COBIT 5

AN ISACA FRAMEWORK
Un marco de negocio para el gobierno y la gestión de las TI de la empresa.
 Qué es COBIT:
 Es un conjunto de mejores prácticas para el gobierno y la
gestión de las tecnologías de información.
 COBIT 5 es un marco de trabajo que permite comprender el
gobierno y la gestión de las tecnologías de información (TI)
de una organización, así como evaluar el estado en que se
encuentran las TI en la empresa.
 En inglés se denomina “Control Objetives for Information and
related Technology o COBIT 5, también se puede definir
como un conjunto de herramientas de soporte empleadas
por los gerentes para reducir la brecha entre los
requerimientos de control, los temas técnicos y los riesgos del
negocio.
 TI
 La mejora del gobierno TI de la empresa (GEIT) es ampliamente reconocida
por la alta dirección como una parte esencial del gobierno corporativo. En un
momento en que la importancia de la información y la omnipresencia de la
tecnología de la información (TI) está incrementándose en cada aspecto de
los negocios y de la vida pública, la necesidad de sacar más rendimiento a las
inversiones en TI y gestionar un conjunto cada vez más amplio de riesgos
relacionados con TI nunca ha sido mayor. El aumento de la regulación
también está impulsando el aumento de la concienciación entre los consejos
de administración con respecto a la importancia de un entorno de TI bien
controlado y la necesidad de cumplir con las obligaciones legales,
reglamentarias y contractuales.
Así, mediante COBIT 5 se puede desarrollar una
política clara que permite el control de las TI en la
organización. La aplicación de este marco incide
especialmente en el cumplimiento regulatorio y ayuda
a incrementar el valor asociado al área de TI de la
organización. Desde su inicio, COBIT 5 ha
evolucionado desde su uso para la auditoría de TI,
para luego pasar por el control, la gestión de TI, el
gobierno de TI, llegando a su versión actual que es un
enfoque holístico de gobierno corporativo de TI.
SATISFACCIÓN DE LAS NECESIDADES DE
LAS PARTES INTERESADAS:
Satisfacción de las necesidades de los
accionistas: se alinean las necesidades
de los accionistas con los objetivos
empresariales específicos, objetivos de TI
y objetivos habilitadores. Se optimiza el
uso de recursos cuando se obtienen
beneficios con un nivel aceptable de
riesgo.
CUBRIR A LA EMPRESA EXTREMO A
EXTREMO
Considerar la empresa de punta a
punta: el gobierno de TI y la gestión de TI
son asumidos desde una perspectiva
global, de tal modo que se cubren
todas las necesidades corporativas de TI.
Esto se aplica desde una perspectiva
"de punta a punta" basada en los 7
habilitadores de COBIT.
APLICAR UN MARCO DE REFERENCIA
ÚNICO INTEGRADO
 Aplicar un único modelo de referencia integrado: COBIT 5 integra los
mejores marcos de Information Systems Audit and Control Association
(ISACA) como Val IT, que relaciona los procesos de COBIT con los de la
gerencia requeridos para conseguir un buen valor de las inversiones en
TI. También se relaciona con Risk IT, lanzado por ISACA para ayudar a
organizaciones a equilibrar los riesgos con los beneficios.
 Se considera el uso de Business Model for Information Security (BMIS) e
IT Assurance Framework (ITAF). Además permite alinearse con los
principales estándares o marcos como Information Technology
Infrastructure Library (ITIL), The Open Group Architecture Forum
(TOGAF), Project Management Body of Knowledge (PMBOK), PRojects
IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring
Organizations of the Treadway Commission (COSO) y estándares ISO.
HACER POSIBLE UN ENFOQUE
HOLÍSTICO
Posibilitar un enfoque holístico: los
habilitadores de COBIT 5 están identificados
en siete categorías que abarcan la empresa
de punta a punta. Individual y
colectivamente, estos factores influyen para
que el gobierno de TI y la gestión de TI
operen en función de las necesidades del
negocio.
 SEPARAR EL GOBIERNO DE LA GESTIÓN:
 Separar el gobierno de la gestión: COBIT 5 distingue con claridad
los ámbitos del gobierno de TI y la gestión de TI. Se entiende por
gobierno de TI las funciones relacionadas con la evaluación, la
dirección y el monitoreo de las TI. El gobierno busca asegurar el
logro de los objetivos empresariales y también evalúa las
necesidades de los accionistas, así como las condiciones y las
opciones existentes. La dirección se concreta mediante la
priorización y la toma efectiva de decisiones. Y el monitoreo
abarca el desempeño, el cumplimiento y el progreso en función
con los objetivos acordados. La gestión está más relacionada con
la planificación, la construcción, la ejecución y el monitoreo de las
actividades alineadas con la dirección establecida por el
organismo de gobierno para el logro de los objetivos
empresariales.
 Los catalizadores en COBIT 5
Los catalizadores que deben ser considerados para ayudar
a fomentar la consecución de los objetivos del marco de la
empresa y añadir valor son:
• Principios, políticas y marcos
• Procesos
• Estructuras organizativas
• Cultura, ética y comportamiento
• Información
• Servicios, infraestructuras y aplicaciones
• Personas, habilidades y competencias
COBIT 5 incluye procesos que ayudan a
guiar la creación y mantenimiento del
gobierno y la gestión de catalizadores.
• EDM01 Asegurar el establecimiento y mantenimiento del
marco de gobierno (cultura, ética y comportamiento;
principios, políticas y marcos; estructuras organizativas; y
procesos)
• APO01 Gestionar el marco de gestión TI (cultura, ética y
comportamiento; principios, políticas y marcos; estructuras
organizativas; y procesos)
• APO03 Gestionar la arquitectura empresarial (información;
servicios, infraestructura y aplicaciones)
• APO07 Gestionar los recursos humanos (personas,
habilidades y competencias)
APLICANDO UN ENFOQUE DE CICLO
DE VIDA DE MEJORA CONTINUA:
La aplicación de un enfoque de ciclo de vida de mejora continua
proporciona un método a las empresas para gestionar la
complejidad y los retos típicos que surgen durante la implantación
del GEIT. Existen tres componentes interrelacionados en el ciclo de
vida, como muestra la figura 5: el núcleo del ciclo de vida de la
mejora continua de GEIT, la facilitación del cambio
(contemplando los aspectos culturales y de comportamiento de la
implementación o mejora), y la gestión del programa. En la figura
5, las iniciativas son presentadas como ciclos de vida continuos
enfatizando el hecho de que no son actividades excepcionales,
sino que forman parte del proceso de implementación y mejora
que se convertirán en “habitual”, momento en el cual el programa
puede ser retirado.
Las siete fases de la implementación del ciclo
de vida se muestran en la figura 6. La
implementación y el programa de mejora es
normalmente algo continuo e iterativo. Durante
la última fase, los nuevos objetivos y
requerimientos serán identificados y se iniciará
un nuevo ciclo de vida.
 FASE 1 Cuáles son los motivos?
La fase 1 identifica los motivadores actuales de cambio y crea, a nivel de
dirección ejecutiva, un deseo de cambio que entonces es expresado en un
esquema de caso de negocio. Un motivador de cambio es un evento
interno o externo, condición o aspecto clave que sirve como estimulo para
el cambio. Eventos, tendencias (de industria, de mercado o tecnológicas),
deficiencias en el desempeño, implementación de software e incluso los
objetivos de la empresa pueden actuar como motivadores del cambio. El
riesgo asociado con la implementación del programa en sí mismo se
reflejará en el caso de negocio y se gestionará a través del ciclo de vida.
Preparar, mantener y supervisar el caso de negocio son disciplinas
fundamentales y esenciales para justificar, apoyar y por consiguiente
asegurar el éxito del resultado de cualquier iniciativa, incluyendo la mejora
del GEIT. Aseguran un enfoque continuo sobre los beneficios del programa y
su realización. El apéndice D contiene un ejemplo de caso de negocio de
GEIT.
 FASE 2 Dónde estamos ahora?
La fase 2 alinea los objetivos relacionados con TI con la
estrategia de la empresa y el riesgo y prioriza los principales
objetivos de la empresa, los objetivos relacionados con TI y
los procesos. COBIT 5 proporciona un mapeo genérico de los
objetivos de la empresa con los relacionados con TI y sus
procesos para ayudar con la selección. Dados los objetivos
de la empresa y de TI seleccionados, se identifican los
procesos críticos que se necesitan para asegurar resultados
exitosos. La gerencia necesita saber dónde están las
capacidades actuales y dónde pueden existir ineficiencias.
Esto se logra mediante una evaluación de capacidad del
estado de los procesos seleccionados.
 FASE 3 Dónde queremos ir?
La fase 3 establece los objetivos de mejora
seguidos por un análisis comparativo para
identificar las potenciales soluciones. Algunas
soluciones serán fácilmente aplicables y otros
serán un reto, tareas a largo plazo. Se debe
dar prioridad a los proyectos que son más
fáciles de alcanzar y que aparentemente
aportan mayores beneficios. Las tareas a largo
plazo deberían segmentarse en otras más
manejables.
 FASE 4 Qué es preciso hacer?
La fase 4 consiste en soluciones prácticas y
viables mediante la definición de proyectos
apoyados por casos de negocios justificables y el
desarrollo de un plan de cambio para la
implementación. Un caso de negocio bien
desarrollado ayudará a asegurar que los
beneficios del proyecto son identificados y
continuamente supervisados.
 FASE 5 Cómo conseguiremos llegar?
La fase 5 prevé la implementación de la solución
propuesta en las prácticas del día a día y el
establecimiento de medidas y sistemas de
supervisión para asegurar que se consigue la
alineación con el negocio y que el rendimiento
puede ser medido.
El éxito requiere la participación, sensibilización y
comunicación, el entendimiento y el compromiso
de la alta dirección y los dueños de los procesos
de negocio y TI afectados.
FASE 6 Hemos conseguido llegar?

La fase 6 se centra en la transición

sostenible de las prácticas de gobierno y
de gestión mejoradas a las operaciones
comerciales cotidianas así como la
supervisión de las mejoras a través de las
métricas de rendimiento y los beneficios
esperados.
FASE 7 Cómo mantenemos vivo el
impulso?
La fase 7 examina el éxito global de la
iniciativa, identifica requisitos
adicionales para el gobierno o la
gestión y refuerza la necesidad de las
mejoras continuas. Del mismo modo
prioriza las oportunidades adicionales
de mejora futuras del GEIT.
 PUNTOS DÉBILES MÁS COMUNES:

 Frustración del negocio con iniciativas fallidas, incremento del coste

de la TI y la percepción de un bajo valor al negocio.
 Incidencias significativas relacionadas con el riesgo del negocio
relacionado con TI, tales como pérdida datos o proyectos fallidos.
 Incumplimiento de los requisitos legales o contractuales.
 Limitaciones de TI a la capacidad de innovación de la empresa y en
la agilidad del negocio.
 Auditorias regulares que detectan problemas en el rendimiento de TI
o informan de problemas en la calidad de servicio.
 Gastos ocultos de TI
 Duplicado o superposición entre las iniciativas o despilfarro de
recursos.
 Insuficientes recursos TI, equipo humano con perfil inadecuado o
quemado / insatisfecho.
 Los cambios en TI frecuentemente no cumplen con las
necesidades del negocio y el presupuesto requerido es mayor o se
entrega tarde.
 Múltiples y complejos esfuerzos de aseguramiento de TI.
 Miembros del consejo, ejecutivos o altos directivos se muestran
reacios a comprometerse con TI o falta de patrocinadores de
negocio comprometidos y satisfechos con TI.
 Complejos modelos operativos de TI.
EVENTOS DESENCADENTANTES EN LOS
ENTORNOS INTERNOS Y EXTERNOS
 Fusiones, adquisiciones o desinversiones.
 Un cambio de posición en el mercado, economía o competitividad.
 Cambio en el modelo operativo del negocio o acuerdos de
aprovisionamiento.
 Nuevas regulaciones o requerimientos de cumplimiento
 Cambios tecnológicos o cambios de paradigma significativos.
 Un enfoque o proyecto de gobierno de toda la empresa.
 Un nuevo CIO, Director General Financiero (CFO), Director General Ejecutivo
(CEO) o miembro del Consejo.
 Auditorias o consultorías de evaluación externas.
 Una nueva prioridad o estrategia de negocio.
 Deseo de mejorar el valor que se obtiene de TI de manera significativa.
PARTICIPACIÓN DE LAS PARTES
INTERESADAS:
Son muchas las partes que deben colaborar para alcanzar el objetivo general de mejora del rendimiento
de TI. COBIT 5 está basado en la necesidad de las partes interesadas y la orientación contenida en esta
guía para desarrollar un mayor acuerdo y común entendimiento de los objetivos que es necesario
alcanzar para satisfacer las necesidades especificas que preocupan a las partes interesadas de una
forma coordinada y armonizada. Las principales partes involucradas y sus necesidades son:
• Consejo de Dirección y gerencia ejecutiva—¿Cómo establecer y definir la dirección de la empresa
para el uso de TI y supervisar el establecimiento de los principales catalizadores de GEIT relevantes y
requeridos para que se genere valor de negocio y los riesgos de TI se mitiguen?
• Gerentes ejecutivos de negocio, gestores de TI y propietarios de procesos—¿Cómo podemos permitir a
la empresa establecer/alinear los objetivos relacionados con TI para garantizar que se genere un
beneficio al negocio del uso de TI y el riesgo de TI sea mitigado?
• Gestores de negocio, gestores de TI y propietarios de procesos—¿Cómo podemos planificar, construir,
entregar y supervisar la información y soluciones TI y capacidades de servicios requeridas por el negocio y
dirigidas por el Consejo?
• Gestores de riesgos, cumplimiento y expertos legales—¿Cómo podemos asegurar que estamos
cumpliendo de acuerdo a las políticas, regulaciones, leyes y contratos, y que el riesgo está identificado,
valorado y mitigado?
• Auditoría interna—¿Cómo podemos proporcionar garantía independiente de la entrega de valor y
mitigación del riesgo?