneficios de ti y encuentran maneras para · alinear la estrategia de ti con la estrategia del negocio · asegurar que los inversionistas y accionistas logran un debido cuidado estandarizado para la mitigación de los riesgos de ti · lograr que toda la estrategia de ti así como las metas fluyan de forma gradual a toda la empresa · proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas · crear relaciones constructivas y comunicaciones efectivas entre el negocio y ti y con socios externos · medir el desempeño de ti las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de referencia de gobierno y de control para ti de tal manera que · se forme un vínculo con los requerimientos del negocio · el desempeño real con respecto a estos requerimientos sea transparente · se organicen sus actividades en un modelo de procesos generalmente aceptado · se identifiquen los principales recursos a ser apalancados · se definan los objetivos de control gerenciales a ser considerados además el gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración de ti y sirven como facilitadores para establecer el gobierno de ti y cumplir con el constante incremento de requerimientos regulatorios las mejores prácticas de ti se han vuelto significativas debido a varios factores · directores de negocio y consejos directivos que demandan un mayor retorno de la inversión sobre ti es decir que ti genere lo que el negocio necesita para mejorar el valor de los interesados stakeholders · preocupación por el creciente nivel de gasto en ti · la necesidad de satisfacer requerimientos regulatorios para controles de ti en áreas como privacidad y reportes financieros por ejemplo sarbanes-oxley act basel ii y en sectores específicos como el financiero farmacéutico y de atención a la salud · la selección de proveedores de servicio y el manejo de outsourcing y de adquisición de servicios · riesgos crecientemente complejos de ti como la seguridad de redes · iniciativas de gobierno de ti que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de ti aumentar el valor del negocio y reducir los riesgos de éste · la necesidad de optimizar costos siguiendo siempre que sea posible un enfoque estandarizado en lugar de enfoques desarrollados en forma especial · la madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como cobit itil iso 17799 iso 9001 cmm y prince2 · la necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia benchmarking © 2007 it governance institute all rights reserved www.itgi.org 9

[close]

p. 14

cobit 4.1 quién un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos cada uno de los cuales tiene necesidades específicas · interesados dentro de la empresa que tienen interés en generar valor de las inversiones en ti ­ aquellos que toman decisiones de inversiones ­ aquellos que deciden respecto a los requerimientos ­ aquellos que utilizan los servicios de ti · interesados internos y externos que proporcionan servicios de ti ­ aquellos que administran la organización y los procesos de ti ­ aquellos que desarrollan capacidades ­ aquellos que operan los servicios · interesados internos y externos con responsabilidades de control/riesgo ­ aquellos con responsabilidades de seguridad privacidad y/o riesgo ­ aquellos que realizan funciones de cumplimiento ­ aquellos que requieren o proporcionan servicios de aseguramiento qué para satisfacer los requerimientos previos un marco de referencia para el gobierno y el control de ti debe satisfacer las siguientes especificaciones generales · brindar un enfoque de negocios que permita la alineación entre las metas de negocio y de ti · establecer una orientación a procesos para definir el alcance y el grado de cobertura con una estructura definida que permita una fácil navegación en el contenido · ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de ti aceptados y que sea independiente de tecnologías específicas · proporcionar un lenguaje común con un juego de términos y definiciones que sean comprensibles en general para todos los interesados · ayudar a satisfacer requerimientos regulatorios al ser consistente con estándares de gobierno corporativo generalmente aceptados coso y con controles de ti esperados por reguladores y auditores externos como satisface cobit la necesidad como respuesta a las necesidades descritas en la sección anterior el marco de trabajo cobit se creó con las características principales de ser orientado a negocios orientado a procesos basado en controles e impulsado por mediciones orientado al negocio la orientación a negocios es el tema principal de cobit está diseñado para ser utilizado no sólo por proveedores de servicios usuarios y auditores de ti sino también y principalmente como guía integral para la gerencia y para los dueños de los procesos de negocio el marco de trabajo cobit se basa en el siguiente principio figura 5 para proporcionar 5 f la información que la empresa requiere para lograr sus objetivos la empresa necesita invertir en y administrar y controlar los recursos de ti usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida figura 5 ­ principio básico de cobit requerimientos de negocio que responde a dirige la inversión en información de la empresa cobit recursos de ti para entregar procesos de ti que es utilizado por el marco de trabajo cobit ofrece herramientas para garantizar la alineación con los requerimientos del negocio criterios de informaciÓn de cobit para satisfacer los objetivos del negocio la información necesita adaptarse a ciertos criterios de control los cuales son referidos en cobit como requerimientos de información del negocio con base en los requerimientos más amplios de calidad fiduciarios y de seguridad se definieron los siguientes siete criterios de información · la efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio y se proporcione de una efectividad manera oportuna correcta consistente y utilizable · la eficiencia consiste en que la información sea generada con el óptimo más productivo y económico uso de los recursos · la confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada 10 © 2007 it governance institute all rights reserved www.itgi.org

[close]

p. 15

marco de trabajo cobit · la integridad está relacionada con la precisión y completitud de la información así como con su validez de acuerdo a los valores y expectativas del negocio · la disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento también concierne a la protección de los recursos y las capacidades necesarias asociadas · el cumplimiento tiene que ver con acatar aquellas leyes reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios es decir criterios de negocios impuestos externamente así como políticas internas · la confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno metas de negocios y de ti mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio la definición de un conjunto de metas genéricas de negocio y de ti ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas toda empresa usa ti para habilitar iniciativas del negocio y estas pueden ser representadas como metas del negocio para ti el apéndice i proporciona una matriz de metas genéricas de negocios y metas de ti y como se asocian con los criterios de la información estos ejemplos genéricos se pueden utilizar como guía para determinar los requerimientos metas y métricas específicas del negocio para la empresa si se pretende que ti proporcione servicios de forma exitosa para dar soporte a la estrategia de la empresa debe existir una propiedad y una dirección clara de los requerimientos por parte del negocio el cliente y un claro entendimiento para ti de cómo y qué debe entregar el proveedor la figura 6 ilustra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos relacionados con iniciativas habilitadas por ti las metas de negocio para ti estos objetivos a su vez deben conducir a una clara definición de los propios objetivos de ti las metas de ti y luego éstas a su vez definir los recursos y capacidades de ti la arquitectura empresarial para ti requeridos para ejecutar de forma exitosa la parte que le corresponde a ti de la estrategia empresarial para que el cliente entienda las metas y los scorecard de ti todos estos objetivos y sus métricas asociadas se deben expresar en términos de negocio significativos para el cliente y esto combinado con una alineación efectiva de la jerarquía de objetivos asegurará que el negocio pueda confirmar que ti puede con alta probabilidad dar soporte a las metas del negocio1 figura 6 ­ definir las metas de ti y la arquitectura empresarial para ti estrategia de empresa metas de negocio para ti metas de ti arquitectura empresarial para ti métricas de ti requisitos de negocio requiere requisitos de gobierno entrega información ejecuta servicios de la información implica influye procesos de ti aplicaciones criterios de la información metas de negocio para ti necesita arquitectura empresarial para ti infraestructura y personas una vez que han sido definidas las metas alineadas estás requieren ser monitoreadas para garantizar que la entrega cumple con las expectativas esto se logra con métricas derivadas de las metas y capturadas en el scorecard de ti para que el cliente pueda entender las metas de ti y el scorecard de ti todos estos objetivos y métricas asociadas deben expresarse en términos de negocio significativos para el cliente esto combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio puede confirmar que es probable que ti soporte los objetivos de la empresa el apéndice i tablas de enlace entre metas y procesos proporciona una visión global de cómo las metas genéricas de negocio se relacionan con las metas de ti los procesos de ti y los criterios de la información las tablas ayudan a demostrar el ámbito de cobit y las relaciones completas de negocio entre cobit y los impulsores de la empresa la figura 6 ilustra que estos impulsores vienen del negocio y desde la capa de gobierno corporativo en primer lugar enfocándose más en las funcionalidades y velocidad de la entrega mas tarde en la relación costo-eficiencia retorno de inversión roi y cumplimiento recursos de ti la organización de ti se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las 1 es necesario señalar que la definición e implementación de una arquitectura empresarial para ti creara tambien metas que contribuyen a pero no se han derivado de los objetivos de negocio © 2007 it governance institute all rights reserved www.itgi.org 11

[close]