COBIT (para " Objetivos de control de la información y tecnología relacionada " o "objetivos de control de la información y tecnologías asociadas" en francés) es un repositorio de las mejores prácticas en auditoría y gobierno corporativo de las TIC de origen estadounidense . A lo largo de sucesivas versiones, tiende a convertirse en una herramienta unificadora para la gobernanza de los sistemas de información al integrar gradualmente contribuciones de otros estándares como ISO 9000 , ITIL , etc.
El gobierno de los Sistemas de Información (Gobierno de las Tecnologías de la Información (TI)) se ha extendido dentro de las empresas en un contexto donde, por un lado, la automatización de las funciones de la empresa se ha convertido en un componente esencial dentro de la empresa. No veo cómo SI puede aportar valor y rendimiento a la organización. Así, podemos hablar de gobernanza de SI y por tanto de estándares y certificaciones que permitan esto último. Es también en aras de la transparencia de la información que los sistemas de información se han desarrollado y que su control se ha vuelto esencial. El principal repositorio de auditoría y gobernanza de SI es COBIT. En resumen, COBIT es un marco de referencia para controlar la gobernanza de SI a lo largo del tiempo. Se basa en un conjunto de buenas prácticas recopiladas de expertos en SI.
COBIT fue desarrollado en 1994 (y publicado en 1996 ) por la Asociación de Control y Auditoría de Sistemas de Información ( ISACA ). ISACA fue creada en 1967 y está representada en Francia desde 1982 por la AFAI ( Asociación Francesa de Auditoría y Consultoría de TI ). Es un marco de control que tiene como objetivo ayudar a la gerencia a gestionar los riesgos (seguridad, confiabilidad, cumplimiento) e inversiones. COBIT ha evolucionado, la versión 4 apareció en Francia en 2007.
COBIT est une approche orientée processus, qu'il regroupe en quatre domaines (planification, construction, exécution et métrologie, par analogie avec la Roue de Deming ), 34 processus distincts qui comprennent en tout 215 activités et un nombre plus important encore de « pratiques de control ". Un componente de "evaluación de sistemas de información", conocido con el nombre de Val IT, intenta completar este enfoque.
COBIT versión 5 ha estado disponible desde abril 2012. COBIT 5 es, hasta la fecha, el único repositorio orientado a negocios para el gobierno y la gestión de los sistemas de información de la empresa. Representa una importante evolución del repositorio.
COBIT 5 se puede adaptar a todo tipo de modelos de negocio, entornos tecnológicos, todas las industrias, geografías y culturas corporativas. Se puede aplicar a:
El repositorio de COBIT 5 simplifica los desafíos de gobernanza con solo cinco principios y siete habilitadores. Permite la integración con otros enfoques y estándares, incluidos TOGAF , PMBOK , PRINCE2 , COSO , ISO / IEC 20000 , ISO / IEC 27001 , ITIL , PCI DSS , Sarbanes-Oxley y Basel III .
En noviembre 2018, ISACA anunció el lanzamiento gradual de la versión 2019 de COBIT.
COBIT proporciona a los gerentes, auditores y usuarios de tecnologías de la información y la comunicación (TIC) indicadores, procesos y mejores prácticas para ayudarlos a maximizar los beneficios del uso de técnicas de TI y desarrollo, gobierno y control de una empresa. Les ayuda a comprender sus sistemas de TI y determinar el nivel de seguridad y control que es necesario para proteger su negocio, a través del desarrollo de un modelo de gobierno de sistemas de información como COBIT. Por lo tanto, COBIT proporciona indicadores objetivos clave, indicadores clave de desempeño y factores clave de éxito para cada uno de sus procesos. El modelo COBIT se centra en lo que necesita hacer la empresa, no en cómo debe hacerlo.
El repositorio COBIT constituye una estructura de relaciones y procesos ( marco de referencia o framework ) orientados a la gestión y control de las técnicas informáticas por parte de la dirección de la empresa para alcanzar sus objetivos, utilizando estas técnicas como medio para mejorar la actividad y satisfacer las necesidades del negocio. , necesidades consolidadas en el plan estratégico de la empresa. Se basa en 5 claves principales de gobernanza y gestión de TI:
Una de las principales novedades de COBIT 5 es abordar el sistema de información , más allá de los procesos ya planteados por COBIT 4.1, a través de otros temas complementarios, como parte de un enfoque global (o sistémico). Todos estos temas contribuyen de manera interdependiente al control de la gobernanza y gestión del SI.
COBIT 5 define 37 procesos agrupados en cinco áreas.
Se han realizado adaptaciones a esta versión para asegurar una mejor convergencia con otros estándares como ITIL y CMMI . Por lo tanto, COBIT 5, incluso más que COBIT 4.1, ayudará a los CIO a implementar un enfoque de mejora general del CIO, homogéneo y coordinado, que no se centra solo en los procesos.
COBIT 4.1 define 34 procesos agrupados en cuatro áreas.
COBIT consiste en descomponer cualquier sistema informático en:
COBIT está dirigido a diferentes usuarios:
Incluye seis publicaciones:
El objetivo es garantizar una correspondencia duradera entre las tecnologías, los procesos comerciales y la estrategia de la empresa.
Esta sección será de interés para la gerencia general al indicar qué aportará la implementación de un proceso dado a la información (por ejemplo, a la información para la toma de decisiones). Estos criterios son:
Al mejorar la información de acuerdo con estos criterios, la organización podrá alcanzar sus objetivos con mayor facilidad, abrir nuevas oportunidades y mejorar la rentabilidad.
Esta parte concierne más al director de sistemas de información ( DSI ) o al responsable de sistemas de información (RSI), para informarle de los recursos que serán impactados por el proceso. Los diferentes recursos son:
Destinados a la atención del responsable de procesos, definirán la estructura de áreas, procesos y tareas. Debe saber que un proceso se define como un conjunto de tareas. Por ejemplo, el proceso “contable” interviene en el dominio “administrativo y financiero” y se divide en actividades como “ingresar facturas, editar el saldo…”. CobiT ofrece un modelo de madurez para cada proceso con el fin de situarlo en relación con las mejores prácticas del mercado. El modelo tiene 6 niveles (0 a 5).
Los factores clave de éxito definen las acciones más importantes a realizar para controlar los procesos. Los indicadores de objetivos clave permiten saber a posteriori si un proceso ha cumplido los objetivos (en cuanto a los criterios de información). Finalmente, los indicadores clave de desempeño determinan la calidad de operación de un proceso (capacidad para lograr objetivos).
Esta versión simplificada de CobiT está dirigida principalmente a pymes para las que las técnicas informáticas no representan un tema estratégico sino simplemente una palanca en su estrategia de crecimiento. Se basa en los siguientes supuestos:
Esta versión de COBIT conserva 30 de los 34 procesos y 62 de los 318 objetivos de control.
La implementación de Quickstart consta de seis pasos:
Según Georges Épinette, administrador de CIGREF , el enfoque para aprehender este repositorio debe hacerse de manera inteligente, especialmente cuando se trata del ciclo de vida de la relación cliente-proveedor. De hecho, CobiT presenta la pobreza relativa en términos de:
En particular, CobiT se basa en un enfoque muy funcional de la organización. En este modelo, el Sistema de Información opera en paralelo con la organización real - y en cierto modo, desconectado de ella - porque se basa en la disposición nominal de funciones. En este contexto, la alineación del sistema de información consiste en conciliar, muchas veces de manera ad hoc, la realidad de las operaciones con una visión idealizada de la organización. Otros enfoques, que combinan dinámicamente Sistema de Información y Organización según modelos que extienden el modelo funcional, evitan este escollo: este es el caso, por ejemplo, del Análisis de Decisiones de sistemas complejos inspirado en el trabajo de la ' escuela sociotécnica y cibernética actual .
En 2006, un grupo de trabajo del club de propietarios de sistemas de información publicó un estudio sobre CobiT, en el que aparecen una serie de comentarios sobre los aportes y limitaciones de CobiT.