Caso éxito COBIT – Ecopetrol S.A
INTRODUCCIÓN Hoy día, los procesos de negocio son cada vez más complejos y cambiantes, los tiempos más acelerados y los mercados globales imponen requerimientos cada vez más exigentes, por consiguiente, c onsiguiente, las organizaciones deben buscar estrategias que les permitan innovar y ser sostenibles en el tiempo y para ello las tecnología de la información y comunicación – TIC son un pilar fundamental es este propósito. A lo largo de la historia y a la fecha, los proyectos de tecnología se han caracterizado por contar con lo indicadores más altos de fracaso, lo anterior debido al exceso en los presupuestos, exceso exc eso en su cronograma
o entregan menos valor que el predicho, sin embargo, existen otros que logran cumplir con la triple restricción de los proyectos, logrando el alcance propuesto, en el tiempo indicado, el presupuesto definido y con la calidad esperada. Para lograr que los proyectos sean exitosos, se ha acudido a la experiencia y a las buenas prácticas establecidas por expertos en esta materia, entre las cuales se encuentra la guía del PMBOOK, ITIL, COBIT, CMMI, Val IT, TOGAF, entre muchos otros, los cuales van desde buscar la mejora de los servicios ofrecidos por las tecnologías, hasta otras que permiten realizar el control y seguimiento para la información y la tecnología. El trabajo, inicialmente hace una revisión de los marcos de referencia para la gestión de TI más trabajados actualmente, seguido de la presentación del caso Ecopetrol S.A y su implementación de COBIT dentro de sus procesos de TI, mostrando los logros alcanzados, la mejores prácticas para el éxito de este tipo de proyectos y finalmente se cierra con la síntesis del caso expuesto anteriormente.
MARCOS DE REFERENCIA PARA LA GESTIÓN DE SERVICIOS DE TI La importancia que han cobrado las TI en las organizaciones y en la vida de las personas es enorme, por cuanto estas se han convertido no solo en herramientas de soporte, sino en algo totalmente necesario para cualquier persona o empresa. Hoy día es difícil concebir una empresa que no se apoye en las TIC´s para la gestión del día a día. Son innumerables los problemas que se pueden presentar al administrar las TIC´s, principalmente en el sentido de buscar que estas generen valor para las organizaciones, que estén integradas con los objetivos de negocio y que generen ventajas competitivas para esta.
Por lo anterior, se han creado en la industria marcos de trabajo y mejores prácticas que tienen como propósito eliminar estas problemáticas, buscando generar una nueva perspectiva desde un punto de vista integrador, consistente y concentrado en responder a las nuevas exigencias de los tiempos modernos. Por lo tanto, estas mejores prácticas se han transformado en estándares de la industria, tanto así, que se ha convertido en una necesidad para aquellas empresas que desean gestionar las TI adecuadamente y lograr ventajas de negocio de las mismas (Helkyn Coello Blog, 2008). Teniendo en cuenta lo expuesto anteriormente, las organizaciones deben pensar en cuál es la mejor forma o mecanismo para afrontar dicha problemática y para ello en la industria actual existen diversos modelos o estándares, sin embargo, existe más de un modelo aplicable de acuerdo al tipo de problema, por consiguiente a continuación se presentan los principales estándar de la industria, los más aceptados y usados para la resolución de dichos problemas. Figura 1: principales estándares de la industria de TI
Fuente: elaboración propia
A continuación se presenta cuadro resumen con los principales estándares presentados en la figura 1.
Tabla 1: Principales estándares de gestión de TI Estándar
PMBOK V5
ITIL V3
COBIT 5
CMMI
Basado en el marco de trabajo del PMBOOK
Estándar más ampliamente conocido para la gestión de servicios de TI
Estándar generalmente aceptado que brinda buenas prácticas para gestión y control de las TI
Es una fusión de modelos de mejora de procesos e ingeniería de software
Creado por el PMI
Los procesos de ITIL están alineados con el estándar de calidad ISO 9000
Tiene un triple enfoque: enfocado al management, a los usuarios de TI y a los auditores
Tiene su origen dentro de la industria militar en los Estados Unidos
Conjunto de buenas prácticas divididas en 10 áreas de conocimiento y 5 grupos de procesos, los cuales se subdividen en 47 sub procesos
Conjunto de buenas prácticas destinadas a mejorar la gestión y provisión de servicios de TI
Ayuda a las organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.
Constituye una forma de medir el grado de madurez de las organizaciones respecto a la aplicación de las mejores prácticas de desarrollo y gestión de software
Brinda un esquema de trabajo para gestionar cada aspecto de un proyecto
Tiene como objetivo mejorar la calidad de los servicios de TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que estos ocurran ofrecer un marco de actuación para que estos
Está conformado por 5 principios y 7 habilitadores útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público
Guía que permite a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios informáticos
sean solucionados con el menor impacto y a la mayor brevedad posible
Cada organización determina que partes del marco de trabajo es aplicable a la organización
Desarrollado por el PMI a finales de los años 80 con el objetivo de documentar, unificar y estandarizar los conocimientos y prácticas dentro del campo de la administración de proyectos
Tiene su origen en la década de los 80 por iniciativa del gobierno británico
Actualmente es AXELOS el organismo encargado de velar por este estándar y la responsabilidad de la última versión
Lanzado en el año de 1996
Presenta 5 niveles de madurez : inicial, repetible, definido, administrado y optimizado
Guía proporcionada por ISACA
El principal objetivo de estos niveles es lograr un nivel de estandarización adecuado para cada empresa respecto a sus desarrollos de software, con la finalidad de gestionar los proyectos de SW.
Fuente: elaboración propia basada en (Helkyn Coello Blog, 2008), (ITIL
V3, 2016), (ISACA, 2016) & (PMI, 2013)
METODOLOGÍA A)
EC OPE TRO L S. A
Es una Sociedad de Economía Mixta, de carácter comercial, vinculada al Ministerio de Minas y Energía, es la empresa más grande del país y la principal compañía petrolera en Colombia, pertenece al grupo de las 39
petroleras más grandes del mundo y es una de las cinco principales de Latinoamérica. Cuenta con campos de extracción de hidrocarburos en el centro, el sur, el oriente y el norte de Colombia, dos refinerías, puertos para exportación e importación de combustibles y crudos en ambas costas y una red de transporte de 8.500 kilómetros de oleoductos y poliductos a lo largo de toda la geografía nacional. Para garantizar la transparencia de las operaciones y fluidez e integridad en la información, ha adoptado un código de Buen Gobierno (Ecopetrol S.A, 2016).
B)
IMPLEMENTACIÓ N DE COBIT – ECOPETROL S.A
En el año 2007, la empresa adopta el modelo COSO para la gestión de control interno, el cual es un documento de contiene las principales directivas para la implantación, gestión y control de un sistema de control (Cabello, N., 2011) En el año 2008, la DTI (Dirección de Tecnología de Información) de la empresa, decide adoptar COBIT, como marco para la implementación del sistema de gestión de tecnologías de información, integrando los esfuerzos de iniciativas en curso, relacionadas con el Diseño e implementación de Servicios (ITIL), la Gestión por Procesos, Control Interno y cumplimiento de regulaciones tales como la Ley Sarbanes Oxley. (Léon, A., 2012). DTI eligió COBIT como el marco de gobierno de TI adecuado para integrar un sistema de gestión de TI, basado en las siguientes características de COBIT (ISACA, 2016):
Permite el mapeo de los objetivos de TI a los objetivos de negocio.
Es el resultado de una mejor alineación, basado en un enfoque de negocio.
Proporciona una visión de lo que hace que sea comprensible para la gestión.
Indica claramente la propiedad y las responsabilidades basadas en la orientación del proceso.
En general se acepta por parte de terceros y reguladores.
Proporciona un entendimiento compartido entre todas las partes interesadas, sobre la base de un lenguaje común.
Cumple con los requisitos de COSO y Sarbanes-Oxley para el entorno de control de TI.
C)
¿QUÉ SE HIZO?
Inicialmente la DTI de Ecopetrol define los lineamientos, procesos y objetivos de control a implementar, seguido de una identificación de recursos internos que apoyarían la implementación del sistem a y los recursos asignados a contratar a los consultores externos. Una vez realizado esto, se establece un proyecto, donde se presta especial atención a cuestiones como:
Asignación de recursos y un equipo interdisciplinario con representantes de las áreas involucradas dentro de ella
Definición de puntos de relación con las unidades de negocio y otras unidades de apoyo
Interacción con las áreas clave: finanzas, riesgos, estrategia, calidad y auditoría interna y externa de manera continua
Alineación con los proyectos empresariales tales como el fortalecimiento del sistema de control interno (COSO) y (Ley Sarbanes – Oxley) cumplimiento.
Presentaciones al nivel más alto de gestión, con reuniones semanales de seguimiento sobre el proyecto
Identificación de las aplicaciones anteriores y procesos críticos de negocio.
D)
¿CÓMO SE HIZO?
De acuerdo a lo anterior, Ecopetrol decidió implementar 28 procesos COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley (ISACA, 2016) (Léon, A., 2012). El equipo del proyecto desarrolla el diseño y documentación de los procesos y, posteriormente, la aplicación y el seguimiento de la operación para la realización de los ajustes necesarios. Como resultado de ello, en junio de 2009, la División había aplicado y asegurado 14 procesos de COBIT de alta prioridad. A diciembre de 2009, ya se habían aplicado los 28 procesos (ISACA, 2016). Como menciona (Valverde, F., 2014) a mediados del 2009 y al empezar el 2010, se llevaron auditorias tanto de tipo interno como de tipo externo, se implementaron medidas de corrección para las debilidades y el mejoramiento en los principales procesos y controles de TI, la auditoria externa reporto que no había deficiencias significativas o debilidades materiales en los controles de TI que requieran ser informadas por el CIO, el CFO, el CEO o el auditor externo.
RESULTADOS OBTENIDOS A lo largo del año 2010 y de acuerdo a las medidas de corrección y auditorías realizadas se logra confirmar el nivel 3 de madurez de los procesos de gestión de tecnología de información bajo la metodología COBIT. El resultado de este trabajo es documentado como un caso de éxito internacional y fue aprobado por ISACA (Information System Audit and Control Association). Por otra parte como menciona (Valverde, F., 2014) se adelantaron planes de trabajo con 21 áreas de la Empresa con un nivel de cumplimiento de 97,6%, y se ejecutaron inversiones por $51.600 millones con un cumplimiento del indicador de proyectos del 100%. Dentro de los resultados más destacados de 2010 se encuentran:
Transición al nuevo prestador de servicios básicos de soporte informático, bajo un enfoque de procesos acorde con la práctica internacional – ITIL.
Despliegue de la solución SAP en filiales (Bioenergy, Reficar, ODL); actualización de Ellipse; segregación de funciones de usuario final con el apoyo de la herramienta SAP GRC Access Control.
Puesta en producción de las soluciones de información para transportes alternativos y Nominaciones.
Implementación de soluciones para aprendizaje virtual. Se logró una participación de 2.126 funcionarios en programas técnicos e inglés virtual.
Cubrimiento de más de 3.900 funcionarios y contratistas para sensibilizarlos en prácticas de gestión segura de la información.
Desarrollo y valoración de la efectividad de seguridad informática de las 38 aplicaciones alcance SOX y su infraestructura asociada.
Definición de las especificaciones técnicas de seguridad para proyectos orientados hacia Cloud Computing
Finalmente, en diciembre de 2009, el proyecto COBIT recibió un premio de la compañía por la excelencia para reconocer el rendimiento, la iniciativa y el trabajo en equipo del equipo del proyecto.
FACTORES DE ÉXITO EN EL PROYECTO Como menciona Alberto León Lozano, Vicepresidente de innovación y Tecnología de Ecopetrol S.A en conferencia publicada por (ORG, 2014) los factores que contribuyeron al éxito del proyecto de implementación de COBIT fueron:
Asignación de responsabilidades, sobre el diseño y operación de los procesos, en cabeza de los líderes
Respaldo pleno de la dirección
Entrenamiento y replica de conocimientos del personal del proyecto
Monitoreo frecuente
Eficiente control de cambios
Revisión de lecciones aprendidas periódicamente y aprendizaje de las mismas
Interacción permanente con los procesos de auditoria y los resultados arrojados.
Plan de comunicaciones enfocado en la trasformación de la cultura, asegurando que las personas incorporaran las prácticas dentro de los procesos
Apoyo de consultorías de alto nivel
Definición clara de estrategias y acciones de sostenibilidad
CONCLUSIONES El marco de trabajo de COBIT se ha convertido en un modelo a seguir para llevar un control de los procesos de TI que pertenecen a la organización, sin embargo este debe ser tomado en cuenta para la gobernabilidad de tecnología que por consiguiente será enfocado a la gobernabilidad corporativa Sin determinar el tamaño de la organización ni en el mercado que esta pueda desempeñar los marcos de referencia para la gestión de TI agregan valor a las empresas, le dan al gerente una visión sobre las mejores prácticas en el desempeño de TI orientado netamente al negocio. La implementación de los marcos de referencia para la gestión de TI se recomienda que se estructuren como un proyecto, con un plan de trabajo detallado, hitos claramente definidos, asignación del trabajo en equipo, gestión de riesgos y los entregables del proyecto. Los factores de éxito evidenciados en el caso de estudio muestran la importancia de contar con una eficiente gestión de los cambios, la asignación de responsabilidades, el monitoreo frecuente, un plan de comunicaciones bien definido, gestión de riesgos, apoyo permanente de la lata dirección, entre muchos otros, que para este caso ayudaron a alcanzar con éxito el proyecto. Se resaltan las evaluaciones a nivel de madurez que se llevaron a cabo por un tercero competente e independiente para la medición de madurez de los procesos, así como la comunicación permanente con las auditorías realizadas y la socialización de las lecciones aprendidas.
BIBLIOGRAFÍA Cabello, N. (06 de 09 de 2011). Recuperado el 06 de 06 de 2016, de Consultora Sur: https://blogconsultorasur.wordpress.com/2011/09/06/que-es-coso/ Consultoria ITIL. (06 de 06 de 2016). Consutaoria ITIL . Obtenido de http://www.consultoriaitil.com.mx/3.html Ecopetrol S.A. (2015). Ecopetrol S.A. Recuperado el 07 de 06 de 2016, de http://www.ecopetrol.com.co/documentos/Ecopetrol_IA_2015_29marz o.pdf Ecopetrol S.A. (06 de 06 de 2016). Obtenido de Ecopetrol S.A: http://www.ecopetrol.com.co/wps/portal/es/ecopetrol-web Helkyn Coello Blog. (08 de 12 de 2008). Helkyn Coello Blog. Obtenido de https://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbokcomo-integrar-y-adoptar-los-estandares-para-un-buen-gobierno-de-ti/ ISACA. (06 de 2016). ISACA. Obtenido de http://www.isaca.org/cobit/pages/default.aspx ISACA. (2016). ISACA. Recuperado el 06 de 06 de 2016, de http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-CaseStudy-Ecopetrol.aspx ISACA Madrid Chapter. (13 de 12 de 2014). Youtube. Recuperado el 08 de 06 de 2016, de https://www.youtube.com/watch?v=n9Nt5JrUHbk ITIL V3. (06 de 2016). Itilv3 Osiatis. Obtenido de http://itilv3.osiatis.es/itil.php Léon, A. (4 de 11 de 2012). itSMF. Obtenido de http://itsmf.es/index.php?option=com_content&view=article&id=852 Mosquera. F, Andrade. D y Sierra, L. (2013). Guía para apoyar la priorización de riesgos en la gestión de proyectos de tecnologías de la información.
ORG, I. (2014). COBIT Case Study: Implementing COBIT for IT Governance, Risk and Compliance at Ecopetrol S.A. (ISACA) Recuperado el 04 de 03 de
2014, de http://www.isaca.org/Knowledge-Center/cobit/Pages/COBITCase-Study-Ecopetrol.aspx PMI. (2013). Guía de los fundamentos para la dirección de proyectos (Quinta edición ed.). Valverde, F. (2014). ECOPETROL S.A Un modelo de éxito en la implementación de COBIT.
Presentación: Alberto León Lozano – ISACA Madrid Chapter – diciembre de 2013 “ALINEANDO EL GOBIER NO,
RIESGO Y CUMPLIMIENTO DE TI CON COBI T 5.” CASO DE ESTUDIO ECOPETROL. AL BE RT O LEÓ N LO ZANO , OFIC IAL DE CUMPL IMIEN TO DE TI – DTI, VICEPRESIDENCIA DE INNOVACIÓN Y TECNOLOGÍA, ECOPETROL (COLOMBIA)