cobit tarea.docx

8/16/2019 cobit tarea.docx

1/15

Caso de estudio de ITIL

Ejemplo de Ecopetrol SA

Liliana Lobato Camarena 12120371

qwertyuiopasdfghjklzxcvb

mqwertyuiopasdfghjklzxcv

bnmqwertyuiopasdfghjklzx

cvbnmqwertyuiopasdfghjk

zxcvbnmqwertyuiopasdfgh

klzxcvbnmqwertyuiopasdf

hjklzxcvbnmqwertyuiopasdghjklzxcvbnmqwertyuiopa

sdfghjklzxcvbnmqwertyuio

pasdfghjklzxcvbnmqwertyopasdfghjklzxcvbnmqwert

yuiopasdfghjklzxcvbnmqw

rtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbn

mqwertyuiopasdfghjklzxcv

bnmqwertyuiopasdfghjklzx


2/15

1

ContenidoIntroducción........................................................................................................ 2

Sobre la empresa................................................................................................3

Implementación del marco de COBIT.................................................................. 4

strate!ias implementadas..............................................................................11

Conclusiones.....................................................................................................14

Biblio!ra"#a........................................................................................................ 1$


3/15

2

Introducción

Objetivos de Control para Información y Tecnologías Relacionadas (COIT! en

ingl"s# Control Objectives for Information and related Tec$nology% es &na g&ía demejores pr'cticas presentado como frameor)! dirigida al control y s&pervisión de

tecnología de la información (TI%* +antenido por ISACA (en ingl"s# Information

Systems A&dit and Control Association% y el IT ,I (en ingl"s# IT ,overnance

Instit&te%! tiene &na serie de rec&rsos -&e p&eden servir de modelo de referencia

para la gestión de TI! incl&yendo &n res&men ejec&tivo! &n frameor)! objetivos de

control! mapas de a&ditoría! $erramientas para s& implementación y

principalmente! &na g&ía de t"cnicas de gestión*

Ecopetrol SA es &na compa.ía de petróleo cr&do y gas nat&ral integrada

verticalmente dedicada a la e/ploración! desarrollo y prod&cción de petróleo cr&do

y gas nat&ral*

En este doc&mento veremos como Ecopetrol SA contrató a &n cons&ltor e/terno

para llevar a cabo la eval&ación del nivel de mad&re0 de COIT para los catorce

procesos críticos*

1a eval&ación confirmó la consec&ción de nivel 2 en doce procesos y el nivel 3 en

dos procesos*

https://es.wikipedia.org/wiki/Frameworkhttps://es.wikipedia.org/wiki/ISACAhttps://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1https://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1https://es.wikipedia.org/wiki/Frameworkhttps://es.wikipedia.org/wiki/ISACAhttps://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1https://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1


4/15

3

Sobre la empresa

Ecopetrol SA es &na compa.ía de petróleo cr&do y gas nat&ral integrada

verticalmente dedicada a la e/ploración! desarrollo y prod&cción de petróleo cr&doy gas nat&ral* Ecopetrol SA es la empresa m's grande de Colombia de aceiteintegrado con cerca de 4*555 empleados directos* Es &na de las 35 mejorescompa.ías de petróleo del m&ndo y las c&atro compa.ías petroleras m's grandesde Am"rica 1atina* Adem's de Colombia! -&e representa el 65 por ciento de laprod&cción total de Ecopetrol! la compa.ía est' invol&crada en actividades dee/ploración y prod&cción en rasil! 7er8 y Estados 9nidos (,olfo de+"/ico%* Ecopetrol tambi"n est' incrementando significativamente s& participaciónen biocomb&stibles*

1a Forbes revista lista an&al de las :*555 empresas m's grandes del m&ndo (abril

de :5;5% indica -&e Ecopetrol se enc&entra en la posición :::! con la sig&ienteinformación# 3*;3 mil millones*

El Código de &en ,obierno de Ecopetrol comprende las mejores pr'cticascorporativas necesarias para preservar la "tica de negocios y la correctaadministración y control de la empresa* Esto permite a la empresa para competir por el reconocimiento y el respeto de los derec$os de los accionistas! inversores yotras partes interesadas sobre la base de políticas claras de transparencia en lagestión y div&lgación de la información acerca de la empresa! -&e a s& ve0generar &na mayor confian0a entre las partes interesadas y el mercado en

general* El sistema de control interno de Ecopetrol se enmarca dentro de losest'ndares internacionales (COSO%*

?ivisión de Tecnología de la Información de Ecopetrol depende del


5/15

4

Implementación del marco de C!I"

1a estr&ct&ra del est'ndar COIT se divide en dominios -&e son agr&paciones deprocesos -&e corresponden a &na responsabilidad personal! procesos -&e son&na serie de actividades &nidas con delimitación o cortes de control y objetivos decontrol o actividades re-&eridas para lograr &n res&ltado medible*

Se definen 23 objetivos de control generales! &no para cada &no de los procesos

de las TI* Estos procesos est'n agr&pados en c&atro grandes dominios -&e se

describen a contin&ación j&nto con s&s procesos y &na descripción general de las

actividades de cada &no*

DOMINIOS PROCESOS

PLANEACIÓN Y ORGANIZACIÓN (PO):C&bre la estrategia y las t'cticas! se refiere a la identificación

de la forma en -&e la tecnología de la información p&ede

contrib&ir de la mejor manera al logro de los objetivos de la

organi0ación* 1a consec&ción de la visión estrat"gica debe ser

planeada! com&nicada y administrada desde diferentes

perspectivas y debe establecerse &na organi0ación y &na

infraestr&ct&ra tecnológicas apropiadas*

PO1 Definir un Plan Esentre las oport&nidades de

negocio! para aseg&rar s&s

PO& Definir la Ar'uitere-&erimientos de la organ

información! a trav"s de la

la organi0ación*

PO* Deterinar la $ire"tecnología disponible o tec

organi0ación! a trav"s de

tecnológica*

PO+ Definir la Or!ani,aservicios de TI! por medio

con tareas y responsabilida

PO. Mane/ar la In0erside la organi0ación! aseg&

rec&rsos financieros*

PO C#uni"ar las $aseg&rar el conocimiento y

gerencia! a trav"s de polític

necesit'ndose para esto es

de &s&ario pr'cticas y &tili0

PO3 A$inistrar Re"ursdel personal a los proceso


6/15

$

trav"s de t"cnicas sólidas p

PO5 Ase!urar el "u2obligaciones legales! reg

identificación y an'lisis de

llevando a cabo las medida

PO7 E0aluar Ries!#s# Eresponder a las amena0

participación de la propia

an'lisis de impacto! tomand

PO18 A$inistrar 2r#-eservicios oport&namente y

&na identificación y priori0a

parte de la misma organi0

sólidas t"cnicas de adminis

PO11 A$inistrar Cali$a$

mediante &na planeación! de administración de calida

AD9ISICIÓN E IMPLEMEN%ACIÓN (AI)7ara llevar a cabo la estrategia de TI! las sol&ciones de TI

deben ser identificadas! desarrolladas o ad-&iridas! así como

implementadas e integradas dentro del proceso del negocio*

Adem's! este dominio c&bre los cambios y el mantenimiento

reali0ados a sistemas e/istentes*

AI1 I$entifi"ar S#lu"i#neslos re-&erimientos del &s

alternativas comparadas co

AI& A$'uirir - Mantenerf&nciones a&tomati0adas

declaraciones específicas

implementación estr&ct&rad

AI* A$'uirir - Mantenerplataformas apropiadas reali0ación de &na eval&ac

mantenimiento preventivo

softare del sistema*

AI+ Desarr#llar - Mantenaseg&rar el &so apropiad

establecidas! mediante la

man&ales de procedimien

servicio y material de entre

AI. Instalar - A"re$itar S

sea adec&ada para el propinstalación! conversión y pl

AI A$inistrar Ca


7/15

%

SER=ICIOS Y SOPOR%E (DS)En este dominio se $ace referencia a la entrega de los

servicios re-&eridos! -&e abarca desde las operaciones

tradicionales $asta el entrenamiento! pasando por seg&ridad y

aspectos de contin&idad* Con el fin de proveer servicios!

deber'n establecerse los procesos de soporte necesarios*Este dominio incl&ye el procesamiento de los datos por

sistemas de aplicación! frec&entemente clasificados como

controles de aplicación*

DS1 Definir ni0eles $e sdel nivel de servicio re-&e

de servicio -&e formalicen

cantidad y la calidad del se

DS& A$inistrar Ser0i"iresponsabilidades de las tcontin8en satisfaciendo los

de control dirigidas a la rev

en c&anto a s& efectivid

organi0ación*

DS* A$inistrar Dese2adec&ada est' disponible y

desempe.o deseado! reali0

recopilen datos y reporte

aplicaciones! manejo y dem

DS+ Ase!urar Ser0i"i# Cac&erdo con los re-&erimi

mediante &n plan de contin

contin&idad del negocio y re

DS. Garanti,ar la Se!uinformación contra &sos n

reali0ando controles de acc

programas est' restringido

DS I$entifi"ar - Asi!naratrib&ido a los servicios de

aseg&re -&e "stos sean rere-&eridos*

DS3 Ca2a"itar suari#s#&so efectivo de la tecnolog

invol&crados reali0ando &n

DS5 Asistir a l#s Clientee/perimentado por los &s&a

ay&da -&e proporcione sop

DS7 A$inistrar la C#componentes de TI! preven

y proporcionar &na base pidentifi-&en y registren tod

programa reg&lar de verific

DS18 A$inistrar Pr#


8/15

7

DS11 A$inistrar Dat#scompletos! precisos y

almacenamiento! a trav"s

aplicación sobre las operac

DS1& A$inistrar Instalaconveniente -&e proteja el polvo! calor e/cesivos% o fa

controles físicos y ambient

f&ncionamiento apropiado

del personal a las instalacio

DS1* A$inistrar O2eraimportantes de soporte de

manera ordenada a trav"s

registrada y completada en

MONI%OREO (M)Todos los procesos de &na organi0ación necesitan ser

eval&ados reg&larmente a trav"s del tiempo para verificar s&

calidad y s&ficiencia en c&anto a los re-&erimientos de control!

integridad y confidencialidad*

M1 M#nit#rear l#s 2r#"eestablecidos para los proc

gerencia reportes e indica

sistemas de soporte! así co

M& E0aluar l# a$e"ua$# $objetivos de control interno

M* O


9/15

&

#strategias implementadas$

En :55@! la ?ivisión de Tecnología de la Información eligió COIT como marco degobierno de TI adec&ada para integrar &n sistema de gestión de TI! basado en lassig&ientes características de COIT#

• Se permite el mapeo de los objetivos de TI a los objetivos de negocio*

• Es el res&ltado de &na mejor alineación! basado en &n enfo-&e de negocio*

• 7roporciona &na visión de lo -&e $ace -&e sea comprensible para la

gestión*

• Se indica claramente la propiedad y las responsabilidades basadas en laorientación del proceso*

• En general se acepta por parte de terceros y reg&ladores*

• 7roporciona &n entendimiento compartido entre todas las partesinteresadas! sobre la base de &n leng&aje com8n*

• C&mple con los re-&isitos de COSO y SarbanesO/ley para el entorno decontrol de TI*

Ecopetrol decidió implementar :@ procesos de COIT! dando prioridad a losobjetivos de control -&e apoyan el c&mplimiento de SarbanesO/ley* 1a ?ivisiónde Tecnología de la Información $a desarrollado &n ejercicio interno paradeterminar el nivel de mad&re0 de estos procesos* ?esp&"s de llegar a laconcl&sión de -&e estaban en &n nivel promedio de mad&re0 :! el e-&ipo identificólas brec$as y establecer planes de acción para alcan0ar el nivel 2 de los procesosm's críticos*


10/15

'

1as c&estiones clave -&e llevaron a los e/celentes res&ltados del primer a.o deimplementación de COIT en el sistema de gestión de TI de Ecopetrol incl&yen#

• 1a implementación de COIT se estr&ct&ró como &n proyecto! con &n plande trabajo detallado! $itos claramente definidos! asignación de trabajo ene-&ipo con dedicación y confian0a en la gestión de proyectos! gestión deriesgos y control de tiempo y los res&ltados finales del proyecto*


11/15

10

• El e-&ipo contó con el apoyo total de la administración! siempre -&e losinformes de progreso semanal! y se crió las desviaciones y acciones -&ere-&ieren la garantía*

• 1a empresa contrató conocidas empresas de cons&ltoría especiali0adas

-&e integran los e-&ipos con amplios conocimientos y e/periencia*

• 9n frente de la gestión del cambio! incl&yendo las actividades de formacióny acreditación profesional! se estableció*

• El proyecto de planificación! el desarrollo y los res&ltados se com&nicanefectivamente dentro de la empresa*

• &scar la apropiación de pr'cticas por parte de los propietarios de los

procesos y controlar responsable*

• El proyecto f&e bien integrado con todas las 'reas invol&cradas! y seaprovec$ó sinergias! especialmente con el e-&ipo de soporte de TI enoperaciones de transporte -&e proporcionó los res&ltados de los esf&er0osanteriores y garanti0ó la perspectiva de los &s&arios de negocios

• Se establecieron &na com&nidad de pr'ctica y gestión de las leccionesaprendidas*

• Se definieron las estrategias de sostenibilidad y &na mayor optimi0ación delos procesos*

• 1a ?ivisión de Tecnologías de interact&ó de manera efectiva con lose-&ipos de a&ditoría*

• Se prestó especial atención a la separación de f&nciones! control deacceso! planificación de la contin&idad! desarrollo de softare y losproblemas de seg&ridad de la información*

• eval&aciones a nivel de mad&re0 se llevaron a cabo por &n terceroindependiente y competente*

• +'s de :5 empleados pasaron el e/amen de B&ndamentos de COIT yobt&vieron &n certificado de COIT*

•


12/15

11


13/15

12

Conclusiones

Si bien COIT es &n marco general! s& fle/ibilidad y versatilidad nos permiteadaptarlo a c&al-&ier tipo y tama.o de empresa! reali0ando &na implementacióngrad&al y progresiva acorde a los rec&rsos disponibles y acompasando laestrategia empresarial*

Si bien a8n no es re-&erido formalmente en forma reg&latoria! es &n est'ndar defacto en toda 1atinoam"rica y es &na f&erte recomendación en los 'mbitosfinancieros* Es parte de la misión de ISACA! la div&lgación de COIT y apoyo enla implementación como forma de promover la eficiencia y b&ena gestión de los

procesos de tecnología -&e nos permita compararnos y mejorar día a día en posde la concreción de los Objetivos de egocio*

Como p&dimos ver en el caso anterior si se implementa correctamente COITp&ede darle gran valor a la empresa! adem's de -&e en &n corto tiempo sereali0an los procesos! por ejemplo Ecopetrol lo logro en &n pla0o de 2 a.os ( del:55@:5;;% para estar en &n nivel >*

Ecopetrol $i0o &na integración del Sistema de ,estión de TI con el apoyo de laimplementación de COIT y la estr&ct&ración de la sostenibilidad y el modelo deoptimi0ación basado en procesos! Ecopetrol $a sentado &na base sólida para laconsolidación de la gobernabilidad de TI! riesgo y c&mplimiento*

Así como Ecopetrol las empresas p&eden &sar m8ltiples marcos de referencia -&eay&den a la empresa a a&mentar s& valor*

http://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos/planificacion/planificacion.shtmlhttp://www.monografias.com/trabajos/planificacion/planificacion.shtmlhttp://www.monografias.com/trabajos7/gepla/gepla.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos/planificacion/planificacion.shtmlhttp://www.monografias.com/trabajos7/gepla/gepla.shtml


14/15

13


15/15

14

!ibliograf%aISACA. (s.".). *ecuperado el 23 de ma+o de 201%, de COBIT Case Stud+-

Implementin! COBIT "or IT o/ernance, *is and Compliance at

copetrol S..- ttp-.isaca.or!5noled!e6Centercobita!esCOBIT6Case6Stud+6copetrol.asp8

Auditoria en Informatica CUN. (s.".). *ecuperado el 23 de ma+o de 201%, de

9istribución de los dominios + procesos de COBIT-

ttps-sites.!oo!le.comsiteauditoriaenin"ormaticacuncobitdominios6+6

procesos

Lo:ano, . L. ($ de ;o/iembre de 2014). lineando el obierno, *ies!o +

Cumplimiento de TI con COBIT $ Caso de studio copetrol.

cobit tarea.docx

Documents

Transcript of cobit tarea.docx