OTROS MODELOS DE SISTEMA DE

CONTROL

COCO (Canadá)
MECI (Colombia)
COBIT (Norteamérica)
 COBIT
¿QUÉ ES COBIT?
- Es un marco de control de TI.
- Parte de la premisa de que la TI requiere
proporcionar información para lograra los
objetivos de la organización.
- Promueve el enfoque y la propiedad de los
procesos
 COBIT DEFINICIÓN
Control
OBjectives for
Informatión and related
Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)

Fuente: Control Objetives for information and Related Technology (CObiT) y

presentación de Fernando Izquierdo Duarte 2002
 COBIT

El IT Governance Institute (ITGI) sus siglas en

ingles se estableció el 1998 para evolucionar el
pensamiento y los estándares internacionales
respecto a la dirección y control de la tecnología
de información de una empresa.
 COBIT
Para muchas empresas, la información y la
tecnología que la soportan representan sus más
valiosos activos, aunque con frecuencia son
poco entendido. Las empresas exitosas
reconocen los beneficios de la tecnología de
información y la utilizan para impulsa el valor de
sus stakeholders
 COBIT
El gobierno de TI facilita que la empresa
aproveche al máximo su información,
maximizando con los beneficios, capitalizando
las oportunidades y ganando ventajas
competitivas.
El marco de referencia para el control I es el
COSO aceptado por las empresas corporativas y
par la administración de riesgos.
 EL GOBIERNO DE TI

Es responsabilidad de los ejecutivos del Consejo

de Directivos y consta de liderazgo, estructura y
procesos organizacionales que garantizan que el
TI en la empresa sostiene y extiende las
estrategias y objetivos organizacionales.
 EL GOBIERNO DE TI
❖¿Cómo puede controlar el TI para que genere
información que la empresa necesita?
❖¿Cómo puede administrar los riesgos y
asegurar los recursos de TI?
❖¿Cómo puede asegurar la empresa que TI
logre sus objetivos y soporte las de la
empresa?
 GOBIERNO DE TI
1. La empresa requiere objetivos de control que defina
la meta final de implementar políticas,
procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar un
aseguramiento de:
a) Se alcance los objetivos de la empresa
b) Se prevengan o se detecten los eventos no
deseados.
2. En las actuales circunstancias, la dirección busca
continuamente información oportuna para tomar
decisiones respecto a riesgos y controles de manera
rápida y exitosa.
 GOBIERNO DE TI
¿Qué debe medir y como?
Una medición objetiva donde se encuentra y
donde se requiere mejoras, y deban
implementar una caja de herramientas
gerenciales para monitorear esta mejora.
ADMINISTRACIÓN DE LA
INFORMACIÓN
 SOPORTES
COBIT da soporte al gobierno de TI al brindar un marco
de trabajo que garantiza que:
- TI está alineado con el negocio
- TI habilita a la empresa y maximiza los beneficios.
- Los recursos de TI se usan de manera responsable.
- Los riesgos de TI se administran apropiadamente.
COSO es generalmente aceptado como marco de trabajo
de control interno para las empresas COBIT es el marco
de trabajo de control interno generalmente aceptado
para TI.
AREAS DE ENFOQUE DEL GOBIERNO
TI
 AREAS DE ENFOQUE DEL GOBIERNO
TI
Alineación estratégica.- Se enfoca en garantizar la alineación entre los planes de negocio y
de TI, en definir, mantener y validar la propuesta de valor de TI, y en alinear las operaciones
de TI con las operaciones de la empresa
Entrega de Valor.-Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de
entrega, asegurando que TI generan los beneficios prometidos en la estrategia
concentrándose en optimizar los costos y en brindar valor intrínseco de la TI.
Administración de recursos.-Se trata de la inversión óptima, así como la administración
adecuada de los recursos críticos de IT, aplicación, información, infraestructura y personas.
Los temas claves se refiere a la optimización de conocimiento y de infraestructura.
Administración de riesgos.-Requiere conciencia de riesgo por parte de los altos ejecutivos
de la empresa, un claro entendimiento del apetito de riesgo que tiene la empresa,
comprenden los requerimientos de cumplimiento, transparencia de los riesgos significativos
para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro
de la organización.
Medición del Desempeño.-rastrea y monitorea la estrategia de implementación, la
terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega
del servicio, con el uso, por ejemplo; de balanced scorecard que traducen la estrategia en
acción para lograr las metas medibles más allá del registro convencional.
 PRODUCTOS DE COBIT
Los productos de COBIT se han organizado en
tres niveles diseñados para dar soporte a:
i. Administración y Consejo Ejecutivo.
ii. Administración de la empresa y de TI
iii. Profesionales en gobierno, aseguramiento,
control y seguridad.
(ver gráfico)
 LOS PRODUCTOS COBIT INCLUYEN:

- Resumen informativo al Consejo sobre el gobierno de

TI.
- Directrices gerenciales/modelo de madurez- ayuda a
asignar responsabilidad, medir desempeño, llevar a
cabo benchmark.
- Marco de referencia.-explica como COBIT organiza los
objetivos de gobierno y las mejores prácticas de TI.
- Objetivos de control.-Brindan objetivos a la dirección
basado en las mejores practicas para todos los proceso
TI.
- Guía de implementación de gobierno de TI.
PRODUCTOS COBIT
 INTERRELACIÓN DE COMPONENTES

Todos estos componentes de COBIT se

interrelacionan, ofreciendo soporte para las
necesidades de gobierno, de administración, de
control y de auditoria de los distintos
interesados, como se muestra en seguida
INTERRELACIONES DE LOS
COMPONENTES DEL COBIT
 PRINCIPIOS BASICOS DE COBIT

• El marco de trabajo COBIT se basa en el siguiente

principio : Para proporcionar la información que
la empresa requiere para lograr sus objetivos, la
empresa necesita invertir en, y administrar y
controlar los recursos de TI usando un conjunto
estructurado de procesos que provean los
servicios que entregan la información empresarial
requerida.
• El marco de trabajo COBIT ofrece herramientas
para garantizar la alineación con los
requerimientos del negocio.
PRINCIPIOS BASICOS DEL COBIT
 METAS DE TI Y LA ARQUITECTURA
EMPRESARIAL PARA TI
Como la estrategia de la empresa se debe traducir por parte del
negocio en objetivos relacionados con iniciativas habilitadas por TI (Las
metas de negocio para TI). Estos objetivos a su vez, deben conducir a
una clara definición de los propios objetivos de TI (las metas de TI), y
luego éstas a su vez definir los recursos y capacidades de TI (la
arquitectura empresarial para TI) requeridos para ejecutar, de forma
exitosa la parte que le corresponde a TI de la estrategia empresarial.
Para que el cliente entienda las metas y los Scorecard de TI, todos
estos objetivos y sus métricas asociadas se deben expresar en
términos de negocio significativos para el cliente, y esto, combinado
con una alineación efectiva de la jerarquía de objetivos, asegurará que
el negocio pueda confirmar que TI puede, con alta probabilidad, dar
soporte a las metas del negocio
METAS DE TI Y LA ARQUITECTURA
EMPRESARIAL PARA TI
La Figura que sigue resume cómo las metas de
negocio para TI influencian la manera en que se
manejan los recursos necesarios de TI por parte
de los procesos de TI para lograr las metas de TI.
GÉSTION DE LOS RECURSOS DE TI
PARA ENTREGAR METAS DE TI
 LOS 4 DOMINIOS
INTERRELACIONADOS DE COBIT
 MODELO DE CONTROL

Sigue los principios que se evidencian en la

siguiente analogía: cuando se ajusta la
temperatura ambiente (estándar) para el
sistema de calefacción (proceso), el sistema
verificará de forma constante (comparar) la
temperatura ambiente (inf. de control) e
indicará (actuar) al sistema de calefacción para
que genere más o menos calor.
MODELO DE CONTROL
 FRONTERAS DE LOS CONTROLES DE
NEGOCIO, GENERALES Y APLICACIÓN
Los controles generales son aquellos que están inmersos en los
procesos y servicios de TI. Algunos ejemplos son:
• Desarrollo de sistemas
• Administración de cambios
• Seguridad
• Operaciones de computo
Los controles incluidos en las aplicaciones de los procesos del negocio
se conocen por lo general como controles de aplicación. Ejemplos:
• Integridad (Completitud)
• Precisión
• Validez
• Autorización
• Segregación de funciones
 FRONTERAS DE LOS CONTROLES DE
NEGOCIO, GENERALES Y APLICACIÓN
• COBIT asume que el diseño e implementación de los controles de
aplicación automatizados son responsabilidad de TI, y están
cubiertos en el dominio de Adquirir e Implementar, con base en los
requerimientos de negocio definidos, usando los criterios de
información de COBIT. La responsabilidad operativa de administrar
y controlar los controles de aplicación no es de TI, sino del dueño
del proceso de negocio.
• Por lo tanto, la responsabilidad de los controles de aplicación es una
responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la
naturaleza de la responsabilidad cambia de la siguiente manera:
• La empresa es responsable de:
– Definir apropiadamente los requisitos funcionales y de control
– Uso adecuadamente los servicios automatizados
FRONTERAS DE LOS CONTROLES DE
NEGOCIO,GENERALES Y APLICACIÓN
 LAS TRES DIMENSIONES DE LA MADUREZ
El modelo de madurez es una forma de medir qué tan bien
están desarrollados los procesos administrativos, esto es, qué
tan capaces son en realidad. Qué tan bien desarrollados o
capaces deberían ser, principalmente dependen de las metas
de TI y en las necesidades del negocio subyacentes a las
cuales sirven de base. Cuánta de esa capacidad es realmente
utilizada actualmente para retornar la inversión deseada en
una empresa. Por ejemplo, habrá procesos y sistemas críticos
que requieren de una mayor administración de la seguridad
que otros que son menos críticos. Por otro lado, el grado y
sofisticación de los controles que se requiere aplicar en un
proceso están más definidos por el apetito de riesgo de una
empresa y por los requerimientos aplicables.
LAS TRES DIMENSIONES DE LA MADUREZ
 MODELOS DE MADUREZ
Utilizando los modelos de madurez desarrollados para cada
uno de los procesos TI de COBIT, la gerencia podrá identificar:
• El desempeño real de la empresa—Dónde se encuentra la
empresa hoy
• El estatus actual de la industria—La comparación
• El objetivo de mejora de la empresa—Dónde desea estar la
empresa
• El crecimiento requerido entre “como es” y “como será”
Para hacer que los resultados sean utilizables con facilidad en
resúmenes gerenciales, donde se presentarán como un medio
para dar soporte al caso de negocio para planes futuros, se
requiere contar con un método gráfico de presentación (figura
12).
REPRESENTACIÓN GRAFICA DE LOS
MODELOS DE MADUREZ
 RELACION ENTRE METAS

Las metas están definidas de arriba hacia abajo por

lo que una meta de negocio determinará varias
metas de TI que la soporten. Una meta de TI se
logra por un proceso o la interacción de varios
procesos. Por lo tanto, las metas de TI ayudan a
definir las diferentes metas de proceso. A su vez,
cada meta de proceso requiere varias actividades,
estableciendo así las metas de actividad. La figura
16 proporciona un ejemplo de las relaciones de las
metas de negocio, TI, procesos y actividades.
EJEMPLO DE RELACIONES ENTRE METAS
 POSIBLES MEDIDAS DE RESULTADOS

• Medidas de Resultado indican cuando las metas

se han conseguido. Estas pueden medirse sólo
después el hecho y, por eso, se llaman ‘indicadores
pasados’.
• Los Indicadores de Desempeño, anteriormente
indicadores clave de desempeño (KPIs), indican si es
probable conseguir la meta. Se pueden medir antes
de que el resultado sea claro y, por eso, se llaman
‘indicadores futuros’.
La figura que sigue proporciona posibles metas o
medidas de resultado para los ejemplos utilizados.
POSIBLES MEDIDAS DE RESULTADOS PARA
EL EJEMPLO DEL ANTERIOR GRÁFICO
 INDICADORES QUE IMPULSAN

• Medidas de Resultado, anteriormente indicador clave

de meta, indican cuando las metas se han conseguido.
Estas pueden medirse sólo después el hecho y, por eso,
se llaman ‘indicadores pasados’.
• Los Indicadores de Desempeño, anteriormente
indicadores clave de desempeño, indican si es probable
conseguir la meta. Se pueden medir antes de que el
resultado sea claro y, por eso, se llaman ‘indicadores
futuros’.
• La figura siguente proporciona posibles metas o
medidas de resultado para los ejemplos utilizados.
POSIBLES IMPULSORES DE DESEMPEÑO PARA
EL EJEMPLO QUE ANTECEDE AL ANTERIOR
 RELACIONA ENTRE PROCESOS,METAS Y
MÁTRICAS
La figura que sigue ilustra la relación entre las
metas de negocio, de TI, de proceso y de las
actividades, y las diferentes métricas. La cascada de
metas es ilustrada desde arriba a la izquierda hasta
arriba a la derecha. Debajo de la meta está su
medida de resultado. La flecha indica que la misma
métrica es un indicador de desempeño para la meta
de más alto nivel.
COBIT proporciona métricas solo para los
resultados de las metas de TI marcadas con línea
punteada.
RELACIÓN ENTRE PROCESOS, METAS Y
MÉTRICAS
 METAS Y METRICAS

Las metas de negocio y TI utilizadas en la sección

de metas y métricas de COBIT, son
proporcionadas en apéndice aparte. Para cada
proceso de TI en COBIT, las metas y métricas se
presentan, como se indica en la siguiente figura
METAS Y METRICAS
 COBIT GESTION, CONTROL,
ALINEAMIENTO Y MONITOREO
• El marco de trabajo COBIT, por lo tanto,
relaciona los requerimientos de información y
de gobierno a los objetivos de la función de
servicios de TI. El modelo de procesos COBIT
permite que las actividades de TI y los
recursos que los soportan sean administrados
y controlados basados en los objetivos de
control de COBIT, y alineados y monitoreados
usando las metas y métricas de COBIT, como
se ilustra en la figura 21.
 COBIT GESTION, CONTROL,
ALINEAMIENTO Y MONITOREO
EL CUBO DE COBIT
MUCHAS GRACIAS