Es uno de los cuerpos normativos más relevantes a nivel internacional en el área de la gestión de Tecnología Informática (TI). El Lic. Carlos Amaral, directivo de Amaral & Asociados, nos habla en esta nota sobre esta metodología, tema que desarrolló días pasados en el cuarto evento académico de la Information Systems Audit and Control Association (ISACA) Asunción Chapter (Capítulo Asunción), que tuvo lugar en Ciudad del Este.

Así como los términos PCGA o NAGA (Principios de Contabilidad Generalmente Aceptados o Normas de Auditoría Generalmente Aceptadas) resultan ampliamente conocidos para todos los contadores y auditores, CobiT tiende a ser el estándar internacional en materia de seguridad y control de la tecnología de información. Este estándar ha tenido un gran desarrollo en Estados Unidos y existen cuerpos normativos similares que se encuentran mayormente difundidos en Europa (principalmente en Inglaterra) y Australia, cuyo contenido es similar al de CobiT.

“CobiT es sinónimo de buenas prácticas en materia de administración de tecnología de información. Las empresas no se certifican contra el CobiT, ya que no constituye un cuerpo de requisitos, sino de buenas prácticas. Ni siquiera se habla en sus manuales de mejores prácticas, ese concepto de ‘benchmarking’ relacionado con el logro de metas. Son un grupo de buenas prácticas diseñadas a partir de una consolidación de un estudio muy grande que hizo la ISACF”, señaló Amaral.

Aclaró sin embargo que no se puede poner un “sello” que certifique que la empresa cumple CobiT, pero para eso existen otras normas a nivel mundial, las ISO. Indicó que CobiT es sinónimo de buenas prácticas, mientras que las ISO (sinónimo de mejores prácticas) y otra cosa son las BS (British Standards) las cuales sí comprenden un grupo de normas exigibles, que son pasibles de certificación.

Para fines de 2005 se prevé la aparición de una nueva norma ISO 27.001 en materia de seguridad informática, pasible de certificación. Consultado si a qué sector de la empresa afecta esta metodología, el entrevistado señaló que CobiT está fuertemente orientado al negocio de las empresas. “No piensen que CobiT está pensado sólo para los auditores de sistemas o para los auditores de tecnología informática, para la gente del centro de cómputos; CobiT fue pensado para los gerentes, para los propietarios de las empresas. Es una herramienta, un cuerpo normativo, un marco, un ‘framework’, generalmente aceptado, orientado al negocio, sobre buenas prácticas de tecnología de información”, resaltó.

Al respecto, Amaral indicó que CobiT brinda buenas prácticas para que las empresas lleguen a sus objetivos, utilizando la tecnología de información, para sacar ventajas a la competencia y cumplir los objetivos empresariales. Es una herramienta interesante para ser aplicada por organismos del Gobierno u ONG, es decir, por toda empresa que tenga un fin, aun cuando este se asocie o no a la obtención del lucro.

Finalmente, comentó que en Paraguay los bancos y financieras están obligados, ya a partir del año 2002, a incorporar todos estos mecanismos del CobiT y destacó que el Manual de Control Interno Informático para Entidades Financieras (MCIIEF) emitido por el BCP se basa aproximadamente en un 80% en CobiT.

Cabe señalar que ISACA es la principal organización a nivel mundial que reúne a los técnicos y auditores en sistemas informáticos y personal de seguridad informática. Es la principal organización que nuclea a decenas de miles de personas en todo el mundo y trabaja también en Paraguay.