GTI5

Fundamentos de COBIT 5
Versión Original:
Luiz Claudio Diogo Reis, ESR RNP
Traducción al Español:
Ernesto Pérez Estévez, ESR CEDIA
1
Fundación Consorcio Ecuatoriano para el Desarrollo de Internet Avanzada – CEDIA
Director Ejecutivo
Juan Pablo Carvallo
Coordinador ESR
Ernesto Pérez Estévez
Traducción al Español
Ernesto Pérez Estévez
Escola Superior de Redes – RNP Brasil
Título Original: “Fundamentos do COBIT 5” Versión Portuguesa ©
Autores versión portuguesa
Luiz Claudio Diogo Reis
Edson Kowask Bezerra
Fábio Gomes Barros
Permiso de uso
Todos los derechos reservados para la versión en Español son para CEDIA.
Solicitamos incluir la fuente cuando se incluyan partes de este libro como referencia en otras obras.
Ejemplo de cita: DIOGO, Luiz et al. Fundamentos de COBIT 5. Rio de Janeiro: Escola Superior de
Redes, RNP, 2015.
ISBN: En trámite
Comentarios y preguntas a la edición en Español:
Para comentarios y preguntas sobre esta edición:
Escuela Superior de Redes CEDIA
Dirección: La Condamine 12-109 “Casa Rivera”, Cuenca, Ecuador
Teléfono: +593 9 9924 6504
info@cedia.org.ec
2
Tabla de Contenidos
Prólogo a la versión en Portugués........................................................................................................6
Prólogo a la versión en Español...........................................................................................................7
La metodología de la ESR....................................................................................................................8
Sobre el curso.....................................................................................................................................10
A quién se destina...............................................................................................................................10
Sobre los autores:................................................................................................................................11
1 Gobernanza Corporativa de TI........................................................................................................13
Introducción...................................................................................................................................14
Tecnologías de la información (TI) aplicada a los negocios..........................................................14
Ejercicio de fijación 1...............................................................................................................15
Componentes de la gobernanza de TI............................................................................................17
Alineación estratégica de TI......................................................................................................18
Principios de TI.........................................................................................................................18
Aplicaciones de TI....................................................................................................................18
Infraestructura de TI..................................................................................................................18
Demandas de TI........................................................................................................................18
Tercerización de servicios de TI................................................................................................18
Seguridad de la información.....................................................................................................19
Capacitación de recursos humanos...........................................................................................19
Organización de los procesos de TI..........................................................................................19
Inversiones y costos de TI.........................................................................................................19
Relación con clientes internos y externos.................................................................................19
Rendimiento de TI.....................................................................................................................20
Requisitos de conformidad........................................................................................................20
Desafíos para la gobernanza y gestión de TI en las organizaciones..............................................21
Introducción a las estructuras de gobernanza de TI.......................................................................22
Principales modelos de gobernanza de TI.................................................................................23
Introducción al modelo corporativo COBIT 5...............................................................................26
Factores que motivan la publicación de COBIT............................................................................26
Participación de las partes interesadas con las TI.....................................................................26
Dependencia de proveedores de TI...........................................................................................26
Pertinencia de la información....................................................................................................26
TI como parte integral del negocio...........................................................................................27
Orientaciones para tecnologías emergentes e innovadoras.......................................................27
Cobertura del negocio por TI....................................................................................................27
Mejoría de los controles sobre las soluciones de TI.................................................................27
Alineación a estándares y estructuras de mercado....................................................................28
Integración de las principales estructuras y orientaciones de ISACA......................................28
Familia de productos del modelo corporativo COBIT 5...............................................................29
COBIT 5....................................................................................................................................29
COBIT 5 Guías habilitadoras....................................................................................................29
COBIT 5 Guías profesionales...................................................................................................29
3
Ambiente Colaborativo Online.................................................................................................29
En búsqueda de la gobernanza corporativa de TI..........................................................................30
2 Los 5 principios de COBIT 5..........................................................................................................32
Introducción...................................................................................................................................33
1er Principio: Atender las necesidades de las partes interesadas....................................................33
2do principio: cubrir la organización de punta a punta...................................................................36
Ejercicios de fijación 2..............................................................................................................39
3er principio: Aplicar una estructura única e integrada..................................................................40
to
4 Principio: Permitir un enfoque holístico...................................................................................43
to
5 Principio: Separar la gobernanza de la gestión.........................................................................46
3 Cascada de objetivos de COBIT......................................................................................................54
Introducción...................................................................................................................................55
Los cuatro pasos del proceso de la cascada de objetivos de COBIT.............................................57
1er Paso: las tendencias de las partes interesadas influencian a sus necesidades......................57
2do paso: cascada de las necesidades de las partes interesadas en objetivos corporativos........58
3er Paso: Escalonamiento de los objetivos corporativos en objetivos de TI..............................61
Relaciones entre los objetivos de TI y los procesos de COBIT................................................63
4to Paso: Escalonamiento de los objetivos de TI en metas de habilitador.................................65
Adaptación de la cascada de objetivos de COBIT....................................................................67
4 Dimensiones de los siete habilitadores de COBIT..........................................................................69
Introducción...................................................................................................................................70
Dimensiones comunes de los habilitadores...................................................................................70
Dimensión control de desempeño del habilitador..........................................................................74
Las dimensiones del habilitador Principios, Políticas y Modelos en la práctica...........................78
Relaciones con otros habilitadores................................................................................................79
Explorando las dimensiones del habilitador Procesos...................................................................81
Las dimensiones del habilitador Procesos en la práctica...............................................................83
Explorando al habilitador Estructuras Organizacionales...............................................................86
4
Explorando el habilitador Cultura, Ética y Comportamiento........................................................89
Explorando el habilitador Información..........................................................................................92
Ejercicio de fijación 10.............................................................................................................97
Explorando el habilitador Servicios, Infraestructura y Aplicativos...............................................98
Habilitador Personas, Habilidades y Competencias....................................................................100
Ejercicio de fijación 12...........................................................................................................101
5 Guía de implementación de COBIT..............................................................................................102
Introducción.................................................................................................................................103
Herramientas de implementación................................................................................................103
Capacitación para el cambio........................................................................................................108
Ejercicio de fijación 4..............................................................................................................111
Premisas para la elaboración de un estudio de caso....................................................................112
6 Evaluación de Capacidad de Procesos...........................................................................................114
Introducción.................................................................................................................................115
Modelo de Madurez de Procesos.................................................................................................115
Evaluación de Capacidad de Procesos.........................................................................................116
Niveles de Capacidad de Procesos en la práctica........................................................................119
Modelo de Referencia de Proceso de COBIT 5...........................................................................120
Evaluación de Capacidad del Proceso.........................................................................................126
Programa de Evaluación de Capacidad de COBIT......................................................................128
5
Prólogo a la versión en Portugués
Escuela Superior de Redes
La Escuela Superior de Redes (ESR) es una unidad de la Rede Nacional de Ensino e Pesquisa, RNP,
responsable por la difusión del conocimiento de Tecnologías de la Información y Comunicación,
TIC. La ESR nace con el objetivo de ser formadora y diseminadora de las competencias en TIC
para el cuerpo técnico-administrativo de las universidades federales, escuelas técnicas y unidades
federales de investigación. Su misión fundamental es realizar la capacitación técnica del cuerpo
funcional de las organizaciones usuarias de la RNP, para el ejercicio de las competencias aplicables
al uso eficaz y eficiente de las TIC.
La ESR ofrece decenas de cursos en áreas temáticas como: administración y proyecto de redes,
administración de sistemas, seguridad, medios de soporte a la colaboración digital de gobierno de
las TI, etc.
La ESR también participa en diversos proyectos de interés público, como la elaboración y ejecución
de planes de capacitación para la formación de multiplicadores para proyectos educativos, como:
formación en el uso de video conferencia para la Universidad abierta de Brasil, UAB, formación de
soporte técnico de laboratorios del Proinfo y creación de un conjunto de cartillas sobre redes
inalámbricas para el programa Un Computador por Alumno, UCA.
6
La metodología de la ESR
La filosofía pedagógica y la metodología que orientan los cursos de la ESR están basadas en el
aprendizaje como construcción del conocimiento por medio de la resolución de problemas típicos
de la realidad del profesional en formación. Los resultados obtenidos en los cursos de naturaleza
teórico-práctica son optimizados, pues el instructor, ayudado por el material didáctico, actúa no sólo
como un expositor de conceptos e información, sino, principalmente, como orientador del alumno
en la ejecución de las actividades contextualizadas en las situaciones de su cotidianidad profesional.
El aprendizaje es entendido como una respuesta del alumno al desafío de situaciones-problemas
semejantes a los encontrados en la práctica profesional, que son superados por medio del análisis,
síntesis, juzgamiento, pensamiento crítico y construcción de hipótesis para la solución del
problema, en abordajes orientados al desarrollo de competencias.
Así, el instructor tiene participación activa y dialogada como orientador del alumno para las
actividades en el laboratorio. Inclusive la presentación de la teoría al inicio de la sesión de
aprendizaje no es considerada una simple exposición de conceptos e información. El instructor
busca incentivar la participación de los alumnos continuamente.
Las sesiones de aprendizaje en las que se realizan la presentación de contenidos y la realización de
las actividades prácticas tienen formato presencial y esencialmente práctico, utilizando técnicas de
estudio dirigidas individualmente, trabajo en equipo y prácticas orientadas al contexto profesional
del futuro especialista que se pretende formar.
Las sesiones de aprendizaje se desarrollan en tres etapas, con mayor dedicación a las actividades
prácticas, conforme a la siguiente descripción:
Primera etapa: presentación de la teoría y resolución de dudas (de 60 a 90 minutos).
El instructor presenta, de manera sintética los conceptos teóricos correspondientes al tema de la
sesión de aprendizaje, con ayuda de diapositivas en formato PowerPoint. El instructor formula
interrogantes sobre el contenido de las diapositivas en lugar de solo presentarlas, animando al grupo
a la participación y a la reflexión. Esto evita que las presentaciones sean monótonas y que el alumno
se coloque en actitud pasiva, lo que reduciría el aprendizaje.
Segunda etapa: actividades prácticas de aprendizaje (de 120 a 150 minutos)
Esta etapa es la esencia de los cursos de la ESR. La mayoría de las actividades de los cursos es
asincrónica y realizada en grupos de dos alumnos, que siguen el ritmo de la guía de actividades
propuesta en el libro de apoyo. El instructor y el monitor circulan entre los grupos para solucionar
las dudas y ofrecer explicaciones complementarias.
Tercera etapa: discusión de las actividades realizadas (30 minutos)
El instructor comenta cada actividad, presentando una de las soluciones posibles, prefiriendo
aquellas que generan mayor dificultad y polémica. Los alumnos son invitados a comentar las
7
soluciones encontradas y el instructor retoma tópicos que hayan generado dudas, estimulando la
participación de los alumnos. El instructor siempre estimula a los alumnos a encontrar soluciones
alternativas a las sugeridas por él y por sus colegas, en caso que existan, y a comentarlas.
8
Sobre el curso
El curso presenta el “Modelo Corporativo para Gobernanza y Gestión de TI de la Organización
COBIT 5”, publicado por ISACA, presentando y describiendo sus principios y sus habilitadores,
buscando desarrollar competencias en los fundamentos de COBIT 5, para desde ahí iniciar su
implementación en la organización y de acuerdo con las recomendaciones de los órganos de control.
El alumno trabajará con el libro de apoyo y con el libro publicado por ISACA que será bajado desde
el sitio. Serán detallados los principios, los habilitadores, la guía de implementación, el modelo de
capacidad, como hacer una descripción detallada de los objetivos de TI y cómo alinearles con las
necesidades de las partes interesadas. El curso combina la parte teórica con las actividades prácticas
para consolidar el conocimiento y ejemplificar con las realidades de las diversas organizaciones. A
través de este curso el alumno adquirirá los conocimientos y habilidades con el objetivo de entender
y comprender los fundamentos de COBIT 5.
A quién se destina
El curso se destina a los gestores y profesionales de TIC que necesitan aprender y conocer el
“Modelo Corporativo para Gobernanza y Gestión de TI de la Organización COBIT 5” para
comenzar con su aplicación e implementación de gobernanza en las actividades de la organización.
También podrán participar otros profesionales que deseen obtener y desarrollar competencias sobre
Gobernanza y COBIT 5.
9
Sobre los autores:
Luiz Claudio Diogo Reis es Magíster en Tecnología por la CEFET/RJ en la línea de investigación
sobre Gestión de Innovación e Información Tecnológica. Tiene un MBA en Gestión de Tecnología
de Información y Negocios Virtuales por el CEFET/RJ. Especialista en Auditoría de Sistemas de
Información por la Universidad Estácio de Sa y en Patrones Internacionales de Auditoría por la
Universidad Católica de Brasilia (UCB). Graduado en Matemática por la Universidad del Estado de
Río de Janeiro (UERJ) y de Lengua Inglesa por la Universidad de Michigan. Profesional con
certificación internacional CISA – Certified Information Systems Auditor y CRISC – Certified in
Risk and Information Systems Control por ISACA – Information Systems Audit and Control
Association. Certificado en Seguridad de la Información con el título de MCSO – Modulo Certified
Security Offices de la Modulo Security Solutions. Profesional Certificado y Acreditado en COBIT5
Foundation por el APMGroup. Auditor Senior de Tecnología de la Información por la Institución
Financiera CAIXA ECONÔMICA FEDERAL con 17 años de experiencia en auditorías de gestión,
de procesos y de sistemas de información. Instructor, tutor y mentor en Acciones Educacionales
estratégicas de la Universidad CAIXA. Expositor en eventos nacionales e internacionales sobre IT
GRC&A – Gobernanza, Riesgo, Compliance y Auditoría desde 2009. Docente en disciplinas de
Gestión de Procesos de Negocio, Planeamiento estratégico, Gobernanza de TI, Gestión de
Proyectos, Gestión de Servicios de TI, Seguridad de la Información, Seguridad en Aplicaciones,
Gestión de Riesgos, Continuidad de Negocios y Auditoría de TI. Trabaja como voluntario desde
2012 en ISACA – Capítulo Río de Janeiro y actualmente ocupa el cargo de Presidente de la
Asociación. Instructor y facilitador en programas de capacitación de líderes, gestores y
profesionales de negocio para el desarrollo de habilidades gerenciales.
Edson Kowask Bezerra Profesional del área de seguridad de la información y gobierno de
información, con más de quince años como auditor líder de calidad, investigador, director de
proyectos y director técnico en varios proyectos de gestión de riesgos, la gestión de la seguridad de
la información, continuidad del negocio, PCI, auditoría y recuperación de desastres en las grandes
empresas de telecomunicaciones, financiera, energía, industria y empresas del sector del gobierno.
Con amplia experiencia en las áreas de seguridad. También ha actuado como conferencista en
importantes eventos en Brasil y también como instructor de formación en los temas de seguridad y
gobierno. Es profesor y coordinador de cursos de postgrado en el área de seguridad de la
información, la gestión integrada, la innovación y las tecnologías web. Hoy se desempeña como
Coordinador Académico de Seguridad y Gobierno de las TI de la Escuela Superior de Redes.
Fábio Gomes Barros es Magíster en Gestión del Conocimiento y de Tecnología de Información
(TI) por la Universidad Católica de Brasilia (2013). También es especialista en Telemática (2002) y
Gestión de Proyectos (2007), ambas por la Universidad Federal de Pernambuco. Graduado en
Ingeniería Electrónica por la Universidad de Pernambuco (1999). Actualmente es Analista en
Tecnología de Información del Ministerio de Integración Nacional y docente en la Escuela Nacional
de Administración Pública (ENAP) y de la Escuela Superior de Redes (ESR) de la Rede Nacional
10
de Pesquisa (RNP). Tiene experiencia en las áreas de Telecomunicaciones y de Tecnología de
Información, con énfasis en la Gestión y Gobernanza de TI. Posee las certificaciones PMP (Project
Management Professional) otorgada por el Project Management Institute y COBIT 5 Foundation
por ISACA.
11
1 Gobernanza Corporativa de TI
Objetivos
Analizar la importancia de TI aplicada a los negocios; comprender el contexto, el alcance y la
aplicación de la gobernanza de TI en las organizaciones; Identificar los desafíos para la gobernanza
de TI; Conocer las buenas prácticas y normas del mercado relacionados con la gobernanza de TI;
Entender el contexto de la gobernanza corporativa de TI propuesto por COBIT 5; Aplicar el
conocimiento en actividades prácticas sobre gobernanza corporativa de TI.
Conceptos
Tecnología de información aplicada a los negocios; Gobernanza de TI; Componentes de la
gobernanza de TI; Desafíos para la gobernanza y gestión de TI en las organizaciones; Investigar
sobre los beneficios de la gobernanza de TI; Principales modelos y normas de gobernanza de TI,
Introducción al Modelo Corporativo COBIT 5; Factores motivadores para el desarrollo del Modelo
Corporativo COBIT 5; Familia de productos de COBIT 5; Gobernanza corporativa de TI en el
contexto de COBIT 5.
12
Introducción
Reis (2012), Balbridge et al. (1971) describen que las organizaciones varían significativamente
entre sí en función de su naturaleza, tipos de clientes, tecnologías aplicadas, capacidad técnica,
estructuras organizacionales, modelos de gestión y formas de relaciones con terceros y proveedores.
Cada organización tiene objetivos de negocios y necesidades específicas según sus directrices
estratégicas, de forma tal que dos organizaciones no son necesariamente iguales.
Con el avance y el uso intensivo de las Tecnologías de la Información (TI) para la automatización y
soporte de procesos organizacionales, las TI pasaron a desempeñar un papel significativo en todo el
ciclo de vida de la información de las empresas para hacer negocios y la toma de decisiones. Ese
ciclo cubre las etapas de creación, manipulación y eliminación de la información.
En la actual era del conocimiento, las TI está en pleno proceso de evolución y cada vez más
presentes en los ambientes sociales, culturales y corporativos. El uso de tecnologías emergentes han
impulsado un cambio significativo en la forma de realización de los negocios.
En este escenario, las empresas públicas y privadas han ido, a lo largo de los años, incorporando
recursos de TI para mejorar los procesos de negocios y su relación con los clientes. Algunas
organizaciones están en un nivel de madurez más avanzado, otras en fase intermedia de desarrollo y
algunas, todavía, en etapa inicial.
Tecnologías de la información (TI) aplicada a los negocios

De acuerdo a la visión de Henderson y Venkatraman (1993), las TI son un sistema que engloban
conceptos técnicos y de gestión del capital humano.
Para Rezende (2008), las TI representan un recurso tecnológico de las organizaciones para
preservar, gestionar el uso de la información y del conocimiento, contemplando sistemas
aplicativos, de telecomunicaciones y de gestión de datos y de informaciones. Además de esto, en un
escenario global de competitividad de los negocios, la información representa un activo esencial
para que las organizaciones tengan una ventaja estratégica.
El ITGI (2007) describe a las TI como un conjunto de procesos que dependen de la interacción
entre elementos de naturaleza humana, organizacional y tecnológica, comprendiendo, por tanto, una
triada de personas, procesos y tecnologías.
Figura 1: Triada Procesos, Personas y Tecnologías
Basados en estos conceptos, observamos que la gestión de TI aplicada a los negocios no son
13
actividades fáciles de ser manejadas en las organizaciones. Para Rezende (2008), la gestión de la TI
representa un factor crítico de éxito para la generación de valor y de beneficios para las
organizaciones.
Para pensar
Según Reis (2012), “Planificación y Gestión de la Tecnología” comprende el proceso de
planificación y alineación estratégica de TI, la organización y estructuración del área de TI, las
políticas, normas y programas de capacitación continua, la arquitectura y gestión de la
información, los servicios de atención y soporte a usuarios y la infraestructura tecnológica.
Por lo tanto, garantizar una gestión eficiente de los recursos de TI representa un desafío para las
organizaciones modernas, pues esta actividad abarca aspectos complejos de naturaleza técnica y
humana que necesitan interactuar para obtener sinergia entre las áreas de negocio y de TI de las
organizaciones.
De esta forma, en ambientes organizacionales complejos, con el uso intensivo de TI y la

reglamentación a través de leyes y directrices de control, el área de TI sufre un gran impacto en
función de la necesidad de proveer, mantener y gestionar los recursos de TI de forma eficiente,
eficaz, segura y disponible para todos los interesados en las actividades de negocio de la institución.
Este escenario requiere que las organizaciones mantengan estructuras organizacionales y personas
capacitadas para liderar y gobernar este ambiente de negocio complejo, de forma adecuada a sus
necesidades y a través del uso de modelos de referencia de mercado adoptados como buenas
prácticas para la gestión y la gobernanza de TI.
Ejercicio de fijación 1
Tecnologías de información (TI) aplicadas a los negocios
Entre la triada de “Personas”, “Procesos” y “Tecnologías”, a su forma de ver, ¿Cual de estos
factores es el más importante para el éxito de la gestión de Tecnología de Información en su
organización? Justifique.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Describa dos buenas prácticas de gestión de TI adoptadas en su organización relacionadas a cada

uno de los componentes de la triada de “Personas”, “Procesos” y “Tecnologías”.
Personas
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
14
Procesos
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Tecnologías
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
¿Qué es la gobernanza de TI?

El área de TI tiene como actividad principal la atención a las necesidades y estrategias del negocio,
teniendo como prerrogativa la conformidad en relación a las leyes, normas y reglamentos internos y
externos. Estos requisitos de negocio y legales varían de acuerdo con el tipo, finalidad, ramo de
actuación y exigencias regulatorias de las organizaciones.
En este contexto se introduce un concepto muy discutido y debatido en la gestión de negocios en la

actualidad, denominado “Gobernanza de TI”.
Según Fernandes y Abreu (2008), el principal objetivo de la gobernanza de TI es alinear a las

Tecnologías de la Información (TI) a los requisitos del negocio, teniendo como base la continuidad
de los negocios, la atención a las estrategias de negocios y la atención a las reglamentaciones
internas y externas.
Weill y Ross (2004) conceptualizan la gobernanza de TI como un instrumento para la definición de

los derechos de decisión y de las responsabilidades de administración para fomentar
comportamientos deseables en el uso de las TI.
La gobernanza de TI es de responsabilidad de las más altas esferas que lideran una organización,
en las estructuras organizacionales y en los procesos para garantizar que la TI de la empresa
apoye y entienda las estrategias de los objetivos de negocios de la organización (ITGI 2007).
Basado en estos conceptos, Fernandez y Abreu (2008) identifican los principales objetivos y
responsabilidades del área de TI relacionados con la gobernanza, conforme a lo mostrado en la
siguiente tabla.
Objetivos de la gobernanza de TI
Posicionamiento de TI en relación con las áreas de negocio
Las TI deben entender las estrategias de negocio y traducirlas en planes para sistemas,
aplicaciones, soluciones, procesos e infraestructura
Alineamiento a de las iniciativas de TI con la estrategia de negocio
Las TI deben priorizar lo que ha sido planificado teniendo en cuenta las necesidades y prioridades
15
de negocio y las restricciones de recursos humanos y financieros
Alineamiento de los recursos de TI a las necesidades de negocio
Las TI deben planificar y priorizar la implantación de proyectos y servicios de acuerdo con las
necesidades del negocio de corto, mediano y largo plazo
Provisión de servicios de TI de acuerdo a las necesidades del negocio
Las TI deben ejecutar proyectos y servicios de acuerdo con los procesos de gestión operacional
previamente definidos y con los recursos apropiados.
Gestión de riesgos y de continuidad de los negocios
Las TI deben mantener procesos para gestión de seguridad de la información, mitigación de
riesgos y continuidad operacional del negocio.
Responsabilidad sobre las decisiones y acciones relacionadas con las TI
Las TI deben identificar las responsabilidades sobre la toma de decisiones y necesidades de
inversión de recursos de TI para los negocios
Tabla 1: Los objetivos de la gobernanza de TI
¿Qué es la gobernanza de TI?
Defina con sus palabras: “gobernanza de TI”

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Cite 3 objetivos de la gobernanza de TI propuestos por Fernandes y Abreu (2008).

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Componentes de la gobernanza de TI
Según Weill y Ross (2004) y Fernandes y Abreu (2009), la gobernanza de TI comprende varios
mecanismos y componentes que, lógicamente integrados, permiten el desdoblamiento de la
estrategia de TI (Plan estratégico de TI) para el soporte y operación de los productos y servicios
utilizando recursos de TI (Plan Operacional de TI).
Ese proceso debe ser ejecutado en sintonía con el Plan Estratégico Institucional (PEI), de forma que
se pueda obtener eficiencia y eficacia en la gestión de los recursos de TI por parte de la
organización, en la ejecución del Plan Estratégico de Tecnología de la Información.
16
En el ámbito de la administración pública, el plan Director de TI (PDTI) representa un instrumento
de planificación de TI, utilizado en el contexto de los organismos públicos.
A continuación mostramos los principales componentes y mecanismos aplicados a TI para que las
empresas puedan proveer una gobernanza de TI de forma eficiente y eficaz.
Alineación estratégica de TI
La alineación estratégica de TI busca la integración y adecuación de la TI de la empresa en relación
con las necesidades de negocios actuales y futuras en términos de arquitectura, infraestructura,
aplicaciones, procesos y estructura organizacional.
Principios de TI
Los principios de TI representan las reglas y normas definidas por la administración de la empresa
las cuales todos los involucrados con las operaciones de la organización deben seguir.
Los principios de TI aportan al proceso de toma de decisiones sobre la arquitectura de TI, la

infraestructura de TI, la adquisición y el desarrollo de aplicaciones, la formulación de políticas y la
gestión de activos de operaciones de TI.
Aplicaciones de TI
Las aplicaciones de TI son las soluciones de negocios provenientes de los sistemas de información
y la disponibilidad de servicios de TI desarrollados, adquiridos y mantenidos por la empresa para
atender las necesidades estratégicas, operacionales y de continuidad de los negocios.
La estrategia de la organización sobre las aplicaciones de TI determinan aquellas que deberán ser
desarrolladas, mantenidas, mejoradas, sustituidas e implantadas, considerando las necesidades del
negocio.
Infraestructura de TI
La infraestructura de TI se relaciona con la capacidad técnica y humana de TI disponible en la
organización, abarcando servicios compartidos, confiables y usados por múltiples aplicaciones.
También define los servicios de TI requeridos por el negocio en términos de gestión de datos,
comunicaciones, gestión de activos de TI, disponibilidad, seguridad de la información, normas para
las interfaces y recursos computacionales necesarios para apoyar la estrategia del negocio.
La infraestructura de TI también puede ser usada como servicio de conexión entre socios y
proveedores de soluciones de TI para la empresa.
Demandas de TI
La capacidad de las necesidades de atención de TI define la cantidad de recursos humanos
necesarios para atender las demandas de TI relacionadas a sistemas y servicios.
Tercerización de servicios de TI
La estrategia de tercerización de los servicios de TI abarca la definición del alcance de los servicios
para tercerizar y las alternativas de asociación entre la institución contratante y la proveedora de
servicios.
17
La tercerización también implica los procesos para la gestión del desempeño de los proveedores o
prestadores de servicios de TI, considerando el portafolio de servicios a ser ejecutados por el
proveedor contratado.
Seguridad de la información
La seguridad de la información consiste en el establecimiento de políticas, directrices y acciones
referentes a la seguridad de las aplicaciones, la infraestructura, los datos, las informaciones, las
personas, los socios corporativos y de los proveedores en relación de negocios con la empresa
contratante.
Capacitación de recursos humanos
Los recursos humanos de TI capacitados se relacionan con las competencias – conjunto de
habilidades y actitudes requeridas y necesarias para el desarrollo e implantación de las iniciativas y
soluciones de TI basadas en las necesidades de negocio y, considerando además, las actividades,
procesos y servicios de TI adoptados por la empresa.
Organización de los procesos de TI
La organización de los procesos de TI se relacionan con la forma de cómo los servicios y productos
de TI son desarrollados, administrados y entregados a los usuarios y clientes.
La organización de los procesos de TI requieren la definición de responsabilidades, roles y procesos

internos de acuerdo con las necesidades de negocio de la empresa, considerando además las
necesidades específicas de TI.
Inversiones y costos de TI
Las inversiones y costos de TI se refieren a los aspectos financieros involucrados en la
administración y soporte de los negocios, tales como aplicaciones, infraestructura y personas.
Los costos de TI deben ser identificados, analizados, monitoreados y controlados regularmente para
garantizar un mejor retorno de la inversión, gastos y expensas relacionados.
La gestión del portafolio de TI representa una buena práctica para la priorización, selección,
motorización, control, entre otros, de las inversiones de TI basadas en proyectos estratégicos y
activos prioritarios, de forma que se integre y alineen los objetivos estratégicos de negocios a los
objetivos específicos de TI.
Relación con clientes internos y externos
Las relaciones con clientes trata de la interacción de los usuarios internos y externos con el área de
TI, abarcando procesos que deben definir los responsables de la solicitud de servicios, los
procedimientos operacionales, indicadores de evaluación, canales de comunicación, capacitación y
entrenamiento a los usuarios sobre el uso de los recursos tecnológicos y desarrollo de proyectos.
De forma similar, la relación con los proveedores y terceros trata de aspectos operacionales de TI,
tales como los procedimientos previstos para la atención a requerimientos de servicios, la relación
con socios, el acompañamiento y el control de Acuerdos de Servicio y los contratos de apoyo,
calidad de servicios prestados y el rendimiento de los proveedores.
18
Rendimiento de TI
La administración debe establecer indicadores para medir el rendimiento del área de TI en relación
con el cumplimiento de metas, según las estrategias y necesidades de negocio de la empresa.
De esta forma, los objetivos de rendimiento guían a la administración de TI para que puedan
atender metas de rendimiento compatibles con los objetivos de negocio definidos para la prestación
de servicios de TI.
A nivel operacional, es usual la formalización de niveles de servicios denominados “Acuerdos de

Nivel de Servicios”1 (ANS), firmados entre el área de TI y las áreas de negocio y los Acuerdos de
Nivel Operacional (ANO), firmados entre TI y los proveedores internos, abarcando todo el ciclo de
actividades de TI.
De esta forma, los indicadores estratégicos y operacionales orientan a la gestión de TI, los controles
operacionales y el establecimiento de necesidades de mejora en los niveles de servicio.
Además, la gestión del rendimiento de TI se refiere al monitoreo de los objetivos de desempeño de

las operaciones de servicios en términos de desarrollo de aplicaciones, soporte a servicios, entrega
de servicios, seguridad de la información y monitoreo de acuerdos firmados.
Requisitos de conformidad
Las organizaciones deben considerar las leyes, reglamentos y normas internas y externas cuando se
definen los requisitos del negocio. El área de TI, al desarrollar soluciones de negocio, debe apuntar
a las funcionalidades definidas por las áreas de negocio al realizarse la planificación y gestión de
soluciones de TI, para apoyar a las estrategias y objetivos de la empresa.
Componentes del sistema de gobernanza:

 Alineación estratégica de TI
 Principios de TI
 Aplicaciones de TI
 Infraestructura de TI
 Demandas de TI
 Tercerización de servicios de TI
 Seguridad de la información
 Capacitación de recursos humanos
 Organización de los procesos de TI
 Inversiones y costos de TI
 Relación con clientes internos y externos
 Rendimiento de TI
 Requisitos de conformidad.
Componentes de gobernanza de TI
Responda las siguientes preguntas, considerando el contexto de su organización.
1 Del Inglés “Service Level Agreement” (SLA)
19
Cite dos buenas prácticas adoptadas en su organización para cada uno de los componentes de
gobernanza de TI listados a continuación:
Principios de TI
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Infraestructura de TI
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Demandas de TI
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Rendimiento de TI
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Desafíos para la gobernanza y gestión de TI en las

organizaciones
Como consecuencia de la necesidad de uso de recursos tecnológicos por parte de las organizaciones
para dar apoyo a los procesos de negocio, los gestores y líderes de TI deben aunar esfuerzos en el
sentido de:
 Mantener informaciones confiables para apoyar a las decisiones del negocios
 Agregar valor al negocio en base a las inversiones en TI
 Cumplir los objetivos estratégicos apoyados en recursos de TI
 Obtener beneficios para la organización mediante el uso eficiente e innovador de TI
 Alcanzar la excelencia operacional mediante la aplicación eficiente y eficaz de recursos de
TI
 Mantener el riesgo de TI en un nivel aceptable
 Optimizar el costo de la tecnología y de los servicios de TI
20
 Cumplir las leyes, reglamentos, contratos, políticas y normas externas
La atención, cumplimiento y sustentabilidad de todas estas actividades en el día a día de las
organizaciones no es algo simple de llevar a cabo. Estas tareas requieren planificación y gestión
sobre diversas actividades de TI desarrolladas por la empresa para atender las necesidades de
negocio. También, en la práctica, estas actividades representan uno de los más grandes desafíos para
los gestores de TI.
Veamos a continuación por qué la gobernanza de TI es un instrumento importante para la gestión de

las organizaciones teniendo como presupuesto los beneficios obtenidos de su implementación.
Investigaciones sobre los beneficios de gobernanza de TI

Una investigación realizada por PwC a más de 800 profesionales de TI y de negocios en 21 países
sobre los beneficios de la gobernanza de TI para las organizaciones participantes, los resultados
indican que un:
 38% reportó una reducción de costos de TI
 28.1% hubo una mejoría en la competitividad de los negocios
 27.1% hubo un aumento en el retorno sobre las inversiones de TI
En relación con los beneficios menos tangibles, los resultados identificaron como mejorías:
 42.2% en la gestión de riesgos de TI
 39.6% en la comunicación y relaciones entre áreas de negocios y de TI
 37.3% en la ejecución de TI para el logro de los objetivos corporativos.
Para Pensar:
Actualmente, se argumenta que el valor de TI en las organizaciones se deriva directamente de la
eficiencia del sistema de gobernanza de TI. ¿Qué piensa usted?
Otro estudio realizado en 250 organizaciones en todo el mundo identificó que aquellas con mejor
gobernanza de TI tenían una rentabilidad de al menos un 20% mayor que las de baja madurez en
temas de gobernanza, considerando los mismos parámetros de la investigación.
Otro estudio de caso en el sector aéreo concluyó que la implementación y la garantía continua de la
gobernanza corporativa de TI mejoraban la confianza entre el negocio de TI, resultando en una
mejora de la alineación de las inversiones con los objetivos estratégicos.
En este escenario, otros beneficios más tangibles fueron manejados en la investigación, tales como
la reducción del costo fijo de TI por unidad de producción comercial y la asignación de recursos
para la innovación.
Un estudio de caso en el sector financiero demostró que las empresas con mejores aplicaciones de
gobernanza de TI obtuvieron las mayores puntuaciones de madurez en la alineación entre el negocio
y TI.
Introducción a las estructuras de gobernanza de TI

La gobernanza de TI requiere un efectivo acompañamiento sobre la gestión de procesos y
actividades de TI que influencian y afectan el manejo de los negocios y, en consecuencia, al
cumplimiento de metas y estrategias de la organización.
21
Como se describe anteriormente, el desafío de las organizaciones en temas de gobernanza de TI
requiere la implementación de acciones de liderazgo y gestión estratégica que dependen de un
amplio y variado conjunto de requisitos técnicos y humanos relacionados con las TI.
Los componentes del sistema de gobernanza son diversos y amplios. Por lo tanto se hace necesario
definir un alcance, o sea, una estructura, un modelo a ser utilizado y aplicado por las organizaciones
para proveer gobernanza de TI. Existen diversos modelos de buenas prácticas y normas
relacionadas con la gobernanza de TI (Fernandes y Abreu, 2008).
A continuación, analizaremos los principales modelos (frameworks) de gobernanza de TI

adoptados por las organizaciones.
Principales modelos de gobernanza de TI
Según Fernandes y Abreu (2008), la gobernanza de TI busca compartir las decisiones de TI con los
principales actores de la organización y el establecimiento de reglas y procedimientos para el uso
eficiente y eficaz de la Tecnología de Información por parte de todos los interesados en las
actividades de la empresa, como son: clientes, funcionarios, áreas de negocios, gobierno y
proveedores, de forma que se determine cómo las TI deberán proveer los servicios para la
organización.
En las dos últimas décadas, con la evolución de las TI, diversos modelos de buenas prácticas
aplicados a TI han sido desarrollados. Algunos de estos modelos son inéditos, y otros han sido
construidos a partir de los anteriores (Fernandes y Abreu, 2008).
La siguiente tabla presenta una síntesis de los principales modelos relacionados con gobernanza de
TI vigentes en los medios académicos y profesionales.
Modelo de buenas prácticas Alcance

COBIT 4.1: Control Objectives for Information Modelo aplicable a la gobernanza, gestión,
and Related Technology auditoría y control de los procesos de TI,
abarcando las etapas de planificación, ejecución
y monitoreo de las actividades de TI. Este
modelo abarca 34 procesos de TI en 4 dominios
inter-relacionados.
TOGAF: The Open Group Architecture Forum Modelo de arquitectura corporativa que aborda
de forma global el diseño, planificación,
implementación y gobernanza en cuatro niveles
(Negocios, Aplicación, Datos y Tecnología). Este
modelo posibilita la proyección de arquitecturas
futuras basándose en el estado actual de la
estructura organizacional
ISO 31000:2009 Es una norma ABNT para establecer principios y
directrices genéricas sobre el proceso de gestión
de riesgos, sus etapas y requisitos
COSO: Comittee of Sponsoring Organizations Es una estructura de gestión de riesgos
of the Tradeway Comission corporativos capaz de ofrecer los principios y
22
conceptos fundamentales utilizando un lenguaje
común. El proceso de gestión de riesgos
corporativos está compuesto por ocho
componentes interrelacionados.
CMMI: Capability Maturity Model Integration Modelo aplicable al desarrollo de productos y
proyectos de sistemas de información
(aplicaciones y software)
ITIL: Information Technology Infrastructure Modelo aplicable a la infraestructura de TI,
Library comprende los servicios de TI, seguridad,
gestión de infraestructura, gestión financiera,
gestión de activos y aplicativos.
ISO 20000 Norma ABNT creada a partir de los requisitos y
evolución del modelo ITIL
ISO 22301: Gestión de Continuidad de Negocios Norma ABNT usada para ayudar a las
organizaciones a minimizar el riesgo asociado a
acontecimientos disruptivos que pueden impactar
la disponibilidad de los negocios y servicios.
Esta norma especifica los requisitos para
mantener un sistema de gestión de continuidad
de negocios para recuperarse de eventos que
puedan interrumpir el funcionamiento normal de
una organización.
ISO 38500 Norma ABNT que especifica los requisitos y
componentes aplicables a la gobernanza de TI
para las organizaciones
BS 7799, ISO/IEC 27001 e ISO/IEC 17799: Modelos aplicados a la gestión de seguridad de
Código de práctica para la gestión de seguridad la información
de la información
eSCM-SP – Service Provider Capability Modelo aplicado a la tercerización en servicios
Maturity Model de TI
PRINCE2: Projects IN Controlled Environments Modelo aplicado a la gestión de proyectos
2
PMBOK: Project Management Body of Modelo aplicado a la gestión de proyectos, que
Knowledge consolida una base de conocimiento y disciplinas
relacionadas a la gestión de proyectos
BSC: Balanced Scoredcard Modelo de planificación y gestión de desempeño
de la estrategia organizacional propuesto por
Kaplan
Seis Sigma Modelo utilizado para mejorar la calidad de los
procesos organizacionales.
SAS 70: Statements on Auditing Standards of Norma que contempla reglas de auditoría para
services organizations empresas prestadoras de servicios
RISK IT Modelo de gestión de riesgos de TI adoptado por
23
ISACA basado en la ISO 31000:2009
VAL IT Modelo de gobernanza basado en COBIT 4.1
que incluye orientaciones y procesos de soporte
relacionados con la evaluación y selección de
inversiones de negocios viabilizados por TI, así
como los beneficios de los logros y entrega de
valor de estas inversiones.
COBIT 5 Modelo para la gobernanza corporativa de TI
desarrollado a partir de cinco principios y basado
en siete habilitadores
Tabla 2: Principales modelos en relación con la gobernanza de TI
Principales normas de Gobernanza de TI

 CMMI: Capability Maturity Model Integration
 ITIL: Information Technology Infrastructure Library
 COSO: Comittee of Sponsoring Organizations of the Tradeway Comission
 ISO 38500 – Gobernanza corporativa para la Tecnología de Información
 ISO 27001 – Tecnología de información, técnicas de seguridad – sistemas de gestión de la
seguridad de información – requisitos
 PRINCE2TM – Project in a Controlled Environment
 PMBok – Project Management Body of Knowledge
 BSC – Balanced scorecard
 COBIT
Basados en esta lista podemos concluir que cada modelo tiene un propósito, alcance y objetivos
definidos. Algunos modelos son específicos, otros son abarcadores y complementarios entre sí.
Entre estos modelos de gobernanza, ISACA ha llevado a cabo investigaciones que demuestran el
valor de COBIT para las organizaciones. El conjunto de datos resultante de estas investigaciones
ofrece diversas oportunidades de análisis y puede esclarecer la relación entre la gobernanza
corporativa de TI y el desempeño de las empresas.
Principales modelos de gobernanza de TI
Enlace los modelos y normas de mercado con su principal finalidad, identificando la definición más
precisa para cada una de los siguientes puntos:
1. Gestión de riesgos TOGAF

2. Gestión de servicios de TI ISO 31000
3. Gobernanza corporativa de TI BSC
4. Arquitectura organizacional ISO 22301
5. Ambiente de control COBIT 5
24
6. Planificación y desempeño PRINCE2
7. Gestión de proyectos ITIL
8. Continuidad de negocios COSO
Introducción al modelo corporativo COBIT 5

COBIT 5, publicado por ISACA el 10 de Abril del 2013 ofrece guías y orientaciones fundamentales
para la implementación de gobernanza corporativa y gestión de TI para organizaciones.
Esta publicación es el fruto de más de 15 años de uso y aplicación práctica del modelo de COBIT
4.1, a partir de las experiencias de líderes organizacionales y de usuarios de las comunidades de
negocio, TI, riesgo, seguridad y auditoría mantenidas por ISACA.
El modelo COBIT 5, llamado simplemente COBIT, está estructurado en 10 secciones: un resumen

ejecutivo, ocho capítulos y apéndices de A-H, de acuerdo a lo mostrado en la siguiente figura
Figura 2: Visión sistémica del framework de COBIT 5. Elaborado por el autor.
Factores que motivan la publicación de COBIT

De acuerdo a ISACA (2013), los principales factores para el desarrollo de COBIT son:
Participación de las partes interesadas con las TI
La participación de las partes interesadas tiene como objetivo determinar qué estos esperan de las TI
para obtener niveles optimizados de beneficios, riesgo y costos aceptables. Las partes interesadas
deben identificar las prioridades de los negocios para garantizar qué el valor esperado de TI sea
efectivamente obtenido a corto, mediano o largo plazo.
Las divergencias o conflictos en las expectativas deben ser tratados con eficiencia y transparencia,
para no impactar en el logro de los resultados organizacionales.
Dependencia de proveedores de TI
Las organizaciones son cada vez más dependientes de terceros, proveedores, consultores, clientes
y/o proveedores de servicios de TI para la realización de negocios. Así mismo los proveedores de
servicios de TI son partes esenciales para que las organizaciones mantengan sus negocios y
efectivamente agreguen valor a las partes interesadas en los negocios con el uso de recursos de TI.
Pertinencia de la información
La información es un activo esencial para la toma de decisiones, sin embargo, la cantidad de
25
información viene aumentando significativamente en el contexto organizacional. Por ello las
organizaciones deben tener un proceso definido para seleccionar las informaciones en base a
criterios pre-establecidos, tales como relevancia, credibilidad y transparencia.
Cuando la información es administrada de forma oportuna y calificada, esta apoya al proceso de

toma de decisiones por parte del área de negocio de forma eficiente y eficaz.
En ambientes complejos, las organizaciones necesitan de un modelo de tratamiento de la

información para garantizar la efectividad de su gestión. Recientemente ISACA publicó la guía
COBIT 5 Habilitador de Información (Enabling Information), que establece un modelo y criterios
para la gestión de la información en las organizaciones.
TI como parte integral del negocio
Las TI son cada vez más una parte integral del negocio, por tanto no deben ser consideradas como
un “nicho” y separadas del negocio. La TI deben estar insertadas como parte integral de los
proyectos empresariales, estructuras organizacionales, gestión de riesgos, políticas, capacidades,
procesos, entre otras funciones y actividades de la arquitectura empresarial.
Este escenario requiere que los ejecutivos de negocio tengan competencias en TI para la toma de
decisiones y operaciones relacionadas a TI.
Por otro lado, las funciones del área de TI están en continua evolución. La administración de TI
debe fundamentarse en un abordaje holístico e integrado, directamente relacionado con el negocio.
Orientaciones para tecnologías emergentes e innovadoras
Las tecnologías innovadoras están relacionadas a la creatividad, nuevas ideas y al desarrollo de
productos y servicios para el apalancamiento de nuevos negocios y fidelización de clientes (actuales
y futuros).
La innovación presupone una concepción y el desarrollo de productos, el modelado de procesos de

producción y de la cadena de suministros apuntando a proveer productos con un alto nivel de
eficiencia, con el establecimiento de plazos para las entregas de servicios.
Cobertura del negocio por TI
Las organizaciones que utilizan las TI para el apalancamiento del negocio y como un diferencial
competitivo, poseen una mayor parte de sus procesos críticos sustentados por TI. Esta situación
caracteriza la cobertura del negocio de punta a punta y en todas las áreas responsables por las
funciones de TI. Esta estructura requiere procesos de gobernanza y de gestión de TI eficientes y
eficaces.
En la concepción de COBIT, la eficiencia en la gestión depende de diversos factores como son

estructuras organizacionales, políticas y cultura organizacional.
Estos factores están presentes e interactúan con los procesos de trabajo vigentes en la organización,
ampliando los desafíos de gobernanza y de gestión de las organizaciones.
Mejoría de los controles sobre las soluciones de TI
Las soluciones de TI tienen como propósito la creación de valor para la organización a través del
26
uso eficiente e innovador de TI, de la satisfacción de los usuarios con los servicios de TI, del
cumplimiento de las leyes, reglamentos, acuerdos contractuales y políticas internas y de la mejoría
de las relaciones entre las necesidades organizacionales y los objetivos de TI.
Alineación a estándares y estructuras de mercado
La integración y alineación entre estándares y prácticas del mercado ayudan a las partes interesadas
(stakeholders) a la comprensión de cómo los diversos modelos, buenas prácticas y estándares se
interrelacionan y cómo estos pueden ser usados en su conjunto.
Dentro de las buenas prácticas, COBIT destaca la Information Tecnology Infrastructure Library
(ITIL), The Open Group Architecture Forum (TOGAF), Project Management Body of Knowledge
(PMBOK), PRoject IN Controlled Environments 2 (PRINCE2), Comitee of Sponsoring
Organizations of the Treadway Comission (COSO), y otras normas internacionales del estándar
ISO.
En este contexto, COBIT tiene como propósito cubrir toda la organización y proveer una base para
integrar otras estructuras, normas y prácticas como una estructura única de integración.
Integración de las principales estructuras y orientaciones de ISACA
COBIT 5 tiene como misión principal la integración entre los modelos COBIT 4.1, Val IT y Risk IT.
COBIT 5 considera, además, el Modelo de Negocios para la Seguridad de la Información (BMIS),
la Estructura de Evaluación de TI (ITAF) y las publicaciones de Board Briefing on IT Gobernance
Taking Gobernance Forward (TGF).
Esto es: COBIT 5 integra y consolida el uso y aplicación de diversas normas desarrolladas por
ISACA, consolidando todo un andamiaje teórico en un único modelo de referencia.
Motivaciones para la publicación del Modelo Corporativo COBIT
Diversos factores motivacionales fueron importantes para la publicación de COBIT 5. Entre estos la
“Mejora de los controles sobre las soluciones de TI” representa un tópico esencial y que es evaluado
por los órganos de control externo en las auditorías realizadas en el ámbito de las organizaciones
públicas.
Los controles institucionales de gestión pública son definidos como prácticas adoptadas por la
empresa pública para certificar que los parámetros establecidos buscan una finalidad pública.
Aplicando el concepto de control institucional al proceso de desarrollo de soluciones y servicios de

TI en su organización, cite tres prácticas de gestión y actividades adoptadas por el área o el gestor
de TI en el proceso de desarrollo de aplicaciones de su organización.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
27
Familia de productos del modelo corporativo COBIT 5
COBIT 5 está compuesto por un conjunto de publicaciones denominadas “Familia de Productos
COBIT 5”, cuya estructura está expuesta en la siguiente figura:
Figura 3: Familia de productos de COBIT
COBIT 5
Es el modelo corporativo COBIT 5 para la gobernanza y gestión de la TI en la organización, esto es,
COBIT 5 propiamente dicho. Esta publicación presenta una visión holística del modelo COBIT,
siendo compuesta por principios, habilitadores, modelo de capacidad, entre otros temas que
abordaremos en capítulos posteriores.
COBIT 5 Guías habilitadoras
Es un conjunto de guías de los habilitadores (Enabler Guides). Estas guías comprenden las
publicaciones COBIT 5 Enabling Processes, COBIT 5 Enabling Information y otras guías
relacionadas denominadas Other Enabler Guides que serán desarrolladas por ISACA en al futuro.
COBIT 5 Guías profesionales
Se trata de un conjunto de Guías Profesionales utilizadas para las actividades prácticas de
Implementación del modelo (COBIT 5 Implementación), seguridad de la información (COBIT 5 for
information security), auditoría (COBIT 5 for assurance) y gestión de riesgos (COBIT 5 for risk),
además de otras guías profesionales relacionadas (Other Professional Guides), que serán
desarrolladas por ISACA en el futuro.
Ambiente Colaborativo Online
Se trata de un ambiente de colaboración usado por los miembros de ISACA para compartir las
buenas prácticas en el uso de COBIT 5.
En síntesis, la familia de COBIT 5 tiene como principales objetivos:

 Reunir las publicaciones COBIT 4.1, Val IT 2.0, RiskIT y BMIS de ISACA en una
estructura única.
 Ampliar las áreas de TI que necesitan de contenidos más elaborados y actualizados
 Alinearse con otras normas y principales estructuras de mercado
 Definir un conjunto de habilitadores de gobernanza y gestión a partir de una estructura
básica
 Posibilitar la inclusión de nuevos contenidos a base de conocimiento definidos en COBIT
 Ofrecer una sólida y abarcadora base de referencia de buenas prácticas en TI
28
Para pensar:
El alcance de esta publicación abarca, estrictamente, el documento COBIT 5 Modelo Corporativo
para la Gobernanza y Gestión de TI en la Organización, que será detallada en los siguientes
capítulos.
Para más información sobre las otras publicaciones de ISACA relacionadas con COBIT 5 consulte
el sitio www.isaca.org/cobit
Familia de productos del modelo corporativo COBIT 5
Detalle los documentos que componen a la familia de productos de COBIT 5

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
En búsqueda de la gobernanza corporativa de TI

Las TI representan un recurso indispensable en los negocios y es un factor diferencial de
competitividad para las estrategias y objetivos organizacionales. De igual forma la gobernanza y la
gestión eficiente y estratégica de los recursos de TI representan elementos esenciales para que las
organizaciones sean exitosas en los negocios.
En un contexto organizacional cuyos procesos de negocio son soportados por TI, cada vez se vuelve
más difícil y complejo desasociar las palabras “Negocio” y “TI”.
Además, los directores y gestores de TI poseen un papel primordial para el éxito de los negocios,
debiéndose tener como premisa un actuar en conjunto de las áreas de negocio y de TI. Este es el
inicio que permite incluir a las TI en el contexto de la gobernanza corporativa y de la gestión
estratégica de las organizaciones.
En la práctica, cuando el área de TI se apropia de buenas prácticas de gestión, adicional a la

necesidad de realizar negocios de forma eficiente y segura y, además, según las estrategias de la
organización, es considerado en COBIT como unidad motriz y desencadenadora de eventos que
impulsan la implantación de una gobernanza corporativa.
De esta forma, la integración de la gobernanza de TI a la gobernanza corporativa de la organización

desencadena el concepto de gobernanza corporativa de TI, volviéndose en el punto de partida para
la implementación de la gobernanza corporativa en cualquier organización.
En este escenario, COBIT, actuando como una estructura única, puede ayudar a las organizaciones
alcancen sus objetivos de negocio, manteniendo la gobernanza y la gestión de TI en un nivel
adecuado a las necesidades y estructura de la organización.
Así mismo, el principal objetivo de la gobernanza corporativa de TI se relaciona con la creación de

valor a través de TI, manteniendo el equilibrio entre la generación de beneficios (negocios) y la
29
optimización de los niveles de riesgo y de recursos utilizados.
En esta perspectiva, COBIT, compuesto por una serie de prácticas de gobernanza, de gestión y de
actividades, establece diversos mecanismos para que el área de TI sea gobernada y administrada de
forma holística para entender el negocio como un todo y no algo restringido a puntos específicos de
TI.
Este es el camino en búsqueda de la gobernanza corporativa. ¿Y usted qué piensa?
En este escenario se requiere que los ejecutivos de negocio tengan competencias en TI para la toma
de decisiones y operaciones de TI, y que los ejecutivos de TI tengan conocimiento sobre las
prácticas, actividades y directrices del negocio.
En búsqueda de la gobernanza corporativa de TI
¿Cómo relaciona usted el modelo corporativo COBIT 5 y la gobernanza de TI?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Defina “gobernanza corporativa de TI”

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
30
2 Los 5 principios de COBIT 5
Objetivos
Conocer los cinco principios de COBIT 5 para la gobernanza y gestión de TI en las organizaciones;
Analizar la influencia de los principios de COBIT 5 en la gobernanza y gestión de TI de las
organizaciones; Aplicar el conocimiento de los principios de COBIT 5 en el contexto de las
organizaciones.
Conceptos
1er principio: Atender las necesidades de las partes interesadas; 2do principio: cubrir la organización
de punta a punta; 3er principio: aplicar una estructura única e integrada; 4to principio: permitir un
enfoque holístico; 5to principio: separar la gobernanza de la gestión; Interrelación de los cinco
principios de COBIT 5; Aplicación práctica de los cinco principios de COBIT 5 en las
organizaciones.
31
Introducción
La figura representa una visión sistémica de los cinco principios de COBIT 5
Figura 4: Visión sistémica de los cinco principios de COBIT 5

1er Principio: Atender las necesidades de las partes
interesadas
Las partes interesadas (stakeholders) son la razón de la existencia de las organizaciones. Las
organizaciones existen para atender un determinado propósito. Por tanto, deben crear valor para sus
partes interesadas, como forma de mantener el equilibrio entre la entrega de valor y la optimización
del riesgo y de los recursos. Consecuentemente, cualquier organización, independientemente del
tamaño, naturaleza y finalidad, debe tener la creación de valor como uno de los objetivos de
gobernanza.
COBIT 5 presupone que las organizaciones poseen objetivos estratégicos diferenciados, esto es:
cada organización es única, considerando los diversos factores asociados a los negocios y a los
ambientes interno y externo. Este escenario también se aplica a los negocios y servicios soportados
por TI, pues el ambiente de TI debe estar adecuado a las estrategias y necesidades de negocio de la
organización.
El alineamiento entre negocio y TI es fundamental para alcanzar los objetivos de la estrategia de
la organización.
Basado en la siguiente figura, en el contexto de COBIT 5, la gobernanza tiene por objetivo crear
valor para la entrega de valor con optimización del riesgo y de los recursos, a partir de las
necesidades de las partes interesadas.
32
Figura 5: Objetivo de la Gobernanza
Necesidades de las partes interesadas

COBIT 5 presupone que cada organización debe identificar las necesidades de sus partes
interesadas, traducirlas en términos de objetivos corporativos de alto nivel y, posteriormente,
identificar los objetivos de TI correspondientes. Las necesidades de las partes interesadas pueden
relacionarse a aspectos sociales, económicos, tecnológicos y ambientales, por ejemplo.
Entrega de valor
Los beneficios (valores) para la organización pueden relacionarse a aspectos financieros, sociales,
tecnológicos y/o ambientales. La entrega de valor en las organizaciones está directamente
relacionado a la misión de la empresa, esto es, a su razón de existir, considerando, además, su
naturaleza, porte, área de acción y objetivos de negocio.
La creación de valor para la organización se alcanza cuando existe un equilibrio entre la
generación de beneficios, la optimización de riesgos y la optimización de recursos.
Para pensar
En un escenario de continuo cambio, la organización debe considerar el mantenimiento y
ampliación de los beneficios actuales, la introducción de nuevos beneficios, así como la eliminación
de iniciativas que no crean el valor esperado para los negocios
Optimización de riesgos
Según la ISO GUIA 73 Gestión de riesgos – Vocabulario, riesgo es la combinación de
probabilidades de un evento y sus consecuencias. Como uno de los objetivos de gobernanza, la
optimización del riesgo implica su reconocimiento, su evaluación de impacto y probabilidad de
ocurrencia así como el desarrollo de estrategias para minimizar el riesgo, reducir su efecto negativo
y/o transferirlo, de forma que sea administrado en el contexto de la empresa y de su apetito de
riesgo
Optimización de recursos
33
Los recursos están relacionados a los activos de la empresa (personas, procesos y tecnología) que
pueden ayudarle a alcanzar sus objetivos de negocio, por ello, representan uno de los objetivos de la
gobernanza. La optimización de recursos trata sobre el uso eficaz, eficiente y responsable de
recursos humanos, financieros, tecnológicos, entre otros.
Equilibrio entre beneficios, riesgos y recursos
Como las organizaciones poseen diversas partes interesadas, la expresión “crear valor” puede tener
significados diferentes y, a veces, en conflicto para cada una de estas partes interesadas en el
contexto de la organización.
Bajo esta perspectiva, una buena práctica de gobernanza descrita en COBIT 5 se relaciona con la
negociación y decisión entre los intereses de valor que diversas partes interesadas envueltas en el
proceso de toma de decisión de la organización a partir del establecimiento de comités estratégicos
de toma de decisión.
También, un buen sistema de gobernanza debe considerar todas las partes interesadas al tomar
decisiones sobre la evaluación de los recursos, beneficios organizacionales y apetito de riesgo.
Consecuentemente, para cada decisión de las partes interesadas, las siguientes preguntas deben ser
consideradas en el ambiente organizacional:
 ¿Para quién son los beneficios?
 ¿Quién asume el riesgo?
 ¿Qué recursos son necesarios?
1er principio de COBIT
Responda las siguientes cuatro preguntas en el contexto de la organización donde usted trabaja:
¿Quiénes son las principales partes interesadas de su organización?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
¿Cuáles son las principales necesidades de estas partes interesadas?

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
34
¿Las partes interesadas tienen intereses en conflicto? En caso positivo: ¿existen mecanismos y/o
procedimientos definidos para conciliar estos intereses diferentes?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
A su forma de ver: ¿TI atiende efectivamente las necesidades de las partes interesadas? ¿Cómo TI
actúa o podría actuar para crear valor para el sistema de gobernanza de la organización, como forma
de atender las necesidades de los stakeholders?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
2do principio: cubrir la organización de punta a punta

COBIT considera que la gobernanza y la gestión de TI son aplicables a toda la organización. Para
ello, el modelo adopta el término “punta a punta” (extremo a extremo). De esta forma, la
gobernanza abarca las áreas estratégicas, tácticas y operacionales de las organizaciones, así como a
todas las personas responsables del desempeño de sus actividades en el contexto de la empresa.
En esta perspectiva, COBIT tiene como propósito:
 Integrar la gobernanza de TI a la gobernanza de la organización, esto es: el sistema de

gobernanza corporativa de TI debe estar alineado con cualquier otro sistema de gobernanza.
 Cubrir todas las funciones y procesos necesarios para regular y controlar las informaciones
de la organización y las tecnologías utilizadas.
Bajo estos principios, COBIT abarca todos los procesos de negocio y servicios soportados por TI,
sean estos provistos de forma interna o externa a la organización. Otro factor esencial está
vinculado a las relaciones entre todos los actores, procesos y recursos relacionados a la gobernanza
y gestión de TI de la organización, tales como la definición de actividades y responsabilidades de
las funciones corporativas de negocio y de TI.
Gobernanza de punta a punta
35
Figura 6: Componentes del sistema de Gobernanza
El enfoque de la gobernanza de punta a punta propuesto por COBIT está representado en esta
figura. Este esquema, basado en el principio anterior (anterior figura), identifica los principales
componentes de un sistema de gobernanza y de interacción de las partes involucradas en esta
estructura.
La “creación de valor” representa el principal objetivo de la gobernanza, tal como se describe en el
Principio 1. El principio 2 detalla cada componente del sistema de gobernanza propuesto en COBIT,
en el contexto del enfoque de “punta a punta”.
Habilitadores de gobernanza
 Algo (tangible o intangible) que apoya al éxito de la gobernanza.
 Factores que interfieren en el éxito de la gobernanza
 Componentes esenciales y necesarios para la gobernanza corporativa.
COBIT define siete habilitadores para un eficiente sistema de gobernanza:

1. Principios, políticas y modelos;
2. Procesos;
3. Estructuras Organizacionales;
4. Cultura, Ética y Comportamiento;
5. Información;
6. Servicios, Infraestructura y Aplicativos;
7. Personas, Habilidades y Competencias, a través de los cuales todas las acciones de
gobernanza deben ser orientadas para el alcance de los objetivos corporativos.
36
Es importante destacar que, la falta de personal, políticas, o deficiencias en la toma de decisión en
los negocios, por ejemplo, puede afectar la capacidad de la organización de crear valor para las
partes interesadas, y en consecuencia impactar en una gobernanza exitosa. Así mismo, los
habilitadores son elementos esenciales para el éxito en la gobernanza.
Considerando la importancia y el alcance de los habilitadores de gobernanza y de gestión
propuestos por COBIT, el capítulo 4 “Dimensiones de los siete habilitadores de COBIT 5” describe
detalladamente esos siete factores y la interrelación entre estos para el éxito de la gobernanza y
gestión en las organizaciones.
Alcance de la gobernanza
El alcance de la gobernanza abarca a toda la organización, área de negocios, activos tangibles e
intangibles. También se pueden definir diferentes visiones de la organización en la cual la
gobernanza es aplicable. La definición del alcance del sistema de gobernanza de la organización es
fundamental para encarrilar los esfuerzos necesarios para su aplicación en la organización según los
diversos enfoques. El alcance puede estar relacionado con la gestión de proyectos, evaluación de
riesgos, seguridad de la información, desarrollo de sistemas, entre otros. Cada organización debe
definir el alcance de la gobernanza.
Funciones, actividades y relaciones
Este componente genérico del sistema de gobernanza se refiere a las funciones, actividades y
relaciones para lograr el éxito en el sistema de gobernanza. Este sistema identifica los principales
componentes a ser adoptados en una estructura organizacional. La siguiente figura demuestra el
flujo de cómo este proceso ocurre en la práctica y cómo se dan las interacciones entre las diferentes
funciones en la organización.
Este esquema se origina de la expansión de la parte inferior de la anterior figura, precisamente del
componente “Funciones, Actividades y Relaciones” del sistema de gobernanza.
Figura 7: Principales funciones, actividades y relaciones en un sistema de gobernanza
Como puede observarse, este sistema define los actores involucrados en la gobernanza, sus
relaciones e interacciones dentro del alcance de un sistema genérico de gobernanza. Esta figura
muestra las actividades organizacionales relacionadas a la gobernanza y gestión.
Como COBIT distingue las actividades de gobernanza y de gestión en dominios específicos, este
tema será detallado en el principio 5, “Distinguir Gobernanza de Gestión”, que también retrata la
37
interacción entre estas dos disciplinas.
Ejercicios de fijación 2
2do principio de COBIT
Identifique y defina los tres componentes fundamentales del abordaje de la gobernanza de punta a
punta propuesta por COBIT.
Componente 1:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Componente 2:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Componente 3:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Responda las siguientes tres preguntas considerando el contexto de la organización donde usted
trabaja:
Entre los siete habilitadores de gobernanza, identifique los dos menos desarrollados y que necesitan
una mayor atención de la gerencia, para la mejoría de la eficiencia y eficacia del sistema de
gobernanza.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
¿La gerencia definió el alcance de la gobernanza? ¿Cuál es el alcance de la gobernanza? ¿Qué

criterios fueron utilizados para su definición?
________________________________________________________________________________
38
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Basado en la anterior figura (principales funciones, actividades y relaciones en un sistema de

gobernanza) y, considerando la estructura organizacional de TI, identifique las principales funciones
y actividades relacionadas con la gobernanza.
Responsables y participantes:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Cuerpo directivo:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Administración:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Operaciones y ejecución
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
3er principio: Aplicar una estructura única e integrada

De acuerdo a lo descrito en el primer capítulo, existen diversas normas ISO, normas de mercado y
buenas prácticas relacionadas con las Tecnologías de Información (TI). Cada estructura está
compuesta por orientaciones específicas para un subconjunto de actividades de TI dependiendo del
39
alcance y cobertura del modelo de referencia utilizado.
COBIT tiene como tercer principio actuar como una estructura unificada integrada de alto nivel
para la gobernanza y gestión de TI en la organización, alineándose a las otras normas, modelos y
frameworks de buenas prácticas de TI.
COBIT 5: Estructura única, como una fuente consistente e integrada de orientación en un lenguaje
común, no técnico y agnóstico-tecnológico.
También, COBIT puede ser considerado como una estructura única e integrada, porque tiene como
premisa las siguientes prerrogativas:
 Se basa en una arquitectura simple para estructurar las guías de orientaciones, a partir de un
conjunto de productos;
 Se alinea con otras normas y estructuras de mercado, permitiendo que la organización use
este modelo como elemento integrados de la estructura de gobernanza y de gestión;
 Es completo, cubriendo toda la empresa, ofreciendo una base para integrar con otras
estructuras, normas y prácticas utilizadas
 Integra el conocimiento provisto por otras normas de ISACA, por ejemplo COBIT 4.1, Val
IT, Risk IT, BMIS, la publicación Board Briefing on IT Gobernance e ITAF.
Para ampliar sobre las diversas normas de ISACA que fueron utilizadas como base para COBIT 5,
consulte en el sitio http://www.isaca.org/Knowledge-Center
COBIT 5 como modelo integrado de buenas prácticas
La siguiente figura sintetiza cómo COBIT 5 es utilizado como una estructura integrada para ser
considerado un modelo único para el sistema de gobernanza de las organizaciones.
40
Figura 8: Componentes de la base de conocimientos COBIT
 Esta figura retrata la “Base de Conocimientos de COBIT 5” como modelo y estructura

central de orientación de buenas prácticas de mercado aplicadas a TI, siendo sustentado por
tres elementos principales:Orientaciones y publicaciones de ISACA y demás estructuras de
mercado;Habilitadores de COBIT 5;
 Familia de productos de COBIT5.
41
3er principio de COBIT
¿Por qué COBIT puede ser considerado una estructura única e integrada para ser usado como
modelo de referencia normativo para el sistema de gobernanza de las organizaciones?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
4to Principio: Permitir un enfoque holístico

Según el principio “Permitir un enfoque holístico”, la gobernanza y la gestión de TI de las
organizaciones, para ser eficientes y eficaces, requieren un enfoque sistémico que considere
diversos componentes entrelazados.
De esta forma COBIT define un conjunto de Guías Habilitadoras para apoyar la implementación de
un sistema abarcador de gobernanza y de gestión de TI para las organizaciones. Estas guúas
habilitadoras tienen como objetivo facilitar y auxiliar a la organización a alcanzar los objetivos
corporativos.
Introducción a los siete habilitadores de COBIT 5
Los habilitadores son factores que, individualmente y/o en conjunto, influencian en el hecho de si
algo va a funcionar efectivamente o no en un contexto definido.
COBIT define siete categorías de habilitadores para la gobernanza y gestión de TI de las
organizaciones, conforme lo demostrado en la siguiente figura.
42
Figura 9: Los siete habilitadores de COBIT
La siguiente tabla describe sucintamente cada uno de los siete habilitadores definidos en COBIT 5
Habilitador Descripción
1- Principios, Políticas y Modelos Son instrumentos para traducir el comportamiento deseado por
la gerencia en orientaciones prácticas para el día a día de la
gestión
2- Procesos Representa un conjunto de prácticas y actividades para alcanzar
determinados objetivos, produciendo un conjunto de resultados
en apoyo a la consecución general de los objetivos de TI
3- Estructuras organizacionales Representa las principales entidades de toma de decisión en una
organización
4- Cultura, ética y Representa un factor de éxito en las actividades de gobernanza
comportamiento y gestión relacionada con las personas y la organización,
aunque es subestimado por la administración. Es el conjunto de
creencias, ideas, prácticas y comportamientos, individuales y
colectivos. Pertenecen a los individuos y, de forma colectiva, a
la organización
5- Información Penetra en toda la organización e incluye toda la información
producida y utilizada por la organización. Es necesaria para
mantener la organización en movimiento y bien regulada, más a
nivel operacional, es muchas veces el principal producto de la
organización.
6- Servicios, infraestructura y Representa los recursos tecnológicos que proveen a la
aplicativos organización los servicios relacionados con TI
7- Personas, habilidades y Representa las personas necesarias para el éxito en la
competencias realización de todas las actividades de la organización y,
43
además, apoya en el proceso de toma de decisiones.
Tabla 3: Descripción de los siete habilitadores de COBIT
En la práctica, los siete habilitadores, introducidos en COBIT por el “Principio 4: permitir un
enfoque holístico” están presentes en todos los sectores y actividades de las organizaciones
conforme lo descrito en el “Principio 2: Cubrir las necesidades de la organización de punta a
punta”, incluyendo todos los recursos, actividades y responsabilidades de las personas involucradas.
En este contexto, COBIT busca proveer una base de conocimiento esencial para que la gerencia
tenga una visión sistémica sobre gobernanza y gestión de TI de la organización como un todo.
Veamos un ejemplo práctico de los habilitadores en acción para el proceso “Prestar Servicios de
TI”, que demuestra la importancia y la necesidad de interacción entre los siete habilitadores de
COBIT para una prestación de servicios exitosa.
Un análisis detallado de las guías habilitadoras “Enabler Guides” no hace parte del alcance de
esta publicación. Para mayor información sobre estas guías referirse a http://www.isaca.org/cobit5
Prestar Servicios Operacionales de TI a los usuarios requiere capacidad de servicio (infraestructura
y aplicativos), personas calificadas y con el comportamiento adecuado. Diversos procesos de
prestación de servicios también deben ser implementados y apoyados por estructuras
organizacionales adecuadas par la gestión eficiente de la información de negocios.
El capítulo 4 “Dimensiones de los siete habilitadores de COBIT” de esta publicación detalla el
contenido de los habilitadores de COBIT 5.
4to principio de COBIT
¿Cuáles son los siete habilitadores definidos por COBIT en el principio 4?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
¿Los siete habilitadores de COBIT influencian el éxito del sistema de gobernanza y de gestión de su
organización? Justifique su respuesta
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
44
5to Principio: Separar la gobernanza de la gestión
La estructura del modelo de referencia de procesos de COBIT diferencia gobernanza de gestión.
Para COBIT, estas dos disciplinas comprenden actividades y estructuras organizacionales
diferenciadas, y tienen propósitos y objetivos distintos.
La siguiente figura identifica la diferencia entre estas dos áreas de COBIT, demostrando que cada
una de ellas posee objetivos y actividades específicas en el contexto de las organizaciones.
Figura 10: Diferencias entre Gobernanza y Gestión en COBIT
Concepto de gobernanza
La gobernanza debe garantizar que las necesidades, condiciones y direccionamiento de las partes
interesadas sean evaluados a fin de determinar objetivos corporativos equilibrados y consensuados a
ser alcanzados. La gobernanza define la orientación, la toma de decisiones y monitorea el
desempeño y la conformidad en relación con las orientaciones y a los objetivos consensuados.
Concepto de gestión
La gestión es responsable por la planificación, creación, ejecución y monitoreo de las actividades en
consonancia con la orientación definida por el área de gobernanza a fin de alcanzar los objetivos
corporativos.
En la mayoría de las organizaciones, la gobernanza generalmente es de responsabilidad del Consejo
de Administración (CA), bajo el liderazgo del presidente. En organizaciones más complejas y
grandes, las responsabilidades de gobernanza específicas pueden ser delegadas a estructuras
organizacionales de menor nivel.
Por otro lado, la responsabilidad sobre la gestión, en la mayoría de las organizaciones, le
corresponde a la Dirección Ejecutiva (DE), bajo el liderazgo del Director Ejecutivo (CEO). Cada
organización posee una estructura organizacional diferenciada, de acuerdo con sus necesidades,
45
porte, objetivos de negocio y legislaciones específicas.
Además, considerando la distinción entre gobernanza y gestión, COBIT, con énfasis en el
habilitador “Procesos”, se define un conjunto de procesos específicos para cada una de estas dos
áreas.
Modelo de referencia de procesos
COBIT sugiere que las organizaciones implementen procesos de gobernanza y de gestión de tal
forma que las principales áreas de las estructuras organizacionales estén cubiertas por un modelo de
referencia.
La siguiente figura muestra el conjunto de 37 procesos del modelo de referencia descritos en
COBIT. Estos procesos están divididos en 5 procesos para gobernanza de TI y 32 procesos para
gestión de TI.
46
Figura 11: Modelo de referencia de Procesos de COBIT 5
Cada dominio contiene los procesos asignados de acuerdo con el área de actividad más relevante
considerando a TI a nivel corporativo.
El modelo de referencia del proceso de COBIT 5 es el sucesor del modelo de proceso de COBIT 4.1
y cuenta además con la integración de los modelos de proceso de ISACA Risk IT y Val IT.
 El área “Procesos para la gobernanza” relaciona los cinco procesos de gobernanza que
constan en el dominio “Evaluar, Dirigir y Monitorear” (EDM)
 El área “Procesos para Gestión” relaciona los cuatro dominios de los procesos de gestión
que consta de los dominios “Alinear, planificar y organizar”, “Desarrollar, Adquirir e
Implementar”, “Ejecutar, Atender y Apoyar” y “Monitorear, Evaluar y Analizar” -
Completando el ciclo de gestión “Planificar, Crear, Ejecutar y Monitorear (PBRM)”.
47
La representación de los nombres y dominios está en consonancia con las designaciones de las áreas
principales y usan un verbo para describirlas:
 Alinear, Planificar, Organizar (APO);
 Desarrollar, Adquirir e Implementar (BAI);
 Ejecutar, Atender y Apoyar (DSS);
 Monitorear, Evaluar y Analizar
El modelo de referencia COBIT 5 presenta los procesos encontrados normalmente en las

organizaciones cuyos procesos son soportados y relacionados con TI. COBIT provee una directriz
común para los gestores de negocios y de TI aplicable en las organizaciones, con énfasis en las
necesidades de negocio y de TI.
Este modelo no es el único modelo de proceso posible. Cada empresa debe definir su conjunto de
procesos, teniendo en consideración su situación específica.
Incorporar un modelo operacional y un lenguaje común para todas las partes de la organización
involucradas en actividades de TI es una de las etapas más importantes y críticas para una buena
gobernanza.
El modelo propuesto por COBIT ofrece una estructura para medir y monitorear el desempeño de TI,
de forma que posibilita su evaluación, comunicación entre los proveedores de servicio y mejor
integración con las prácticas de gestión organizacional.
Consideraciones sobre el modelo de referencia de procesos
El modelo de referencia de procesos de COBIT representa una evolución en relación con el modelo
COBIT 4.1 con respecto a la estructura de procesos y dominios del modelo anterior. Este modelo de
referencia:
 No es dogmático y único;
 Describe los posibles procesos de una organización;
 Es adaptable a las necesidades de la organización;
 Identifica los objetivos de gobernanza y de gestión;
 Se adapta al tamaño, la complejidad y la naturaleza de la organización;
 Se alinea a los objetivos estratégicos de la organización.
Un detalle de cada uno de los procesos, según el modelo de referencia definido por COBIT, puede
ser consultado en la publicación de COBIT 5 – Modelo de Referencia de Procesos, no está dentro
de los objetivos de esta publicación.
48
Consulte http://www.isaca.org/cobit para obtener información adicional sobre el modelo de
procesos de COBIT 4.1.
5to Principio de COBIT
Defina “Gobernanza” y “Gestión” en el contexto de COBIT
Gobernanza:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Gestión
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Relacione “(1) Proceso de Gobernanza de TI” y “(2) Proceso de Gestión de TI” en el contexto del
modelo de referencia de procesos de COBIT
Garantizar la entrega de valor Gestión de innovación

Gestionar cambios Garantizar optimización del riesgo
Gestionar activos Gestionar Portafolio
Garantizar optimización de recursos Gestionar proveedores
Gestionar estrategias Garantizar la transparencia
Interacciones entre gobernanza y gestión en COBIT

La definición de las estructuras de gobernanza y gestión debe tener en consideración las
necesidades específicas de las organizaciones. Las definiciones de gobernanza y de gestión incluyen
diversas actividades y responsabilidades en la gestión de estas dos estructuras, por parte de las
organizaciones.
Considerando el papel de la estructura de gobernanza de: evaluar, dirigir y monitorear, diversas
interacciones son requeridas entre la gobernanza y la gestión, a fin de desembocar en un sistema de
gobernanza eficiente y eficaz.
49
La siguiente tabla presenta un análisis de alto nivel de estas interacciones, teniendo como parámetro
los siete habilitadores de COBIT.
Interacciones entre Gobernanza y Gestión en COBIT 5

Habilitador Interacción: Gobernanza vs Gestión
Procesos El modelo de procesos de COBIT 5 (COBIT 5: Enabling
Processes) diferencia entre procesos de gobernanza y de gestión,
con definiciones de prácticas y actividades de cada una. El
modelo de proceso también incluye las tablas RACI2 que
describen las responsabilidades de las diferentes estructuras
organizacionales y sus funciones en la organización.
Información El modelo de proceso describe entradas y salidas de las
diferentes prácticas del proceso para otros procesos, inclusiva las
informaciones intercambiadas entre los procesos de gobernanza
y de gestión. Informaciones utilizadas para evaluar, orientar y
monitorear a TI de la organización son intercambiadas entre la
gobernanza y la gestión, conforme la descripción de entradas y
salidas del modelo de proceso.
Estructuras organizacionales Diversas estructuras organizacionales son definidas en cada
empresa; estas pueden ser definidas en el ámbito de la
gobernanza o de la gestión, dependiendo de su composición y
alcance de las decisiones. Como la gobernanza define la
orientación, existe una interacción entre las decisiones tomadas
por las estructuras de gobernanza, por ejemplo de decisión sobre
el portafolio de inversiones y de la definición de apetito de
riesgo.
Principios, Políticas y Modelos Representan un vehículo a través del cual las decisiones de
gobernanza son institucionalizadas en la organización y por este
motivo, constituyen una interacción entre las decisiones de
gobernanza (definición de orientación) y de gestión (ejecución
de decisiones).
Cultura, ética y comportamiento El comportamiento es un habilitador esencial para la buena
gobernanza y gestión de la organización. Está en la parte
superior y es, en consecuencia, una interacción importante entre
la gobernanza y la gestión
Personas, habilidades y Las actividades de gobernanza y gestión requieren conjuntos de
competencias habilidades diferentes, es una habilidad esencial para los
miembros del órgano de gobernanza y de gestión es entender las
dos tareas y cómo ellas se diferencian.
Servicios, infraestructura y Son necesarios, apoyados por aplicativos e infraestructura que
aplicativos proporcionan a los órganos de gobernanza informaciones
adecuadas y apoyo a las siguientes actividades de gobernanza:
Evaluación, definición de orientación y monitoreo.
2 Tabla o matriz RACI es una herramienta concebida para atribuir papeles y responsabilidades en procesos,
proyectos, servicios en el contexto de un departamento/función: Responsible, Accountable, Consulted, Informed
50
Tabla 4: Interacciones entre Gobernanza y Gestión en COBIT
COBIT también presupone que la gobernanza de TI está integrada a la gobernanza corporativa de
forma que:
 Abarque todas las funciones y procesos corporativos soportados por TI;
 Trate a la Tecnología de Información y tecnologías relacionadas como un activo esencial

para la organización;
 Se concentre fundamentalmente en las “funciones de TI”;
 Considere la armonía entre los siete habilitadores de gobernanza y gestión de TI aplicables a

la organización.
En este contexto, COBIT destaca la importancia de las políticas, directrices estratégicas, estructura
organizacional y procesos decisorios en la conducción de los negocios, y que estos facturas pueden
abarcar tanto aspectos internos y externos al ambiente organizacional.
Consideraciones finales
Los cinco principios de COBIT 5, actuando de forma armónica, posibilitan que la organización cree
una estructura eficiente de gobernanza y de gestión, de forma que permita optimizar las inversiones
y el uso de los recursos de TI siguiendo las orientaciones de las partes interesadas.
Los siete habilitadores definidos por COBIT 5 no son aplicables solamente a la gobernanza y
gestión de TI. Por el contrario, su aplicación abarca a toda la organización. Estos habilitadores
también son considerados componentes esenciales y necesarios para la gobernanza y gestión
corporativas.
Los habilitadores deben ser comprendidos de forma holística y, además, considerando la influencia
de un determinado factor sobre los demás. Cada habilitador necesita de información de los demás
para obtener resultados efectivos.
Por ejemplo, los procesos requieren de informaciones y estructuras organizacionales requieren de
personas capacitadas y con habilidades y comportamientos apropiados. Adicionalmente los
procesos en operación generan informaciones y las habilidades y el comportamiento de las personas
vuelven a los procesos eficientes, produciendo resultados para el beneficio de los demás
habilitadores armónicamente.
También, al hablar de gobernanza y gestión de TI de la organización, las buenas decisiones pueden
ser tomadas solamente cuando el emparejamiento entre gobernanza y de gestión fueron
considerados en el contexto de la organización.
En la práctica, esta dinámica significa que, para tratar cualquier necesidad de las partes interesadas,
la referencia para todos los habilitadores interrelacionados debe ser considerada, comprendida y
orientada por la gerencia de la empresa.
51
El capítulo 4, “Dimensiones de los siete habilitadores de COBIT 5”, detalla cómo los siete
habilitadores de COBIT 5 influencian en el éxito de la gobernanza y gestión corporativa de TI en las
organizaciones.
Interacciones entre gobernanza y gestión en COBIT
Responda las siguientes preguntas considerando el contexto de la organización donde usted trabaja
¿Las estructuras funcionales de gobernanza y de gestión de TI están definidas y segregadas? ¿De
qué forma? ¿Cómo ocurre la interacción entre estas dos áreas?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
La cultura organizacional es uno de los siete habilitadores de COBIT. La cultura está asociada a un
conjunto de comportamientos, convicciones, asunciones, actitudes y formas de hacer las cosas.
¿Cómo usted evalúa la cultura de su institución con enfoque en el éxito de la gobernanza y gestión
de TI? La cultura representa un factor restrictivo a una gobernanza y gestión eficientes? Justifique
su respuesta.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
52
3 Cascada de objetivos de COBIT
Objetivos
Conocer las etapas del proceso de cascada de objetivos de COBIT; Analizar los beneficios del
proceso de la cascada de objetivos de COBIT; Aplicar, en actividades prácticas, el proceso de la
cascada de objetivos de COBIT.
Conceptos
Visión general de los cuatro pasos del proceso de cascada de objetivos de COBIT; 1er paso: las
directrices de las partes interesadas influencian sus necesidades; 2do paso: escalonamiento de las
necesidades de las partes interesadas en objetivos corporativos; 3er paso: escalonamiento de los
objetivos corporativos en objetivos de TI; 4to paso: cascada de los objetivos de TI en metas del
habilitador; Beneficios del proceso de cascada de objetivos de COBIT; Aplicación práctica de la
estructura del proceso de cascada de objetivos de COBIT.
53
Introducción
Las organizaciones operan en contextos diferentes y determinados por factores externos (ej:
mercado, tecnologías, leyes y geopolíticas) y factores internos (ej: cultura, estructura
organizacional, personas y apetito por el riesgo, consecuentemente cada organización requiere de un
sistema de gobernanza y gestión diferenciado y personalizado.
En el capítulo 2, analizamos que COBIT tiene como 1er principio “La atención de las necesidades de
los stakeholders”. En esta perspectiva, COBIT presupone que las necesidades de las partes
interesadas sean transformadas en una estrategia accesible por la organización.
El proceso de transformación de las expectativas y tendencias de las partes interesadas en la

creación de objetivos de negocio es denominado, en COBIT, como cascada de objetivos3
Cascada de objetivos
Traducción de los objetivos corporativos de alto nivel en objetivos de TI específicos y gerenciables,
convirtiéndoles en prácticas y procesos específicos.
Figura 12: Cascada de objetivos de COBIT
3 En Castellano se le ha traducido también como “objetivos en cascada”, “metas en cascada”, “cascada de metas”
54
Basados en la anterior figura, podemos concluir que el proceso de la cascada traduce las
necesidades de las partes interesadas en objetivos corporativos específicos que requieren objetivos
de TI, estableciendo metas para cada uno de los siete habilitadores de COBIT 5.
Este proceso permite la configuración de objetivos específicos en cada nivel y área de la

organización, en consonancia con los objetivos generales y las exigencias de las partes interesadas.
En la práctica, este proceso ayuda y apoya efectiva y continuamente el alineamiento entra las
necesidades corporativas (procesos y productos) y de TI (servicios y soluciones) para los negocios.
La cascada de objetivos de COBIT está estructurado en cuatro pasos fundamentales:
 Las directrices de las partes interesadas influencian a sus necesidades;
 Cascada de las necesidades de los stakeholders en objetivos corporativos;
 Cascada de los objetivos corporativos en objetivos de TI;
 Cascada de los objetivos de TI en metas del habilitador.
Introducción al escalonamiento de objetivos de COBIT
Defina el proceso de la cascada de objetivos de COBIT
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Identifique los cuatro pasos del proceso de la cascada de objetivos de COBIT.

1er paso
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
2do paso
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
3er paso
________________________________________________________________________________
________________________________________________________________________________
55
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
4to paso
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Los cuatro pasos del proceso de la cascada de objetivos de

COBIT
Analizamos, a continuación, cada uno de los cuatro pasos del proceso de la cascada de objetivos de
COBIT.
1er Paso: las tendencias de las partes interesadas influencian a sus

necesidades.
Las directrices de las partes interesadas son influenciadas por diversos factores, tales como cambios
en el ambiente de negocio, reglamentaciones internas y externas, políticas de gobierno y tendencias
sociales, ambientales y tecnológicas, entre otras.
1er Paso del proceso de la cascada de objetivos de COBIT
¿Cuál es el objetivo del 1er paso del proceso de la cascada de COBIT?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Responda la siguiente pregunta, considerando el contexto de la organización donde usted trabaja.

Identifique tres directrices de las partes interesadas e indique si estas directrices son influenciadas
por el ambiente interno/externo y cuáles factores (tecnológicos, ambientales, sociales, políticos, etc)
son preponderantes en este análisis. Complete la siguiente tabla con las informaciones requeridas:
Descripción de las directrices Influencia del ambiente (interno Factores predominantes

de las partes interesadas y/o externo)
56
2do paso: cascada de las necesidades de las partes interesadas en
objetivos corporativos
Primeramente, COBIT define, de forma amplia y genérica, que las necesidades de las partes
interesadas se relacionan a un conjunto de 17 objetivos corporativos de alto nivel.
Estos objetivos corporativos fueron establecidos en base a investigaciones y experiencias de
profesionales en diversas partes del mundo, cuando se desarrolló COBIT. Mayor información en
http://www.isaca.org/cobit
Ver: Modelo corporativo para la Gobernanza y Gestión de TI de la Organización, figura:
“Objetivos Corporativos de COBIT 5” Capítulo 2.
Estos objetivos no son exhaustivos, representan una guía para que las empresas analicen sus
estrategias organizacionales y utilicen la cascada de COBIT como instrumento de referencia del
mercado.
A continuación, los 17 objetivos corporativos definidos por COBIT son vinculados a las cuatro
dimensiones (Financiera, Cliente, Procesos Internos y Aprendizaje y Crecimiento) del modelo BSC4
Cada uno de los 17 objetivos corporativos genéricos de COBIT se relacionan a una de las cuatro
dimensiones del modelo BSC.
Todavía en el proceso de relación entre los objetivos corporativos y las dimensiones BSC, COBIT
identifica una marca (P = Primaria, S = Secundaria), relacionando estos parámetros a cada uno de
los tres objetivos de gobernanza (Entrega de valor, Optimización del riesgo, Optimización de
Recursos), completándose la tabla con la referencia “P” o “S”.
Así por ejemplo, el objetivo corporativo “5 – Transparencia financiera” se relaciona con la
dimensión “Financiera” del modelo BSC, y tiene como objetivos de gobernanza “Primario (P)” la
Entrega de Valor y “Secundario (S)” la optimización del riesgo y la optimización de recursos.
En la práctica, las organizaciones pueden establecer sus objetivos de negocio y, a continuación,
comparar las metas institucionales a los parámetros (indicadores) adoptados en COBIT, más allá de
verificar su adecuación en relación a este modelo de referencia.
Esta es la propuesta de COBIT. De esta forma, cada organización debe establecer sus objetivos
corporativos y de TI y compararlos con COBIT.
2do paso del proceso cascada de objetivos de COBIT
¿Cuál es el objetivo del 2do paso del proceso cascada de COBIT?
4 BSC: Balanced Score Card, KAPLAN 1992
57
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Identifique los objetivos corporativos de COBIT asociados a la dimensión “Cliente” de BSC

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Responda las siguientes preguntas, considerando el contexto de la organización donde usted trabaja.
Identifique tres objetivos corporativos definidos por su organización previstos en el Plan Estratégico
Institucional (PEI)
Objetivo Corporativo 1
________________________________________________________________
________________________________________________________________
________________________________________________________________
¿Existe relación entre estos objetivos corporativos y los 17 definidos en COBIT (Fig 1 del capítulo
3)? Justifique.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Entre los objetivos corporativos definidos en COBIT, cite tres que pueden ser utilizados en el
contexto de su organización. Justifique
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
58
Necesidades de las partes interesadas relacionadas a TI
Al relacionar el Paso 1 “Las directrices de las partes interesadas influencian a sus necesidades” con
el Paso 2 “Cascada de necesidades de las partes interesadas en objetivos corporativos”, en lo
referente a las necesidades específicas de los stakeholders relacionadas con TI, COBIT identificó
una serie de preocupaciones (en forma de preguntas) sobre la efectividad de TI que los stakeholders
normalmente solicitan a la alta administración, para obtener un mejor resultado sobre el uso de los
recursos de TI.
Estas preocupaciones se vinculan, de ser pertinentes, a uno o más objetivos corporativos de COBIT
entre los 17 definidos en este modelo.
En la visión de las partes interesadas, en caso de que estas preocupaciones no sean contempladas
dentro del alcance del proceso de gobernanza y gestión de TI de la organización, la ausencia o
ineficiencia de estos requisitos pueden comprometer el éxito de las iniciativas de esta naturaleza.
Para pensar
Las necesidades de las partes interesadas, relacionadas con TI, deben ser incorporadas a los
objetivos corporativos
Las necesidades de las partes interesadas están relacionadas a las actividades de TI de la
organización y son resultado de situaciones en las que puede influenciar algún criterio de
información, tales como eficiencia, eficacia, acceso o seguridad.
Necesidades de las partes interesadas relacionadas a TI
COBIT define como objetivo corporativo “8. Respuestas rápidas para un ambiente de negocios en
cambio”. Identifique cinco necesidades de los stakeholders relacionadas a los requisitos del
negocio.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Responda las siguientes preguntas, considerando el contexto de la organización donde usted trabaja.
La tabla siguiente está considerando solamente las preocupaciones de las partes interesadas, en
forma de preguntas, relacionadas al objetivo corporativo “7. Continuidad y disponibilidad de los
servicios COBIT de la empresa”
Necesidades de las partes interesadas relacionadas a la continuidad y disponibilidad de los

servicios de TI
59
¿Cómo hago para obtener valor a través del uso de TI?
¿Los usuarios finales están satisfechos con la calidad del servicio de TI?
¿He considerado todos los riesgos de TI?
¿Estoy manejando una operación de TI sólida y eficiente?
¿Las informaciones que estoy manejando están bien protegidas?
¿Cuán crítica es TI para la sostenibilidad de la empresa? ¿Qué hacer si TI no estuviera disponible?
Complete la siguiente tabla identificando tres prácticas o actividades que usted adopta (o adoptaría)
en su organización para minimizar cada una de las cinco preocupaciones de los stakeholders.
Responda esta pregunta en forma de items, relacionados con el objetivo corporativo “7.
Continuidad y disponibilidad de los servicios de TI”.
Preocupaciones de TI de los interesados Qué hacemos (o podemos hacer) en nuestra organización

Garantizar valor de TI y la satisfacción 
de los usuarios finales 

Gestionar los riesgos de TI 


Gestionar las operaciones de TI 


Garantizar la seguridad de las 
informaciones 

Garantizar la disponibilidad de los 
servicios críticos de TI 

3er Paso: Escalonamiento de los objetivos corporativos en objetivos de

TI
El cumplimiento de los objetivos corporativos requiere una serie de resultados de TI que, en
COBIT, son representados por los objetivos de TI.
COBIT establece los objetivos de TI de acuerdo con las dimensiones del Balanced ScoreCard
(BSC), adaptando el modelo tradicional BSC a un modelo relacionado con TI, denominado BSC de
TI.
Objetivos de TI
Dimensión BSC de TI Objetivo de la información / Tecnología relacionada
Financiera 01 Alineación de la estrategia de negocios y de TI
60
02 Conformidad de TI y apoyo para la conformidad de los
negocios con leyes y reglamentos externos
03 Compromiso de gestión ejecutiva con toma de
decisiones de TI
04 Gestión del riesgo corporativo de TI
05 Beneficios obtenidos por el portafolio de servicios e
inversiones facilitadas por TI
06 Transparencia de costos, beneficios y riesgos de TI
Cliente 07 Prestación de servicios de TI en consonancia con los
requisitos del negocio
08 Uso adecuado de aplicativos y de soluciones
tecnológicas y automatizadas
Interna 09 Agilidad de TI
10 Seguridad de la información, infraestructura de
procesamiento y aplicativos
11 Optimización de activos, recursos y capacidades de TI
12 Capacitación y apoyo a los procesos de negocios a
través de la integración de aplicativos y tecnologías en
los procesos de negocio
13 Ejecución de programas que generen beneficios, dentro
del plazo y presupuesto y que atiendan a las exigencias y
normas de calidad
14 Disponibilidad de informaciones útiles y confiables para
la toma de decisiones
15 Conformidad de TI con las políticas internas
Aprendizaje y crecimiento 16 Equipos de TI y de negocios motivados y competentes
17 Conocimiento, expertise e iniciativas para la innovación
de los negocios
Tabla 5: Objetivos de TI en COBIT
En esta tabla, los 17 objetivos de TI están relacionados a las cuatro dimensiones del modelo BSC.
COBIT también provee una relación entre los objetivos corporativos y los objetivos de TI.
Por ejemplo, el objetivo corporativo “15. Conformidad con las políticas internas” está asociado a
los objetivos de TI: conformidad de TI en relación a la conformidad de los negocios, gestión de
riesgo de TI, seguridad de la información, infraestructura de procesamiento y aplicativos y
conformidad de TI con políticas internas.
Para mayor información sobre el Modelo corporativo para la gobernanza y gestión de TI de la
organización, vea la imagen “Relación de los objetivos Corporativos de COBIT 5 en Objetivos de
TI” en el apéndice B.
61
Cada uno de estos objetivos de TI tienen un grado de relevancia Primario (P) o Secundario (S)
relacionado al objetivo corporativo; y, además, los objetivos de TI son identificados con cada una de
las cuatro dimensiones de la matriz BSC.
Esta tabla puede ser utilizada por las organizaciones como un instrumento de referencia para la
evaluación de la eficiencia y eficacia del modelo de gobernanza corporativa de TI vigente en cada
institución.
3er Paso: Cascada de objetivos corporativos en objetivos de TI
Identifique los objetivos de TI relacionados al objetivo corporativo “9. Disponibilidad de
informaciones para la toma de decisiones”, el grado de correlación (Primario=P, Secundario=S) y la
dimensión correspondiente en la matriz BSC.
Objetivo Corporativo “9. Disponibilidad de informaciones para la toma de decisión”

Objetivos de TI Dimensión BSC Dimensión BSC de TI Primario/Secundario
Antes de comenzar a detallar el cuarto paso del proceso de escalonamiento de objetivos de COBIT,
analizaremos la relación entre los objetivos de TI y los procesos de COBIT definidos en el modelo
de referencia de procesos.
Relaciones entre los objetivos de TI y los procesos de COBIT

Para facilitar la aplicación de COBIT en el contexto de las organizaciones, el modelo presenta
relaciones entre los objetivos de TI y el modelo de referencia de procesos de COBIT. Estas
relaciones identifican los procesos de TI más importantes y que apoyan a los objetivos de TI
definidos en COBIT para alcanzar las metas y estrategias del negocio.
Las organizaciones pueden utilizar estas tablas como referencia para la implementación del modelo
COBIT para la gobernanza y gestión de TI, en lo que se refiere al habilitador proceso.
Estas tablas representan un recurso esencial para las organizaciones. Basándose en sus necesidades
de negocio relacionadas con TI, la organización debe identificar los procesos críticos y los
requisitos necesarios para la priorización e implementación de los procesos de COBIT para alcanzar
62
las metas y estrategias del negocio.
Para pensar:
Conforme lo indicado en el capítulo 2, los procesos solamente no son suficientes para garantizar el
éxito y el cumplimiento de las metas organizacionales, esto es: los demás habilitadores son
importantes y requieren un conjunto de objetivos bien definidos.
Relaciones entre los objetivos de TI y los procesos de COBIT
Identifique los objetivos de TI en relación a cada uno de los tres procesos de COBIT listados a
continuación y complete la tabla con las informaciones pertinentes.
Proceso de COBIT Objetivos de TI

APO4 Gestionar la innovación
BAI09 Gestionar activos
DSS09 Gestionar problemas
El comité de gobernanza de TI de una empresa de cosméticos realizó un levantamiento de las

debilidades de la empresa e identificó las siguientes situaciones:
 No existe un alineamiento estratégico entre las áreas de negocio y de TI;
 Existe baja satisfacción de los usuarios en relación con los servicios prestados por el área de
TI;
 No existen perspectivas de iniciativas innovadoras basadas en soluciones de TI.
Suponiendo usted sea miembro del comité de gobernanza de la empresa: luego de participar en un
curso de COBIT y, además en base a la tabla, usted ha recomendado el proceso “AP02 Gestionar la
Estrategia” sea esencial para la organización, en base a las debilidades identificadas. Justifique su
respuesta
63
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
4to Paso: Escalonamiento de los objetivos de TI en metas de habilitador

COBIT describe que, para alcanzar los objetivos de TI, es necesario tener sinergia entre los siete
habilitadores de gobernanza y gestión, conforme lo descrito en el capítulo 2 (Principio 4: permitir
un enfoque holístico).
En este escenario, COBIT 5 define, para cada uno de los siete habilitadores:
1. Principios, políticas y modelos
2. Procesos
3. Estructuras organizacionales
4. Cultura y ética
5. Información
6. Servicios, Infraestructura y Aplicativos
7. Personas, Habilidades y Competencias
que son un conjunto específico de metas relevantes para apoyar los objetivos de TI.
Los siete habilitadores definidos en COBIT tienen un conjunto de dimensiones comunes o
genéricas, de acuerdo a lo mostrado en la siguiente figura.
Basados en ella observaremos que COBIT define cuatro dimensiones comunes (Partes interesadas,
Metas, Ciclo de Vida y Buenas Prácticas) para los siete habilitadores definidos en el modelo.
64
Figura 13: Dimensiones genéricas de los habilitadores de COBIT 5
Cascada de objetivos de COBIT en la práctica organizacionalEn la práctica, cada organización debe

establecer sus objetivos corporativos específicos que son relacionados a partir de los objetivos
corporativos genéricos previstos en COBIT, relacionando cada objetivo a una de las cuatro
dimensiones de la matriz BSC.
Los resultados de TI no son exclusivamente el único beneficio intermediario necesario para alcanzar
los objetivos corporativos. Otras áreas de la organización (ej: finanzas, marketing, ventas) también
contribuyen a alcanzar los objetivos corporativos, pero, en el contexto de COBIT, este modelo
considera estrictamente las actividades y objetivos corporativos relacionados con TI.
Un detalle de los siete habilitadores de COBIT están descritos en el capítulo 4, “Dimensiones de
los siete habilitadores de COBIT 5”.
Beneficios del escalonamiento en cascada de objetivos de COBIT
El escalonamiento de objetivos definidos en COBIT es un proceso utilizado para permitir la
definición de las prioridades de implementación, mejora y garantía de gobernanza corporativa de
TI, en base a los objetivos estratégicos de la organización y en su apetito por el riesgo. En la
práctica, el escalonamiento de objetivos de COBIT tiene como propósito:
 Definir las metas y los objetivos relevantes en niveles diferenciados de responsabilidad;
65
 Filtrar la base de conocimiento de COBIT, a partir de los objetivos corporativos buscando la
mejoría y/o garantía de proyectos organizacionales específicos;
 Identificar y comunicar la importancia de los siete habilitadores para alcanzar los objetivos
corporativos.
Para pensar:
La cascada de objetivos de COBIT no son la verdad absoluta
Adaptación de la cascada de objetivos de COBIT

Los usuarios no deben utilizar la cascada de objetivos de COBIT de una forma puramente mecánica
sino como una directriz considerando que:
 Cada organización tiene prioridades diferentes en sus objetivos, las cuales pueden inclusive
sufrir cambios con el tiempo
 Las tablas de relación no hacen distinción en el tamaño de la organización y/o en el sector en

que se desenvuelve
Los indicadores usados en las relaciones consideran solamente dos niveles de importancia o
relevancia: Primario (P) o Secundario (S); pero en la práctica cada organización puede utilizar otros
niveles.
Los niveles de relevancia (P) o (S) no son los únicos niveles que pueden ser utilizados por las
organizaciones. En la práctica, otros niveles como “discretos” o “ponderados” también pueden
ser considerados o adaptados al modelo COBIT.
En este escenario, el primer paso que una organización debe tomar para usar la cascada de objetivos
de COBIT es adaptar las relaciones, teniendo en cuenta su contexto organizacional, o sea, la
organización debe crear su propia cascada de objetivos, de acuerdo con sus necesidades y
realidades, para, en seguida, compararle con COBIT y, si fuera el caso, refinarle.
Consideraciones sobre la cascada de objetivos de COBIT
Identifique los propósitos de la cascada de objetivos
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
El proceso cascada de objetivos de COBIT representa una verdad absoluta. Justifique.
66
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Identifique los principales desafíos y dificultades para la implementación del proceso de cascada de
objetivos de COBIT en su organización
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
67
4 Dimensiones de los siete habilitadores de COBIT
Objetivos
Conocer las dimensiones genéricas de los siete habilitadores de COBIT; Analizar las dimensiones
genéricas de los siete habilitadores de COBIT; Identificar las dimensiones específicas de los siete
habilitadores de COBIT; Analizar las dimensiones específicas de los siete habilitadores de COBIT.
Conceptos
Dimensiones genéricas de los siete habilitadores de COBIT; Dimensiones del habilitador
“Principios, Políticas y Modelos”; Dimensiones del habilitador “Procesos”; Dimensiones del
habilitador “Estructuras Organizacionales”; Dimensiones del habilitador “Cultura, Ética y
Comportamiento”; Dimensiones del habilitador “Información”; Dimensiones del habilitador
“Servicios, Infraestructura y Aplicativos”; Dimensiones del habilitador “Personas, Habilidades y
Competencias”; Aplicación práctica de las dimensiones de los siete habilitadores de COBIT;
Beneficios del uso de las dimensiones de los habilitadores de COBIT.
68
Introducción
Los siete habilitadores de COBIT poseen un conjunto de dimensiones genéricas (comunes), de
acuerdo a lo mostrado en la siguiente figura.
Figura 14: Dimensiones genéricas de los habilitadores de COBIT
Basados en ella observaremos que COBIT define cuatro dimensiones comunes (Partes interesadas,
Metas, Ciclo de Vida y Buenas Prácticas) para los siete habilitadores definidos en el modelo.
Dimensiones comunes de los habilitadores
Figura 15: Tipos de

69 partes interesadas
De acuerdo a lo analizado en el capítulo 2, las partes interesadas pueden ser internas o externas a la
organización. La anterior figura hace referencia a estos tipos de partes interesadas. Cada
organización posee un conjunto de partes interesadas.
La siguiente tabla presenta una relación genérica de las principales partes interesadas internos y
externos, que pueden ser aplicables a cualquier tipo de organización. Chief Information Officer
(CIO), clientes internos, clientes externos, proveedores y la sociedad son ejemplos de partes
interesadas.
Internos Externos
 Junta directiva  Socios comerciales
 Director ejecutivo (CEO)  Proveedores
 Director financiero (CFO)  Accionistas
 Director de TI (CIO)  Reguladores / Gobierno
 Director de riesgos (CRO)  Usuarios externos
 Ejecutivos de negocios  Clientes
 Responsable de los procesos comerciales  Organizaciones de normalización
 Gerentes de negocios  Auditores Externos
 Gerentes de riesgo  Consultores
 Gerentes de seguridad
 Gerentes de servicios
 Gerentes de Recursos Humanos (RRHH)
 Auditores Internos
 Directores de privacidad
 Usuarios de TI
 Gerentes de TI
Tabla 6: Principales partes interesadas internas y externas
Para pensar
En el capítulo 2, analizamos que las partes interesadas tienen sus propios intereses y necesidades y
que estos, a veces, pueden entrar en conflicto.
En el capítulo 3 analizamos que las necesidades de las partes interesadas deben ser traducidas en
objetivos corporativos. Pero como las expectativas de estas no siempre son uniformes, COBIT
prevee que estas diferencias sean analizadas y alineadas cuando se establezcan los objetivos de TI.
Cada habilitador de COBIT tiene por lo menos una parte interesada
COBIT tiene como premisa que cada uno de los siete habilitadores posea al menos una parte
interesada que desempeñe un papel activo y/o tenga algún interés en el resultado del habilitador.
Por ejemplo, los procesos tienen diversas partes que ejecutan sus actividades y/o que tienen algún
interés en los resultados del proceso; las estructuras organizacionales pueden tener diversos gestores
70
y técnicos, cada uno con su función, responsabilidades e intereses en los negocios que hacen parte
del proceso de toma de decisiones de la empresa. Determinada información tendrá valor y
significado para algunos grupos de interesados; para otros esta información puede no aplicar.
Metas
COBIT define las metas de los siete habilitadores en términos de resultados esperados de cada
habilitador en el contexto de su aplicación, y tienen como expectativa un resultado exitoso para su
propia operación.
También, cada habilitador debe establecer metas específicas y, al alcanzarlas, propician la gerencia
de valor para la organización.
Las metas de los habilitadores equivalen a los resultados esperados. Cada habilitador debe
establecer metas específicas para generar valos para la organización.
De acuerdo a lo detallado en el capítulo 3, las metas de los habilitadores representan la última etapa
del proceso de la cascada de objetivos de COBIT. En este capítulo vamos a detallar las metas de los
habilitadores definidas en COBIT.
Las metas de los habilitadores están divididas en tres categorías de acuerdo a la siguiente figura
 Calidad intrínseca;
 Calidad contextual;
 Confiabilidad.
Figura 16: Metas de los

habilitadores
Calidad intrínseca
Esta categoría define en qué medida los habilitadores actúan de forma precisa, objetiva y producen
resultados exactos, objetivos y confiables.
Calidad contextual
Esta categoría define en qué medida los habilitadores y los resultados propios de ellos cumplen su
objetivo teniendo en consideración el contexto en que estos operan.
71
Confiabilidad
Esta categoría define en qué medida los habilitadores y sus resultados son accesibles y confiables.
Engloba dos aspectos esenciales:
 Disponibilidad: Los habilitadores deben estar disponibles cuando sean necesarios
 Acceso seguro: Los habilitadores deben generar resultados seguros y el acceso debe estar
restringido a aquellos que efectivamente estén autorizados (derecho de acceso) y necesitan
tal acceso.
Ciclo de vida
Cada habilitador tiene un ciclo de vida, desde su creación, pasando por su vida útil u operacional,
hasta llegar a la baja. Este ciclo, por ejemplo, se aplica a los habilitadores informaciones,
estructuras organizacionales, procesos y políticas organizacionales.
Figura 17: Fases del

ciclo de vida de los
habilitadores
COBIT define siete fases para el ciclo de vida de los habilitadores descritas en la anterior imagen.
Buenas prácticas
Estas son definidas para cada uno de los siete habilitadores. Las buenas prácticas apoyan a alcanzar
las metas del habilitador. Las buenas prácticas ofrecen ejemplos o sugerencias de cómo
implementar con éxito el habilitador, así como apoyan a la identificación de los productos del
trabajo o a las entradas y salidas necesarias.
Las buenas prácticas son actividades o procesos comprobados y aplicados con éxito por diversas
empresas, siendo utilizadas para producir resultados confiables.
72
Figura 18: Buenas
prácticas
Las buenas practicas representan un conjunto de orientaciones y productos de trabajo aplicado al
ambiente organizacional con el objetivo de mejorar los procesos de negocio y la consecución de
resultados exitosos.
Conforme lo definido en la anterior figura, las buenas prácticas de COBIT se componen de
orientaciones y productos del trabajo.
ISACA recomienda el uso de guías de orientación para asegurar las buenas prácticas. Para mayor
información consulte www.isaca.org
Dimensiones comunes de los habilitadores de COBIT
¿Cuáles son las cuatro dimensiones genéricas de los habilitadores de COBIT?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
¿La dimensión “Metas de los habilitadores” qué representa para la gobernanza y gestión de TI de
las organizaciones?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
¿Defina qué son las buenas prácticas?

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Dimensión control de desempeño del habilitador

De acuerdo a lo demostrado en la Figura 14, los habilitadores de COBIT están estructurados en una
dimensión denominada control de desempeño del habilitador.
73
En la práctica, las organizaciones deben esperar resultados positivos en la aplicación y uso de los
habilitadores. Inicialmente, para controlar el desempeño de los habilitadores, cuatro cuestiones
clave pueden actuar como un mecanismo de acompañamiento de la efectividad de los habilitadores,
de forma que, en base a métricas, los habilitadores puedan ser re-evaluados periódicamente.
La siguiente figura sintetiza las cuatro dimensiones de control de desempeño del habilitador.
En este esquema, cada dimensión del habilitador posee una cuestión clave para controlar su
desempeño. La Tabla 7 relaciona las cuestiones clave asociadas a la dimensión de control de
desempeño de los habilitadores.
Figura 19: Control de desempeño del habilitador
Dimensión Preguntas clave

Partes interesadas ¿Fueron consideradas las necesidades de las
partes interesadas?
Metas ¿Fueron alcanzadas las metas del habilitador?
Ciclo de vida ¿Es controlado el ciclo de vida del habilitador?
Buenas prácticas ¿Fueron aplicadas buenas prácticas?
Tabla 7: Preguntas clave para las dimensiones de los habilitadores
Indicadores y métricas para los habilitadores
De acuerdo a lo demostrado en la Tabla 7 (Partes interesadas y metas), en COBIT los habilitadores
pueden ser medidos por dos indicadores clave:
 Indicadores de resultado;
 Indicadores de dirección.
Indicadores de resultado
El indicador de resultado del habilitador está asociado a las dos primeras dimensiones descritas en
74
la Tabla 7 (Partes interesadas y metas), y trata de las métricas utilizadas para evaluar en qué nivel o
medida las metas fueron efectivamente alcanzadas.
Indicadores de dirección
El indicador de dirección del habilitador está asociado a las dos últimas dimensiones descritas en la
Tabla 7 (Ciclo de vida y buenas prácticas), y trata del funcionamiento del habilitador propiamente
dicho y si las métricas están o no definidas.
Beneficios de las dimensiones genéricas de los habilitadores
Este modelo genérico de las dimensiones de los habilitadores tiene como premisa los siguientes
beneficios:
 Aplicación de lenguaje simple y estructurado para describir los siete habilitadores
 Control individualizado de cada habilitador y su influencia o interacción con los demás
 Análisis de los resultados de desempeño de los siete habilitadores como un todo.
Hasta el momento hemos analizado las dimensiones genéricas de los habilitadores de COBIT, pero
estas dimensiones poseen enfoques diferenciados, dependiendo del alcance y objetivo del
habilitador específico para la gobernanza y gestión de TI de la empresa.
A partir de esta etapa, vamos a explorar las dimensiones específicas de cada uno de los siete
habilitadores de COBIT.
Dimensión control de desempeño del habilitador
¿Cuál es la principal diferencia entre indicadores de resultado e indicadores de dirección?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
¿Cuáles son los beneficios del Modelo Genérico de las Dimensiones de los Habilitadores de
COBIT?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
75
Explorando las dimensiones del habilitador Principios, Políticas y Modelos
Principios, Políticas y Modelos son instrumentos para transmitir las reglas de la organización como
apoyo a los objetivos de gobernanza y valores de la empresa.
Consideraciones sobre Principios
Los principios de una organización están asociados a la misión, visión y valores de esta para con sus
partes interesadas y los negocios que la empresa realiza. Los principios deben ser:
 Limitados;
 Escritos en lenguaje simple;
 Claros en relación con los valores fundamentales de la organización.
Consideraciones sobre Políticas

Las políticas deben proveer orientaciones detalladas sobre cómo colocar los principios en práctica.
Las políticas influencian cómo un proceso de toma de decisión se alinea a los principios de la
organización.
Las políticas deben ser actualizadas y revisadas siempre que sea pertinente, y las personas deben ser
informadas sobre sus cambios. Las buenas políticas son:
 Efectivas: Alcanzan el objetivo establecido;
 Eficientes: Garantizan que los principios sean implementados de manera más eficiente;
 No intrusivas: Aquellos que deben cumplirlas les hallan lógica; no crean resistencia
innecesaria.
Para pensar
Toda organización debe implementar mecanismos de fácil acceso a las políticas para que todas las
partes interesadas puedan consultarles y seguirles. Las partes interesadas deben saber dónde
pueden encontrarles.
Las políticas son un componente esencial de un sistema corporativo de control interno, cuyo
principal propósito es administrar el riesgo. Como parte de las actividades de gobernanza de
riesgos, la inclinación de la empresa al riesgo debe ser definida y reflejada en las políticas. También
una empresa reacia a tomar riesgos tendrá políticas más estrictas que aquellas con fuerte inclinación
al riesgo.
Consideraciones sobre Modelos
Los modelos de gobernanza y gestión de TI deben proveer a la administración estructura,
orientación, herramientas, entre otros elementos, de forma que posibilite que la organización
implemente un sistema de gobernanza y de gestión de TI adecuados a las necesidades de la
76
empresa.
La tabla 1 del capítulo 1, describe los principales modelos disponibles enel mercado utilizados por
las organizaciones actualmente tales como: COBIT5, COBIT 4.1, VAL IT, ITIL, ISO 31000 e ISO
27000.
Los modelos deben ser:
 Abarcadores;
 Abiertos y Flexibles;
 Actuales (en relación con la orientación de la empresa y objetivos de gobernanza y gestión);
 Disponibles y accesibles para las partes interesadas.
Las dimensiones del habilitador Principios, Políticas y

Modelos en la práctica
En comparación con las dimensiones genéricas de los habilitadores de COBIT descritos en la figura
1 de este capítulo, el habilitador Principios, Políticas y Modelos se destaca por la aplicación y uso
de buenas prácticas (orientaciones y productos de trabajo) en las actividades organizacionales.
Como buenas prácticas en el contexto de este habilitador, COBIT destaca prácticas y productos de
trabajo como sigue:
 Prácticas: estructura de Control, Principios, Estructura de la Política, Alcance y Validez;
 Productos del trabajo (Entradas/Salidas): declaraciones de las Políticas
Más aún, las demás dimensiones genéricas de los habilitadores también están presentes en el
habilitador Principios, Políticas y Modelos, de acuerdo al siguiente análisis:
Partes interesadas
Las partes interesadas pueden ser internas y/o externas a la organización. Las partes interesadas son
de dos tipos: unas definen y establecen las políticas de la organización; otras deben seguir y cumplir
estas políticas. Ejemplos: consejo de administración, dirección ejecutiva, directores de conformidad,
gerentes de riesgo, auditores internos y externos, prestadores de servicio, clientes y entes de
regulación.
Metas y métricas
Los Principios, Políticas y Modelos son instrumentos definidos por el Consejo de Dirección para
transmitir las reglas de la organización en apoyo a los objetivos de gobernanza y valores de la
empresa.
De esta forma, el cumplimiento de las directrices de la organización debe ser medido por el nivel de
adherencia, conformidad y cumplimiento por parte de los funcionarios de las metas establecidas por
77
la gerencia de este habilitador.
Ciclo de vida
 Modelos: Son instrumentos importantes porque proveen una base para definir orientaciones
consistentes para la organización y son usados como base para la formulación de las
políticas. Algunas organizaciones utilizan modelos de mercado; otras customizan los
modelos existentes o desarrollan uno in-house considerando sus necesidades específicas.
 Principios: Son la razón de ser de una organización y no sufren alteraciones frecuentes.
 Políticas: tienen una vida útil; algunas permanecen por tiempo indeterminado porque son
obligatorias; otras necesitan ser reformuladas para adecuarse al negocio.
Las organizaciones pueden mantener una estructura de políticas para proveer una base en que un
conjunto de políticas consistentes puede ser creado, accedido y actualizado siempre que sea
necesario.
Los cambios en las políticas requieren un control efectivo sobre la actualización y efectividad de
estos instrumentos de gestión, las políticas poseen un ciclo de vida que debe apoyar al alcance de
las metas definidas por la organización.
Buenas prácticas
Las buenas prácticas requieren que las políticas hagan parte de una estructura de gobernanza y
gestión de TI en la organización, proveyendo una jerarquía en la que estos instrumentos deben tener
una clara conexión con los principios subyacentes. Las buenas prácticas relacionadas a las Políticas
incluyen los siguientes requisitos:
 Alcance y validez
 Consecuencias por no cumplimiento
 Tratamiento de excepciones
 Mecanismos para evaluar el cumplimiento de la política (verificación y medición)
 Estructuras de gobernanza y gestión que puedan proveer orientaciones sobre las

afirmaciones de las políticas
 Políticas alineadas con la inclinación de riesgo de la empresa
 Políticas revalidadas y/o actualizadas, siempre que sea necesario.
Relaciones con otros habilitadores

Las interacciones del habilitador Principios, Políticas y Modelos con los demás habilitadores
incluyen:
78
 Valores culturales y éticos de la empresa, que reflejen y estimulen el comportamiento
deseado, consecuentemente, hay interacción con el habilitador “Cultura, Ética y
Comportamiento”;
 Las políticas que son materializadas por las prácticas y actividades de los Procesos que
corresponden al mecanismo más importante para la ejecucución y operación de las
orientaciones de la administración.
 Estructuras Organizacionales que definen e implementan las políticas en determinadas áreas

de negocio y de control, y actividades relacionadas con la estructura que deben ser definidas
y orientadas por las políticas;
 Las políticas representan una fuente de “informaciones” dentro de una organización.
¿Cuáles son los objetivos principales del habilitador Principios, Políticas y Modelos?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Responda las siguientes 3 preguntas, considerando el contexto de su organización.

¿El habilitador Principios, Políticas y Modelos está presente y operativo en su organización?
Justifique:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Identifique una política vigente en su organización y verifique si este documento contempla los
requisitos de Buenas Prácticas indicadas por COBIT, tales como: alcance y validez; consecuencias
por no cumplimiento; tratamiento de excepciones; procedimientos de control y monitoreo;
estructura de gobernanza y de gestión; inclinación al riesgo de la empresa; y periodicidad de
mantenimiento.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
79
Explorando las dimensiones del habilitador Procesos
Consideraciones sobre el habilitador Procesos: un proceso es definido como un conjunto de
prácticas influenciadas por las políticas y procedimientos de la organización, alimentado de diversas
fuentes, incluso de otros procesos, que manipula las entradas y produce resultados.
COBIT define un modelo de referencia de proceso que describe en detalle los 37 procesos de
gobernanza y gestión, conforme lo descrito en el capítulo 2. Este modelo representa los procesos
típicamente encontrados en las actividades de TI de las organizaciones.
El modelo COBIT es completo y abarcador, pero no es el único modelo posible. Cada empresa debe
definir su propio conjunto de procesos, considerando sus necesidades. Incorporar un modelo
operacional de procesos y un lenguaje común para todas las áreas de la empresa involucradas en
actividades de TI es una actividad importante y crítica para una buena gobernanza. El modelo de
procesos debe proveer una estructura para la medición y monitoreo del desempeño de TI,
comunicación con los prestadores de servicios e integración de las buenas prácticas de gestión.
A continuación vamos a identificar cada componente de la Dimensión Genérica del habilitador
Procesos.
Prácticas
Las prácticas de gobernanza y gestión de COBIT proveen un conjunto completo de requisitos en
alto nivel para una práctica eficaz de la gobernanza y gestión de TI en la organización para cada uno
de los 37 procesos de COBIT.
Según COBIT, las prácticas representan:
 Declaraciones de acciones para la entrega de valor, optimización del nivel de riesgo y

optimización de los recursos;
 Alineación a las normas y buenas prácticas generalmente aceptadas;
 Acciones genéricas, por ende, adaptables para cada organización;
 Cobertura abarcadora (de punta a punta) para procesos de negocios y de TI.
Cada organización, basada en su estructura de gobernanza y gestión, debe identificar las prácticas
relacionadas a los procesos de forma que:
 Seleccione aquellas que serán aplicables y puedan ser efectivamente implementadas;
 Añada y/o ajuste las prácticas, siempre que sea necesario;
 Define y adicione prácticas no relacionadas con TI para la integración de los procesos de

negocio;
 Customice la implementación de las prácticas considerando variables como frecuencia,
80
amplitud, automatización y responsabilidad;
 Acepte el riesgo de no implementar determinadas prácticas.
Actividades
Las actividades representan un conjunto completo de tareas genéricas y específicas que proveen un
enfoque que incluye las acciones necesarias para alcanzar el propósito de las prácticas de
gobernanza y gestión.
De esta forma, las actividades ofrecen orientaciones de alto nivel, a un nivel debajo de las prácticas
de gobernanza y gestión, para evaluar el desempeño del proceso y considerar potenciales mejoras.
Las actividades representan las principales acciones tomadas en la operación del proceso, y pueden
ser definidas como orientaciones para alcanzar las prácticas de gestión para obtener éxito en la
gobernanza y gestión de TI de la empresa.
Las actividades de COBIT proveen informaciones sobre cómo, por qué y el qué implementar en
cada práctica de gobernanza y gestión para mejorar el desempeño de TI, gestionar el riesgo de TI y
mejorar la prestación de servicios de TI. Las actividades descritas en COBIT son útiles para los
siguientes públicos objetivo:
 Gestores, prestadores de servicios, usuarios finales y profesionales de TI que necesitan

planificar, desarrollar, ejecutar o monitorear las TI de la empresa;
 Auditores, profesionales de control y consultores que pueden opinar sobre los procesos
actuales y propuestas de mejoras necesarias.
En fin, las actividades son importantes porque:
 Describen un conjunto de etapas de implementación orientadas a las acciones necesarias

para alcanzar el objetivo de la práctica de gestión y/o gobernanza relacionada;
 Consideran las entradas y salidas del proceso;
 Tienen como base las normas y buenas prácticas generalmente aceptadas;
 Apoyan al establecimiento de funciones y responsabilidades bien definidas;
 Deben ser adaptadas y desarrolladas en procedimientos específicos adecuados a la empresa,

no deben ser consideradas un dogma.
Actividades detalladas
Las actividades pueden no tener un nivel suficiente de detalle para la implementación, por lo tanto
pueden requerirse orientaciones adicionales.
El detalle de las actividades puede ser obtenido a partir de normas y buenas prácticas específicas,
tales como ITIL, ISO/IEC serie 27000 y PRINCE2. ISACA, conforme a lo previsto en los
productos de la familia COBIT, desarrollará orientaciones específicas con detalle necesario sobre
81
cómo implementar las prácticas relacionadas.
Las dimensiones del habilitador Procesos en la práctica

Comparando las dimensiones genéricas de los habilitadores de COBIT descritas en la figura 1 de
este capítulo, el habilitador Procesos se destaca por la aplicación y uso de buenas prácticas
(orientaciones y productos del trabajo) en las actividades organizacionales, en especial lo tocante a
Prácticas, Actividades y Actividades detalladas de los procesos.
Todavía, las demás dimensiones genéricas de los habilitadores también están presentes en el
habilitador Procesos, conforme al siguiente análisis:
Partes interesadas
Las partes interesadas (interesados) pueden ser internos o externos, cada uno desempeñando sus
funciones. En COBIT, los niveles de responsabilidades de las partes interesadas están descritos y
documentados por las tablas RACI. Ejemplos: clientes, socios comerciales, accionistas, consejo de
administración, funcionarios y voluntarios.
Metas
Las metas del proceso son definidas como una declaración que describe el resultado esperado de un
proceso. El resultado esperado puede ser definido como un artefacto, un cambio significativo o
mejoría en la capacidad de otros procesos, pues depende del alcance del proceso.
De acuerdo a lo analizado en el capítulo 3, en el proceso de escalonamiento de objetivos de COBIT
las metas del proceso apoyan a los objetivos de TI, que a su vez apoyan a los objetivos corporativos.
Las metas del proceso abarcan las dos categorías:
 Metas intrínsecas: se relacionan con la calidad intrínseca del proceso, o sea, exactitud y
consonancia con las buenas prácticas y el cumplimiento de regulaciones (normas internas y
externas)
 Metas contextuales: tienen relación con la adaptación del proceso a las necesidades y
realidades específicas de la empresa, o sea, abarcando aspectos de significado, comprensión
y facilidad de aplicación.
 Metas de accesibilidad y seguridad: se relacionan a la confidencialidad, cuando sea

necesaria, del proceso, o sea, el conocimiento del proceso por los responsables y la
accesibilidad por parte de quienes requieren tener acceso
En cada nivel de escalonamiento de objetivos de COBIT y, consecuentemente, también para los
procesos, se definen métricas para evaluar en qué medida los objetivos son alcanzados.
Las métricas pueden ser definidas como “una entidad calificable que permite medir la consecución
de metas en un proceso”.
82
Para pensar
Para que el habilitador Proceso sea eficaz y eficiente, las métricas deben ser definidas para medir
en qué medida los resultados esperados del proceso fueron alcanzados.
Las métricas deben ser SMART, esto es: Específicas, Medibles, Procesables, Pertinentes y
Oportunas.
El control del desempeño del habilitador debe describir en qué medida las buenas prácticas fueron
aplicados. Deben ser definidas métricas para apoyar a la medición del control de desempeño del
habilitador proceso.
Ciclo de vida
Un proceso es definido, creado, operado, monitoreado, actualizado y hasta cerrado de ser el caso.
Los procesos pueden tener ciclos de vida diferenciados, considerando las necesidades de negocio de
la organización.
Las prácticas de procesos genéricas, tales como las definidas en el modelo de evaluación de proceso
de COBIT basado en la ISO/IEC 15504, pueden apoyar a la definición, ejecución, monitoreo y
optimización de los procesos.
Buenas Prácticas
COBIT 5 ya describe prácticas y actividades relacionadas a la gobernanza y gestión de TI. Por otro
lado, las actividades detalladas están siendo desarrolladas en guías profesionales por ISACA
Para pensar:
Se pueden obtener orientaciones adicionales sobre los procesos a través de normas y estructuras
indicadas al final de cada proceso de gobernanza y gestión de TI.
Actualmente, las orientaciones sobre las buenas prácticas relacionadas con los procesos están
descritas en normas y estructuras relacionadas, referenciadas al final de las actividades detalladas en
cada uno de los 37 procesos de gobernanza y gestión de TI.
Las buenas prácticas relacionadas a los procesos están descritas en el inicio del detalle del
habilitador Procesos. Buenas prácticas externas pueden existir en cualquier nivel de detalle y la
mayoría se refiere a otras normas y modelos. Los usuarios, cuando sea necesario, deben consultar
estas buenas prácticas externas, en vista de que COBIT está alineado con estas normas y, cuando
sea pertinente, las informaciones sobre estas relaciones serán publicadas.
Entradas y salidas
Las entradas y salidas de COBIT son los productos del trabajo o artefactos de proceso considerados
necesarios para apoyar la operación del proceso. Son recursos que posibilitan decisiones
importantes, proveen un registro y una prueba de auditoría de actividades de proceso, y permiten el
acompañamiento en caso de un incidente. Las entradas y salidas son ajustadas para un nivel de
83
práctica de gobernanza y de gestión y pueden incluir algunos productos del trabajo usados
solamente en el propio proceso – o pueden ser entradas para otros.
Las entradas y salidas previstas en COBIT no son consideradas una lista completa y única, porque
flujos de informaciones adicionales pueden ser definidos, dependiendo del ambiente y de la
estructura del proceso y de la necesidad específica de la empresa.
Control del Desempeño del Habilitador
Esta dimensión es idéntica a la dimensión genérica, basándose en cuatro cuestiones clave.
En relación a las métricas para el habilitador proceso, los dos primeros indicadores de resultado
tratan del resultado efectivo del proceso, esto es, si fueron utilizadas métricas para medir y en cuál
medidas estas fueron efectivamente cumplidas. “COBIT 5: Habilitador procesos” define métricas
para cada meta del proceso evaluado. Por otro lado, los dos últimos indicadores de dirección tratan
del funcionamiento real del propio habilitador y las métricas para su finalidad.
Nivel de capacidad del proceso
Para pensar
COBIT posee un esquema de Evaluación de Capacidad del Proceso, basado en la ISO/IEC 15504 –
Tecnología de Información – Evaluación del proceso Parte 1: Conceptos. Vocabulario.
El nivel de capacidad del proceso mide la consecución de las metas y la aplicación de las buenas
prácticas. El detalle de evaluación de capacidad del proceso está descrito en el capítulo 6.
Las interacciones entre el habilitador Procesos y los demás ocurren a través de las siguientes
relaciones:
 Los procesos necesitan de informaciones (como uno de los tipos de entrada) y pueden
producir informaciones (como un producto del trabajo);
 Los procesos necesitan de estructuras organizacionales y funciones para la puesta en

funcionamiento, conforme la tabla RACI;
 Los procesos producen, y también requieren, capacidades de servicio (infraestructura y

aplicativos);
 Los procesos interactúan y pueden depender de otros procesos;
 Los procesos producen o necesitan de políticas y procedimientos para garantizar la

consistencia de la implementación y ejecución;
 Aspectos culturales y de comportamiento determinan la calidad de la ejecución de los

procesos.
84
Suponga que usted es el responsable de la implementación del modelo de referencia de procesos de
COBIT en su organización. Describa las principales etapas que usted deberá seguir para
implementar este modelo.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
En el habilitador Proceso: ¿por qué COBIT define a las actividades como elementos importantes y
esenciales para la implementación de las prácticas de gestión y gobernanza?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Explorando al habilitador Estructuras Organizacionales

Consideraciones sobre el habilitador Estructuras Organizacionales
La estructura organizacional representa la jerarquía de las funciones y la organización del proceso
de toma de decisión en una organización. En este contexto, el modelo de referencia de procesos de
COBIT incluye tablas RACI, que abordan diversas funciones y estructuras para el proceso
jerárquico de toma de decisión.
La siguiente tabla describe algunas funciones existentes en las organizaciones actualmente
85
Estructuras organizacionales
Función Descripción
Consejo El grupo de ejecutivos más antiguos y/o consejeros no ejecutivos de
la empresa responsables por la gobernanza de la empresa y control
general de sus recursos.
Director Ejecutivo Director con el mayor nivel de autoridad, responsable de la
administración de la empresa como un todo.
Director Financiero Responsable de todos los aspectos de la administración financiera,
inclusive riesgos y controles financieros así como por la
confiabilidad y exactitud de las cuentas.
Director de Operaciones Responsable de la operación de la empresa
Director de Riesgos Responsable por todos los aspectos de la gestión de riesgo de la
empresa. La función de director de riesgo de TI puede ser creada
para supervisar los riesgos de TI.
Director de Informática Responsable por la alineación de TI con las estrategias de negocios
y responsable por la planificación, movilización de recursos y
administración de la prestación de servicios y soluciones de TI en
apoyo a los objetivos corporativos.
Director de Seguridad de la Responsable por la seguridad de la información de la empresa en
Información todas sus formas.
Ejecutivo de negocios Administrador senior responsable por la operación de una unidad de
negocios o subsidiaria específica
Responsable del proceso de Persona responsable por la ejecución de un proceso y consecución
negocios de sus objetivos, orientación de mejoras al proceso y aprobación de
cambios al proceso
Jefe de RRHH Responsable por la planificación y las políticas de recursos
humanos de la empresa.
Jefe de Desarrollo Funcionario responsable por los procesos de desarrollo y soluciones
de TI
Jefe de Operaciones de TI Responsable por los ambientes operacionales y la estrucrura de TI
Jefe de administración de TI Responsable por los documentos de TI y asuntos administrativos
relacionados con TI
Gerente de Servicios Persona que administra el desarrollo, implementación, evaluación y
control continuo de los productos y servicios nuevos y ya existentes
para un cliente específico (usuario) o un grupo de clientes
(usuarios)
Tabla 8: Principales funciones en las estructuras organizacionales
Estas funciones no necesariamente se corresponden con funciones reales de las empresas, sin
embargo, agregan valor en el sentido de que el objetivo descrito de la estructura o función puede ser
86
válido en la mayoría de ellas.
La finalidad de la tabla RACI no es definir funciones organizacionales universales para las
empresas, sino que es un instrumento de referencia y consulta para las organizaciones.
Las dimensiones del habilitador Estructuras Organizacionales en la prácticas
Comparando las dimensiones genéricas de los habilitadores de COBIT, descritas en la figura 14 de
este capítulo, el habilitador Estructuras Organizacionales se destaca por las Prácticas (Principios
Operacionales, Amplitud de Control o Alcance, Nivel de Autoridad, Delegación de Autoridad y
Procesos de escalamiento y Productos de Trabajo – Decisión).
Sin embargo, las demás dimensiones genéricas de los habilitadores también están presentes en el
habilitador Estructuras Organizacionales, de acuerdo al siguiente análisis.
Partes Interesadas
Las partes interesadas pueden ser internas o externas a la organización, e incluyen los representantes
de la estructura jerárquica, entidades organizacionales, clientes, proveedores y reguladores. Las
funciones de la estructura organizacional se refieren a los procesos de tomas de decisión, influencia
y asesoramiento. Los intereses de las partes interesadas también pueden variar en función de las
decisiones establecidas en las diversas áreas y niveles de negocio.
Metas
Las metas para el habilitador Estructura Organizacional incluyen su propia organización, principios
operacionales definidos y uso de buenas prácticas. Como resultado, este habilitador abarca
actividades y decisiones relacionadas con los responsables de las áreas de gobernanza y gestión.
Ciclo de vida
Cada estructura organizacional tiene un ciclo de vida. Las áreas son creadas, puestas en operación,
ajustadas y, en algunos casos, dadas por terminadas.
Las partes interesadas, en función de las necesidad del negocio de la organización, pueden
establecer la creación de unidades definiendo un motivo, responsabilidades y objetivos.
Buenas prácticas
La siguiente tabla, adaptada de COBIT, relaciona las buenas prácticas para el habilitador Estructura
Organizacional.
Buenas prácticas Descripción

Principios operacionales Disposiciones prácticas sobre cómo la estructura operará, definiendo
la frecuencia de reuniones, normas de documentación y organización
interna.
Composición Las estructuras organizacionales son formadas por miembros que
pueden ser representantes (partes interesadas) internos o externos.
87
Amplitud de control Los límites de derechos de decisión de la estructura organizacional
son basados en controles pre-establecidos.
Nivel de autoridad o Representan las decisiones que la estructura está autorizada a tomar,
derechos de decisión en función de las actividades que realizan en el día a día.
Delegación de autoridad La estructura puede delegar (un subconjunto de) derechos de decisión
a otras estructuras subordinadas a ella.
Procedimientos de El camino de escalamiento de una estructura describe las acciones
escalamiento necesarias en caso de problemas o conflictos relacionados con la
toma de decisiones.
Tabla 9: Buenas prácticas para el habilitador Estructura Organizacional
Las interacciones con otros habilitadores incluyen:
 Tablas RACI asocian las actividades del proceso a las estructuras organizacionales y/o
funciones individuales en la empresa. Las tablas son útiles porque describen el nivel de
involucramiento de cada función en la organización en relación con las prácticas definidas
para los procesos, identificando los responsables, consultados o informados;
 Cultura, ética y comportamiento determinan la eficiencia y eficacia de las estructuras

organizacionales y de sus decisiones;
 La composición de la estructura organizacional deberá considerar las habilidades y expertise

de sus miembros;
 Los principios de orden y operación de las estructuras organizacionales son orientados por
las políticas adoptadas por la administración;
 Las estructuras organizacionales requieren entradas (generalmente informaciones) antes que

esta pueda tomar decisiones en base a informaciones, y esto produce salidas, por ejemplo,
decisiones. Además otras informaciones o solicitudes de entradas adicionales.
Identifique las buenas prácticas definidas por COBIT en el habilitador Estructura Organizacional
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Explorando el habilitador Cultura, Ética y Comportamiento

Cultura, ética y comportamiento se refiere al conjunto de comportamientos individuales y
88
conectivos de cada organización.
Este conjunto de factores (ética organizacional, ética individual, cultura organizacional, relaciones
interpersonales, objetivos y ambiciones personales) guía el comportamiento de las personas en las
empresas.
COBIT destaca 3 comportamientos que pueden ser significativos en el contexto organizacional:
 Comportamiento relacionado con la aceptación del riesgo por la empresa;
 Comportamiento relacionado con el cumplimiento de las políticas;
 Comportamiento relacionado con los resultados negativos, prejuicios o pérdida de

oportunidades
Algunas empresas, basándose en el sentimiento de pérdida, utilizan esta práctica como
procedimiento para mejorar; otras adoptan un sentimiento de culpa sin tratar la causa primordial.
Comparando las dimensiones genéricas de los habilitadores de COBIT, descrita en la figura 14, el
habilitador Cultura, Ética y Comportamiento se destaca por las Prácticas (Comunicación, ejecución,
incentivos y recompensas, concienciación, reglas y normas y liderazgo) adoptadas por las
organizaciones.
Sin embargo, las otras dimensiones genéricas de los habilitadores también están presentes en el
habilitador Cultura, Ética y Comportamiento, de acuerdo al siguiente análisis.
Partes interesadas
Las partes interesadas pueden ser internas o externas a la organización. Los internos incluyen toda
la empresa y los externos incluyen agentes reguladores, por ejemplo, auditores externos u órganos
de control.
Para pensar
Algunas partes interesadas se ocupan de la definición, implementación y ejecución de los
comportamientos deseados; otros deben alinearse a las normas y a los reglamentos previamente
definidos.
Metas
Las metas de este habilitador se refieren a:
 Ética organizacional, determinada por los valores que rigen la existencia de la empresa;
 Ética individual, determinada por los valores personales de cada funcionario de la empresa y
dependiente de factores externos como la religión, pertenencia a grupos étnicos, contexto
socio-económico, localización física y experiencias personales;
 Comportamientos individuales, determinan colectivamente la cultura de una empresa.
89
Ciclo de vida
Cultura organizacional, postura ética y comportamiento individual tienen ciclos de vida.
Considerando la cultura organizacional actual, factores positivos y negativos, una empresa puede
identificar los cambios necesarios y llevarlos a cabo.
En la dimensión Buenas Prácticas, COBIT describe algunas técnicas que pueden ser utilizadas en
las organizaciones para mejorar el clima organizacional.
Buenas prácticas
Las buenas prácticas para la creación, incentivo y conservación del comportamiento deseado
incluyen:
 Comunicar a toda la empresa los comportamientos deseados y valores corporativos

subyacentes;
 Concientizar en el comportamiento deseado, reforzada por el liderazgo con el ejemplo a

partir de comportamientos ejercidos por la alta administración y otros líderes.
 Incentivos para promover y convencer sobre la adopción del comportamiento deseado,

considerando la conexión entre el comportamiento individual y el esquema de recompensas
adoptado como política de RRHH;
 Reglamentos y normas que proveen orientaciones adicionales sobre el comportamiento

organizacional deseado, definidas claramente en principios y políticas adoptadas por la
empresa.
 Las partes interesadas, en caso que no ejecuten las actividades de los procesos conforme a lo
esperado y si su comportamiento no está en conformidad, los resultados de los procesos no
serán alcanzados.
 Las estructuras organizacionales son proyectadas y creadas de acuerdo al manual, pero si sus
decisiones no fueran implementadas por causa de comportamientos (por ejemplo: agendas
personales, faltas de incentivos), las estructuras decisorias no estarán comportándose en base
a una gobernanza y gestión de TI de niveles aceptables;
 Los valores corporativos y el comportamiento deseado deben ser establecidos en los

Principios y Políticas de la organización como un mecanismo de comunicación importante
para la empresa.
¿Como COBIT caracteriza las Metas del Habilitador Cultura, Ética y Comportamientos?
90
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Explorando el habilitador Información

Este habilitador se refiere a las informaciones importantes para la organización, sean estas
automatizadas, manuales, estructuradas, no estructuradas, formales o informales.
COBIT define seis atributos para la información, como describimos a continuación:
 Físico: Vehículos y medios;
 Empírico: interfaz del usuario;
 Sintáctico: lenguaje y formato;
 Semántico: significado, tipo, actualización y nivel;
 Pragmático: uso, considerando elementos como retención, poder, contingencia e

innovación;
 Social: contexto organizacional
Introducción al Ciclo de la información

El esquema de la siguiente figura presenta las etapas del Ciclo de la Información propuesto por
COBIT.
Figura 20: Ciclo de la información
91
En este esquema, los procesos de negocio generan y procesan datos, transformándolos en
informaciones y conocimiento y al final, deben crear valor para la empresa. Los procesos de TI
apoyan a la organización en la generación de valor, ayudando en la mejoría de los procesos.
Las dimensiones del habilitador Información en la práctica
En comparación con las dimensiones genéricas de los habilitadores de COBIT, descritas en la
Figura 14, el habilitador Información se destaca por las Metas. Sin embargo, las otras dimensiones
genéricas de los habilitadores también están presentes en el habilitador Información de acuerdo a lo
indicado a continuación:
 Generador: responsable por la administración de la información;
 Custodio: responsable por la salvaguarda de la información;
 Cliente: responsable del uso de la información.
En la práctica, las funciones de las partes interesadas pueden ser definidas de acuerdo con cada fase
del ciclo de la información propuesto por COBIT, tales como planificadores, diseñadores y usuarios
de la información.
La dimensión stakeholder de la información no es independiente, esto es, cada fase del ciclo de vida
tendrá participantes diferentes y con necesidades y diferentes intereses por recurso.
Metas
Las metas del habilitador Información son:
Calidad intrínseca
Esta dimensión requiere conocer en qué medida los valores de los datos están en conformidad con
los valores reales y efectivos. Esta dimensión incluye:
 Exactitud: en qué medida la información es correcta y confiable;
 Objetividad: en qué medida la información es imparcial y sin preconceptos;
 Credibilidad: en qué medida la información es verdadera y creíble;
 Reputación: en qué medida la información se acepta en términos de su fuente o contenidos.
Calidad contextual
Esta dimensión considera en qué medida la información es aplicable a la tarea del usuario de la
información y es presentada de forma clara e inteligible, reconociendo que la calidad de la
información depende del contexto de su aplicación.
Esta dimensión incluye requisitos relacionados a:
 Relevancia: en qué medida la información es aplicable y útil a la tarea en cuestión;
92
 Exhaustividad: en qué forma la información es completa y abarcadora para la tarea;
 Actualización: en qué medida la información está actualizada para la tarea en cuestión;
 Suficiencia: de qué forma el volumen de la información es adecuado para la tarea;
 Brevedad: en qué medida la información es representada de forma compacta y concisa;
 Consistencia: de qué forma la información es presentada en el formato adecuado;
 Interpretación: en qué medida la información es presentada en lenguajes y símbolos

adecuados y definidos;
 Comprensión: de qué forma la información es comprensible con facilidad;
 Manipulación: en qué medida la información es fácilmente manipulada y aplicada a

diferentes tareas.
Seguridad y accesibilidad
Esta dimensión está asociada a en qué medida la información es consultada, contemplando:
 Disponibilidad o agilidad: en qué medida la información es desplegada fácilmente cuando

sea requerido, así como su recuperación;
 Acceso restringido: en qué medida el acceso a la información está restringido a las partes
autorizadas.
Ciclo de vida
El ciclo de vida de la información (ver figura anterior) debe ser considerado, y diferentes enfoques
pueden ser necesarios para la información en las diversas fases del ciclo de vida. El habilitador
Información de COBIT destaca las siguientes etapas para el ciclo de información:
 Planificar: fase en la que la creación y el uso de los recursos de la información son

preparados. En esta fase, las actividades se refieren a la identificación de los objetivos, la
planificación de la arquitectura de la información y a la elabotación de las normas y
definiciones tales como definiciones y procedimientos para la recolección de información.
 Proyectar: fase en la que se destaca el diseño de la información;
 Desarrollar/Adquirir: fase en la que los recursos de información son adquiridos,

englobando la creación de los registros de datos, alimentación de datos y carga desde
archivos externos, por ejemplo;
 Usar/Operar: fase que abarca el almacenamiento, la compartición y el uso de los recursos

de información;
 Almacenamiento: fase en la que la información es almacenada electrónicamente por medio
93
de archivos electrónicos, bases de datos y/o datawarehousing; en copia impresa por medio
de documentos en papel o en la memoria del humano a través del conocimiento tácito de las
personas;
 Compartición: fase en la que la información es puesta a disposición para su uso a través de

un método de distribución. Las actividades en esta fase se refieren a los procesos de
asignación de información en locales donde esta pueda ser accesada y usada (por ejemplo
distribución a través de emails);
 Uso: fase en la que la información es utilizada para alcanzar los objetivos de negocio. Las
actividades en esta fase se refieren a los tipos de uso de información (por ejemplo, toma de
decisión gerencial, procesos automatizados de ejecución) y actividades de recuperación y
conversión de informaciones de un formato a otro;
 Monitoreo: fase donde se asegura que los recursos de información se mantienen

funcionando adecuadamente. Las actividades en esta fase se refieren a actualizar el
mantenimiento de la información, mejoras, limpieza, mezcla y remoción de datos duplicados
en diversas bases de datos.
 Descarte: fase en que los recursos de información son descartados cuando ya carecen de
utilidad. Las actividades en esta fase se refieren al archivo y destrucción de la información.
Información es un habilitador de gobernanza corporativa; por esta razón, el uso de la información
debe ser pensado como la finalidad para la cual las partes interesadas responsables necesitan de la
información al asumir sus funciones, realizar sus actividades e interactuar entre sí.
Las interacciones entre los participantes exigen flujos de informaciones cuyos objetivos se refieren
a las funciones de responsabilidad, delegación, monitoreo, definición de la orientación, alineación,
ejecución y control.
Buenas prácticas
El concepto de información se entiende de formas diferentes en diferentes disciplinas como
Economía, Teoría de la comunicación, Ciencia de la información, Gestión del conocimiento y
Sistemas de Información; por lo tanto no hay una definición aceptada mundialmente sobre en qué
consiste la información. La naturaleza de la información puede, en todo caso, ser esclarecida, a
través de la definición y descripción de sus propiedades.
COBIT define un modelo en seis niveles para estructurar las diferentes propiedades de la
información. Estos niveles presentan atributos continuos, que varían desde el mundo físico de la
información donde los atributos se conectan con las tecnologías de la información y los medios para
la captura, almacenamiento, procesamiento, distribución y presentación de la información hasta el
mundo social del uso, comprensión y acciones relacionadas a la información.
En la práctica la información almacenada electrónicamente en la fase de compartición del ciclo de
vida puede sobreponerse, en gran medida, a la fase de almacenamiento, por ejemplo, al compartir la
94
información a través de acceso a bases de datos, servidores de archivos/documentos.
Las descripciones a continuación se refieren a las capas de atributos de la información:
 Capa del mundo físico: el mundo donde suceden todos los fenómenos que pueden ser
empíricamente observados;
 Portador/medios de información: atributo que identifica el portador físico de la

información; por ejemplo: papel, señales eléctricas y ondas sonoras.
 Capa empírica: la observación empírica de las señales utilizadas para codificar la

información y poderlas diferenciar del ruido de fondo;
 Capa de acceso a la información: atributo que identifica el canal de acceso de la

información, por ejemplo, interfaces de usuario.
 Capa sintáctica: reglas y principios para la creación en lenguajes naturales o artificiales.
 Código/lenguaje: atributo que identifica el lenguaje o formato utilizado para codificar la

información y las reglas para combinar los símbolos del lenguaje para formar estructuras
sintácticas.
 Capa semántica: reglas y principios para la construcción del significado a partir de las
estructuras sintácticas. Semántica es el significado de la información.
 Tipo de información: atributo que identifica el tipo de información, por ejemplo,

información financiera o no financiera, información de origen interno o externo, valores
previstos/esperados vs valores observados, valores planificados vs valores realizados.
 Actualización de la información: atributo que identifica la línea de tiempo asignada a la

información, por ejemplo: información en el pasado, presente o futuro.
 Nivel de información: atributo que identifica el grado de detalle de la información, por

ejemplo: ventas anuales, trimestrales, mensuales.
 Capa pragmática: reglas y estructuras para la construcción de estructuras de lenguaje más

amplias que apuntan a finalidades específicas en la comunicación humana. Pragmática se
refiere al uso de la información.
 Periodo de retención: atributo que define el tiempo que la información puede ser retenida
antes de ser destruida.
 Estado de la información: atributo que identifica si la información es operacional o

histórica.
 Innovación: atributo que identifica si la información crea nuevo conocimiento o confirma el

conocimiento ya existente, por ejemplo: información o confirmación.
95
 Contingencia: atributo que identifica la información necesaria está disponible y se puede
entender por el usuario.
 Capa del mundo social: el mundo construido socialmente a través del uso de estructuras del
lenguaje a nivel pragmático de la semiótica, por ejemplo contratos, legislación y cultura.
 Contexto: identifica el contexto en que la información tiene sentido, es usada, tiene valor,
etc. Por ejemplo, contexto cultural, contexto del dominio del tema.
Las inversiones en la mejoría de la información tecnológica deben ser basados en estudios de caso
con análisis de costo beneficio. Costos y beneficios no se refieren solamente a factores tangibles y
mesurables, sino que deben considerar factores intangibles como ventajas competitivas, satisfacción
del cliente e incertidumbre tecnológica. Consulte: COBIT Enabling Process, en
www.isaca.org/cobit para un detalle del proceso de inversioens en TI.
En la publicación COBIT 5: Habilitador Información, disponible en www.isaca.org/cobit, se
detallan los principales aspectos del habilitador información definido en COBIT.
Identifique los seis atributos para la información definidos por COBIT
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Identifique los nueve requisitos definidos en la dimensión Calidad Contextual del habilitador
Información de COBIT.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Para el habilitador Información, COBIT define cinco especificaciones de capas para la información.
Identifique estas capas e indique qué representa cada una para el negocio en términos de atributos
de información para la fase de especificación de un nuevo proyecto de desarrollo de una aplicación.
96
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Explorando el habilitador Servicios, Infraestructura y

Aplicativos
La capacidad de prestación de servicios se refiere a los recursos, aplicativos e infraestructura
proporcionados por la prestación de servicios del área de TI.
Al comparar las especificaciones del habilitador Servicios, Infraestructura y Aplicativos con la
descripción del habilitador genérico representado en la Figura 14, destacamos lo siguiente:
 Partes interesadas: representan la capacidad de generación de servicio. Los servicios

pueden ser prestados por partes interesadas internas o externas. Los usuarios de los servicios
también pueden ser internos (usuarios del negocio) o externos (socios, clientes y
proveedores). Los intereses de cada parte interesada deben ser identificados y serán
concentrados en la prestación de servicios adecuados o mediante la entrega de los servicios
solicitados por parte de los proveedores;
 Metas: las metas de capacidad de nivel de servicio pueden ser expresadas en términos de
servicios (aplicativos, infraestructura y tecnología) y de niveles de servicio, teniéndose en
consideración cuáles servicios y sus respectivos niveles son más económicos para la
organización. Las metas se relacionan con los servicios, cómo estos son prestados y cuáles
resultados son identificados.
 Ciclo de vida: las capacidades de servicio tienen un ciclo de vida. Las capacidades de
servicio futuras o planificadas son normalmente descritas en una arquitectura que puede
abarcar nuevos aplicativos y modelos de infraestructura. Las actuales capacidades de
servicio usadas u operadas para prestar los actuales servicios de TI son descritas en una
arquitectura de referencia. Dependiendo del tiempo de duración de la arquitectura objetivo,
una arquitectura de transición también puede ser definida, mostrando la evolución desde la
arquitectura inicial hasta la arquitectura objetivo.
 Buenas prácticas: las buenas prácticas de las capacidades de servicio incluyen:
◦ Definición de los principios de arquitectura: directrices generales que rigen la

implementación y el uso de los recursos de TI de la organización.
Ejemplos de posibles principios de arquitectura:
 Reaprovechamiento: componentes comunes de la arquitectura pueden ser usados para

proyectar e implementar soluciones parte de las arquitecturas de transición u objetivo.
97
 Compra o desarrollo: las soluciones deben ser compradas, a menos que haya una
justificación aprobada para su desarrollo interno.
 Simplicidad: la arquitectura corporativa debe ser proyectada y mantenida de la forma más

simple posible, siguiendo los requisitos definidos por la empresa.
 Agilidad: la arquitectura corporativa debe ser ágil para satisfacer las necesidades de cambio
de los negocios de forma eficaz y eficiente.
 Abertura: la arquitectura corporativa debe apalancarse en las normas abiertas del sector.
Definiciones de modelo apropiado

La organización, bajo la óptica de la arquitectura más adecuada, debe atender las necesidades de
diferentes partes interesadas. Estos son los modelos, catálogos y matrices usados para describir las
arquitecturas de referencia, o de transición; por ejemplo, la arquitectura de un aplicativo podría ser
descrita a través de un diagrama de interfaz de la aplicación que muestre las entradas en uso (o
planificadas) y las interfaces entre ellas.
Disponer de un archivo de arquitectura
El archivo puede ser utilizado para almacenar diferentes tipos de salidas arquitectónicas, incluso
principios y normas de arquitectura, modelos de referencia de arquitectura así como otros servicios
de la arquitectura, y que definen los módulos de servicio como aplicativos que proporcionan
funcionalidad a los negocios; infraestructura de tecnología como hardware, software e
infraestructura de red y física.
Definición de niveles de servicio
Los niveles de servicio que deben ser definidos y alcanzados por los prestadores de servicio. Las
buenas prácticas representan estructuras de arquitectura y capacidad de servicio y actúan como
directrices, modelos o normas que pueden ser utilizados para acelerar la creación de los servicios de
arquitectura, tales como TOGAF e ITIL.
 Información: las capacidades de servicio pueden ser apalancadas por los procesos de
prestación de servicio internos y externos;
 Cultura y comportamiento: los aspectos culturales y de comportamiento son pertinentes

cuando la organización se basa en una cultura orientada al servicio.
Los principios de arquitectura representan directrices generales que apuntan a la implementación y
el uso de los recursos de TI de la organización. Identifique tres elementos que marcan el rumbo de
98
los principios de TI propuestos como ejemplos en COBIT.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Habilitador Personas, Habilidades y Competencias

Al comparar el modelo genérico propuesto por COBIT en la Figura 14, el habilitador Personas,
Habilidades y Competencias destaca:
Partes interesadas
Las habilidades y competencias pueden ser encontradas en las partes interesadas internas y externas
a la organización, en la cual estos pueden asumir funciones de administradores de negocios, de
proyecto, socios, competidores, reclutadores, instructores, desarrolladores y especialistas técnicos
en TI; además de esto, cada función exige un conjunto de habilidades distintas.
Metas
Las metas de las habilidades y competencias están relacionadas con los niveles de educación y
calificación, habilidades técnicas, niveles de experiencia, conocimiento y habilidades en el
comportamiento necesarias para realizar y desarrollar exitosamente las actividades del proceso. Las
metas de los funcionarios incluyen niveles apropiados de disponibilidad del personal y niveles de
rotación.
Ciclo de vida
Habilidades y competencias tienen un ciclo de vida. Una organización tiene que saber cuál es su
base actual de habilidades y planificar o proyectar estas a futuro. Esto se ve influenciado por la
estrategia (entre otras cosas) y por los objetivos corporativos. Las habilidades pueden ser
desarrolladas (por ejemplo, con entrenamiento) o adquiridas (por ejemplo, a través del
reclutamiento) e implantadas en las diversas funciones de la estructura organizacional. Las
habilidades deben ser transferidas, por ejemplo, si una actividad fue automatizada o tercerizada.
Periódicamente la organización debe evaluar la base de competencias para comprender la evolución
que ha ocurrido y que será alimentada al proceso de planificación del siguiente periodo. Además,
esta evaluación puede ser alimentada al proceso de recompensa y reconocimiento de Recursos
Humanos.
Buenas prácticas
99
Las buenas prácticas de habilidades y competencias incluyen la definición de requisitos de
calificación claros y objetivos de cada función desempeñada por los diversos participantes. Esto
puede ser descrito en diferentes niveles de habilidades en diversas categorías. Para cada nivel de
habilidad apropiado en cada categoría de habilidades, una definición de habilidad deberá ser
definida. Las categorías de habilidades corresponden a las actividades de TI asumidas, por ejemplo,
gestión de información, análisis de negocios.
 Procesos y estructura organizacional: habilidades y competencias son necesarias para

realizar las actividades del proceso y tomar decisiones en estructuras organizacionales; por
otro lado, algunos procesos buscan apoyar el ciclo de vida de las habilidades y
competencias;
 Cultura, ética y comportamiento: este habilitador tiene relación con las habilidades de
comportamiento que guían el comportamiento de cada individuo y son influenciadas por la
ética de la persona y de la empresa;
 Informaciones: las definiciones de habilidades y comportamientos se valen de

informaciones para las cuales buenas prácticas del habilitador deben ser consideradas.
Considerando el habilitador Personas, Habilidades y Competencias: ¿cómo su empresa implementa
en la práctica un plan de desarrollo de habilidades y competencias para los profesionales de TI?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
100
5 Guía de implementación de COBIT
Objetivos
Conocer las etapas para la implementación de COBIT; Conocer las herramientas de implementación
de COBIT; Identificar los requisitos necesarios en cada fase del proceso de implementación de
COBIT; Identificar los factores críticos de éxito en la implementación de COBIT; Aplicar el
roadmap en la implementación de COBIT
Conceptos
Etapas del proceso de implementación de COBIT; Etapa 1: entendiendo el contexto de la
organización; Etapa 2: creación de un ambiente apropiado; Herramientas de implementación;
Planificación de la implementación de COBIT; Reconocimiento de los puntos débiles y eventos de
activación; Capacitación para el cambio; Roadmap para la implementación de COBIT
101
Introducción
Para que las organizaciones agreguen valor y obtengan beneficios del uso e implementación de
COBIT, se hace necesario adaptarle para atender las necesidades específicas de la empresa. Es por
esto que las etapas de planificación y definición del alcance de la implementación de COBIT
desempeñan un papel fundamental para el éxito en el uso del modelo para la organización.
La implementación de COBIT en las organizaciones debe tener en consideración factores tangibles
e intangibles en el contexto de la empresa. En relación a los componentes intangibles, es necesario
que las organizaciones consideren desafíos relacionados con los cambios internos y externos,
cultura y comportamiento de las personas en la aceptación o rechazo del modelo.
El documento denominado “COBIT 5 Implementación” no es una camisa de fuerza ni es
obligatorio, mas bien establece buenas prácticas para minimizar eventuales obstáculos en su
implementación, como forma de apoyar a las organizaciones en el logro de mejores resultados a
través del uso de COBIT.
Herramientas de implementación
La guía de orientación “COBIT 5 implementación” está compuesta por un kit de herramientas,
conteniendo una variedad de recursos tales como:
 Herramientas de autoevaluación, medición y diagnóstico;
 Disponibilidad de informaciones relevantes a las partes interesadas involucradas;
 Artículos relacionados y explicaciones adicionales acerca del uso del documento
Para mayor información sobre el kit de herramientas de implementación, consulte en

www.isaca.org/cobit y consulta la publicación COBIT 5 Implementation. Esta guía presenta una
orientación práctica para la implementación del modelo de COBIT 5 basado en el ciclo de vida de
mejora continua de procesos.
Factores críticos para el éxito en la implementación de COBIT
Existen diversos factores críticos para que la implementación de COBIT sea eficiente. La guía de
implementación de COBIT 5 sugiere cinco factores esenciales para el éxito en la implementación de
este modelo:
 Orientación y compromiso continuo de la gerencia;
 Apoyo de las partes interesadas a los procesos de gobernanza y gestión de TI en la

organización;
 Garantía de comunicación efectiva y capacitación sobre los cambios necesarios;
 Adaptación de COBIT para atender las necesidades y el contexto de la organización;
102
 Enfoque en resultados rápidos y priorización de acciones en las mejoras mas beneficiosas y
fáciles.
Normalmente, las iniciativas de TI fallan debido a la falta o fallas en la orientación, apoyo o
supervisión de las partes interesadas involucradas con la implementación de la gobernanza o gestión
de TI.
También, el apoyo y orientación de las principales partes interesadas son elementos críticos para el
éxito en la implementación de COBIT. Además, en un ambiente corporativo frágil, esto es, en que el
modelo operacional de negocios no es claro y objetivo y no es efectivo en los habilitadores de
gobernanza a nivel corporativo, el apoyo y la participación de las partes interesadas son
instrumentos importantes y críticos.
Planificación de la implementación de COBIT
La planificación de la implementación de COBIT es una etapa fundamental para el éxito en su
implementación. En esta etapa, algunas situaciones son esenciales y deben hacer parte del contexto
de la implementación del modelo de acuerdo a lo descrito en la siguiente tabla
Etapa Descripción
Elaboración de un El estudio de caso representa el punto de partida para la implementación y
estudio de caso mejoría de la gobernanza y gestión de TI de la organización. Todos los
esfuerzos deben concentrarse en el alcance de la implementación del modelo a
partir de las necesidades específicas de la empresa
Reconocimiento La identificación de fallas y análisis de problemas en relación con el estado
de puntos débiles actual de los siete habilitadores de COBIT es fundamental para la
implementación de mejoras en la gobernanza y gestión de TI en la
organización
Tabla 10: Planificación de la implementación
Para pensar
El reconocimiento de puntos débiles apoyan a la creación de un ambiente apropiado para la
implementación de COBIT
Las organizaciones sufren transformaciones en el día a día y enfrentan un continuo proceso de
cambios en los negocios. El área de TI como parte integrante de este proceso no puede mantenerse
al margen de este escenario.
¿En su organización, el área de TI está efectivamente lista y preparada para asumir los desafíos
relacionados con la Gobernanza de TI? ¿Ya identificó la organización sus puntos débiles y
consecuencias (eventos de activación) para que la implementación de COBIT tenga éxito en la
institución? Justifique su respuesta.
___________________________________________________________________________
103
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
En su condición de Gestor de TI en su organización: ¿qué haría usted para iniciar la implementación
de COBIT? ¿Por dónde comenzar? Ejemplifique su respuesta con un caso
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Etapas para la implementación de COBIT
COBIT indica que hay dos etapas fundamentales para su implementación:
 Etapa 1: entender el contexto de la organización;
 Etapa 2: crear el ambiente apropiado.
Etapa 1: entender el contexto de la organización

La gobernanza y gestión de TI en una organización no ocurre al azar. Toda institución debe elaborar
su propio plan o guía de actividades de implementación que, entre otros aspectos, debe contemplar
factores específicos del ambiente interno y externo tales como:
 Ética y cultura;
 Leyes, reglamentos y políticas aplicables;
 Misión, visión y valores;
 Políticas y prácticas de gobernanza;
 Plan de negocios e intenciones estratégicas;
 Modelo operacional y nivel de madurez;
 Estilo de gestión;
104
 Inclinación o apetito por el riesgo;
 Capacidades y recursos disponibles;
 Prácticas específicas del sector o industria de la empresa.
Para pensar
Cabe indicar que COBIT es un modelo sustentado por otros modelos, buenas prácticas y normas,
por lo tanto, el equipo de implementación debe considerar adaptar estos instrumentos conceptuales
y prácticos para atender a los requisitos específicos de estas normas relacionadas.
El abordaje ideal a la gobernanza y gestión de TI debe ser específico para cada organización. El
contexto de la empresa debe ser comprendido, entendido y considerado quienes implementan
COBIT a fin de ajustar el modelo a sus necesidades. Este entendimiento es fundamental para
obtener éxito y eficiencia en la implementación de los habilitadores de gobernanza y gestión de TI
en la organización como un todo.
Etapa 2: crear el ambiente apropiado
Los habilitadores de COBIT proveen una solución que trata de las necesidades y problemas reales
de la empresa, en vez de servir como fin en sí mismos.
De esta forma, el diagnóstico basado en puntos débiles y en las tendencias actuales deben ser
identificados y aceptados por la administración como directrices a ser tratadas para sensibilizar,
crear consenso y generar un compromiso de acción por todos los responsables e involucrados en el
área de TI.
El compromiso y la adhesión de las partes interesadas deben ser considerados desde el inicio de la
implementación, con la generación de los compromisos, de los recursos necesarios para apoyar el
programa y el establecimiento de un estudio de caso.
Las principales funciones y responsabilidades deben ser definidas y el compromiso de todos los
colaboradores involucrados, considerado.
Estructuras y procesos apropiados para la supervisión y orientación deberán ser creados y
mantenidos para garantizar el alineamiento continuo de los enfoques de gobernanza y gestión de
riesgo en toda la empresa.
Reconocimiento de puntos débiles y eventos de activación
Existen diversos factores que pueden indicar la necesidad de mejoras de la gobernanza y gestión de
TI en las organizaciones.
Usando los puntos débiles relacionados y eventos de activación como punto de partida para las
iniciativas de implementación, el establecimiento de un estudio de caso de mejora de gobernanza o
gestión de TI de la empresa propicia la identificación de las necesidades de mejora en base a los
problemas prácticos o vivencias cotidianas. Esto aumentará la adhesión y creará el sentido de
105
urgencia en la empresa necesario para iniciar la implementación. Este escenario propicia una
plataforma para la introducción de nuevos cambios y puede ayudar a la generación de compromisos
y apoyo de la gerencia para cambios más profundos.
COBIT relaciona algunos puntos débiles más comunes para los cuales los habilitadores de
gobernanza y gestión de TI pueden ser el punto de partida como solución para la implementación
del modelo:
 Frustración con iniciativas fracasadas, aumentando los costos de TI y la percepción de bajo

valor del negocio;
 Incidentes significativos relacionados al riesgo de TI, tales como la pérdida de datos o fallas
en proyectos;
 Problemas con la prestación de servicios tercerizados por el no cumplimiento de los niveles

de servicio acordados;
 No cumplimiento de las exigencias regulatorias o contractuales;
 Limitación por parte del área de TI de la capacidad de innovación de la empresa y de la

agilidad del negocio;
 Frecuentes informes de auditoría sobre el bajo desempeño de TI y/o de problemas con la

calidad de servicios de TI prestados;
 Gastos encubiertos y/o innecesarios en TI
 Duplicación o sobreposición de las iniciativas o desperdicio de recursos, tales como cierres

prematuros de proyectos
 Recursos de TI insuficientes, personal con habilidades inadecuadas, insatisfechos o

desmotivados;
 Cambios en la capacitación de TI que no cubren las necesidades de la empresa y demoran en

dar un retorno o por encima del presupuesto;
 Miembros del consejo, ejecutivos o gerentes senior que rechazan involucrarse con TI o
responsables de TI de la empresa no satisfechos;
 Modelos operacionales de TI muy complejos.
Además de estos puntos débiles, COBIT también se relaciona otros eventos involucrando ambientes
internos y externos de la organización, que pueden señalar la necesidad de reve el enfoque de la
gobernanza y gestión de TI tales como:
 Fusión, adquisición o separación de otras organizaciones;
 Cambios en el mercado, economía o en la posición competitiva;
106
 Cambios en el modelo operacional de la empresa o en los arreglos de tercerización;
 Nuevas exigencias regulatorias o de conformidad;
 Cambios significativos de la tecnología;
 Enfoque del proyecto de gobernanza para toda la empresa;
 Cambios en los liderazgos de la gerencia de la organización;
 Auditoría interna, externa, o evaluaciones de consultorías;
 Nuevas prioridades o estrategias de negocios.
Cada organización debe identificar sus puntos débiles y consecuencias de las fallas y/o
vulnerabilidades relacionadas.
Basándose en los puntos débiles ejemplificados por COBIT, relacione los tres que usted entiende
que son los más críticos y que se aplican en el contexto de la empresa en que usted trabaja. A
continuación identifique dos buenas prácticas que pueden ser utilizadas para mejorar el escenario de
gobernanza y gestión en el contexto de la empresa.
Puntos débiles Acciones para mejorar estos

1.
2.
3.
4.
5.
1.
2.
3.
4.
5.
Capacitación para el cambio

El éxito en la implementación de COBIT depende de la implantación del cambio apropiado con un
enfoque en los habilitadores de gobernanza y gestión apropiados.
En muchas empresas, existe poco énfasis en la gestión de los aspectos humanos, de comportamiento
y culturales del cambio y motivación de las partes interesadas para aceptar el cambio.
No se puede presuponer que las partes interesadas involucradas con los siete habilitadores la
aceptarán rápidamente y adoptarán el cambio. La posibilidad de que ignoren y/o se resistan al
107
cambio tiene que ser contemplada por medio de un enfoque estructurado y proactivo.
La concientización del programa de implementación debe alcanzarse a través de un plan de
comunicación eficiente que defina lo que será comunicado, de que forma y por quién, a lo largo de
las varias fases del programa.
Puede conseguirse una mejoría sustentable obteniéndose el compromiso de las partes interesadas.
Este compromiso debe considerar la participación, tiempo de dedicación y comunicación amplia de
todos los actores involucrados, especialmente la gerencia, para lograr un éxito en el cambio.
En otras palabras, las barreras humanas, de comportamiento y culturales deben ser superadas de
forma que haya un interés común en adoptar correctamente el cambio, infundir la voluntad de
adoptar el cambio y garantizar la capacidad de adoptarle.
Enfoque del ciclo de vida
Un ambiente adecuado para la implementación de COBIT es uno de los dos requisitos necesarios
para minimizar los riesgos y alcanzar el éxito en la implementación o en la mejora de los procesos.
El ciclo de vida de la implementación propuesto en COBIT presenta un modelo a ser utilizado por
las organizaciones. Este modelo fue estructurado considerando la complejidad y los desafíos
generalmente encontrados en su implementación.
Componentes del ciclo de vida
Los tres componentes interrelacionados del ciclo de vida son:
 Ciclo de vida principal de mejora continua;
 Capacitación para el cambio;
 Gestión del programa.
En la siguiente tabla veremos una breve descripción de las etapas:
Componente Descripción
Ciclo de vida principal de El proyecto debe englobar a toda la organización, no puede ser
mejora continua tratado de forma aislada
Capacitación para el cambio El proyecto debe contemplar un abordaje de los aspectos de
comportamiento y culturales de la organización
Gestión del programa El programa debe ser administrado continuamente de forma tal
que se identifiquen cuellos de botella.
Tabla 11: Etapas del ciclo de vida
La siguiente figura ilustra las siete fases de implementación de COBIT:
108
Figura 21: Fases del ciclo de vida de implementación de COBIT.
Fuente: www.isaca.org
A continuación analizaremos cada una de estas fases

Fase 1:
Esta fase comienza con un reconocimiento y aceptación de las necesidades o iniciativas de la
implementación de COBIT, identificando los puntos débiles para crear el deseo de cambio en los
niveles de gestión ejecutiva de la empresa.
Fase 2:
Esta fase se concentra en la definición del alcance de la implementación, usando un emparejamiento
de los objetivos corporativos de COBIT con objetivos de TI, de acuerdo a lo visto en el capítulo 3,
considerando, además, los escenarios de riesgo de los principales procesos relacionados.
109
Diagnósticos de alto nivel son herramientas esenciales para definir el alcance y comprender las
áreas prioritarias para concentrar los esfuerzos de su aplicación. Una evaluación del estado actual se
realiza entonces, y los problemas y deficiencias de los procesos son identificados por medio de una
evaluación de capacidad.
Fase 3
En esta fase, se define una meta de mejora para, a continuación, realizar un análisis más detallado
según las orientaciones de COBIT para identificar fallas y posibles soluciones. Las soluciones
propuestas pueden presentar resultados rápidos, en cuanto otras podrán exigir actividades más
desafiantes y en un mayor plazo.
COBIT sugiere priorizar las iniciativas más fáciles de alcanzar y que producirán mejores beneficios
para la organización.
Fase 4
Esta fase establece la planificación de soluciones prácticas mediante la definición de proyectos
apoyados por estudios de casos justificables. Un plan de cambio para la implementación de COBIT
también debe ser desarrollado en esta fase. Un estudio de caso bien elaborado ayuda a garantizar
que los beneficios del proyecto sean identificados y monitoreados.
Fase 5
En esta fase, las soluciones propuestas son implementadas en forma de prácticas diarias. Las
métricas y el monitoreo son definidos y establecidos con el uso de las metas y métricas tratadas en
el capítulo 4.
Esta sistematización garantiza que el alineamiento de la empresa sea alcanzado y mantenido, y el
desempeño pueda ser medido. El éxito exige demostración de que las partes autorizadas se
involucren y demuestren empeño, así como la responsabilidad de los involucrados de las áreas de TI
y administración.
Fase 6
Esta fase se concentra en la operación sustentable de los habilitadores, así como el monitoreo de la
consecución de los beneficios esperados.
Fase 7
Fase que se basa en el análisis de nuevos requisitos para la gobernanza y gestión de TI de la
empresa, identificando necesidades de mejora continua. El ciclo de vida debe ser seguido de forma
interactiva paralelamente a la creación de un enfoque sustentable para la gobernanza y gestión de TI
de la empresa.
El roadmap de COBIT está estructurado en siete etapas. Basándose en la Figura 21, escriba
110
sucintamente el objetivo de cada fase.
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Premisas para la elaboración de un estudio de caso

El estudio de caso es el primer paso para la implementación de COBIT. El éxito en la
implementación de COBIT depende de la divulgación, de la necesidad de actuar y de la
comunicación a toda la organización.
Una buena práctica sugiere el uso de la técnica “llamado de atención”, en el cual los puntos flacos
deben ser identificados.
El nivel de urgencia de los riesgos debe ser discutido entre las principales partes interesadas
involucradas en los procesos de TI de la organización. Todos los responsables deben tener una clara
comprensión de los resultados empresariales deseados. Se debe definir las tareas y metas críticas de
las funciones y responsabilidades.
El estudio de caso es una valiosa herramienta de la que dispone la administración para la
orientación en la creación de valor para la empresa y debe incluir, como mínimo, las siguientes
situaciones:
 Los beneficios buscados para la empresa, su alineación con la estrategia de negocios y los
respectivos responsables;
 Los cambios en los negocios necesarios para crear el valor esperado, que puede basarse en
verificaciones de integridad y análisis de fallas en la capacidad, y deben indicar claramente
el alcance definido;
 Las inversiones necesarias para llevar a cabo los cambios en la gobernanza y gestión de TI
111
de la empresa;
 Los costos fijos del negocio y de TI;
 Los beneficios esperados de operación luego del cambio;
 El riesgo inherente y cualquier restricción o dependencias, basándose en los factures de

éxito;
 Funciones y responsabilidades definidas;
 Monitoreo y métrica de las inversiones y de la creación de valor durante el ciclo de vida

económico, para alcanzar las metas y resultados.
El estudio de caso no es un documento estático, es una herramienta operacional dinámica que debe
ser continuamente actualizada para reflejar la visión de futuro para identificar la viabilidad del
programa.
Puede ser difícil cuantificar los beneficios de implementación o de las iniciativas de
implementación, y deben ser tomadas medidas para comprometerse solamente con beneficios
realistas y alcanzables. Estudios realizados en diversas empresas (benchmarking) pueden ofrecer
informaciones útiles sobre los beneficios que fueron alcanzados.
112
6 Evaluación de Capacidad de Procesos
Objetivos
Conocer el Modelo de Capacidad de Procesos de COBIT 5; Aprender sobre los atributos y niveles
del Modelo de Capacidad de Procesos; Revisar los atributos y niveles del Modelo de Madurez de
Procesos de COBIT 4.1; Comparar los modelos de Madurez y de Capacidad de Procesos de COBIT;
Identificar los beneficios del Modelo de Capacidad de Procesos; Efectuar una evaluación práctica
de la capacidad de Procesos de COBIT.
Conceptos
Modelo de Evaluación de Madurez de Procesos; Modelo de Evaluación de Capacidad de Procesos;
Comparativo entre los Modelos de Madurez y de Capacidad de Procesos; Beneficios del Modelo de
Capacidad de Procesos de COBIT; Atributos del Modelo de Evaluación de Capacidad del Proceso;
Aplicación práctica del Modelo de Evaluación de Capacidad del Proceso.
113
Introducción
Los modelos COBIT 4.1, RISK IT y Val IT adoptaban un Modelo de Madurez de Procesos para
medir los resultados de los procesos de gobernanza y de gestión de TI de una organización.
Por otro lado, en COBIT 5 se vale de un Modelo de Capacidad de Procesos para medir los
resultados y el desempeño de los procesos de TI.
Este capítulo tiene como propósito:
 Revisar los conceptos fundamentales del Modelo de Madurez de Procesos de COBIT 4.1;
 Profundizar el conocimiento sobre el Modelo de Capacidad de Procesos;
 Realizar una comparativa entre los modelos de madurez y de capacidad;
 Realizar un estudio de caso práctico usando el Modelo de Capacidad.
Modelo de Madurez de Procesos

Principales objetivos del Modelo de Madurez de Procesos de COBIT 4.1
Medir la madurez actual o el estado en que se encuentran los procesos de TI de la organización
Definir el estado de madurez deseado y entendido como meta para su organización
Determinar la diferencia entre los dos estados (actual y deseado)
Mejorar el proceso para alcanzar el nivel de madurez deseado
Tabla 12: Principales objetivos del Modelo de Madurez de Procesos de COBIT 4.1
Como puede observarse, los niveles de madurez varían entre “Inexistente” (Nivel 0) a
“Optimizado” (Nivel 5). Cuanto más alto es el nivel, más estructurada será la madurez (resultado)
del proceso.Además, en esta figura tenemos que el Modelo de Madurez de Procesos está compuesto
por seis atributos denominados “Concienciación y Comunicación”, “Políticas, Planes y
Procedimientos”, “Herramientas y Automatización”, “Habilidades y Expertise”, “Responsabilidad y
rendición de cuencas” y “Definición de metas y medición”. El modelo de COBIT 4.1 se usa para:
 Evaluar de la mejoría del proceso;
 Evaluar la madurez del proceso;
 Definir el nivel de madurez deseado para un determinado proceso;
 Identificar las fallas de un proceso para confirmar si los objetivos de control del proceso
fueron alcanzados;
 Obtener el perfil de madurez del proceso.
114
Figura 22: Atributos genéricos del Modelo de Madurez de COBIT 4.1
El modelo de madurez genérico tiene seis atributos distintos aplicables a cada proceso y que apoyan
a la organización a obtener una visión más detallada del nivel de madurez de los procesos.
Mencione los seis niveles de madurez del proceso adoptado por COBIT 4.1.
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Evaluación de Capacidad de Procesos

En COBIT 5, ya no se usa el término madurez como instrumento de medición de los procesos, sino
el término “capacidad”. Los modelos de capacidad y de madurez son distintos, pero existe una
relación entre ellos como veremos en este capítulo.
El modelo de evaluación de Procesos sistematizado por PAM abarca los otros 6 habilitadores del
modelo COBIT 5 (capítulo 2), y no únicamente “Procesos”, como sucedía con el modelo de
madurez de COBIT 4.1.
115
Así que aunque el PAM ofrezca información importante sobre el estado actual de los procesos de
TI, estos, en la práctica, representan solamente uno de los siete habilitadores de gobernanza y
gestión.
Basados en COBIT 5, las evaluaciones de los procesos no representan el cuadro completo del
estado de gobernanza y de gestión de una empresa, una vez que los demás habilitadores también
deben ser analizados en el contexto de gobernanza y gestión corporativa en una organización.
Modelo de Evaluación de Capacidad de Procesos (PAM): Atributos y niveles
La evaluación de Capacidad de Procesos de COBIT está basada en la ISO/IEC 15504, que es una
norma reconocida mundialmente. Este modelo de capacidad se basa en la norma de Evaluación de
Procesos de Ingeniería de Software.
La evaluación de capacidad del modelo basado en la ISO/IEC 15504 proporcionará medios para
medir el desempeño de cualquiera de los procesos de gobernanza (Dominio EDM) o de gestión
(Dominio PBRM). El modelo de evaluación basado en la ISO/IEC 15504 permite la identificación
de las áreas y procesos que necesitan ser mejorados.
La figura 6.2 presenta los niveles y atributos genéricos de Evaluación de Capacidad de Procesos de
COBIT basado en la ISO/IEC 15504.
Figura 23: Atributos de Capacidad de Procesos de COBIT 5
Como puede observarse, los Niveles de Capacidad de Procesos varían desde Inexistente, Ejecutado,
Gestionado, Establecido, Predecible hasta Optimizado. Cada nivel está compuesto por atributos
mínimos que deben estar presentes para determinar el nivel de capacidad a atribuirse a un proceso
evaluado.
116
El proceso de Evaluación de COBIT 5 mide hasta cuánto un determinado proceso alcanza atributos
específicos relativos a este proceso, siendo denominado “Atributos del proceso”. Este proceso de
evaluación contempla nueve atributos de proceso basados en la ISO/IEC 15504-2:
 PA1.1: desempeño (ejecución) del proceso;
 PA2.1: gestión de ejecución;
 PA2.2: gestión del resultado del trabajo;
 PA3.1: definición del proceso;
 PA3.2: implementación del proceso;
 PA4.1: gestión del proceso;
 PA4.2: control del proceso;
 PA5.1: innovación del proceso;
 PA5.2: optimización del proceso.
Niveles de Evaluación de Capacidad de Procesos

Un determinado proceso puede alcanzar seis niveles de capacidad, de acuerdo con su estado de
implementación, variando desde “Inexistente” hasta el nivel de “Optimizado” de acuerdo a lo
descrito en la siguiente tabla.
Nivel de Capacidad Descripción del proceso

0: Proceso Inexistente El proceso no ha sido implementado o no alcanzó su objetivo. Hay poca o
ninguna evidencia de cualquier avance sistemático en el objetivo del
proceso
1:Proceso Ejecutado El proceso implementado alcanza su objetivo
(un atributo)
2: Proceso Gestionado El proceso está implementado de forma planificada, monitoreada y
(dos atributos) ajustada, y sus productos del trabajo han sido adecuadamente
establecidos, controlados y mantenidos
3: Proceso Establecido El proceso está implementado utilizando un proceso definido, capaz de
(dos atributos) alcanzar sus resultados.
4: Proceso Predecible El proceso opera dentro de los límites definidos para producir sus
(dos atributos) resultados esperados.
5: Proceso Optimizado El proceso es continuamente mejorado, buscando la consecución de los
(dos atributos) objetivos corporativos pertinentes, actuales o previstos.
Tabla 13: Niveles de Capacidad de Procesos
Como podemos observar, niveles de capacidad más altos, requieren la incorporación de diferentes
atributos.
117
Para pensar
Existe una diferencia significativa entre la capacidad de procesos de nivel 1 y los niveles de
capacidad más elevados.
¿Cual es la principal diferencia entre los niveles de capacidad 0 y 1 de COBIT?
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
¿Cómo podemos garantizar que el proceso de Gestión de Cambios en una organización esté en el
nivel 5?
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Niveles de Capacidad de Procesos en la práctica

Para alcanzar las capacidades de proceso de nivel 1, existe el requerimiento de que el atributo de
desempeño del proceso sea ampliamente cumplido, esto es, que el proceso sea realizado con éxito y
los resultados esperados sean obtenidos por la empresa.
El alcanzar la capacidad de nivel 1 debe ser considerado un importante hito para la empresa, aunque
representa un nivel bajo de capacidad para el proceso.
Cada empresa definirá su meta o nivel deseado. En la práctica, las empresas tendrán dificultades
para implementar niveles de capacidad más elevados.
Un determinado nivel de capacidad solamente puede ser alcanzado cuando el nivel anterior ha sido
plenamente alcanzado.
Por ejemplo, una capacidad de proceso de nivel 3 (proceso establecido) exige que la definición del
proceso y de los atributos de implementación sean ampliamente alcanzados además de que se haya
alcanzado la consecución plena de los atributos de una capacidad de proceso nivel 2 (proceso
gestionado).
118
Identifique los principales desafíos y dificultades para la implementación de niveles de capacidad
más elevados en su organización.
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Modelo de Referencia de Proceso de COBIT 5

El modelo de referencia de procesos de COBIT – Enabling Process, de acuerdo con la ISO/IEC
15504, define los requisitos mínimos para la evaluación de los procesos en las áreas de gobernanza
y de gestión de una organización. La norma ISO/IEC 15504 tiene como presupuestos que:
 El proceso debe ser descrito en términos de objetivos y resultados;
 La descripción del proceso no tendrá medición más allá o por debajo del nivel 1;
De esta forma, ninguna característica de un atributo de proceso por debajo del nivel 1 podrá constar
en la descripción del proceso; si un proceso fuera medido y monitoreado o formalmente descrito, no
podrá constar de descripción de proceso o de cualquiera de las prácticas o actividades de gestión
dentro de este nivel.
En la práctica, esta sistematización indica que las descripciones de un determinado proceso,
previsto en la publicación de COBIT 5 – Habilitador Proceso, contiene solamente los pasos
necesarios para la consecución de las metas y objetivos del proceso.
Históricamente, algunos modelos (COBIT, ITIL, PRINCE 2) adoptaron un enfoque CMM: SEI
(Software Engineering Institute), que combina evaluaciones de capacidad y de madurez en una
única evaluación. La ISO 15504, por otro lado, establece dos evaluaciones distintas:
 Una evaluación de madurez es realizada en el nivel organizacional y usa una escala de

medición diferente de una evaluación de capacidad, además de diferentes criterios y
atributos;
 Una evaluación de capacidad se realiza a nivel de proceso y es usada para fines de mejora en
los procesos.
Matemáticamente, no se puede combinar una evaluación de capacidad de diversos procesos para
obtener una evaluación de la organización. Esto funciona para el CMMI/SEI, porque está evaluando
un único proceso, el de “desarrollo de ingeniería de software o desarrollo de aplicaciones”. Más
aún, la mayoría de los modelos, como COBIT, contienen más de 10 procesos.
La ISO/IEC 15504 establece que las prácticas de gobernanza y gestión, cuando son ejecutadas de
119
forma consistente, contribuyen a alcanzar la finalidad del proceso y que los productos del trabajo
(artefacto asociado con la ejecución de un proceso) deben ser definidos en términos de entradas y
salidas del proceso.
Comparativo entre los modelos de Madurez y de Capacidad
Los atributos de los modelos de madurez de COBIT 4.1 y de capacidad de COBIT 5, en cierta
medida, se sobreponen. La siguiente figura presenta una tabla comparativa entre los atributos de
madurez y de capacidad, destacando los que son en común.
Atributo de Capacidad de Procesos en COBIT 5
Atributo
Desempeño Gestión de Gestión de Definición Implementa Gestión del Control del Innovación Optimiza-
de
del proceso Desempeño Producto del proceso ción del proceso proceso del proceso ción del
Madurez
del trabajo proceso proceso
de COBIT
4.1
Concien-
ciación y
Comuni-
cación
Políticas,
planes y
procedi-
mientos
Herra-
mientas y
Automati-
zación
Habilida-
des y
Expertise
Respon-
sabilida-
des
Definición
de metas y
medición
Tabla 14: Tabla comparativa entre los Modelos de Madurez y de Capacidad

Existen diferencias prácticas asociadas al cambio en los modelos de Evaluación de Procesos. Los
profesionales involucrados en actividades de Evaluación de Procesos deben conocer estos cambios
y estar prestos a considerarles en sus tareas en las organizaciones.
Los principales cambios considerados están descritos en la siguiente tabla.
Comparación entre Niveles de Madurez (COBIT 4.1) y de Capacidad de Proceso (COBIT 5)

Nivel del Modelo de Madurez Nivel de Capacidad de Proceso Contexto
5. Optimizado: Los procesos Nivel 5: proceso Optimizado –
están afinados a nivel de buenas El proceso predecible (nivel 4) es
prácticas, en base a los resultados continuamente mejorado como
de mejoras continuas y modelado forma de satisfacer los objetivos
120
de la madurez en otras corporativos pertinentes, actuales
organizaciones o previstos.
TI aplicadas de forma integrada
para automatizar el flujo de
trabajo, ofreciendo herramientas
para la mejora de la calidad y de
la eficacia, haciendo que la
organización se adapte
rápidamente.
4. Controlado y Medible: la Nivel 4: proceso Predecible – El Visión de organización.
administración monitorea y proceso Establecido (nivel 3)
evalúa la conformidad con los opera dentro de límites definidos, Conocimiento corporativo.
procedimientos, y toma medidas capaz de alcanzar sus resultados.
cuando los procesos puedan no
estar funcionando efectivamente.
Los procesos están en constante
mejoría y resultan en buenas
prácticas. Automatización y
herramientas son utilizadas de
manera limitada o fragmentada.
3. Proceso Establecido: Los Nivel 3: proceso Establecido – El
procedimientos fueron normados, proceso Gestionado (nivel 2) es
documentados y comunicados a implementado utilizando un
través de entrenamiento. proceso definido capaz de
Es obligatorio el seguir estos alcanzar los resultados del
procesos; sin embargo es proceso.
improbable que desvíos sean
detectados. Los procedimientos
por sí solos no son sofisticados,
sino que son una mejora de las
prácticas existentes.
Nivel 2: proceso Gestionado – El
proceso Ejecutado, nivel 1, es
implementado de forma
gestionada (planificado,
monitoreado y ajustado) y sus
productos del trabajo son
adecuadamente establecidos,
controlados y mantenidos.
2. Repetible, pero intuitivo: los Nivel 1: proceso Ejecutado – El Vista de instancia
procesos se desarrollan hasta el proceso implementado permite Conocimiento individual.
estado en que procedimientos alcanzar el fin del proceso.
semejantes son adoptados por Nova: es probable que algunos
diferentes personas que realizan procesos clasificados como
el mismo trabajo. No hay Modelo de Madurez Nivel 1 sean
entrenamiento formal o clasificados como nivel 0 en la
121
comunicación de estándares de ISO/IEC 15504, si los resultados
procedimientos. La del proceso no fueran alcanzados
responsabilidad recae a criterio
del individuo. Existe un alto
grado de confianza en el
conocimiento de las personas y,
por lo tanto, pueden existir
errores.
1. Inicial o de hecho: existen Nivel 1: proceso Ejecutado – El
evidencias de que la organización proceso implementado permite
haya reconocido la existencia de alcanzar el fin del proceso.
problemas que deberían ser Nota: es probable que algunos
tratados. No hay procesos procesos clasificados como
normalizados sino que hay Modelo de Madurez Nivel 1 sean
enfoques de hecho, que tienden a clasificados como nivel 0 en la
ser aplicados individualmente o ISO/IEC 15504, si los resultados
en base a cada caso. El enfoque del proceso no fueran alcanzados
general de la gestión es
desorganizado.
0. Inexistente: total falta de Nivel 0: proceso incompleto –
procesos reconocibles. La No han sido implementados
organización no reconoce que procesos o no cumplen su
existe un problema a ser tratado. finalidad.
Tabla 15: Comparativo entre los Modelos de Madurez y de Capacidad
La anterior tabla demuestra que, comparando los instrumentos de medición de los modelos COBIT
4.1 y COBIT 5 y, principalmente, las modificaciones implementadas en el modelo COBIT 5, se
observa que:
 Es difícil comparar entre los resultados de la evaluación en los modelos COBIT 4.1 y
COBIT 5, a pesar de las aparentes semejanzas (número de escalas y términos para
describirlas);
 Las puntuaciones en la evaluación usando COBIT 5 son inferiores a las de COBIT 4.1;
 Contenido simplificado a través de la eliminación de duplicación, especialmente en COBIT

4.1, que tenía la duplicación de objetivos de control y las actividades RACI;
 Mayor confiabilidad y repetibilidad de actividades y evaluaciones de capacidad de procesos,

reduciendo diferencias y divergencias entre las partes interesadas sobre los resultados
obtenidos (basado en evidencias);
 Aumento de la usabilidad de la evaluación de la capacidad del proceso, debido a un mayor

rigor del proceso de evaluación;
 Conformidad con una norma de evaluación de proceso generalmente aceptada y, por tanto,
122
con un fuerte apoyo del mercado.
En el modelo de madurez de COBIT 4.1, un proceso podría alcanzar el nivel 1 o 2 sin cumplir
plenamente todos los objetivos del proceso; en el nivel de capacidad de COBIT 5, esto resultará en
una puntuación más baja, de 0 o 1.
Las escalas de capacidad de COBIT 4.1 y COBIT 5 descritas en las anteriores tablas pueden ser
utilizadas para realizar una relación aproximada entre los dos modelos.
Basándonos en la anterior tabla, las organizaciones que utilizan el enfoque de atributos del modelo
de madurez de COBIT 4.1 pueden reutilizar los datos actuales de su evaluación y reclasificarlos
según las evaluaciones de atributos de COBIT 5.
La nomenclatura y el significado de los niveles de capacidad definidos para la ISO7IEC 15504 son
distintos de los actuales niveles de madurez de los procesos de COBIT 4.1. En la ISO7IEC 15504,
los niveles de capacidad son definidos por un conjunto de nueve atributos de procesos. Estos
atributos abarcan algunos fundamentos cubiertos por los actuales atributos de madurez y/o controles
de procesos de COBIT 4.1, pero sólo en cierta medida.
Para COBIT 5, no hay un modelo de madurez específico por proceso detallado, porque el enfoque
de evaluación de capacidad basada en la ISO/IEC 15504 no presupone esta sistemática.
Los atributos de madurez de COBIT 4.1 y los atributos de capacidad de proceso de COBIT 5 no
son idénticos.
Considerando los cambios entre los modelos de COBIT 4.1 y COBIT 5, consulte el apéndice X,
“Análisis comparativo entre los modelos de evaluación de procesos de COBIT 4.1 y COBIT 5” del
modelo COBIT 5, en www.isaca.org/cobit, que presenta un material complementario que le
permitirá profundizar los conocimientos sobre los cambios en los modelos.
Evaluación de Capacidad de Proceso en la práctica
El enfoque de COBIT 5 define las informaciones requeridas en el “modelo de referencia de
proceso”, que será utilizado como referencia para la evaluación.
En esta etapa, la evaluación de la capacidad del proceso debe contemplar:
 Descripción del proceso y del objetivo;
 Prácticas básicas de gobernanza o gestión, de acuerdo al proceso de COBIT 5;
 Productos del trabajo equivalentes a las entradas y salidas de COBIT 5.
En COBIT 5, el modelo de evaluación provee una escala de medición para cada atributo de
capacidad y orientación sobre cómo aplicarle; entonces, para cada proceso, una evaluación puede
ser realizada para cada uno de los nueve atributos de capacidad.
123
Relacione las principales diferencias entre una evaluación de capacidad de proceso basado en
COBIT 5 y una evaluación de madurez basada en COBIT 4.1. Utilice las figuras de este capítulo
como referencia para esta pregunta. Consulte, en caso de requerirle, el apéndice X “Análisis
comparativo entre los modelos de evaluación de procesos de COBIT 4.1 y COBIT 5” del modelo
COBIT 5, en www.isaca.org/cobit, para realizar esta actividad.
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Los beneficios del modelo de capacidad de procesos de COBIT 5, comparados con los modelos de
madurez de COBIT 4.1 incluyen:
 Mayor énfasis en el proceso que está siendo realizado, para confirmar que se están
alcanzando, efectivamente, sus objetivos y los resultados esperados;
 Simplificación del contenido, eliminando duplicidad de análisis, porque la evaluación del

modelo de madurez de COBIT 4.1 exigía otros componentes (modelo de madurez genérico,
modelo de madurez del proceso, objetivos de control y objetivos de control detallados);
 Mayor confiabilidad y receptividad de las actividades y análisis de evaluación de la

capacidad del proceso, reduciendo diferencias y malos entendidos entre los participantes en
relación a los resultados de la evaluación;
 Mayos uso de los resultados de la evaluación de capacidad del proceso, en vista de que el
nuevo modelo establece una base para realizar evaluaciones más rigurosas y formales, tanto
para fines internos como externas;
 Conformidad con una norma de evaluación de procesos generalmente aceptada y, por tanto,
con un fuerte apoyo a la evaluación del procesos en el mercado.
Correspondencia entre los Niveles y los Atributos de Madurez y Capacidad

COBIT 4.1 ISO/IEC 15504 Descripción de los atributos
Nivel de Madurez Nivel de Capacidad
5 Optimizado 5 Optimizado PA5.1 Innovación del proceso
PA5.2 Optimización del proceso
4 Administrado y medible 4 Predecible PA4.1 Medición del proceso
PA4.2 Control del proceso
3 Definido 3 Establecido PA3.1 Definición del proceso
PA3.2 Implantación del proceso
124
2 Repetible 2 Gestionado PA2.1 Gestión de ejecución
PA2.2 Gestión de los productos del trabajo
1 Inicial/Ad hoc 1 Ejecutado PA1.1 Ejecución del proceso
0 Inexistente 0 Incompleto
Tabla 16: Niveles y Atributos de Madurez y de Capacidad
Descripción de los Atributos de los Procesos PA1.1, PA2.1 y PA2.2
Atributo Descripción
PA1.1 Ejecución del proceso El atributo de desempeño del proceso es una medida de cuánto se
alcanza la finalidad del proceso. Como resultado de la realización
plena de este atributo, el proceso alcanza sus resultados definidos.
PA2.1 Gestión de Ejecución Una medida de cuánto la ejecución del proceso es gestionada.
Como resultado de alcanzar totalmente este atributo:
 Los objetivos de desempeño del proceso son identificados.
 El desempeño del proceso es planificado y monitoreado.
 El desempeño del proceso está ajustado para cumplir los
planes.
 Responsabilidades y autorizaciones para la ejecución del
proceso son definidas, atribuidas y comunicadas.
 Los recursos y las informaciones necesarias para la
ejecución del proceso son identificados, puestos a
disposición, asignados y utilizados.
 Las interfaces entre las partes involucradas son
gestionadas para asegurar una comunicación efectiva y
una asignación clara de responsabilidades.
PA2.2 Gestión de los Productos Una medida de cuánto los productos del trabajo producidos por el
del Trabajo proceso son adecuadamente gestionados. Como resultado de la
ejecución completa del atributo:
 Los requisitos para los productos de trabajo del proceso
son definidos.
 Los productos del trabajo estarán debidamente
identificados, documentados y controlados.
 Los productos del trabajo son revisados de acuerdo con las
disposiciones previstas, y ajustados de ser necesarios, para
cumplir con los requisitos.
Tabla 17: Atributos PA 1.1, PA 2.1 y PA 2.2
Evaluación de Capacidad del Proceso

La norma ISO/IEC 15504 establece que las evaluaciones de capacidad del proceso pueden ser
realizadas con diversos fines y con diversos grados de rigor, pudiendo ser de carácter interno, con
125
enfoque en comparaciones entre las áreas de la empresa y/o mejoras en el proceso interno; o
externas, con enfoque en la evaluación, reporte y certificación formal.
Los objetivos de la evaluación de procesos basados en la ISO/IEC 15504:
 Permitir al órgano de gobernanza y de administración evaluar el desempeño de capacidad de

procesos;
 Permitir verificaciones de integridad “del estado actual” y “del estado deseado” a alto nivel,
a fin de apoyar a la toma de decisiones por el órgano de gobernanza y por la administración
en relación a la mejoría de los procesos;
 Proporcionar análisis de fallas e informaciones para planificar mejoras, a fin de apoyar la

definición de proyectos de mejoras;
 Ofrecer al órgano de gobernanza y administración clasificaciones para las evaluaciones, a

fin de medir y monitorear las capacidades actuales.
La evaluación diferencia entre la capacidad de evaluación nivel 1 y los niveles más altos. De hecho,
de acuerdo a lo descrito, la capacidad de proceso nivel 1 describe si un proceso alcanza los
objetivos deseados y es, por tanto, un nivel muy importante a ser alcanzado – es fundamental para
permitir que los niveles de capacidad más altos sean alcanzados.
Paso a paso de la Evaluación de Capacidad de Procesos
Para evaluar si un proceso alcanza sus objetivos, o sea, la capacidad nivel 1, podemos adoptar los
siguientes pasos:
1. Análisis de los resultados del proceso de acuerdo a su descripción detallada y utilice la
escala de clasificación ISO/IEC 15504 para atribuir una clasificación al grado de realización
de cada objetivo. La escala está formada por los siguientes parámetros:
Nivel Por ciento de cumplimiento Descripción

N (No cumplido) 0 a 15% Existe poca o ninguna evidencia
del cumplimiento del atributo
para el proceso
P (Parcialmente cumplido) 15 a 50% Existe alguna evidencia de un
enfoque para realizar el atributo
y algún cumplimiento del
atributo. Algunos aspectos de l
cumplimiento pueden ser
imprevisibles.
L (Ampliamente cumplido) 50 a 85% Existen evidencias de un
enfoque sistemático para
alcanzar el atributo y un alcance
significativo del atributo.
Algunas debilidades
126
relacionadas a este atributo
pueden existir en el proceso de
evaluación.
F (Completamente cumplido) 85 al 100% Existen evidencias de un
enfoque completo y sistemático
para cumplir con el atributo y el
cumplimiento completo del
atributo. No existen deficiencias
significativas en relación con
este atributo
Tabla 18: Parámetros para evaluación de capacidad
2. A continuación, las prácticas del proceso (gobernanza o gestión) deben ser evaluadas
utilizando la misma escala de evaluación, que expresa en qué medida las prácticas básicas
fueron aplicadas.
3. Con el objetivo de afinar la evaluación, los productos del trabajo también deben ser tenidos
en consideración, para determinar en qué medida un atributo de evaluación específico fue
alcanzado.
La definición de los niveles de capacidad deseados es de criterio de cada empresa. Muchas
empresas desearán ver todos sus procesos alcanzados, como mínimo a nivel 1. ¿Por qué? Si este
nivel no fuera alcanzado, se evidenciarán los motivos en función del enfoque explicado
anteriormente y debería definirse un plan de mejoras.
Si el resultado del proceso no fuera alcanzado de forma consistente, el proceso no alcanzará su
objetivo y tendrá que ser mejorado.
La evaluación de las prácticas del proceso revelará cuáles prácticas están faltando o fallando,
permitiendo que la se adopte una implementación y/o mejora de estas; de forma que los resultados
del proceso puedan ser alcanzados.
Programa de Evaluación de Capacidad de COBIT

La ISO/IEC 15504-4 identifica el proceso de evaluación como una actividad que puede ser
realizada como parte de una iniciativa de mejoras de procesos o como parte de un enfoque de
determinación de capacidad del proceso.
El objetivo de la determinación de la capacidad del proceso es identificar los puntos fuertes, los
puntos débiles y los riesgos del proceso. Además, un proceso de evaluación de capacidad provee
una metodología repetible, comprensible, lógica, confiable y robusta para evaluar la capacidad de
los procesos de TI.
El programa de Evaluación de COBIT permite a una empresa obtener una evaluación independiente
y certificada, alineada con la norma internacional ISO/IEC 15504. El programa de Evaluación de
COBIT comprende:
127
 Evaluaciones formales efectuadas por evaluadores acreditados;
 Autoevaluaciones (menos rigurosas) para el análisis de lagunas internas y planificación de la

mejoría del proceso.
¿Un determinado proceso posee cerca del 40% de cumplimiento de los resultados esperados. Qué
significa este porcentaje en términos de evaluación de capacidad definida por COBIT 5?
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
128
Fundamentos de COBIT 5
Versión ESR-Ecuador
Escuela Superior de Redes, ESR, Ecuador
Se publicó en el mes de Noviembre del 2016,

Publicado por CEDIA,
La Condamine 12-109
Cuenca, Azuay
Ecuador
+593 7 405 1000
info@cedia.org.ec
129

GTI5

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

GTI5

Caricato da

Copyright:

Formati disponibili

Fundamentos de COBIT 5

Tecnologías de la información (TI) aplicada a los negocios

Figura 1: Triada Procesos, Personas y Tecnologías

De esta forma, en ambientes organizacionales complejos, con el uso intensivo de TI y la

Describa dos buenas prácticas de gestión de TI adoptadas en su organización relacionadas a cada

¿Qué es la gobernanza de TI?

En este contexto se introduce un concepto muy discutido y debatido en la gestión de negocios en la

Según Fernandes y Abreu (2008), el principal objetivo de la gobernanza de TI es alinear a las

Weill y Ross (2004) conceptualizan la gobernanza de TI como un instrumento para la definición de

Defina con sus palabras: “gobernanza de TI”

Cite 3 objetivos de la gobernanza de TI propuestos por Fernandes y Abreu (2008).

Los principios de TI aportan al proceso de toma de decisiones sobre la arquitectura de TI, la

La organización de los procesos de TI requieren la definición de responsabilidades, roles y procesos

A nivel operacional, es usual la formalización de niveles de servicios denominados “Acuerdos de

Además, la gestión del rendimiento de TI se refiere al monitoreo de los objetivos de desempeño de

Componentes del sistema de gobernanza:

1 Del Inglés “Service Level Agreement” (SLA)

Desafíos para la gobernanza y gestión de TI en las

Veamos a continuación por qué la gobernanza de TI es un instrumento importante para la gestión de

Investigaciones sobre los beneficios de gobernanza de TI

Introducción a las estructuras de gobernanza de TI

A continuación, analizaremos los principales modelos (frameworks) de gobernanza de TI

Modelo de buenas prácticas Alcance

Principales normas de Gobernanza de TI

1. Gestión de riesgos TOGAF

Introducción al modelo corporativo COBIT 5

El modelo COBIT 5, llamado simplemente COBIT, está estructurado en 10 secciones: un resumen

Figura 2: Visión sistémica del framework de COBIT 5. Elaborado por el autor.

Factores que motivan la publicación de COBIT

Cuando la información es administrada de forma oportuna y calificada, esta apoya al proceso de

En ambientes complejos, las organizaciones necesitan de un modelo de tratamiento de la

La innovación presupone una concepción y el desarrollo de productos, el modelado de procesos de

En la concepción de COBIT, la eficiencia en la gestión depende de diversos factores como son

Aplicando el concepto de control institucional al proceso de desarrollo de soluciones y servicios de

Figura 3: Familia de productos de COBIT

En síntesis, la familia de COBIT 5 tiene como principales objetivos:

Detalle los documentos que componen a la familia de productos de COBIT 5

En búsqueda de la gobernanza corporativa de TI

En la práctica, cuando el área de TI se apropia de buenas prácticas de gestión, adicional a la

De esta forma, la integración de la gobernanza de TI a la gobernanza corporativa de la organización

Así mismo, el principal objetivo de la gobernanza corporativa de TI se relaciona con la creación de

Este es el camino en búsqueda de la gobernanza corporativa. ¿Y usted qué piensa?

Defina “gobernanza corporativa de TI”

Figura 4: Visión sistémica de los cinco principios de COBIT 5

Necesidades de las partes interesadas

 ¿Para quién son los beneficios?

 ¿Quién asume el riesgo?

 ¿Qué recursos son necesarios?

¿Cuáles son las principales necesidades de estas partes interesadas?

2do principio: cubrir la organización de punta a punta

 Integrar la gobernanza de TI a la gobernanza de la organización, esto es: el sistema de

 Algo (tangible o intangible) que apoya al éxito de la gobernanza.

 Factores que interfieren en el éxito de la gobernanza

 Componentes esenciales y necesarios para la gobernanza corporativa.

COBIT define siete habilitadores para un eficiente sistema de gobernanza:

Figura 7: Principales funciones, actividades y relaciones en un sistema de gobernanza

¿La gerencia definió el alcance de la gobernanza? ¿Cuál es el alcance de la gobernanza? ¿Qué

Basado en la anterior figura (principales funciones, actividades y relaciones en un sistema de

3er principio: Aplicar una estructura única e integrada

 Esta figura retrata la “Base de Conocimientos de COBIT 5” como modelo y estructura

 Familia de productos de COBIT5.

4to Principio: Permitir un enfoque holístico

Figura 10: Diferencias entre Gobernanza y Gestión en COBIT

 Alinear, Planificar, Organizar (APO);