MODELO COBIT 4.

1 Y CASOS DE IMPLEMENTACIN
COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de
Tecnologa de Informacin (TI) que permite a la Gerencia cerrar la brecha entre
los requerimientos de control, aspectos tcnicos y riesgos de negocios.
COBIT habilita el desarrollo de polticas claras y buenas prcticas para el
control de TI a lo largo de las organizaciones.
COBIT fue publicado por primera vez COBIT fue publicado por primera vez por
ITGI en abril de 1996. Su ltima actualizacin COBIT 4.1 hace nfasis en
el
cumplimiento reglamentario,
ayudando
a
la
organizaciones
a
incrementar el valor de TI, destacando los vnculos entre los objetivos
del negocio y TI, y simplificando la implementacin del marco de trabajo
COBIT. Este marco de trabajo es la base para diferentes entes
reguladores a nivel mundial, con la finalidad de lograr que las entidades
reguladas optimicen sus inversiones de TI y administren adecuadamente sus
riesgos tecnolgicos.
COBIT define las actividades de TI en un modelo de 34 procesos genricos
agrupados en 4 dominios:
1. Planear y Organizar (PO) Estrategias y tcticas. Identificar la manera
en que TI pueda contribuir de la mejor manera al logro de los objetivos
del negocio. Proporciona direccin para la entrega de soluciones (AI) y la
entrega de servicio (DS).
2. Adquirir e Implementar (AI) Identificacin de soluciones, desarrollo o
adquisicin, cambios y/o mantenimiento de sistemas existentes.
Proporciona las soluciones y las pasa para convertirlas en servicios.
3. Entregar y Dar Soporte (DS) Cubre la entrega de los servicios
requeridos. Incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones operacionales. Recibe
las soluciones y las hace utilizables por los usuarios finales.
4. Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse
de forma regular en el tiempo en cuanto a su calidad y cumplimiento de
los requerimientos de control. Este dominio abarca la administracin del
desempeo, el monitoreo del control interno, el cumplimiento regulatorio
y la aplicacin del gobierno. Monitorear todos los procesos para asegurar
que se sigue la direccin provista.
Algunos casos de implementacin de COBIT 4.1 en ciertas empresas son:

Caso Banco Supervielle S.A., Argentina

Banco Supervielle es uno de los principales Bancos privados de la Repblica

Argentina cuyos orgenes se remontan a 1887 y actualmente se concentra
principalmente en la provisin de servicios bancarios y financieros a individuos
y pequeas y medianas empresas. Su red bancaria incluye 103 sucursales y 66
centros de servicios y 270 cajeros automticos ubicados en las principales
provincias del pas. En los ltimos aos la Alta Direccin del Banco comenz a
trabajar en un plan con el objetivo de mejorar la alineacin de la TI al negocio,
su entrega de valor, y a la vez administrar los riesgos y los recursos de manera
ms eficaz y eficiente.

Los planes en los cuales el Banco se encuentra trabajando actualmente que

derivaron del proyecto de Gobierno de TI y en los cuales est presente COBIT,
se pueden mencionar los siguientes:
Capacitacin: Una de los primeras tareas fue la de capacitar y concientizar

en materia de control interno, el Marco y las mejores prcticas. Para ello a

travs de nuestro capitulo local de ISACA (ADACSI), se capacitaron en COBIT
Fundamentos a todos los gerentes y reportes de las reas de Tecnologa y
Sistemas, incluyendo gerencias de Seguridad de la informacin, Desarrollo y
Mantenimiento de Sistemas, Riesgos de TI y continuidad del Negocio,
Administracin de Proyectos, Testing y QA como as tambin reas de
Procesos y por supuesto Infraestructura Tecnolgica.
Redefinicin

de los procesos internos de TI, basados en los

dominios de COBIT. En base a la agrupacin lgica de los procesos que
intervienen en el ciclo de vida de los procesos de TI del Banco se
redefinieron los mismos en base a los expuestos por COBIT agrupados en
los diferentes dominios del marco. En este punto se encontraron ciertos
procesos que dependan del grado de madurez actual y que su adaptacin
requerira mayores tiempos e inversin.

Redefinicin de Roles, Responsabilidades y nuevas funciones: Para

asegurar el logro de las diferentes iniciativas y alcanzar a cumplir las

premisas del proyecto que son ni ms ni menos que las necesidades de la
organizacin, en base a un detallado anlisis se fortalecieron e instauraron
las reas de Control de proyectos (PMO) y Gestin de Riesgos Informticos y
Continuidad del Negocio (IT Risk Governance).
Tablero de Control: Se elaboraron una serie de indicadores basados en las

principales mtricas de COBIT para medir el cumplimiento de las principales

actividades de control de los dominios. Estas mtricas tienen su propio plan
de implementacin y el mismo es gradual y depende de la criticidad del
proceso a medir.

 Anlisis de Riesgos. Un punto fundamental es la inclusin de la Gestin

de los Riesgos de TI. Para llevar adelante este plan se mejor la

metodologa y la gestin de los riesgos se bas en forma inicial a RISK IT. Un
punto importante es que en el ciclo anual de Gestin de Riesgos de TI, se
utilizan los principales puntos de control enmarcados en COBIT para cada
proceso de TI y el anlisis de Riesgos parte de dicha gua para asegurar el
alineamiento a dicho Marco entre otros factores importantes.
Utilizando los objetivos de control y procesos de COBIT como marco de
referencia, permitieron al Banco Supervielle, trazar un camino para alcanzar el
nivel de madurez fijado como meta tanto en tiempo como en calidad

Caso -- Banco Scotiabank, Costa Rica

Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los cinco
grandes bancos de Canad. Ha existido por ms de 178 aos y tiene presencia
en ms de 50 pases, siendo el banco ms "internacional" de los bancos
canadienses por la cantidad de sucursales que tiene fuera del pas, utilizando
la red internacional de sucursales y oficinas en Latinoamrica, Canad y
Estados Unidos, el Caribe, Europa, Asia y el Pacfico.
Siendo la cultura del control uno de los principios de BNS, la TI se apoya en los
canales existentes para difundir los controles implementados basados en la
utilizacin de los servicios web y en la unidad de cumplimiento de temas
regulatorios de TI (unidad encargada de la verificacin del cumplimiento de
regulaciones externas). Uno de los factores crticos del xito en la
implementacin de un buen gobierno de TI, fue utilizar la actual estructura
organizacional; para que planifique, organice, dirija, coordine, monitoree y
tome las decisiones adecuadas y oportunas para aprovechar las ventajas,
beneficios y oportunidades que se derivan de su utilizacin. Esto permiti que
la unidad de cumplimiento se convirtiera en el nico canal autorizado para
recibir y entregar requerimientos de parte de los auditores ya fueran internos o
externos. La estrategia de implementacin defini con claridad los objetivos
generales y especficos, que permitieran al equipo de TI alcanzar los objetivos
de manera efectiva, eficiente y econmica, as como de garantizar la
disponibilidad de los recursos requeridos de acuerdo a las tareas programadas,
la asignacin de personal comprometido y capaz de ejecutar con excelencia las
labores encomendadas y el seguimiento activo permanente del avance del
proyecto por parte del comit de TI.

El plan analiz en su primera fase, 17 procesos que requieren cumplir con los
niveles de madurez 2 y 3 de acuerdo con el proceso seleccionado. 6 Los
procesos incluidos fueron: PO1, PO3, PO5, PO9, PO10, AI3, AI5, AI6, DS2, DS3,
DS4, DS5, DS9, DS10, DS11, DS12, y el ME2. En la segunda fase de
implementacin se analizaron los 17 procesos restantes que deben alcanzar el
nivel de madurez 1 para posteriormente alcanzar de manera paulatina el nivel
de madurez 3 en un mximo de 3 aos a partir del ao 2010. Dentro del
proceso se incluyeron capacitaciones en COBIT y de buen gobierno de TI, stas
se enfocaron a fortalecer los conocimientos del personal participante en la
implementacin.

EL CUBO DE COBIT

PROCESOS DE TI

Agrupacin
natural
de
normalmente
corresponden
responsabilidad organizacional

procesos,
a
una

Conjuntos de actividades unidas con

delimitacin
o
cortes
de
control
delimitacin o cortes de control.

Acciones requeridas para lograr un

resultado medible. Las Actividades tienen
un ciclo de vida mientras que las tareas
son discretas.
PROCESOS: PLANEAR Y ORGANIZAR (PO)
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.

 PO4 Definir procesos, organizacin y relaciones de TI.

PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.
PROCESOS: ADQUIRIR E IMPLEMENTAR (AI)
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios
PROCESOS: ENTREGAR Y DAR SOPORTE (DS)
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.

 DS12 Administrar el ambiente fsico.

DS13 Administrar las operaciones.
PROCESOS: MONITOREAR Y EVALUAR (ME)
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
REQUERIMIENTOS DEL NEGOCIO
Efectividad: Se refiere a la informacin que es relevante para el negocio
y que debe ser entregada de manera correcta, oportuna, consistente y
usable.
Eficiencia: Se refiere a la provisin de informacin a travs del ptimo
(ms productivo y econmico) uso de los recursos.
Confidencialidad: Relativa a la proteccin de la informacin sensitiva de
su revelacin no autorizada.
Integridad: Se refiere a la exactitud y completitud de la informacin, as
como su validez, en Integridad concordancia con los valores y
expectativas del negocio.
Disponibilidad: Se refiere a la que la informacin debe estar disponible
cuando es requerida por los procesos del negocio ahora y en el futuro.
Involucra la salvaguarda de los recursos y sus capacidades de los
recursos y sus capacidades asociadas.
Cumplimiento: Se refiere a cumplir con aquellas leyes, regulaciones y
acuerdos contractuales, a los que estn sujetos los procesos del negocio
Confiabilidad: Se refiere a la provisin de la informacin apropiada a la
alta gerencia, para operar la entidad y para ejercer sus
responsabilidades financieras y de cumplir con los reportes de su
gestin.
RECURSOS DE TI
Datos: Todos los objetos de informacin. Considera informacin interna y
externa, estructurada o no, grficas, sonidos, etc.

 Aplicaciones: entendido como los sistemas de informacin, que integran

procedimientos manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos,
sistemas de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Incluye recursos necesarios para alojar y dar soporte a los
sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y
monitorear los sistemas de Informacin.
CONCLUSIN
La identificacin de procesos alineados a la organizacin, permiten que como
Gerentes de TI llevar un adecuado control del Gobierno de TI, satisfaciendo las
necesidades de los usuarios tanto internos como externos, as como
garantizando la adecuada administracin de recursos TI, ahorrando costos y
esfuerzos para la organizacin, alineados a las estrategias generales; y cuando
un Gerente de TI est alineado a COBIT le permite estructurar su estrategia de
mejora permanentemente por lo cual TI siempre estar alineada a las
necesidades del negocio. Las decisiones basadas en procesos estndares,
slidos y debidamente controlados como recomienda COBIT proporcionan
grandes beneficios en la ejecucin estratgica de cualquier organizacin, como
gerentes de TI esto permite fortalecer la implementacin de nuevos proyectos
a largo y mediano plazo.