Universidad Mariano Gálvez de Guatemala

Facultad de Ciencias Económicas

Auditoria de Sistemas
Licenciado Pablo Sandoval

COBIT

Integrantes:

Donaldo Cojolón Valle Carné 3214-03-13490

Pablo Alejandro López Sáenz Carné 3214-11-4876
Iris Emilia Ma. Pérez Márquez Carné 3214-14-2314
Juan Pablo Romero Girón Carné 3214-09-11756

La Antigua Guatemala 28 de septiembre de 2017

 ÍNDICE
Introducción ................................................................................................................ 1
Objetivos ..................................................................................................................... 2
COBIT - Objetivos de Control para Información y Tecnologías Relacionadas ....... 3
Antecedentes ................................................................................................................ 4
Tecnologías de Información y Comunicación .......................................................... 5
Estructura de COBIT................................................................................................... 6
Carácter de este Método ....................................................................................................... 6
Objetivos que persigue la metodología COBIT ................................................................. 6
Aspectos Tecnológicos .............................................................................................. 6
Dominio de COBIT ...................................................................................................... 7
COBIT 5 ....................................................................................................................... 9
Beneficios ................................................................................................................................ 9
COBIT 5 para seguridad de la información ...................................................................... 10
Principios de COBIT 5 .............................................................................................. 10
Habilitadores de COBIT 5 ......................................................................................... 12
Conclusiones ............................................................................................................ 14
Recomendación ........................................................................................................ 15
E grafía ...................................................................................................................... 16
Anexos....................................................................................................................... 17
Metodología COBIT ............................................................................................................. 17
Enfoque del Gobierno de TI ................................................................................................ 17
Áreas de Enfoque del Gobierno de Tecnologías de Información ................................. 18
Dominios de COBIT ............................................................................................................. 18
COBIT: Caso de Estudio—Banco Supervielle S.A., Argentina ..................................... 18
 Introducción

Esta investigación se refiere al tema de COBIT, que se puede definir como la

guía de mejores prácticas, dirigida al control y supervisión de tecnología de la
información TI, se aplica a los sistemas de información de toda la empresa,
incluyendo los computadores personales y las redes.
Está basado en la filosofía de que los recursos TI necesitan ser administrados
por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr sus
objetivos.
La característica principal de esta herramienta, es que la adecuada
implementación de un modelo COBIT en una organización, provee una
herramienta automatizada, para evaluar de manera ágil y consistente el
cumplimiento de los objetivos de control y controles detallados, que aseguran
que los procesos y recursos de información y tecnología contribuyen al logro de
los objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado.
Actualmente las empresas poseen un capital y activo muy valioso, que es la
información y tecnología. Cada vez en mayor medida, se dice que el éxito de una
empresa depende de la relación de ambos componentes. La buena
implementación del marco de referencia COBIT, permite que los negocios se
alineen con la tecnología de la información para así alcanzar los mejores
resultados deseados.
Una adecuada administración de los recursos de TI es fundamental para mejorar
la calidad de los productos y servicios brindados por el área, lo que se reflejará
en mejoras en los procesos que respalda, y en el nivel de seguridad y control
con el cual se trabaja, elevando su capacidad para satisfacer los objetivos de
cumplimiento definidos en la estructura de control interno de la organización,
reduciendo además los costos administrativos asociados al entorno informático.

1
 Objetivos

• Establecer una idea ruta de implementación de Gobierno de TI.

• Definir el alcance de Gobierno de TI con base en COBIT.
• Concientizar de la necesidad de Evaluar la capacidad de los procesos de TI
usando el modelo PAM (Process Asssessment Model) con base en COBIT.
• Dar a conocer la importancia de auditar las tecnologías de la información.

2
 COBIT - Objetivos de Control para Información y Tecnologías
Relacionadas
(Control Objectives for Information and related Technology)

Es una guía de mejores prácticas presentada como framework1, dirigida al

control y supervisión de tecnología de la información (TI). Mantenida
por ISACA y el IT GI (en inglés: IT Governance Institute), tiene una serie de
recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de
auditoría, herramientas para su implementación y principalmente, una guía de
técnicas de gestión.

Es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan

los profesionales de tecnología. Vinculando tecnología informática y prácticas de
control, el modelo COBIT consolida y armoniza estándares de fuentes globales
prominentes en un recurso crítico para la gerencia, los profesionales de control
y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo

los computadores personales y las redes. Está basado en la filosofía de que
los recursos TI necesitan ser administrados por un conjunto
de procesos naturalmente agrupados para proveer la información pertinente y
confiable que requiere una organización para lograr sus objetivos.

COBIT es precisamente un modelo para auditar la gestión y control de los

sistemas de información y tecnología, orientado a todos los sectores de una
organización, es decir, administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.

COBIT es la sigla para identificar Objetivos de Control para las Tecnologías de

Información y Relacionadas. Este sistema de control está constituido por un
conjunto de prácticas orientadas para el manejo de los procesos relativos a la
información, entre las que se encuentran su distribución, almacenamiento y
administración y además asegurar que estos resultados, estén conectados con
los requerimientos del negocio.

1
Entorno de trabajo o marco de trabajo es un conjunto estandarizado de conceptos, prácticas y criterios para
enfocar un tipo de problemática particular que sirve como referencia, para enfrentar y resolver nuevos problemas
de índole similar.

3
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un
conjunto de objetivos de control generalmente aceptados para las tecnologías
de la información que sean autorizados (dados por alguien con autoridad),
actualizados, e internacionales para el uso del día a día de los gestores de
negocios (también directivos) y auditores". Gestores, auditores, y usuarios se
benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas
de Información (o tecnologías de la información) y decidir el nivel de seguridad y
control que es necesario para proteger los activos de sus compañías mediante
el desarrollo de un modelo de administración de las tecnologías de la
información.

La estructura del modelo COBIT propone un marco de acción donde se evalúan

los criterios de información, como por ejemplo la seguridad y calidad, se auditan
los recursos que comprenden la tecnología de información, como por ejemplo el
recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluación sobre los procesos involucrados en la organización.

La adecuada implementación de un modelo COBIT en una organización, provee

una herramienta automatizada, para evaluar de manera ágil y consistente el
cumplimiento de los objetivos de control y controles detallados, que aseguran
que los procesos y recursos de información y tecnología contribuyen al logro de
los objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado.

Antecedentes

El Instituto de Gobierno de TI fue formado por la Auditoría de Sistemas de

Información y de la Asociación de Control (ISACA) y su Fundación asociada en
1998 para avanzar en el entendimiento y la adopción de principios de gobierno
de TI. Con la adición de las Directrices Gerenciales en la tercera edición de
COBIT, su expansión y mayor cubrimiento sobre el Gobierno de TI, el Instituto
de Gobierno de TI adquirió un rol de liderazgo en el desarrollo de la publicación.
COBIT se basó originalmente en los Objetivos de Control de la ISACF y ha sido
mejorado con los actuales y emergentes estándares internacionales a nivel
técnico, profesional, regulatorio y específicos de la industria. Los Objetivos de
Control resultantes han sido desarrollados para su aplicación en sistemas de
información de toda la empresa. El término “generalmente aplicable y aceptado”
es utilizado explícitamente en el mismo sentido que los Principios de
Contabilidad Generalmente Aceptados (PCGA o GAAP, por sus siglas en inglés).
COBIT ha tenido varias ediciones, siendo publicada la primera en 1996, la
segunda edición en 1998, la tercera edición en 2000 (la edición on-line estuvo
disponible en 2003), y la cuarta edición en Diciembre de 2005, la versión 4.1
está disponible desde mayo de 2007, la versión online de COBIT 5 ya está
disponible.

4
 Tecnologías de Información y Comunicación

Aunque inicialmente la tecnología se concibió con el fin de facilitar el desarrollo

de la mayoría de actividades cotidianas y generar entretención a nivel individual,
a nivel empresarial y productivo, este concepto ha evolucionado para convertirse
en algo más global. A partir de los años 70, cuando la industria militar se
especializó y masificó a un ritmo más vertiginoso y se presentaron conflictos que
estaban a grandes distancias físicas, se empezaron a concebir los elementos
que permitieran reunir eficazmente la funcionalidad de la tecnología con el
manejo de la información y su comunicación a todo nivel
Pero así como ha aumentado la especialización y funcionalidad de la tecnología,
también se ha convertido en un reto mayor para cualquier organización el poder
controlar su uso y aplicarlo de manera adecuada a sus necesidades y
expectativas, ya que a través de estas herramientas es que se podrá aprovechar
al máximo uno de los mayores recursos intangibles que puede tener cualquier
organización: La información. Por eso se hace indispensable generar la
conciencia en la alta gerencia del impacto que pueden generar las decisiones
que se tomen respecto a esta necesidad; Lo ideal es que ninguna decisión
respecto a las inversiones en estas tecnologías sea tomada sin tener el
conocimiento total tanto del costo como del retorno esperado del mismo). Para
esto, se plantean diferentes análisis que ayudan a vislumbrar hacia dónde se
debe dirigir esta gestión que apunte a dar el soporte necesario a cumplir con la
planeación estratégica.
Un enfoque interesante es el expuesto por Malaver y Vargas con el cual se
pretende evaluar de manera cualitativa cuáles son las capacidades tecnológicas
y de innovación con las que cuenta una organización para determinar sus pasos
a seguir en materia de las Tecnologías de Información y Comunicación
En el análisis las capacidades competitivas están dadas por el mercado
específico en que se desenvuelve una organización, junto con sus recursos
tangibles e intangibles. Para adaptarse, mantenerse y mejorarse, debe estar
apoyada en las tecnologías que sea capaz de adquirir y administrar, lo cual
redundará en mejores procesos, productos y servicios para su cliente final.
Ahora, para aterrizar de manera más formal y estandarizada estos conceptos, se
han creado comités y organizaciones que están trabajando de manera constante
en la elaboración, seguimiento y actualización de normas y guías que sirvan de
apoyo a todas las organizaciones que quieran estar en los niveles de calidad que
se comparten a nivel mundial, en todo lo referente a las tecnologías de
información y comunicación.

5
 Estructura de COBIT

La estructura del modelo COBIT propone un marco de acción donde se evalúan

los criterios de información, como por ejemplo la seguridad y calidad, se auditan
los recursos que comprenden la tecnología de información, como por ejemplo el
recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluación sobre los procesos involucrados en la organización.

"La adecuada implementación de un modelo COBIT en una organización, provee

una herramienta automatizada, para evaluar de manera ágil y consistente el
cumplimiento de los objetivos de control y controles detallados, que aseguran
que los procesos y recursos de información y tecnología contribuyen al logro de
los objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado.

Carácter de este Método

El marco COBIT fue creado con las características principales:
a) El enfoque en los negocios
b) Los procesos de orientación
c) Se basa en controles
d) Es impulsado por métricas

Objetivos que persigue la metodología COBIT

➢ Al ser un estándar aceptado en las mejores prácticas de gobierno de TI
➢ Aplicar las mejores prácticas de una variedad de campos, procesos
estructurados y actividades de una manera lógica y manejable.
➢ Ayudar en la asociación entre:
➢ Los riesgos de negocio
➢ Las necesidades de control

Aspectos Tecnológicos

La adopción de COBIT como un modelo de gobierno, es ventajoso para:

a) En el mapa los más altos estándares y marcos de mercado, tales como
ITIL a la norma ISO 20.000 e ISO 27.001.
b) Ayudar a comprender los requisitos reglamentarios.
c) Ser compatible tanto con el COSO como el control del entorno de TI.
d) Definir un lenguaje común entre TI y el negocio.
e) Se centra en los requerimientos del negocio.

6
 f) Es aceptado internacionalmente como un modelo marco para la gestión
de TI.
g) Siendo los procesos orientados.
h) Se apoya en herramientas y la formación.
i) Estar en continuo desarrollo.

Dominio de COBIT

El conjunto de lineamientos y estándares internacionales conocidos como

COBIT, define un marco de referencia que clasifica los procesos de las unidades
de tecnología de información de las organizaciones en cuatro “dominios”
principales, a saber:

Planificación y Organización: Este dominio cubre la estrategia y las tácticas y

se refiere a la identificación de la forma en que la tecnología de información
puede contribuir de la mejor manera al logro de los objetivos del negocio.
Además, la consecución de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, deberán
establecerse una organización y una infraestructura tecnológica apropiadas.

Adquisidor e Implantación: Para llevar a cabo la estrategia de TI, las

soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso del negocio. Además, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Soporte y Servicios: En este dominio se hace referencia a la entrega de los

servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de
proveer servicios, deberán establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.

Monitoreo: Todos los procesos necesitan ser evaluados regularmente a través

del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos
de control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los
aspectos de información, como de la tecnología que la respalda. Estos dominios
y objetivos de control facilitan que la generación y procesamiento de la

7
información cumplan con las características de efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

Usuarios:
• La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre
el rendimiento de las mismas, analizar el costo beneficio del control.

• Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y

el control de los productos que adquieren interna y externamente.
• Los Auditores: para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organización y determinar el control
mínimo requerido.
• Los Responsables de TI: para identificar los controles que requieren en
sus áreas. También puede ser utilizado dentro de las empresas por el
responsable de un proceso de negocio en su responsabilidad de controlar
los aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.

Características:

• Orientado al negocio.
• Alineado con estándares y regulaciones "de facto".2
• Basado en una revisión crítica y analítica de las tareas y actividades en
TI.
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA)

El enfoque del control en TI se lleva a cabo visualizando la información necesaria

para dar soporte a los procesos de negocio y considerando a la información
como el resultado de la aplicación combinada de recursos relacionados con las
TI que deben ser administrados por procesos de TI.

Requerimientos de la información del negocio: Para alcanzar los requerimientos

de negocio, la información necesita satisfacer ciertos criterios: Requerimientos
de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y
Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento
le leyes y regulaciones.

2
significa literalmente «de hecho», esto es, sin reconocimiento jurídico, por la fuerza de los hechos. Se opone
a de iure, que significa «de derecho»

8
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar
los objetivos de negocio:

• Datos: Todos los objetos de información. Considera información interna y

externa, estructurada o no, gráficas, sonidos, etc.
• Aplicaciones: Entendidas como sistemas de información, que integran
procedimientos manuales y sistematizados
• Tecnología: Incluye hardware y software básico, sistemas operativos,
sistemas de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
• Instalaciones: Incluye los recursos necesarios para alojar y dar soporte
a los sistemas de información.
• Recurso Humano: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y monitorear
los sistemas de Información, o de procesos de TI.

COBIT 5

ISACA lanzó el 10 de abril de 2012 la nueva edición de este marco de referencia.

COBIT 5 es la última edición del framework mundialmente aceptado, el cual
proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología
y a la información como protagonistas en la creación de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de
otros importantes marcos y normas como Val IT 3 y Risk IT4, Information
Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta
norma.

Beneficios
COBIT 5 ayuda a empresas de todos los tamaños a:

• Optimizar los servicios el coste de las TI y la tecnología

3
Es un framework de gobernabilidad que se puede utilizar para crear valor de negocio de las inversiones en TI.
Consiste en un conjunto de principios rectores y una serie de procesos y mejores prácticas que se los define como
un conjunto de prácticas de gestión claves para apoyar y ayudar a la gerencia ejecutiva y juntas a nivel
empresarial.
4
Es un marco complementario a COBIT, que establece prácticas dirigidas a identificar, gobernar y administrar los
riesgos asociados al negocio en su relación con las TIC

9
• Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y
las políticas
• Gestión de nuevas tecnologías de información

COBIT 5 para seguridad de la información

Puede ayudar a las empresas a reducir sus perfiles de riesgo a través de la

adecuada administración de la seguridad. La información específica y las
tecnologías relacionadas son cada vez más esenciales para las organizaciones,
pero la seguridad de la información es esencial para la confianza de los
accionistas”.

COBIT 5 es el único marco de negocio para el gobierno y la gestión de la TI

empresarial. COBIT 5, lanzado en abril de 2012, ayuda a maximizar el valor de
la información mediante la incorporación de los últimos avances en las técnicas
de gobierno y administración de empresas y proporciona principios, prácticas,
herramientas analíticas y modelos mundialmente aceptados para aumentar la
confianza y valor de los sistemas de información.

Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor

óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios
y la optimización de los niveles de riesgo y utilización de los recursos.

COBIT 5 permite que las tecnologías de la información y relacionadas se

gobiernen y administren de una manera holística a nivel de toda la Organización,
incluyendo el alcance completo de todas las áreas de responsabilidad
funcionales y de negocios, considerando los intereses relacionados con la TI de
las partes interesadas internas y externas.

Principios de COBIT 5

1. Satisfacer las necesidades de las partes interesadas

Traducen las necesidades de las Partes Interesadas en metas específicas,

accionables y personalizadas dentro del contexto de la Organización, de las
metas relacionadas con la TI y de las metas habilitadoras.

10
El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar
decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo
de recursos.

2. Cubrir la organización de forma integral

Se concentra en el gobierno y la administración de la tecnología de la información

y relacionadas desde una perspectiva integral a nivel de toda la Organización.
Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no
solamente se concentra en la “Función de la TI”, sino trata la tecnología de la
información y relacionadas como activos que necesitan ser manejados como
cualquier otro activo, por todos en la Organización
.

3. Aplicar un solo marco integrado

COBIT 5 está alineado con los últimos marcos y normas relevantes usadas por
las organizaciones:

• Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

• Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000,
TOGAF, PMBOK/PRINCE2, CMMI
• Etc.

Así se permite a la Organización utilizar COBIT 5 como integrador macro en el

marco de gobierno y administración.

4. Habilitar un enfoque holístico 5

Los habilitadores son factores que, individual y colectivamente, influyen sobre si

algo funcionará, en el caso de COBIT, Gobierno y Administración sobre la TI
corporativa; son impulsados por las metas en cascada, o sea: las metas de alto
nivel relacionadas con la TI definen qué deberían lograr los diferentes
habilitadores.

5
Indica que un sistema y sus propiedades se analizan como un todo, de una manera global e
integrada, ya que desde este punto de vista su funcionamiento sólo se puede comprender de
esta manera y no sólo como la simple suma de sus partes.

11
 5. Separar el gobierno de la administración

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la

Administración.

Dichas dos disciplinas:

a. Comprenden diferentes tipos de actividades

b. Requieren diferentes estructuras organizacionales
c. Cumplen diferentes propósitos

A. Gobierno— En la mayoría de las organizaciones el Gobierno es

responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.
B. Administración— En la mayoría de las organizaciones, la Administración
es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente
General (CEO).

Habilitadores de COBIT 5

1. Principios, Políticas y Marcos: Son el vehículo para trasladar el

comportamiento deseado en guías prácticas para la gestión diaria.

2. Procesos: Describen un conjunto de prácticas y actividades

organizadas para cumplir con ciertos objetivos y producir un conjunto
de salidas para alcanzar los objetivos generales relacionados con TI.

3. Estructuras Organizacionales: Son las entidades claves en la toma

de decisiones de la empresa.

4. Cultura, Ética y Comportamiento: La cultura, ética y

comportamiento de los individuos y de la empresa muchas veces son
sobrestimados como un factor de éxito en las actividades de gobierno
y gestión.

5. Información: Requerida para mantener la empresa en ejecución y

bien gobernada. En el nivel operacional, la información es un producto
clave de la empresa.

12
6. Servicios, Infraestructura y Aplicaciones: Incluye la infraestructura,
la tecnología y las aplicaciones para proveer a la empresa los servicios
y procesamiento de Tecnología de la Información.

7. Personas, Habilidades y Competencias: Requeridas para

completar con éxito las actividades y para tomar las decisiones
correctas y acciones correctivas.

13
 Conclusiones

➢ Lograr objetivos estratégicos y obtener beneficios del negocio a través de

un uso efectivo e innovador de la tecnología informática por medio de
COBIT5

➢ Lograr objetivos estratégicos y obtener beneficios del negocio a través de

un uso efectivo e innovador de la tecnología informática.

➢ COBIT es empleado en todo el mundo por quienes tienen como

responsabilidad primaria los procesos de negocio y la tecnología, aquellos
de quien depende la tecnología y la información confiable, y los que
proveen calidad, confiabilidad y control de TI.

14
 Recomendación

Si el área informática de la organización es pequeña COBIT puede resultar muy

cara en su implementación y por tanto no se justifica. En cambio sí está en juego
grandes sumas de dinero respaldadas en las tecnologías de la información, su
uso es obligatorio. Contar con personal altamente especializado para la
implantación de COBIT en la organización, considerando que domine el enfoque
de negocios y la tecnología relacionada a cumplir objetivos de los mismos.

15
 E grafía

ISACA Trust in,and value from,information system-septiembre 2017-ISACA-se

extrajo el documento de [Link] Pages/[Link] y de
[Link]

BIT Company the business and it governance starting point-septiembre 2017-BIT

Company-se extrajo el documento de [Link] biz/que-es-
cobit/#.Wb4CJtTyjIV

CIBERTEC Empresarial-2016-CIBERTEC-se extrajo el documento de

[Link]
cionales/cursos-cobit/que-es-cobit/

16
 Anexos

Metodología COBIT

Enfoque del Gobierno de TI

17
Áreas de Enfoque del Gobierno de Tecnologías de Información

Dominios de
COBIT

COBIT: Caso de Estudio—Banco Supervielle S.A., Argentina

Acerca de Banco Supervielle S.A.

18
Banco Supervielle es uno de los principales Bancos privados de la República Argentina cuyos
orígenes se remontan a 1887 y actualmente se concentra principalmente en la provisión de
servicios bancarios y financieros a individuos y pequeñas y medianas empresas. Su red bancaria
incluye 103 sucursales y 66 centros de servicios y 270 cajeros automáticos ubicados en las
principales provincias del país.

Banco Supervielle ocupaba el puesto decimoprimero en términos de depósitos, el

decimosegundo en términos de total de activos y total de préstamos entre bancos del sector
privado en la Argentina, el sexto en términos de depósitos y el séptimo en términos de total de
activos y total de préstamos entre los grupos privados bancarios de capital nacional.

En los últimos años la Alta Dirección del Banco comenzó a trabajar en un plan con el objetivo de
mejorar la alineación de la TI al negocio, su entrega de valor, y a la vez administrar los riesgos y
los recursos de manera más eficaz y eficiente.

El Proceso.

En el año 2009 el Banco lanzo un proyecto denominado “Gobierno de TI”, donde la Gerencia
General del Banco era el “Sponsor” y la Gerencia Coordinadora de TI y sus Gerentes los líderes
del mismo.

El desafío que tenía el proyecto no era menor, y entre sus principales temas que motivaron a su
formación eran los de mejorar la alineación estratégica al negocio, tratar de generar un lenguaje
que el negocio pueda interpretar y que las ares de TI también lo puedan manejar, mejorar y
entender el cumplimiento del control interno de la TI como así también concientizar en la
responsabilidad que cumple cada rol dentro de los procesos de TI. Por último y no menor el
cumplimiento normativo y regulatorio que los diferentes entes de control regulan a dicha
actividad.

Basados entre estos principales puntos antes mencionados, se entiende que COBIT era el mejor
marco de referencia para tener de guía en el camino a recorrer.

Como primera tarea o puntapié inicial, se realizó una medición de nivel de madurez de los
procesos actuales. Basados en COBIT, mejores prácticas (ITIL, ISO, IRAM, etc.) y normativas
locales, se identificaron los niveles de madurez actuales. Para dicho trabajo se utilizaron
formularios y se plasmaron en un resultado resumen para un mejor entendimiento. A su vez,
una vez entendido el nivel actual, se trató en la alta gerencia y el directorio el nivel de madurez
deseado y los tiempos estimados para lograr dicho nivel, estipulando metas a corto, mediano y
largo plazo.

COBIT como herramienta de Gobierno de TI.

Para citar algunos planes en los cuales el Banco se encuentra trabajando actualmente que
derivaron del proyecto de Gobierno de TI y en los cuales está presente COBIT, se pueden
mencionar los siguientes:

Capacitación: Una de los primeras tareas fue la de capacitar y concientizar en materia de control
interno, el Marco y las mejores prácticas. Para ello a través de nuestro capitulo local de ISACA ®
(ADACSI), se capacitaron en COBIT Fundamentos a todos los gerentes y reportes de las áreas de
Tecnología y Sistemas, incluyendo gerencias de Seguridad de la información, Desarrollo y
Mantenimiento de Sistemas, Riesgos de TI y continuidad del Negocio, Administración de

19
Proyectos, Testing y QA como así también áreas de Procesos y por supuesto Infraestructura
Tecnológica.

Redefinición de los procesos internos de TI, basados en los dominios de COBIT. En base a la
agrupación lógica de los procesos que intervienen en el ciclo de vida de los procesos de TI del
Banco se redefinieron los mismos en base a los expuestos por COBIT agrupados en los diferentes
dominios del marco. En este punto se encontraron ciertos procesos que dependían del grado de
madurez actual y que su adaptación requeriría mayores tiempos e inversión.

Redefinición de Roles, Responsabilidades y nuevas funciones: Para asegurar el logro de las

diferentes iniciativas y alcanzar a cumplir las premisas del proyecto que son ni más ni menos que
las necesidades de la organización, en base a un detallado análisis se fortalecieron e instauraron
las áreas de Control de proyectos (PMO) y Gestión de Riesgos Informáticos y Continuidad del
Negocio (IT Risk Governance).

Tablero de Control: Se elaboraron una serie de indicadores basados en las principales métricas
de COBIT para medir el cumplimiento de las principales actividades de control de los dominios.
Estas métricas tienen su propio plan de implementación y el mismo es gradual y depende de la
criticidad del proceso a medir.

Análisis de Riesgos. Un punto fundamental es la inclusión de la Gestión de los Riesgos de TI. Para
llevar adelante este plan se mejoró la metodología y la gestión de los riesgos se basó en forma
inicial a RISK IT. Un punto importante es que en el ciclo anual de Gestión de Riesgos de TI, se
utilizan los principales puntos de control enmarcados en COBIT para cada proceso de TI y el
análisis de Riesgos parte de dicha guía para asegurar el alineamiento a dicho Marco entre otros
factores importantes.

Próximos pasos y conclusión.

Utilizando los objetivos de control y procesos de COBIT como marco de referencia, permitieron
al Banco Supervielle, trazar un camino para alcanzar el nivel de madurez fijado como meta tanto
en tiempo como en calidad. Un número importante de iniciativas se encuentran bajo ejecución
y muchas de ellas como las relacionadas a mejorar la continuidad del negocio han mejorado su
nivel de madurez. Tanto la Gerencia como la Dirección están convencidas que tomando como
referencia el Marco COBIT, permitirá al Banco alcanzar su objetivo de crecimiento planteado.

20