Mapeo de COBIT 5 con Gobernanza, Riesgo y Cumplimiento de TI en Ecopetrol SA

[19:42, 29/8/2018] C-Mend (Ice Ice Baby🎶)👾: Mapeo de COBIT 5 con Gobernanza, Riesgo y Cumplimiento de TI en Ecopetrol SA

Como parte de una estrategia actualizada, Ecopetrol SA, una compañía de energía integrada verticalmente, comenzó una transformación corporativa con los objetivos de crecimiento y fortalecimiento de su sistema de control interno. Sabía que necesitaba un enfoque claro para la gobernanza y la gestión de los servicios de TI, así como los mejores estándares de referencia mundiales y un marco, por lo que utilizó el Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO) y marcos COBIT, lo que ayudó a consolidar un gobierno de TI sólido. prácticas que estaban totalmente alineadas con las iniciativas de control interno corporativo.

En 2007, Ecopetrol actualizó su estrategia corporativa, que requirió cambios y mejoras importantes en la estructura organizacional y los procesos que respaldan los objetivos estratégicos. En consecuencia, se establecieron hitos importantes, como la transformación de la naturaleza jurídica de la empresa, el inicio de operaciones internacionales y la adopción del Marco Integrado de Control Interno COSO, para fortalecer el sistema de control interno. La compañía cotizó sus acciones en la Bolsa de Nueva York (NYSE) a partir de septiembre de 2008.

Alineado con el despliegue estratégico y para proporcionar respuestas oportunas y efectivas a los requisitos generados por la situación de la compañía, la División de Tecnología de la Información (DTI) de Ecopetrol decidió en 2008 integrar un sistema de gestión de TI, basado en un marco adecuado. COBIT® fue seleccionado como el marco de gobierno de TI apropiado para implementar su sistema de administración de TI. El sistema de administración de TI incorporó el marco COBIT® 4.1 para cubrir los objetivos clave de control de TI que respaldan la confiabilidad y seguridad de la información de la compañía. Durante los últimos cinco años de la operación del sistema de gestión de TI, la gestión del riesgo de TI y el cumplimiento han sido exitosos. Sin embargo, DTI ha permanecido en alerta constante ante los desafíos de crecimiento y excelencia operacional que la compañía estableció. El objetivo es incorporar las mejores prácticas que promuevan la sostenibilidad de estos resultados.

Antecedentes Ecopetrol se centra en la buena ética y la transparencia. Como la compañía petrolera integrada más grande de Colombia, con aproximadamente 7.000 empleados directos, Ecopetrol se encuentra entre las 40 principales compañías petroleras del mundo y las cuatro compañías petroleras más grandes de América Latina. En Además de Colombia, que representa el 60 por ciento de la producción total de Ecopetrol , la compañía participa en actividades de exploración y producción en Brasil, Perú y los EE. UU. (Golfo de México). Ecopetrol también está aumentando considerablemente su participación en biocombustibles. El Código de Gobierno Corporativo de Ecopetrol comprende las mejores prácticas corporativas necesarias para preservar la ética comercial y la correcta administración y control de la compañía. Esto permite que la empresa compita a través del reconocimiento y respeto de los derechos de los accionistas, inversores y otras partes interesadas sobre la base de políticas claras de transparencia en la gestión y divulgación de información sobre el negocio, lo que a su vez generará una mayor confianza entre las partes interesadas y el mercado en general. El sistema de control interno de Ecopetrol se enmarca dentro de los estándares internacionales (COSO). La función de TI de Ecopetrol depende del vicepresidente de innovación y tecnología. Su responsabilidad es gobernar los procesos de TI de la empresa, incluida la estrategia, la arquitectura, la cartera, la implementación y el funcionamiento de las soluciones de TI, y el aprovisionamiento de servicios de TI e infraestructura para respaldar los procesos comerciales. DTI y la unidad de servicios compartidos de TI (UTI) son responsables de garantizar el gobierno y la gestión de TI, respectivamente. Ambos tienen estructuras organizativas sólidas distribuidas de manera tal que satisfagan las necesidades del negocio relacionadas con TI. Además, la función de TI contiene una unidad de gestión y arquitectura y una unidad de seguridad de la información, que informan al más alto nivel de la división de TI para orientar los procesos relacionados con la gobernanza, el riesgo y el cumplimiento de TI (GRC).

Por qué Ecopetrol eligió COBIT Al elegir COBIT como el marco de gobierno de TI adecuado para integrar un sistema de administración de TI, DTI lo hizo en base a las siguientes características de COBIT:

• Mapeo de los objetivos de TI para los objetivos de negocio

• Mejor alineación basada en un enfoque empresarial

• Una visión de lo que TI hace que sea comprensible para la gerencia

• Indicación de propiedad y responsabilidades claras basadas en la orientación del proceso

• Aceptación general por parte de terceros y reguladores

• Un entendimiento compartido entre todos los interesados ​​basado en un lenguaje común

• Cumplimiento de los requisitos de COSO y la Ley Sarbanes-Oxley de EE. UU. Para el entorno de control de TI

En el último trimestre de 2008, la división de TI de Ecopetrol definió las directrices, los procesos y los objetivos de control para implementar. Del mismo modo, la división identificó los recursos internos que apoyarían la implementación del sistema y asignó recursos para contratar los consultores externos requeridos. El equipo estableció un proyecto, dando especial consideración a los siguientes problemas:

• Abordar la asignación de recursos y crear un equipo interdisciplinario con representantes de las áreas involucradas dentro de TI

• Definir los puntos de relación con las unidades de negocio y otras unidades de soporte e interactuar con áreas clave -finanzas, riesgos, estrategia, calidad y auditoría interna y externa-de forma continua.

• Integración y convergencia con el equipo de soporte de TI en las operaciones de transporte que estaba anticipando un esfuerzo de implementación de COBIT

• Alineación con proyectos empresariales: fortalecimiento del sistema de control interno (COSO) y cumplimiento (Sarbanes-Oxley). DTI consideró las diversas iniciativas comerciales y proyectos en curso para garantizar la coordinación e integración de esfuerzos.

• Establecer una línea de informes al más alto nivel de gestión, con reuniones de seguimiento semanales sobre el proyecto

• Identificación de aplicaciones previas (Sarbanes-Oxley, componente alto en SAP) y otras críticas para los procesos comerciales, con la misma comprensión de las personas, recursos e infraestructura asociados con estas aplicaciones. Ecopetrol optó por implementar 28 procesos COBIT 4.1, dando prioridad a los objetivos de control que respaldan el cumplimiento de Sarbanes-Oxley. La división de TI desarrolló un ejercicio interno para determinar el nivel de madurez de estos procesos. Después de concluir que tenían un nivel promedio de madurez de 2 , el equipo identificó las brechas y estableció planes de acción para alcanzar el nivel 3 para los procesos más críticos.

Desde la segunda mitad de 2009, se desarrollaron auditorías anuales internas y externas para el cumplimiento de Sarbanes-Oxley. Se implementaron varias medidas para remediar y mejorar los procesos y controles clave de TI. Como resultado, el auditor externo informó que no había deficiencias significativas o debilidades materiales en los controles de TI que deben ser

informado por el director de información (CIO), director financiero (CFO), director ejecutivo (CEO) o auditor.

En diciembre de 2009, la implementación del proyecto COBIT recibió un premio de la compañía por excelencia, reconociendo los resultados, el desempeño, la iniciativa y el trabajo en equipo del equipo del proyecto. Los resultados financieros, de gestión y crecimiento de la compañía han sido reconocidos internacionalmente en los últimos años.

Desde 2009 hasta finales de 2013, la compañía mostró resultados significativos en la gestión del riesgo y control de TI, indicadores clave de rendimiento y auditorías y evaluaciones internas y externas relacionadas con la madurez de la capacidad y el rendimiento en los procesos de TI.

Como parte de los desafíos de la excelencia operativa, la función de TI en Ecopetrol mantuvo un enfoque claro hacia la gobernanza y la gestión de los servicios y procesos de TI y los evalúa en función de los mejores estándares de referencia mundiales y ejecutando acciones continuas de sostenibilidad y optimización. Además, DTI desarrolló un plan para adoptar nuevas versiones de prácticas, como COSO 2013 y COBIT 5, buscando la consolidación de sólidas prácticas de gobierno de TI totalmente alineadas con las iniciativas de control interno corporativo.

...