Riesgos

¿Qué es COBIT y para qué sirve?

🕑 6 minutos de lectura

COBIT (Control Objetives for Information and Related Technology)

COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa.

Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se encuentra disponible la versión COBIT 2019. En la primera versión del marco de trabajo, COBIT se estableció como un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) y su público objetivo inicial eran los auditores de TI. La versión actual considera diversas partes interesadas, no solamente la función de TI de una empresa, sino a otros interesados como la Junta Directiva, Dirección Ejecutiva, Auditoría, etc.

La TI empresarial significa toda la tecnología y procesamiento de la información que una empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa. En otras palabras, la TI empresarial no se limita al Depto. de TI de una organización.

¿Para qué sirve?

COBIT sirve para proveer gobierno y gestión para la función de TI y hace una clara distinción entre estas dos disciplinas que abarcan distintos tipos de actividades, requieren distintas estructuras organizativas y sirven a diferentes propósitos.

El gobierno asegura que:

  • Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y acordados.
  • La dirección se establece a través de la priorización y la toma de decisiones.
  • El desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados.

En la mayoría de las empresas, el gobierno en general es responsabilidad de la Junta Directiva o Consejo de Dirección bajo el liderazgo de su Presidente.

Por su parte, la gestión tiene que ver con planificar, construir, ejecutar y monitorear actividades en línea con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa. En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del director general ejecutivo (CEO).

COBIT define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas, políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura, elementos conocidos en el modelo como Catalizadores.

COBIT define los factores de diseño que deberían ser considerados por la empresa para crear un sistema de gobierno más adecuado y trata los asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes dentro de objetivos de gobierno y gestión que pueden gestionarse según los niveles de capacidad requeridos.

Modelo de Referencia de Procesos:

Cobit-Core-Model

Fig. 1 Modelo Core de COBIT

Para que la información y la tecnología contribuyan a los objetivos de la empresa, deberían alcanzarse una serie de objetivos de gobierno y gestión. Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo oscuro de la figura 1), mientras que un objetivo de gestión está relacionado con un proceso de gestión (mostrado en el fondo azul claro de la figura 1).

Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante acciones que expresan el propósito clave y las áreas de actividad del objetivo que tienen:

  • Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estrategia.
  • Los objetivos de gestión se agrupan en cuatro dominios:
    • Alinear, Planificar y Organizar (APO) aborda la organización general, estrategia y actividades de apoyo para las I&T.
    • Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de soluciones de TI y su integración en los procesos de negocio.
    • Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de TI, incluida la seguridad.
    • Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de TI con los objetivos de desempeño interno, los objetivos de control interno y los requerimientos externos

En total el marco de trabajo considera 40 procesos, distribuidos en los 5 dominios, y cada proceso contiene una “caracterización del proceso” que incluye los siguientes componentes:

  • Descripción y propósito general del proceso
  • Encadenamiento con metas de negocio y metas de alineamiento (anteriormente conocidas como metas de TI)
  • Métricas para medir el desempeño de las metas de negocio
  • Métricas para medir el desempeño de las metas de alineamiento
  • Prácticas de gobierno y/o gestión que forman parte del proceso y para cada una de ellas
    • Métricas que permiten medir el desempeño de cada práctica de gobierno y/o gestión
    • Actividades a realizar en cada práctica de gobierno y/o gestión y nivel de capacidad mínimo requerido
    • Documentación relacionada (Estándares, Marcos, Requisitos de Cumplimiento)
    • Matriz de roles de responsabilidad y rendición de cuentas
    • Entradas y salidas de cada práctica de gobierno y/o gestión
  • Personas, habilidades y competencias
  • Políticas y procedimientos
  • Elementos culturales clave
  • Servicios, infraestructuras y aplicaciones

Publicaciones

Actualmente, están disponibles, entre otras, las siguientes publicaciones de la familia de productos COBIT® 2019:

  • Marco de referencia COBIT® 2019: Introducción y metodología, presenta conceptos clave de COBIT® 2019.
  • Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión, describe de forma exhaustiva los 40 objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados. También hace referencia a otros estándares y marcos.
  • Guía de diseño COBIT® 2019 Diseño de una solución de Gobierno de Información y Tecnología, explora los factores de diseño que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un sistema de gobierno personalizado para la empresa.
  • Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología, desarrolla una hoja de ruta para la mejora continua del gobierno. Puede usarse en combinación con la Guía de diseño COBIT® 2019.