Cobit 5: Marco integral

www.eduardoleyton.
com
Auditoría de Sistemas de Información
Fundamentos de Cobit 5
Fuente: Framework Cobit 5 / Habilitadores de Procesos
Eduardo Leyton Guerrero
www.eduardoleyton.cl
COBIT 5.0
(Auditoria de P.E.D., Auditoría C.P.D., Auditoría de Sistemas,
Auditoría de Informática, Auditoría a Procesos Tecnologicos)
IEC
IAI ISO COSO
IEEE CMI IESW

Otras
EDM Evaluar-Orientar-Supervisar (5) Creación de Valor
APO Alinear-Planificar-Organizar (13) Gestión Estratégica
BAI Construir-Adquirir-Implementar (10) Gestión Táctica
DSS Entregar-Dar Servicio- Soporte (6) Gestión Operativa
MEA Supervisar-Evaluar-Valorar (3) Gestión de Monitoreo

Metas y Métricas de TI
Metas y Métricas de Procesos TI
Gráfica RACI del proceso TI
Practicas /Actividades E/S proceso TI
Evolución de COBIT
De la auditoría a un marco de gobierno de TI
Gobierno Corporativo de TI
Evolución del Alcance
Gobierno de TI
Val IT 2.0
(2008)
Administración
Control
Risk IT
(2009)
Auditoría
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5
1996 1998 2000 2005/7 2012

COBIT : El marco de ISACA
 COBIT es un marco para el gobierno y la gestión de las

tecnologías de información que permite a la gerencia conectar
los requerimientos de control con los aspectos técnicos y los
riesgos del negocio.
 COBIT permite el desarrollo de las políticas y prácticas
requeridas y necesarias para el control de las tecnologías en toda
la organización.
 COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a través de las
tecnologías, y permite su alineamiento con los objetivos del
negocio
Cobit en la Actualidad
Marco para el gobierno y la gestión de las TI aceptado
internacionalmente
Aplicable a todo tipo de organizaciones
Complementado con herramientas y capacitación
Gratuito
Respaldado por una comunidad de expertos
En evolución permanente
Avalado por una organización sin fines de lucro, con
reconocimiento internacional
Mapeado con otros estándares
COBIT 5:
Un Marco de Negocio para el
Gobierno y la Gestión de las TI
de la Empresa
El marco COBIT 5 se construye sobre cinco principios
básicos, que quedan cubiertos en detalle e incluyen una guía
exhaustiva sobre los catalizadores para el gobierno y la
gestión de las TI de la empresa.
Desafíos de TI (challenges)
Mantener la TI en funcionamiento
Generar valor con TI
Minimizar costos de TI
Administrar la complejidad de TI
Alinear a TI con el negocio
Cumplir con regulaciones
Seguridad
Factores (Drivers) que motivaron el
desarrollo de CobiT5:
 Entender a todos los stakeholders, sus necesidades, como
consideran que obtienen valor, qué beneficios quieren, que
riesgos quieren asumir, que recursos son requeridos. Algunos
serán más abiertos al riesgo que otros, algunos quieren
resultados a más corto plazo, etc. Pueden presentarse conflictos
entre stakeholders y sus expectativas que hay que dirimir y
administrar. Además, ellos requieren mucha transparencia y
estar al tanto de lo que va sucediendo.
 Direccionar Gestionar la dependencia de la empresa frente a
las entidades externas: outsourcers, proveedores, clientes,
consultores, cloud, etc.
 La información crece aceleradamente y la compañía debe saber
cual es la información relevante, importante y confiable para
su toma de decisiones.
 Cada vez la TI se integra más con los negocios (Dependencia). La
gente de negocios es clave para tomar decisiones de TI y TI es clave
para tomar decisiones de negocios. Aplica para recursos humanos,
estructuras organizacionales, procesos, riesgos, políticas, etc.
 Proveer guía importante en relación con la innovación y tendencias
emergentes de tecnología, en busca de mejorar los productos existentes
o crear nuevos de manera que beneficien en eficiencia, velocidad y/o
calidad.
 Cubrir todas las responsabilidades del negocio y de TI, desde los
procesos de gobierno como los de gestión. Fortalecer los controles en las
soluciones de TI.
 Crear valor con el uso e innovación de las TI.
 Satisfacción de cliente con servicio y compromiso.
 Cumplir con leyes internas y externas.
 Mejorar la relación entre necesidades de negocio y TI.
 Conectarse y complementarse (donde sea requerido y relevante) con
otros frameworks como ITIL, PMBOK, TOGAF, COSO, ISO, etc.
 Integrar todos los frameworks de ISACA: BMIS, VALIT, RISIT, etc.
Beneficios de Cobit 5
 Considerar los intereses relacionados con TI de todos los

stakeholders.
 Crearvalor óptimo a través de la realización de beneficios,

optimización de riesgos y optimización de recursos.
 Entender por cada stakeholder: ¿Que beneficios recibe? ¿Que

riesgos esta dispuesto a asumir? ¿Que recursos se requieren?
 Considerar todos los negocios y todas las áreas funcionales de

responsabilidad de TI, para todos los tamaños y sectores
económicos.
Principios de
Cobit 5
Principio 1: Satisfacer necesidades
de los stakeholders
 Las Organizaciones tienen muchas partes interesadas y “crear
valor” significa cosas diferentes – a veces conflictivas – para cada
una de ellas.
 En el Gobierno se trata de negociar y decidir entre los diversos

intereses de beneficio de las diferentes partes interesadas.
 El sistema de Gobierno deberá considerar a todas las partes

interesadas al tomar decisiones con respecto a la evaluación de
riesgos, los beneficios y el manejo de recursos.
 Paracada decisión se puede, y se debe, hacer las siguientes

preguntas:
 ¿Quién recibe los beneficios?
 ¿Quién asume el riesgo?
 ¿Qué recursos se necesitan?
 Las necesidades de las
partes Interesadas deben
ser transformadas en
una estrategia
accionable para la
Organización.
 Las metas en cascada de
COBIT 5 traducen las Ver FrameWork
necesidades de las
partes Interesadas en
metas específicas,
accionables y
personalizadas dentro
del contexto de la
Organización, de las
metas relacionadas con
la TI y de las metas
habilitadoras de
procesos. de cada Proceso TI
Principio 2: Cubrir toda la empresa.
 Se integra totalmente con el gobierno corporativo.
 Considera todas las funciones y/o áreas de la empresa que usen

TI. De allí que se integra con todos los procesos de gobierno y
gestión de TI empresarial.
 La TI junto con la información, son 2 activos MUY

importantes para toda la empresa. De allí que no solo las
funciones de responsabilidad están en las áreas de TI sino en
toda la empresa.
 Se cubre toda la empresa para crear valor, cubriendo todo, de

manera holística (enablers) y soportado por los apropiados
roles, actividades y relaciones.
 Los componentes clave de gobierno/gestión en Cobit 5 son:
Principio 3-Aplicar un framework integrado.
 Razones por las
cuales Cobit 5 es
un framework
integrado:
 ISO 38500
 IS0 27000-27008
 ISO31000
 ISO15504
 PRINCE
 PMBOOK
 Otros
Otros Estándares
Gobierno
D1: EDM
Gestión
D2: APO
Gestión
D3: BAI
Gestión
Gestión
D4: DSS D5: MEA
Otros Estándares
Otros Estándares
Otros Estándares: ISO27000 SGSI
Principio 4:Aplicar un enfoque holístico.
 Considera los 7 habilitadores (enablers) que son:
Actúan sobre
Los PROCESOS
de TI
de TI
 Los habilitadores son factores que individual o colectivamente

influyen para que el Gobierno y la Gestión funcionen. Estos
factores se aplican a cada PROCESO de TI de COBIT 5.
 Los Habilitadores o “enablers”, a su vez, tienen 4
Dimensiones, las cuales plantean interrogantes claves. Lo
anterior se explica en la siguiente figura:
 Los propósitos de las 4 dimensiones de los habilitadores son:
 Proveer una estructura clara, simple y común para tratarlos.
 Manejar las interacciones entre ellos.
 Facilitar sus resultados exitosos.
Principio 5: Diferenciar Gobierno de Gestión
Gobierno
 Establece la estrategia corporativa con el Dominio EDM
 Evalúa necesidades de stakeholders, condiciones y opciones;
dirige priorización y toma de decisiones; monitorea desempeño
y cumplimiento.
 Es responsabilidad del board y los altos ejecutivos (CEO, CFO,
CIO, COO, etc.)
Gestión
 Pone en funcionamiento la estrategia con PBRM.
 PLANEA, CONSTRUYE, EJECUTA Y MONITOREA los
procesos, controles, actividades para lograr la estrategia
corporativa.
 Es responsabilidad de la administración.
 Lo anterior se detalla en la siguiente figura:
DOMINIO: 1 EDM
Estratégico Táctico Operativo Autoevaluación

DOMINIO: 2 APO DOMINIO: 4 DSS
DOMINIO: 3 BAI DOMINIO: 5 DSS
Habilitadores
de
Cobit 5
 Los Habilitadores son factores que individual o
colectivamente influyen para que algo funcione, en este
caso el Gobierno y la Gestión de TI.
 Los Habilitadores o Catalizadores son:
Habilitador 1: Principios/ políticas/
frameworks
 Son instrumentos para:
 Traducir el comportamiento corporativo deseado en
guías prácticas para la gestión día a día.
 Comunicar las reglas de la empresa.
 Principios: Comportamiento y cultura organizacional deseados.
 Las políticas ayudan a poner en práctica los principios, estos
deben estar alineadas con el apetito de riesgo, deben ser
revisadas regularmente y tienen un ciclo de vida cuyo propósito
es lograr las metas definidas.
 Unas buenas políticas deben ser:
 Efectivas: Lograr el propósito.
 Eficientes: Asegurar que los principios son
implementados de manera eficiente.
 No intrusivas: Deben parecer muy lógicas para quien
debe cumplirlas. No traídas de los cabellos.
 Las políticas deben describir:
 Su alcance y validez.
 Las consecuencias de fallas a su cumplimiento.
 Como manejar las excepciones.
 La manera en que su cumplimiento es chequeado y
medido.
 Lo anterior se detalla en la siguiente figura:
Habilitador 2: Procesos
 Definido como el conjunto organizado de prácticas
(actividades asociadas a los PROCESOS de TI) con sus
actividades, influenciadas por principios y políticas. Recibe
entradas, las transforma y genera salidas como productos o
servicios.
 Cobit 5 tiene 5 dominios y 37 procesos.
 Cobit 5 tiene 1 dominio para Gobierno:
 EDM el cual cuenta con 5 procesos
 Cobit 5 tiene 4 dominios para Gestión:
 APO con 13 procesos
 BAI con 10 procesos
 DSS con 6 procesos
 MEA con 3 procesos
 Ciclo de vida de procesos:
 Definido
 Creado
 Operado
 Monitoreado
 Ajustado/actualizado
 Retirado
 Los objetivos de los procesos se categorizan así:
 Intrínsecos, que direccionan la calidad: ¿Es exacto y de
acuerdo con mejores prácticas? ¿Cumple con leyes internas y
externas?
 Contextuales, que direccionan las circunstancias: ¿Está el
proceso customizado? ¿Es relevante, entendible y fácil de
usar?
 Seguridad, qué direccionan quién y cómo accesan a la
información: ¿El proceso procesa información confidencial?"
 Dentro del contexto global, los procesos se ubican así:
Habilitador 3: Estructuras Organizativas
 Son las entidades para toma de decisión en las empresas.
 Algunas buenas prácticas de las estructuras organizacionales son:
 Principios de operación (frecuencia y programación de
reuniones, documentación, etc).
 Composición: quienes son sus miembros (internos y/o
externos).
 Ámbito de control (span of control): Límites para tomar
decisiones.
 Nivel de autoridad: Decisiones que la estructura puede tomar.
 Delegación de autoridad: Que decisiones puede delegar
 Procedimientos de escalamiento: En caso de dificultades en
toma de decisiones.
 Algunas estructuras son:
 Gobierno: Board (Junta directiva)
 Gestión: CEO (Chief Executive Officer) para toda la
empresa, CFO (Chief Financial Officer), COO (Chief
Operational Officer), CRO (Chief Risk Officer), CIO
(Chief Information Officer), CISO (Chief Information
Security Officer), Strategy Committee (Comité de
estrategia), Architecture board (comité de arquitectura), etc.
 Operación: Jefe de recursos humanos, jefe de arquitectura,
jefe de desarrollo, jefe de operaciones, PMO (Programme
Management Office) para proyectos, VMO (Valuue
Management Office) para portafolio de inversiones
 Dentro del contexto global, la estructura organizativa se
entiende así:
Habilitador 4:
Cultura/ética/comportamiento
 Una buena cultura, ética y comportamiento es clave para
lograr el gobierno y gestión de la TI empresarial.
 Algunas buenas prácticas para crear, fomentar y mantener el
comportamiento corporativo deseado son:
 Comunicación del comportamiento deseado y de los
valores corporativos.
 Conciencia del comportamiento deseado, el ejemplo de la
alta dirección.
 Incentivos para reforzar el comportamiento deseado.
 Reglas y normas para proveer más guías del
comportamiento deseado.
 Las metas (goals) de este habilitador se relacionan con:
 Ética organizacional: Valores que la empresa quiere
vivir.
 Ética individual: Valores personales que pueden
depender de factores externos como religión, entorno
socioeconómico, geografía y experiencias personales.
 Comportamiento individual: colectivamente determina
la cultura empresarial. Algunos tipos de comportamiento
se pueden relacionar con la posición:
 Frente al riesgo.
 Frente a seguir políticas.
 Frente a resultados negativos.
 La Cultura Ética y Comportamiento se comprenden así:
Habilitador 5: Información
 Esta presente en toda la organización.
 Este habilitador trata con toda la información relevante
producida y usada por la empresa. No solo la automatizada.
La estructurada o no y la formal o no.
 Los 5 pasos del ciclo de metadata son:
Características de la Información C5
 En el ciclo de vida de la información, el usarla puede ser

también almacenarla o compartirla.
 Los stakeholders pueden ser para la información:
productores, custodios o consumidores.
 Las dimensiones de calidad de información de Cobit 5
cruzan con los criterios de información de Cobit 4.1 y son
 Intrínseca: Exacta, Objetiva, Creíble, De buena
fuente.
 Contextual: Relevante, Completa, Actualizada,
Suficiente, Concisa, Consistente, Intepretable,
Entendible, Fácil de manipular.
 Seguridad: Disponible/oportuna, con acceso
restringido.
Características de la Información C5 / C4.1
 La Información se entiende así:
Habilitador 6:
Servicios/Infraestructura/Aplicaciones
 Proporcionados por la TI en la organización.
 Los 5 principios de la arquitectura que rigen la aplicación y el uso de
los recursos relacionados con las TI:
 Reuso (reuse): De los componentes comunes de la arquitectura
ante una transición o cambio.
 Comprar vs construir (buy vs build): Las soluciones deben ser
compradas a menos que exista una respuesta aprobada para
construir internamente.
 Simplicidad (simplicity): La arquitectura debe ser diseñada y
mantenida lo más simple posible, mientras responde a los
requerimientos de la compañía.
 Agilidad (agility): Para responder a las necesidades de cambio de
manera efectiva.
 Abierta (openness): Para aprovechar los estándares abiertos.
 Lainformación es definida como una capacidad de servicio,
y las capacidades de servicio son aprovechadas por los
procesos para entregar servicios internos y externos.
 Losprocesos y recursos de TI proveen información para los

procesos de negocio, lo cual contribuye al logro de los
objetivos estratégicos.
 Los Servicios, Infraestructura y Aplicaciones se entienden así:
Habilitador 7:
Gente/Habilidades/Competencias
 Algunas son especiales para gobierno y otras para gestión.
 Son requeridas para tomar decisiones apropiadas y realizar lo
correcto.
 Algunas buenas prácticas recomiendan:
 Identificar las habilidades y competencias requeridas para
cada rol.
 Mapear las habilidades con los procesos. CobiT tiene una
tabla para mapear habilidades por cada dominio (EDM,
APO, BAI, DSS, MEA).
 Fortalecer con otras mejores prácticas de RRHH. Ej: SFIA:
Skills Framework For Information Age (Marco de
calificación para la era de la información).
 No solo considera las habilidades técnicas, sino también las de
gestión de proyectos, etc.
 Competencia = Habilidades + Conocimiento + Actitud.
Cobit
Interacción entre Habilitadores
Principios, Servicios,
Estructuras Cultura, ética y Gente, habilidades y
políticas y Procesos Información infraestructura y
organizacionales comportamiento competencias
frameworks aplicaciones
Principios, son ejecutados a Reflejan la…
políticas y través de los..
frameworks
son dirigidos reciben y generan son ejecutados por dependen de la … producen y Producen y
por…. para lograr work products las… para lograr generan… requieren…
Procesos implementaciones para otros… resultados
consistentes con satisfactorios y
la estrategia apropiados.
Definen e ejecutan los… Ver consideran la … analizan la…. estan conformadas
Estructuras implementan los… matrices RACI para la toma de para tomar por…
organizacionales decisiones decisiones.
apropiadas.
debe reflejar los contribuyen al Fortalece las …
valores buen resultado de para la
Cultura, ética y
corporativos de los… implementación
comportamiento los … de decisiones
apropiadas
es entrada y/o es requerida para es una capacidad
Información salida de los … la toma de de servicio…
decisiones de las…
Servicios, Son generados y Requieren de la...
infraestructura y requeridos por para la orientación
aplicaciones los.. al servicio.
conforman las…
Gente, habilidades
y competencias
Procesos Habilitadores
2: Procesos
PROCESO
TI:
actividades
Información
Entrada PROCESO
TI:
actividades
Información
Salida PROCESO
TI:
37 actividades
Dominio para Gobierno
 EDM: EVALUATE-DIRECT-MONITOR
(EVALUAR-DIRIGIR-SUPERVISAR)
EDM01 Asegurar Analizar y articular los requerimientos de gobierno para la compañía, así como poner a funcionar y mantener
configuración y efectivas estructuras, principios, procesos y prácticas con claras responsabilidades y autoridad para lograr la misión,
mantenimiento del metas y objetivos de la compañía.
framework de gobierno
EDM02 Asegurar realización Optimizar la contribución de valor al negocio desde los procesos de negocio, los servicios de TI y los activos de TI
de beneficios resultantes de las inversiones de TI a costos razonables.
EDM03 Asegurar optimización Asegurar que el apetito de riesgo y tolerancia son entendidos, articulados y comunicados y así mismo los riesgos
de riesgos relacionados con TI son identificados y administrados.
EDM04 Asegurar optimización Asegurar que las capacidades (recursos) requeridos para soportar los objetivos de negocio son efectivos a costos
de recursos óptimos (people, processes and technology).
EDM05 Asegurar Asegurar que las medidas de desempeño/cumplimiento son reportadas de manera transparente y así mismo que los
transparencia con partes stakeholders aprueban los objetivos y las métricas y exigen las acciones correctivas necesarias.
interesadas
Dominios para Gestión
 APO: ALIGN-PLAN-ORGANISE
(ALINEAR-PLANIFICAR-ORGANIZAR)
APO01 Gestionar framework de Clarificar y mantener la visión y misión del gobierno de TI. Implementar y mantner mecanismos y autoridades para
administración de TI gestionar la información y el uso de TI para soportar los objetivos en línea con los principios y políticas.
APO02 Gestionar estrategia Proveer un enfoque holístico del ambiente de negocio y TI actual, así como la dirección futura y las iniciativas
requeridas para migrar al ambiente deseado, aprovechando la arquitectura, servicios externos y capacidades para
lograr una confiable y eficiente respuesta a los objetivos estratégicos.
APO03 Gestionar arquitectura Establecer la arquitectura empresarial considerando las capas de procesos, información, data, aplicación y tecnología
empresarial para alcanzar de manera efectiva y eficiente los objetivos del negocio y de TI, creando modelos y prácticas que
describan la arquitectura baseline y la objetivo. Definir requerimientos para taxonomía, estándares, guidelines,
procedimientos, templates y herramientas así como la integración de dichos componentes para mejorar la
alineación, incrementar la agilidad, mejorar la calida de información y generar ahorro de costos.
APO04 Gestionar innovación Mantener una conciencia de la tecnología de información y tendencias de servicios relacionados, identificar
oportunidades de innovación que beneficien las necesidades de negocio. Analizar que oportunidades para
innovación o mejoramiento del negocio pueden ser creadas a partir de tecnologías emergentes o mejora de las
existentes, innovación de servicios y/o procesos de TI.
APO05 Gestionar portafolio de Ejecutar la dirección estratégica definida para las inversiones en línea con la visión de la arquitectura empresaria y las
inversiones características deseadas de las inversiones y portafolios de servicios relacionados, así mismo considerar las
diferentes categorías de inversiones, los recursos y limitaciones de fondos. Evaluar, priorizar y balancear los
programas y servicios de demanda, basados en la alineación estratégica. Monitorear el desempeño del portafolio de
programas y servicios, proponiendo ajustes cuando sea necesario o por cambio en prioridades de la compañía.
APO06 Gestionar presupuesto y Gestionar las actividades financieras relacionadas tanto con el negocio como para TI, cobriendo presupuesto, costos,
costos beneficios y prriorización de gastos, a través del uso de prácticas de presupuesto y el sistema de asignación de costos
que utilice la compañía. Consultar a los stakeholders para identificar y controlar los costos y beneficios dentro del
contexto de la estrategia de TI y los planes tácticos, así como las acciones correctivas donde sea necesario.
APO07 Gestionar recursos Proveer un enfoque estructurado para asegurar óptima estructura, colocación, derechos de decisión y habilidades de
humanos recursos humanos. Esto incluye comunicación de roles y responsabilidades definidos, planes de aprendizaje y
desarrollo, expectativas de desempeño y soportado con la competnecia y motivación de la gente.
APO08 Gestionar relaciones Gestionar las relaciones entre negocio y TI de manera transparente y formalizada para asegurar el enfoque sobre el
logro de objetivos empresariales con resultados satisfactorios y dentro de una tolerancia de riesgos y presupuestos
razonables. La relación debe basarse en confianza mutua, usantdo términos abiertos y entendibles así como un
lenguaje común y disposición para asumir y responder por decisiones clave.
APO09 Gestionar acuerdos de Alinear los servicios de TI y niveles de servicio con las necesidades y expectativas de la empresa; incluyendo la
servicios identificación, especificación, diseño, publicidad, acuerdo y monitoreo de los servicios de TI, niveles de servicio e
indicadores de desempeño.
APO10 Gestionar proveedores Gestionar los servicios de TI proveidos por terceros para satisfacer los requerimientos de la compañía incluyendo la
selección de proveedores, gsetión de relaciones, contratos, así como la supervisión y monitoreo de su efectividad y
cumplimiento.
APO11 Gestionar calidad Definir y comunicar los requerimientos de calidad en todos los procesos, procedimientos y resultados, incluyendo
controles, monitoreo de continuidad y el uso de prácticas y estándares para el mejoramiento continuo y mayores
eficiencias.
APO12 Gestionar riesgos Continuamente identificar, evaluar y reducir los riesgos de TI a los niveles de tolerancia que define y configura la
gerencia ejecutiva de la compañía.
APO13 Gestionar seguridad Definir, operar y monitorear el sistema de gestión para la seguridad de la información.
 BAI: BUILDING-ACQUIRE-IMPLEMENT
(CONSTRUIR-ADQUIRIR-IMPLEMENTAR)
BAI01 Gestionar los programas Gestionar todos los programas y proyectos del portafolio de inversión in alineación con la estrategia de la compañía y
y proyectos en forma coordinada. Inicio, planeación, control y ejecución de los programas y proyectos así como el cierre y la
revisión post-implementación.
BAI02 Gestionar definición de Identificar soluciones y analizar los requerimientos antes de adquisición o construcción para asegurar que se
requerimientos encuentran alineados con la estrategia y cubre de manera apropiada los procesos de negocio, aplicaciones,
información/data, infraestructura y servicios. Corordinar la revisión de opciones factibles con los stakeholders
afectados, incluir un análisis de costos, beneficios, riesgos y un procedimiento de aprobación de requerimientos y
soluciones propuestas.
BAI03 Gestionar identificación Establecer y mantener soluciones en línea con los requerimientos de la compañía, cubriendo diseño,
y construcción de desarrollo/compra, asociación con proveedores/consultores. Configurar la configuración, pruebas, gestión de
soluciones requerimientos y mantenimiento de procesos de negocio, aplicaciones, información/data, infraestructura y
servicios.
BAI04 Gestionar disponibilidad Balancear las actuales y futuras necesidades de disponibilidad, desempeño y capacidad con provisión de servicios
y capacidad costo efectivos. Incluir una evaluación de capacidades actuales y pronosticar las necesidades futuras, con un análisis
de impacto en el negocio y evaluación de riesgo para planear e implementar acciones para lograr los requerimientos
identificados.
BAI05 Gestionar habilitación Maximizar al probabilidad de éxito implementando sostenibles cambios organizacionales ágilmente, controlando los
de cambios niveles de riesgo y cubriendo un completo ciclo de vida de cambios e involucrando a todos los stakeholders.
 BAI: BUILDING-ACQUIRE-IMPLEMENT
(CONSTRUIR-ADQUIRIR-IMPLEMENTAR)
BAI06 Gestionar cambios Gestionar todos los cambios de manera controlada, considerando tanto los normales como los de emergencia y
relacionados con procesos de negocio, aplicaciones e infraestructura. Esto incluye procedimientos de cambio,
evaluación de impacto, priorización, autorización, cambios de emergencia, monitoreo, reporte, cierre y
documentación.
BAI07 Gestionar aceptación y Aceptar formalmente y poner en funcionamiento las nuevas soluciones, incluyendo planes de implementación,
transición de cambios conversión de sistemas y datos, pruebas de aceptación, comunicación, preparación para la liberación y entrada a
producción de los nuevos cambios tanto en procesos como en TI, así como un soporte a producción y una revisión
post-implementación.
BAI08 Gestionar conocimiento Mantener la disponibilidad de conocimiento relevante, actualizado, válido y confiable para soportar todos los
procesos y facilitar la toma de decisiones. Generar planes para la identificación, recolección, organización,
mantenimiento, uso y retiro de conocimiento.
BAI09 Gestionar activos Gestionar los activos de TI a través de su ciclo de vida para asegurar que su uso, valor y costo cumplen el propósito,
estan protegidos y son realmente importantes para la disponibilidad, confiabilidad y capacidad de los servicios de TI.
Gestionar las licencias de softwara para asegurar que se cuenta con la cantidad óptima y se cumple con los acuerdos
de licenciamiento.
BAI10 Gestionar configuración Definir y mantener la descripción y relación entre los recursos y las capacidades requeridas para los servicios de TI,
incluyendo su configuración, baselines, verificación y auditoría de dicha configuración y manteniendo actualizados
los repositorios de configuración.
 DSS: DELIVER-SERVICE-SUPPORT
(ENTREGA-SERVICIO-SOPORTE)
DSS01 Gestionar operaciones Coordinar y ejecutar las actividades y procedimientos operacionales requeridos para los servicios de TI internos y de
outsourcing, incluyendo la ejecución de procedimientos estándares de operación predefinidos y actividades de
monitoreo.
DSS02 Gestionar Proveer oportuna y efectiva respuesta a los requerimientos de usuario así como dejar registro de los mismos.
requerimientos e Resolver todos los tipos de incidentes y restablecer el servicio normal, así como dejar registro de la investigación,
incidentes diagnóstico, escalamiento y solución de dichos incidentes.
DSS03 Gestionar problemas Identificar y clasificar los problemas y sus causas raíz, proveer soluciones oportunas, y ofrecer recomendaciones para
prevenir incidentes recurrentes.
DSS04 Gestionar continuidad Establecer y mantener un plan para negocio y TI que respondan a los incidentes e interrupciones para continuar la
operación de procesos de negocio y servicios de TI críticos manteniendo la disponibilidad de la información a un
nivel aceptable para la compañía.
DSS05 Gestión de la seguridad Proteger la información de la compañía para mantener el riesgo de seguridad de la información en un nivel aceptable
de servicios en concordancia con las políticas de seguridad y así mismo establecer y mantener los roles de seguridad de
información y los accesos privilegiados debidamente monitoreados.
DSS06 Gestionar controles de Definir y mantener apropiados controles de proceso de negocio para asegurar que la información relacionada
procesos de negocio satisface todos los requerimientos. Identificar los controles de información relevantes y procurar su operación.
 MEA: MONITOR-EVALUATE-ASSESS
(SUPERVISAR-EVALUAR-VALORAR)
MEA01 Monitorear, valorar y Recoger, validar y evaluar las metas e indicadores de los procesos de negocio y de TI. Monitorear que los procesos se
evaluar desempeño y ejecutan de acuerdo con el desempeño y conformidad acordado de metas y métricas, así como proveer estos
cumplimiento reportes sistemática y oportunamente.
MEA02 Monitorear, valorar y Monitorear y evaluar continuamente el ambiente de control, incluyendo autoevaluaciones y revisiones
evaluar control interno independientes. Habilitar a la administración para identificar deficiencias e ineficiencias de control e iniciar las
acciones de mejora. Planear, organizar y mantener estándares para evaluar el control interno y actividades de
aseguramiento.
MEA03 Monitorear, valorar y Evaluar que los procesos de negocio y TI cumplen con leyes, regulaciones y requerimientos contractuales. Asegurar
evaluar cumplimiento que los requerimientos son identificados y se cumplen de manera integrada en toda la compañía.
con regulaciones
EJERCICIO
….como trabajar con
COBIT 5
…como hacer un Programa de Auditoria!
….lo demás viene solo!!
GRAFICA RACI
Responsable
A rinde cta
C quién consulta
I quién informa
Ver formato Programa Auditoria
(OIG),
(OIE),
En la columna de COBIT, para cada información

(OIC)
solicitada (OIG), (OIE), (OIC) y PROCEDIMIENTOS
DE AUDITORIA se indexa con el código de COBIT de
uno o mas procesos. DSS02.3 o DSS2.6…..
Ejemplo
Tesis de Grado
Programa Auditoria
Evaluación Gobierno
Corporativo
DOMINIO EDM
Modelo de
Evaluación de
Procesos
Modelo de Madurez
La evaluación de procesos es muy usada como
técnica de benchmarking y ayuda a las
organizaciones a entender como esta su capacidad de
TI, determinar si es o no aceptable y que nivel desea
tener.
Cobit 4.1 utilizaba el modelo del CMM (Capability

Maturity Model) del SEI (Software Engineering
Institute) y Cobit 5 utiliza ahora la de ISO15504 que
son muy diferentes.
 La nueva es más exigente y precisa.

Modelo de Madurez
Niveles de capacidad de
ISO15504 con sus atributos
CAPACIDAD ATRIBUTOS DESCRIPCION
Incompleto El proceso no logra su propósito o no
N/A
0 (Incomplete) existe.
Ejecución/desempeño del
Ejecutado (Performed) El proceso existe y logra el propósito.
1 proceso
se gestiona el desempeño del proceso:
Gestión de desempeño planeación, monitoreo y medición.
Gestionado (Managed)
Gestión de productos Se gestionan los productos del proceso:
2 establecen, controlan y mantienen.
Establecido Definición del proceso El proceso es definido basado en mejores
3 (Established) Desarrollo del proceso prácticas.
Gestión de proceso El proceso se realiza dentro de los límites
Predecible (Predictable)
4 Control de proceso definidos.
Optimizado Innovación de proceso
El proceso es mejorado continuamente.
5 (Optimising) Optimización de proceso
Escala de calificación de atributos
 N-Not achieved (0-15%): Poca o ninguna evidencia del

atributo.
 P-Partiallyachieved (15-50%):Alguna evidencia, algunos

logros, aspectos impredecibles.
 L-Largely achieved (50-85%): Evidencia sistemática, logros

significativos, algunas debilidades.
 F-Fully achieved (85-100%): Evidencia completa, logros

totales, sin debilidades significativas.
Beneficios de ISO15504
 Evaluación robusta basada en ISO15504.
 Alineación del modelo de madurez con un estándar
internacional.
 Modelo basado en:
 Procesos específicos derivados de PRM de Cobit 4.1 o
Cobit 5.
 Habilidad para lograr atributos basados en ISO15504.
 Requerimientos claros de evidencias.
 Requerimientos de calificación y experiencia para el
asesor/auditor.
 Resultados de la evaluación más robustos, objetivos y
repetibles."
Pasos para la evaluación de
procesos
 Iniciación
 Planeación
 Presentación (briefing)
 Recolección
 Validación
 Rankeo de atributos
 Reporte de resultados
¿Porque es importante la
evaluación de procesos?
 El propósito de un proceso se puede evaluar o para

valorar el proceso o para mejorarlo.
 Para mejorar continuamente la efectividad de la empresa.
 Para detectar fortalezas y debilidades.
 Para proveer una metodología lógica, entendible,
repetible, confiable y robusta, para evaluar la capacidad
de los procesos relacionados con TI.
Implementación
 El valor óptimo puede ser logrado con CobiT5, para lo cual
debe ser debidamente adoptado y adaptado a la empresa.
 La implementación en cada empresa tiene diferentes
desafíos.
 ISACA ofrece una guía de implementación basado en el
ciclo de vida de mejoramiento continuo con 7 fases.
 La guía también incluye:
 Medidas y herramientas de autoevaluación.
 Presentaciones dirigidas a varias audiencias.
 Artículos relacionados y explicaciones.
 Otros tópicos importantes para la implementación:
 Hacer casos de negocio (business cases) para la
implementación y mejoramiento de gobierno y gestión de TI.
 Reconocer los puntos de dolor (pain points) y eventos
disparadores (trigger events).
 Crear el apropiado ambiente para la implementación.
 Aprovechar a CobiT5 para identificar las brechas y guiar el
desarrollo de los habilitadores.
Considerar el contexto de la
empresa al implementar Cobit
 El contexto depende de factores internos y externos como:
Etica/cultura, regulación, misión/visión/valores, prácticas de
gobierno, modelo de operación, estilo de gerencia, apetito de riesgo,
capacidad y disponibilidad de recursos, prácticas de la industria, etc.
 Factores clave de éxito para implementar:
 La alta dirección provee la dirección y la iniciativa del proyecto,
así como el compromiso y soporte.
 Todas las partes de gobierno y gestión deben participar y
entender el proyecto.
 Asegurar efectiva comunicación y habilitación de los cambios.
 Adaptar a la empresa las mejores prácticas de Cobit.
 Enfocar en victorias tempranas (quick wins) y mejoras que
puedan ser fácilmente implementables.
Ciclo de vida de
implementación

Cobit 5: Marco integral

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Cobit 5: Marco integral

Caricato da

Copyright:

Formati disponibili

www.eduardoleyton.

Eduardo Leyton Guerrero

IEEE CMI IESW

MEA Supervisar-Evaluar-Valorar (3) Gestión de Monitoreo

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

 COBIT es un marco para el gobierno y la gestión de las

 Considerar los intereses relacionados con TI de todos los

 Crearvalor óptimo a través de la realización de beneficios,

 Entender por cada stakeholder: ¿Que beneficios recibe? ¿Que

 Considerar todos los negocios y todas las áreas funcionales de

 En el Gobierno se trata de negociar y decidir entre los diversos

 El sistema de Gobierno deberá considerar a todas las partes

 Paracada decisión se puede, y se debe, hacer las siguientes

 Considera todas las funciones y/o áreas de la empresa que usen

 La TI junto con la información, son 2 activos MUY

 Se cubre toda la empresa para crear valor, cubriendo todo, de

 Los habilitadores son factores que individual o colectivamente

 Proveer una estructura clara, simple y común para tratarlos.

 Manejar las interacciones entre ellos.

 Facilitar sus resultados exitosos.

Estratégico Táctico Operativo Autoevaluación

 En el ciclo de vida de la información, el usarla puede ser

 Losprocesos y recursos de TI proveen información para los

….lo demás viene solo!!

En la columna de COBIT, para cada información

Cobit 4.1 utilizaba el modelo del CMM (Capability

 La nueva es más exigente y precisa.

 N-Not achieved (0-15%): Poca o ninguna evidencia del

 P-Partiallyachieved (15-50%):Alguna evidencia, algunos

 L-Largely achieved (50-85%): Evidencia sistemática, logros

 F-Fully achieved (85-100%): Evidencia completa, logros

 El propósito de un proceso se puede evaluar o para

Potrebbero piacerti anche