Éxito de CoBiT en Colombia.

Grupo Bancolombia es un grupo financiero que opera los servicios de banca múltiple que incluyen inversiones, factoring, fiduciarias, arrendamiento financiero y mercado de valores, y es el primer banco en Colombia por activos y participación en el mercado. Fundada en 1875, Bancolombia opera en Colombia y El Salvador, tiene filiales en Panamá, las Islas Caimán, Puerto Rico y Perú, y tiene una agencia en Miami, Florida, EE.UU..

Aunque el Grupo Bancolombia ya contaba con políticas de control interno antes de la creación de la ley Sarbanes-Oxley, el grupo financiero busco adoptar y aplicar un sistema de control interno de gestión que ayudara a garantizar el cumplimiento del mismo.

El consejo de administración del Grupo Bancolombia adoptó CoBiT como modelo de referencia que les permitiera cumplir con los retos y requerimientos del negocio propuestos, basándose en tres premisas:

• CoBiT se utiliza en todo el mundo por los auditores para verificar la adhesión y el cumplimiento de los controles internos de TI.
• CoBiT ayuda a garantizar el cumplimiento de la ley estadounidense Sarbanes-Oxley.
• CoBiT ofrece un enfoque proactivo para mejorar los procesos de tecnología y servicios.

Además, CoBiT fue elegido porque establece un equilibrio entre el cumplimiento y el rendimiento y complementa COSO, el modelo de control interno de la organización. Grupo Bancolombia utiliza CoBiT para abordar de manera proactiva las auditorías internas y externas y el cumplimiento de operación de riesgo.

Grupo Bancolombia ha logrado excelentes resultados utilizando COBIT. En la actualidad existe una visión compartida, un lenguaje único, la alineación entre la planificación estratégica de negocios y planificación estratégica de TI, claridad en los roles y responsabilidades, un mayor sentido de trabajo en equipo y el conocimiento de las fortalezas y debilidades. Varias iniciativas están todavía en curso, incluida la consolidación de TI en toda la empresa.

¡Gracias por su atención!

Implicaciones de la ley SOX..

Hola, continuamos con el tema de la publicación anterior.

La ley SOX, aprobada por George Bush en el 2002, esta se encarga de reforzar los controles que deben existir en una empresa para la formulación de sus cuentas anuales y otros informes financieros que tenga que emitir.

Adicionalmente SOX busca establecer:

• Nuevos estándares para comités corporativos y comités de audiencia.
• Nuevos estándares de contabilidad y penas criminales para los gerentes de las corporaciones.
• Estándares independientes para auditores externos.
• Una compañía pública de contadores (PCAOB) bajo la seguridad y el intercambio de comisiones veedoras (SEC) para registrar las firmas públicas contadoras.
• La responsabilidad del CEO y el CFO de certificar ante los organismos supervisores los estados financieros y manifestar que éstos presentan razonablemente la posición financiera la compañía. Estarán sujetos a sanciones penales de existir algún error material e intencional en los estados financieros.

...En Colombia.

La Securities and Exchenge Comission (SEC), obliga a las compañías registradas como foraneas, con respecto estadounidos, a emitir un reporte de control interno certificado por los auditores externos, elaborado por la gerenecia y que contemple los siguientes puntos:

• Pronunciamiento explícito por parte de la gerencia asumiendo la responsabilidad de la instauración y mantenimiento de un sistema de control sobre el reporte financiero la compañía.
• Informe descriptivo del marco de trabajo utilizado por la gerencia, que permita adelantar una adecuada evaluación de la efectividad del sistema de control implementado sobre los reportes financieros.
• Evaluación de la gerencia de la efectividad del sistema de control interno utilizado en la elaboración de los reportes financieros de corte del año fiscal reciente, incluyendo su valoración con respecto a la efectividad del sistema de control interno de la compañía e incluir la revelación de cualquier debilidad material identificada.

De esta forma finalizamos el paso por la ley SOX, y lo que esta representa para la compañia.

Esperamos que este tema haya sido de su agrado...

¡Hasta la próxima!

Ley SOX

Hola, en esta ocasión les comentaremos acerca de una ley, que hace a las empresas recurrir a CoBiT para poder cumplir los requerimientos que esta dispone.

La Ley Sarbanes - Oxley nace en el 2002 en Estados Unidos, con el fin de monitorear a las empresas que cotizan en la bolsa, evitando la alteración de las acciones; fue promovida por el Senador Paul Sarbanes y el Representante Michael Oxley con el objetivo de evitar fraudes y riesgo de bancarrota además de proteger a los inversores. Esta ley, más allá del ámbito estadounidense, afectó a todas las empresas que cotizan en la Bolsa de Valores de Nueva York, así como a sus filiales.

Los eventos que finalmente incentivaron la instauración de esta, fueron los escándalos contables de Enrom y Wordcom en Estados Unidos y el de Parmalat en Europa, a pesar de estar presente la crisis contable desde la década anterior.

Esta legislación abarca y establece nuevos estándares para los consejos de administración y dirección, así como los mecanismos contables de todas las empresas que cotizan en la bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC (Securities and Exchanges Commission).

Existen 3 secciones que involucran directamente los departamentos de TI:

Cláusula 302. Considera la obligación de generar informes donde se muestre el resultado financiero de la empresa, el cual debe ser avalado por su integridad.

Cláusula 404. Forza la existencia de procedimientos y políticas que aseguren la integridad de la información, así como la disponibilidad de ella y se refiere a normas para mantener la documentación de los sistemas al día y los mecanismos para controlar las modificaciones que estos sufren.

Cláusula 409. Indica que toda organización debe notificar en menos de 48 horas, cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo, puesto que esto afecta de manera seria a las ventas de la misma.

Continuaremos la próxima semana con la ley SOX en las empresas colombianas.

Esperamos que esta información haya sido útil.

Hasta la proxima!

CoBiT Vs CoSo

Bienvenidos a la lucha del Control Interno!

Los participantes en esta ocasión son los modelos de control interno más conocidos en la actualidad. A continuación se mencionan algunos aspectos de ambos marcos de trabajo.

1. Round Origen:

• CoSo (Committee of Sponsoring Organizations): Formado en 1985 como patrocinio de la Comision Nacional de Fraude en Informes Financieros.


• CoBiT: Creado por una asociación profesional internacional ISACA, lanzado en 1996.

2. Round Objetivos:

• CoSo: Marco de trabajo oficial encargado del control de reportes financieros.


• CoBiT: Provee controles de TI, pese a ser desarrollado con basado en CoSo.

3. Round Interesados:

• CoSo: Auditoria financieras y gestión en general.


• CoBiT: Revisión, auditoría y administración de TI.

4. Round Estructura:

La conclusión de este duelo, es que CoSo y CoBit deben ser implementados en conjunto, dado que CoSo establece un control interno financiero y CoBiT se encarga del control y seguridad de TI, terminan siendo compatibles y complementarios.

¡Hasta la próxima!

CoBiT Vs Val IT

¡Hola!

Esta semana los invitamos a otro encuentro decisivo.

Les presentamos al contrincante invitado:

Val IT permite a la organización obtener valor de negocio, dado que se enfoca en las decisiones de inversión de TI, consiste en un marco de trabajo compuesto por un conjunto de buenas prácticas y de procesos y actividades.

Permite aumentar la probabilidad de seleccionar y ejecutar inversiones que generen la mayor rentabilidad y reducir el riesgo de fracaso, sorpresas con el coste y entrega de TI y costes innecesarios. Además, responde las siguientes preguntas:

• ¿Estamos haciendo las cosas correctas?
  
• ¿Estamos consiguiendo los beneficios esperados?

Mientras que el anfitrión, CoBiT (conocido a través de las publicaciones anteriores) se enfoca en la calidad y la ejecución, dando respuesta a las

preguntas:

• ¿Estamos haciendo estas cosas de la manera correcta?
• ¿Las estamos haciendo bien?

El resultado de este match es que CoBiT debe ser usado para controlar y medir los servicios e infraestructura de TI y Val IT para complementar dichas mediciones desde el punto de vista financiero. Por ello, ambos estándares se consideran complementarios.

Los esperamos para próximos encuentros.

Saludos.

CoBiT Vs ITIL

!Hola, queridos lectores!

Esta semana los invitamos a una Lucha de Grandes.

Round 1: Medición y Calidad de Gobierno de TI

Lleva la delantera CoBiT, puesto que su meta es definir, implementar, auditar, medir y mejorar los controles de aquellos procesos transversales que afectan el funcionamiento de TI.

Round 2: Efectividad de Operaciones y Calidad de Servicio al Cliente

Vence ITIL, dado que se enfoca en la definición de atributos funcionales y organizacionales, que se requieren para que la gestión de operaciones sea optimizada.

Dado que se torna complementarios, se declara un EMPATE.

Por ello es importante entender las diferencias de cada uno de ellos y adaptarlos a las necesidades del negocio de acuerdo al entorno empresarial existente.

Con esto culminamos el tema de la semana. Los esperamos para próximos encuentros.

Saludos.

Monitorear y Evaluar

Hola, queridos lectores!

Como bien sabemos, el seguimiento y la evaluación de cada una de las metas propuestas a lo largo de nuestra vida, se convierte con el paso del tiempo en un factor decisivo, que nos permitirá determinar el cumplimiento y la calidad de las mismas. Es por ello, que al interior de una organización, se debe contar con lineamientos que la guíen durante este proceso y, lo anterior es abordado por el último dominio contemplado por CoBiT: Monitorear y Evaluar.

Se dice entonces, que este dominio abarca los siguientes aspectos:1. Administración del Desempeño de TI: Incluye definición de indicadores de desempeño relevantes y, asimismo la realización de reportes sistemáticos y oportunos acerca de los mismos.

2. Monitoreo del Control Interno: Como lo sugiere su nombre, este proceso se encarga de monitorear las actividades de control interno de la organización relacionadas con TI y, además identifica las acciones de mejoramiento posibles.

3. Garantizar el Cumplimiento Regulatorio: Identifica leyes y regulaciones aplicables , con el fin de reducir riesgos relacionados con el no cumplimiento de los requerimientos del negocio.

4. Aplicación del Gobierno de TI: Satisface la integración del gobierno de TI con los objetivos corporativos. Por otra parte, alinea el cumplimiento de las metas del negocio con las leyes y regulaciones existentes.

Esperamos que esta publicación haya sido del interés de todos ustedes.

Un saludo!

Entregar y Dar Soporte

Continuamos con el dominio que se preocupa de la entrega de servicios requeridos y de garantizar la seguridad y continuidad de operaciones tradicionales, a través de los siguientes procesos:

Mediante estos se obtienen respuestas a las preguntas efectuadas por la alta gerencia de una compañía, estas son:

• ¿Se están entregando los servicios de las TI de acuerdo con las prioridades del negocio?
• ¿Están optimizados los costos de las TI?
• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?
• ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

Esperamos que el tema tratado esta semana haya sido de su interes.

!Gracias por sus visitas y hasta la próxima semana!

Adquirir e Implementar

Como bien sabemos, al interior de cualquier compañía las diferentes soluciones de TI deben ser identificadas, desarrolladas, adquiridas, implementadas e integradas con los procesos de negocio, con el fin de garantizar que dichas soluciones soportan los objetivos organizacionales. Y por tanto, es a través de este dominio que la alta gerencia puede dar respuesta a las siguientes inquietudes:

• ¿Generarán los nuevos proyectos soluciones que satisfagan los requerimientos del negocio?
• ¿Se verá afectada la continuidad del negocio por motivo de los cambios realizados?
• ¿Los nuevos sistemas trabajarán de manera correcta una vez sean implementados?
• ¿Los nuevos proyectos cumplirán con el presupuesto asignado y serán entregados a tiempo?

Dado lo anterior, es importante conocer los 7 procesos que componen este dominio para así, poder entender el alcance del mismo. Estos se muestran en la imagen a continuación.

Con esto concluímos el tema a tratar por esta ocasión, no sin antes desearles muchísimos éxitos para esta semana.

¡Saludos!

Planear y Organizar

Como ya se había mencionado, las actividades de TI se agrupan en cuatro dominios y en esta ocasión trataremos el primero de ellos: Planear y Organizar, que cuenta con 10 procesos.

1. Definir un Plan Estratégico de TI.
2. Definir la Arquitectura de la Información.
3. Determinar la Dirección Tecnológica.
4. Definir los Procesos, Organización y Relaciones de TI.
5. Administrar la Inversión en TI.
6. Comunicar las Aspiraciones y la Dirección de la Gerencia.
7. Administrar Recursos Humanos de TI.
8. Administrar la Calidad.
9. Evaluar y Administrar los Riesgos de TI.
10. Administrar Proyectos.

Con esto concluimos la publicación de esta semana, no sin antes recomendarles el siguiente link: http://www.isaca.org/About-ISACA/Press-room/News-Releases/Spanish/Pages/COBIT5-ultimas-noticias.aspx

Impulsado por Mediciones

Esta semana veremos la forma como CoBiT facilita a las empresas la medición del estado actual e identificación de mejoras requeridas a traves de los siguientes aspectos:

MODELO DE MADUREZ

Este facilita la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en cuanto a la capacidad, responde a tres necesidades:

1. Medición relativa de dónde se encuentra la empresa
2. Manera de decidir hacia dónde ir de forma eficiente
3. Herramienta para medir el avance contra la meta

El modelo de madurez para la administración y el control de los procesos de TI tiene como fin identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras, este se basa en una escala de evaluación de la organización con los siguientes niveles:

5. Optimizado

4. Administrado

3. Definido

2. Repetible

1. Inicial

0. No-existente

MEDICIÓN DEL DESEMPEÑO

En este se demuestra cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un balanced scorecard definido.

Las métricas y las metas se definen en COBIT a tres niveles:

• Lo que el negocio espera de TI (lo que el negocio usaría para medir a TI)
• Lo que el proceso de TI debe generar para dar soporte a los objetivos de TI (la forma de medir el dueño del proceso de TI)
• Desempeño de los procesos (indicar si es probable alcanzar las metas)

Cuando una función, proceso o actividad de TI ha alcanzado sus metas se definen los indicadores de resultado, estas mediciones informan a gerencia que se ha logrado el objetivo inicial y se expresan en términos de criterios de la información.

Basado en Controles

Como bien sabemos, la clave para mantener la estabilidad y rentabilidad de una organización en un entorno tecnológico tan cambiante es mantener el control.

Y por ello, los objetivos de control definidos por este marco de referencia son de gran importancia, pues permiten asegurar el alcance de las metas de negocio, además de prevenir y detectar los eventos no deseados.

El sistema de control interno de la empresa impacta en TI a tres niveles:

Así, se entiende que la responsabilidad de los controles de aplicación es una responsabilidad conjunta entre el negocio y TI, de la siguiente manera:

Una vez más, esperamos que el tema tratado haya sido de su interes.

!Gracias por sus visitas y hasta la próxima semana!

Orientado a Procesos

Esta semana veremos cómo las actividades de TI, según este marco de referencia se agrupan u organizan en cuatro dominios, los cuales se encuentran conformados por una serie de procesos. Dichos dominios son:

1. Planear y Organizar (PO): Busca identificar la manera como TI puede contribuir a alcanzar los objetivos organizacionales, por medio de la formulación de diversas tácticas. Por otra parte, debe planear, comunicar y administrar el cumplimiento de la visión estratégica del negocio.
2. Adquirir e Implementar (AI): Su principal objetivo es identificar, implementar e integrar las soluciones de TI propuestas.
3. Entregar y dar Soporte (DS): Es el encargado de entregar los servicios adquiridos y por tanto, de prestar apoyo a aquellos que hagan uso de ellos. Además, debe garantizar la continuidad y la seguridad de los mismos.
4. Monitorear y Evaluar (ME): Debe monitorear y evaluar el desempeño de TI y los diferentes procesos existentes, con el fin de asegurar que se siguen los lineamientos provistos.

!Hasta la próxima semana!

Orientado al Negocio

En esta entrada, pretendemos aclarar lo referente a la primera característica propuesta por CoBiT. Empezaremos diciendo que ésta conforma el núcleo de CoBiT, el cual está diseñado para ser usado por proveedores de servicios, usuarios, auditores de TI y como guía integral para la gerencia y los dueños de los procesos de negocio.

El siguiente principio es la base de este marco de trabajo: CRITERIOS DE INFORMACIÓN DE CoBiT

Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, conocidos como: RECURSOS DE TI

Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada que genere el resultado deseado. COBIT identifica los siguientes:

Y para cerrar, queremos agradecerles su atención e interés en el tema.

!Hasta la próxima!

Pricipales Características de CoBiT

CoBiT se creo para satisfacer las siguientes características:

• Orientado a negocios.


• Orientado a procesos.


• Basado en controles.


• Impulsado por mediciones.

Áreas de Enfoque del Gobierno de TI

En conclusión, CoBiT da soporte al Gobierno de TI al brindar un marco de trabajo que garantiza que:

• TI está alineada con el negocio.
  
• TI habilita al negocio y maximiza los beneficios.
  
• Los recursos de TI se usan de manera responsable.
  
• Los riesgos de TI se administran apropiadamente.

Breve Introduccion a COBIT

Como primera medida, debemos aclarar el concepto básico acerca de COBIT, para lo cual les dejamos el video a continuación.

Que lo disfruten!

De acuerdo con lo visto en el video, concluimos que CoBiT es un marco de referencia que brinda buenas practicas a traves de un conjunto de dominios (4) y procesos (34), y presenta las actividades en una estructura manejable y lógica. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI y por tanto, asegurarán la entrega del servicio.

Bienvenidos!

Les damos una calurosa bienvenida a todos los lectores de este blog, en el cual recorreremos un camino juntos hacia el aprendizaje de un tema sumamente importante al interior de la organización: El poder alinear las metas de negocio con los objetivos y recursos de TI. Es por esto, que iniciaremos el estudio de uno de los marcos de trabajo más conocidos: COBIT.

Esperamos que lo aquí tratado, llene sus expectativas y sea de su completo agrado.
Gracias!!!