capíTuLo 4

oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

4.2 Alinear, Planificar y Organizar (APO)

Alinear, Planificar y Organizar

01 Gestionar el marco de gestión de I&T

02 Gestionar la estrategia.

03 Gestionar la arquitectura empresarial.

04 Gestionar la innovación.

05 Gestionar el portafolio.

06 Gestionar el presupuesto y los costes.

07 Gestionar los recursos humanos.

08 Gestionar las relaciones.

09 Gestionar los acuerdos de servicio

10 Gestionar los proveedores

11 Gestionar la calidad.

12 Gestionar el riesgo

13 Gestionar la seguridad

14 Gestionar los datos

53
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

Página dejada en blanco intencionadamente

Alinear, Planificar y Organizar

54
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

Dominio: Alinear, Planificar y Organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO01 — Gestionar el marco de gestión de I&T COBIT
Descripción
Diseñar el sistema de gestión para la I&T de la empresa basándose en las metas empresariales y otros factores de diseño. En base a este diseño, implementar todos
los componentes necesarios del sistema de gestión.
Propósito
Implementar un enfoque de gestión consistente para permitir que se alcancen los requisitos de gobierno empresarial, con cobertura de componentes de gobierno,
como los procesos de gestión, las estructuras organizativas, los roles y las responsabilidades, las actividades confiables y repetibles, los elementos de información,
las políticas y procedimientos, las habilidades y las competencias, la cultura y el comportamiento, y los servicios, infraestructura y aplicaciones.
El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primarias:
Metas empresariales
Æ Metas de alineamiento
• EG03 Cumplimiento de leyes y regulaciones externas • AG03 Beneficios obtenidos del portafolio de inversiones y servicios

Alinear, Planificar y Organizar

• EG08 Optimización de la funcionalidad de procesos del negocio relacionados con I&T
internos • AG11 Cumplimiento de I&T con las políticas internas
• EG11 Cumplimiento de las políticas internas
• EG12 Gestión de programas de transformación digital
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
EG03 a. Coste de incumplimiento regulatorio, incluidos acuerdos y AG03 a. Porcentaje de inversiones posibilitadas por las I&T en las que los
multas beneficios previstos se cumplen o exceden
b. Número de problemas de incumplimiento regulatorio que b. Porcentaje de servicios de I&T para los que se han logrado los
causan comentarios públicos o publicidad negativa beneficios esperados (indicados en los acuerdos de nivel de
c. Número de problemas de incumplimiento señalados por los servicio)
reguladores
d. Número de problemas de incumplimiento regulatorio
relacionados con acuerdos contractuales con socios de
negocio
EG08 a. Niveles de satisfacción del consejo de administración y AG11 a. Número de incidentes relacionados con el incumplimiento de las
la dirección ejecutiva con las capacidades del proceso políticas relacionadas con I&T.
empresarial b. Número de excepciones a las políticas internas
b. Niveles de satisfacción de los clientes con las capacidades de c. Frecuencia de revisión y actualización de la política
prestación de servicios
c. Niveles de satisfacción de los proveedores con las capacidades
de la cadena de suministro
EG11 a. Número de incidentes relacionados con el incumplimiento de
la política
b. Porcentaje de las partes interesadas que entienden las
políticas
c. Porcentaje de políticas respaldadas por estándares y prácticas
de trabajo eficaces
EG12 a. Número de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución
del programa
c. Porcentaje de programas de transformación del negocio
suspendidos
d. Porcentaje de programas de transformación del negocio con
actualizaciones del estado notificadas regularmente

55
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso
Práctica de gestión Métricas modelo
APO01.01 Diseñar el sistema de gestión para la I&T de la empresa a. Número de aprobaciones formales por estructuras de gobierno aplicable de
Diseñar un sistema de gestión adaptado a las necesidades de la empresa. los objetivos prioritarios para el sistema de gestión de I&T
Las necesidades de gestión de la empresa se definen a través del uso de la b. Porcentaje de los componentes de gobierno integrados y alineados con el
cascada de metas y por la aplicación de factores de diseño. Asegurar que los gobierno, filosofía de gestión y estilo operativo de la empresa
componentes de gobierno están integrados y alineados con el gobierno, la
filosofía de gestión y estilo operativo de la empresa.
Actividades Nivel de
capacidad
1. Adquirir el conocimiento de la visión, dirección y estrategia empresarial, así como el contexto empresarial actual y sus desafíos. 2
2. Considerar el entorno interno de la empresa, incluyendo la cultura y filosofía de gestión, la tolerancia al riesgo, la política de seguridad y
privacidad, los valores éticos, el código de conducta, la rendición de cuentas y los requisitos para la integridad de la gestión.
Alinear, Planificar y Organizar

3. Aplicar la cascada de metas y los factores de diseño de COBIT a la estrategia y el contexto empresarial para decidir cuáles son las
prioridades para el sistema de gestión y, por ende, la implementación de los objetivos de gestión prioritarios.
4. Validar las prioridades seleccionadas para la implementación de objetivos de gestión con buenas prácticas o requisitos propios de la 3
industria (p. ej.: regulaciones específicas de la industria) y con estructuras de gobierno adecuadas.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
COSO Enterprise Risk Management, junio de 2017 7. Strategy and Objective-Setting—Principle 9
ISO/IEC 27001:2013/Cor.2:2015(E) International standard for establishing, implementing and maintaining a
management system (all chapters)
ITIL V3, 2011 Service Strategy, 2.3 Governance and management systems
Práctica de gestión Métricas modelo
APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones a. Frecuencia de comunicación de los objetivos y dirección de gestión para I&T
tomadas. b. Asignación de responsabilidad para el envío de comunicaciones regulares
Concienciar y fomentar el entendimiento de los objetivos de alineamiento de I&T
a las partes interesadas en toda la empresa. Comunicar regularmente decisiones
importantes relacionadas con I&T y su impacto para la organización.
Actividades Nivel de
capacidad
1. Proporcionar los recursos capacitados suficientes para respaldar el proceso de comunicación. 2
2. Definir las reglas básicas de comunicación, identificando las necesidades de comunicación e implementando planes basados en dichas 3
necesidades, considerando la comunicación ascendente, descendente y horizontal.
3. Comunicar continuamente los objetivos y la dirección de las I&T. Asegurar que las comunicaciones vengan respaldadas por las acciones y las
palabras de la dirección ejecutiva, usando todos los canales disponibles.
4. Asegurar que la información comunicada incluya una clara misión articulada, objetivos de servicio, controles internos, calidad, código
ético/conducta, políticas y procedimientos, roles y responsabilidades, etc. Comunicar la información con el nivel de detalle adecuado a las
audiencias respectivas dentro de la empresa.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para este componente.

56
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO01.03 Gestionar la implementación de procesos (para respaldar la a. Número de procesos prioritarios que deben implementarse o mejorarse para
consecución de objetivos de gobierno y gestión). cumplir con el nivel de capacidad objetivo
Definir los niveles de capacidad del proceso objetivos y la implementación b. Número de métricas definidas para el seguimiento de la implementación
prioritaria basándose en el diseño del sistema de gestión. satisfactoria del proceso
Actividades Nivel de
capacidad
1. Desarrollar el modelo de procesos objetivo de gobierno de I&T específico para la organización, basándose en la selección de los objetivos de 2
gestión prioritarios (salido del ejercicio de cascada de metas y factores de diseño).
2. Analizar la brecha entre el modelo de proceso objetivo para la organización y las prácticas y actividades actuales. 3
3. Hacer el borrador de una hoja de ruta para la implementación de prácticas y actividades de proceso faltante. Usar métricas de práctica para 4
hacer el seguimiento de una implementación satisfactoria

Alinear, Planificar y Organizar

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO01.04 Definir e implementar las estructuras organizativas. a. Nivel de satisfacción ejecutiva con la toma de decisiones de gestión
Establecer las estructuras organizativas (como los comités) internas y externas b. Número de decisiones que no se pudieron resolver dentro de las estructuras
requeridas por el diseño del sistema de gestión, permitiendo una toma de de gestión y fueron escaladas a estructuras de gobierno
decisiones efectiva y eficaz. Asegurar que la tecnología y conocimiento de la
información requeridos se incluyan en la composición de las estructuras de
gestión.
Actividades Nivel de
capacidad
1. Identificar las decisiones requeridas para la consecución de resultados empresariales y la estrategia de I&T y para la gestión y ejecución de 2
los servicios de I&T.
2. Involucrar a las partes interesadas críticas con la toma de decisiones (quien rinde cuentas, responsable, consultado o informado).
3. Definir el alcance, foco, mandato y responsabilidades de cada función dentro de la organización de I&T, en línea con la dirección de gobierno.
4. Definir el alcance de las funciones internas y externas, los roles internos y externos, y las capacidades y derechos de decisión requeridas 3
para cubrir todas las prácticas, incluidas aquellas ejecutadas por terceros.
5. Alinear la organización relacionada con I&T con los modelos organizativos de arquitectura de la empresa.
6. Establecer un comité de dirección de I&T (o equivalente) compuesto por directores ejecutivos, de negocio y de I&T para hacer un seguimiento
del estado de los proyectos, resolver los conflictos de recursos y monitorizar los niveles y mejoras del servicio.
7. Proporcionar las directrices para cada estructura de gestión (incluidas el mandato, objetivos, asistentes a reuniones, plazos, seguimiento,
supervisión y control), así como los insumos requeridos y los resultados esperados de las reuniones.
8. Comprobar de forma regular la adecuación y eficacia de las estructuras organizativas. 4
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

57
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO01.05 Establecer roles y responsabilidades. a. Número de roles de I&T asignados a individuos
Definir y comunicar roles y responsabilidades para I&T de la empresa, incluidos b. Número de descripciones de roles completos
los niveles de autoridad, responsabilidad y rendición de cuentas.
Actividades Nivel de
capacidad
1. Establecer, acordar y comunicar los roles y responsabilidades relacionadas con I&T a todo el personal de la empresa, de acuerdo con las 2
necesidades y objetivos de la empresa. Delinear claramente las responsabilidades y la rendición de cuentas, especialmente para la toma de
decisiones y aprobaciones.
2. Considerar los requisitos para la continuidad del negocio y del servicio de I&T al definir los roles, incluyendo los requisitos de personal de
respaldo y entrenamiento cruzado.
3. Proporcionar información al proceso de continuidad de servicios de I&T, manteniendo la información de contacto y las descripciones de roles
Alinear, Planificar y Organizar

de la empresa actualizados.
4. Incluir requisitos específicos en las descripciones de roles y responsabilidades relativos al cumplimiento de las políticas y procedimientos de
gestión, el código ético y las prácticas profesionales.
5. Asegurar que se defina la rendición de cuentas a través de roles y responsabilidades.
6. Estructurar roles y responsabilidades para reducir la posibilidad de que un único rol comprometa un proceso crítico.
7. Implementar las prácticas de supervisión adecuadas para asegurar que los roles y responsabilidades se ejerzan adecuadamente, para 3
asegurar que todo el personal tiene la autoridad y recursos suficientes para ejecutar sus roles y responsabilidades, y de forma general,
para revisar el rendimiento. El nivel de supervisión debe alinearse con la sensibilidad del puesto y la extensión de las responsabilidades
asignadas.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO01.06 Optimizar la ubicación de la función de TI. a. Número de partes interesadas claves que han aprobado el establecimiento de
Colocar las capacidades de TI en la estructura organizativa general para reflejar la función de TI
la importancia estratégica y la dependencia operativa de las TI dentro de la b. Porcentaje de partes interesadas con una opinión favorable del
empresa. La línea de reporte del CIO y la representación de TI dentro de la alta establecimiento de la función de TI
dirección debe ser proporcional a la importancia de I&T dentro de la empresa.
Actividades Nivel de
capacidad
1. Entender el contexto del establecimiento de la función de TI, incluida la evaluación de la estrategia empresarial y el modelo operativo 3
(centralizado, federado, descentralizado, híbrido), la importancia de las I&T y la situación y opciones de abastecimiento.
2. Identificar, evaluar y priorizar las opciones para los modelos de ubicación, abastecimiento y operaciones de la organización.
3. Definir el establecimiento de la función de TI y lograr un acuerdo.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ISO/IEC 27002:2013/Cor.2:2015(E) 8.2 Information classification
Práctica de gestión Métricas modelo
APO01.07 Definir la propiedad de la información (datos) y del sistema de a. Porcentaje de activos de datos con Dueños claramente definidos
información. b. Porcentaje de sistemas de información con Dueños claramente definidos
Definir y mantener las responsabilidades de propiedad de información (datos) y c. Porcentaje de elementos de información clasificados conforme a los niveles
sistemas de información. Asegurar que los Dueños clasifiquen la información y de clasificación acordados
los sistemas y los protejan conforme a su clasificación.
Actividades Nivel de
capacidad
1. Proporcionar las directrices para garantizar la clasificación adecuada y consistente de los elementos de información en toda la empresa. 3
2. Crear y mantener un inventario de información (sistemas y datos) que incluyan una lista de Dueños, custodios y clasificaciones. Incluir
sistemas que sean externalizados y aquellos cuya propiedad debería estar dentro de la empresa.
3. Evaluar y distinguir entre datos, información y sistemas críticos (de alto valor) y no críticos. Asegurar la protección adecuada para cada
categoría.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

58
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO01.08 Definir las habilidades y competencias objetivo. a. Número de personas que han asistido a sesiones de formación o
Definir las habilidades y competencias requeridas para lograr los objetivos de concienciación para habilidades seleccionadas, competencias y
gestión relevantes. comportamientos deseados
b. Porcentaje de personas con las habilidades y competencias requeridas
alineados con objetivos de gestión específicos
Actividades Nivel de
capacidad
1. Identificar las habilidades y competencias requeridas para lograr objetivos de gestión específicos. 2
2. Analizar la brecha entre las habilidades y capacidades objetivas de la empresa y las habilidades actuales del personal. Consulte APO07—
Gestionar los recursos humanos para el desarrollo de habilidades y las prácticas de gestión.

Alinear, Planificar y Organizar

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO01.09 Definir y comunicar políticas y procedimientos. a. Porcentaje de políticas y procedimientos activos , que están documentados y
Implementar procedimientos para mantener el cumplimiento y medir el actualizados
rendimiento de las políticas y otros componentes del marco de control, y hacer b. Número de miembros del personal conocedores y capaces de demostrar su
cumplir las consecuencias del incumplimiento o rendimiento inadecuado. Dar competencia con respecto a políticas y procedimientos
seguimiento a las tendencias y el rendimiento y considerarlos en el futuro diseño
y mejora del marco de control.
Actividades Nivel de
capacidad
1. Crear una serie de políticas para mejorar las expectativas de control de IT en temas clave relevantes, como la calidad, la seguridad, la 3
privacidad, los controles internos, el uso de activos de I&T, la ética y los derechos de propiedad intelectual.
2. El despliegue y refuerzo de las políticas de I&T de forma uniforme para todo el personal relevante para que se construyan dentro de las
operaciones empresariales y acaben siendo parte integrante de estas.
3. Evaluar y actualizar las políticas, como mínimo anualmente, para encajar en entornos empresariales u operativos cambiantes. 4
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones a. Número de herramientas seleccionadas para respaldar procesos prioritarios
para respaldar el sistema de gobierno y gestión. b. Adecuación/cobertura de las herramientas de procesos de I&T claves
Definir e implementar infraestructura, servicios y aplicaciones para respaldar c. Satisfacción de los destinatarios con la precisión, integridad y puntualidad de
el sistema de gobierno y gestión (p. ej.: los repositorios de arquitectura, el la información
sistema de gestión de riesgos, las herramientas de gestión de proyectos, las d. Porcentaje de satisfacción de las partes interesadas con las herramientas
herramientas de seguimiento de costes y las herramientas de monitorización de seleccionadas para respaldar sus necesidades
incidentes).
Actividades Nivel de
capacidad
1. Identificar objetivos de gestión prioritarios que podrían lograrse mediante la automatización de servicios, aplicaciones o infraestructura. 2
2. Seleccionar e implementar las herramientas más adecuadas comunicarlo a las partes interesadas.
3. Proporcionar formación en herramientas específicas, conforme se requiera.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

59
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO01.11 Gestionar la mejora continua del sistema de gestión de I&T. a. Fecha de las últimas actualizaciones al marco y a los componentes
Mejorar continuamente los procesos y otros componentes del sistema de b. Número de exposiciones a pérdidas relacionadas con las I&T debidas a
gestión para asegurar que pueden cumplir con los objetivos de gobierno insuficiencias en el diseño del entorno de control
y gestión. Considerar la guía de implementación de COBIT, los estándares
emergentes, los requisitos de cumplimiento, las oportunidades de
automatización, y la retroalimentación de las partes interesadas.
Actividades Nivel de
capacidad
1. Evaluar de forma regular el rendimiento de los componentes del marco y llevar a cabo las acciones correspondientes. 4
2. Identificar los procesos críticos para el negocio basado en los motivadores de rendimiento y conformidad y el riesgo relacionado. Evaluar la
capacidad e identificar los objetivos de mejora. Analizar las brechas de capacidad y control. Identificar opciones para mejorar o rediseñar el
Alinear, Planificar y Organizar

proceso.
3. Priorizar iniciativas para mejoras basadas en los posibles beneficios y costes. Implementar las mejoras acordadas, actuar conforme a la 5
práctica normal del negocio, y establecer metas y métricas de rendimiento que permitan monitorizar las mejoras.
4. Considerar la manera de mejorar la eficiencia y la eficacia (p. ej.: a través de la formación, documentación, estandarización y/o
automatización de procesos).
5. Aplicar prácticas de gestión de la calidad para actualizar el proceso.
6. Eliminar componentes de gobierno desactualizados (procesos, elemento de información, políticas, etc.).
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ITIL V3, 2011 Continual Service Improvement, 4.1 The 7-Step Improvement Process

B. Componente: Estructuras organizativas

Director de seguridad de la información

Gestor de seguridad de la información

Gestor de continuidad del negocio
Comité de riesgos empresariales
Director de tecnologías digitales

Dueños del proceso de negocio

Director de Recursos Humanos

Jefe de administración de TI
Función de gestión de datos
Consejo de gobierno de I&T

Jefe de operaciones de TI
Consejo de arquitectura
Director de tecnología

Director de privacidad
Gestor de relaciones
Jefe de arquitectura

Gestor de Servicios
Director de riesgos

Jefe de desarrollo
Comité Ejecutivo

Director de TI

Práctica clave de gestión

APO01.01 Diseñar el sistema de gestión para la I&T de la empresa. A R R R R

APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas. A R R R R R R R

APO01.03 Gestionar la implementación de procesos (para respaldar la consecución A R R R R R R
de objetivos de gobierno y gestión).
APO01.04 Definir e implementar las estructuras organizativas. A R R R R R
APO01.05 Establecer roles y responsabilidades. A R R R R
APO01.06 Optimizar la ubicación de la función de TI. A R R R R R
APO01.07 Definir la propiedad de la información (datos) y sistemas de información. A R R R R R R R R
APO01.08 Definir las habilidades y competencias objetivo. A R R R R R R R R
APO01.09 Definir y comunicar políticas y procedimientos. A R R R R R R R R R R R R R R R R R
APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones para A R R R R R R R R R R R R R
respaldar el sistema de gobierno y gestión.
APO01.11 Gestionar la mejora continua del sistema de gestión de I&T. A R R R R R R R R R R R R R R

60
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

B. Componente: Estructuras organizativas (cont.)

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
COSO Enterprise Risk Management, junio de 2017 6. Governance and Culture—Principle 2
ISO/IEC 27001:2013/Cor.2:2015(E) 5.3. Roles, responsabilidades y autoridades organizativas

C. Componente: Flujos y elementos de información (ver también la sección 3.6)

Práctica de gestión Entradas Salidas
APO01.01 Diseñar el sistema de gestión para la I&T de la De Descripción Descripción A
empresa
APO02.05 Hoja de ruta estratégica Objetivos prioritarios de Todos los APO;
gobierno y gestión todos los BAI;
todos los DSS;
todos los MEA

Alinear, Planificar y Organizar

APO12.01 Problemas y factores de Diseño del sistema de Todos los APO;
riesgo emergentes gestión todos los BAI;
todos los DSS;
APO12.02 Resultados del análisis de todos los MEA
riesgos
EDM01.01 • Principios rectores del
gobierno empresarial
• Modelo de toma de
decisiones
APO01.02 Gestionar la comunicación de objetivos, dirección y APO12.06 Comunicación del impacto Reglas básicas de Todos los APO;
decisiones tomadas. del riesgo comunicación todos los BAI;
todos los DSS;
todos los MEA
DSS04.01 Política y objetivos para la Comunicación de los Todos los APO;
continuidad del negocio objetivos de I&T todos los BAI;
todos los DSS;
DSS05.01 Política de prevención de todos los MEA
software malicioso
DSS05.02 Política de seguridad de la
conectividad
DSS05.03 Políticas de seguridad para
los dispositivos Endpoint
EDM01.02 Comunicación del
gobierno de la empresa
EDM04.02 Principios para la
protección de recursos

APO01.03 Gestionar la implementación de procesos (para APO02.04 Brechas y cambios Análisis de brecha del Todos los APO;
respaldar la consecución de objetivos de gobierno y gestión). requeridos para lograr la modelo objetivo todos los BAI;
capacidad objetivo todos los DSS;
todos los MEA
EDM01.01 Principios rectores del Niveles de capacidad del APO01.11
gobierno empresarial proceso
APO01.04 Definir e implementar las estructuras organizativas. APO03.02 Modelo de arquitectura de Directrices operativas de la APO03.02
procesos empresa
EDM01.01 Principios rectores del Definición de estructura APO03.02
gobierno empresarial organizativa y funciones

61
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

C. Componente: Flujos y elementos de información (ver también la sección 3.6) (cont.)

Práctica de gestión Entradas Salidas
APO01.05 Establecer roles y responsabilidades. De Descripción Descripción A
APO07.03 • Matriz de habilidades y Definición de prácticas APO07.01
competencias supervisoras
• Planes de desarrollo de
competencias Definición de roles DSS05.04
y responsabilidades
APO11.01 Roles, responsabilidad y relacionadas con I&T
derechos de decisión del
sistema de gestión de la
calidad (QMS)
APO13.01 Declaración del alcance
del sistema de gestión de
Alinear, Planificar y Organizar

seguridad de la información
(SGSI)
DSS06.03 • Roles y responsabilidades
asignadas
• Niveles de autoridad
asignados
EDM01.01 Niveles de autoridad
EDM04.02 Responsabilidades
asignadas para la gestión
de recursos
APO01.06 Optimizar la ubicación de la función de TI. Fuera de COBIT • Estrategia empresarial Ubicación operativa APO03.02
• Modelo operativo definida de la función de TI
empresarial
Evaluación de opciones APO03.02
para la organización de TI
APO01.07 Definir la propiedad de la información (datos) Directrices de la APO03.02;
y sistemas de información. clasificación de datos APO14.01;
BAI02.01;
DSS05.02;
DSS06.01
Directrices de la seguridad y APO14.04;
control de los datos APO14.10;
BAI02.01
Procedimientos de APO14.04;
integridad de los datos BAI02.01;
DSS06.01
APO01.08 Definir las habilidades y competencias objetivo. Matriz de habilidades y APO07.03
competencias
APO01.09 Definir y comunicar políticas y procedimientos. DSS01.04 Políticas ambientales. Acciones remediales para MEA01.05
el incumplimiento
MEA03.02 Políticas, principios,
procedimientos y
Estándares actualizados
APO01.10 Definir e implementar la infraestructura, servicios APO09.01 Brechas identificadas en Planificar la dimensión APO02.02;
y aplicaciones para respaldar el sistema de gobierno y gestión. los servicios de I&T para la adecuada del entorno APO02.03
empresa de I&T incluidas las
capacidades, servicios
Fuera de COBIT Evaluación de escenario y aplicaciones de I&T
de I&T, incluidos faltantes
servicios, aplicaciones e
infraestructura

62
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

C. Componente: Flujos y elementos de información (ver también la sección 3.6) (cont.)

Práctica de gestión Entradas Salidas
APO01.11 Gestionar la mejora continua del sistema de gestión De Descripción Descripción A
de I&T.
APO01.03 Niveles de capacidad del Oportunidades de mejora Todos los APO;
proceso del proceso todos los BAI;
todos los DSS;
todos los MEA
EDM01.03 Retroalimentación sobre la Metas y métricas de MEA01.02
eficacia y rendimiento del rendimiento para el
gobierno seguimiento de mejoras de
procesos
MEA03.02 Políticas, principios, Evaluaciones de la MEA01.03
procedimientos y capacidad del proceso

Alinear, Planificar y Organizar

Estándares actualizados
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para este componente.

D. Componente: Personas, habilidades y competencias

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Gobierno de TI Skills Framework for the Information Age V6, 2015 GOVN
Gestión de TI Skills Framework for the Information Age V6, 2015 ITMG

E. Componente: Políticas y procedimientos

Política relevante Descripción de la política Documentación relacionada Referencia específica
Marco de gestión de I&T Establece el sistema de gestión para
la I&T de la empresa basándose en las
metas empresariales y otros factores
de diseño.
Considera políticas y principios
detallados para la gestión de I&T en
todos los componentes.

F. Componente: Cultura, ética y comportamiento

Elementos culturales clave Documentación relacionada Referencia específica
Definir una cultura interna de alineamiento entre la empresa y las TI,
estableciendo los objetivos, estructuras, procesos y roles y responsabilidades
necesarios que permitan la toma de decisiones y la creación de valor de la forma
más eficaz y eficiente.

G. Componente: Servicios, infraestructuras y aplicaciones

• COBIT y productos/herramientas relacionados
• Marcos y estándares equivalentes

63
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

Página dejada en blanco intencionadamente

Alinear, Planificar y Organizar

64
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

Dominio: Alinear, Planificar y Organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO02 — Gestionar la estrategia COBIT
Descripción
Proporcionar una visión holística del entorno empresarial y de I&T actual, la dirección futura y las iniciativas necesarias para migrar al entorno futuro deseado.
Garantizar que el nivel de digitalización deseado sea integral en la dirección y la estrategia de I&T futuras. Evaluar la madurez digital actual de la organización y
desarrollar una hoja de ruta para reducir las brechas. Repensar, con la empresa, las operaciones internas así como las actividades de cara al cliente. Garantizar
el alcance en la ruta de transformación a través de toda la empresa. Aprovechar los bloques de construcción de la arquitectura empresarial, los componentes
del gobierno y el ecosistema de la organización, incluyendo servicios y capacidades relacionadas que se proporcionan externamente, para permitir una respuesta
confiable, y también ágil y eficiente a los objetivos estratégicos.
Propósito
Apoyar la estrategia de transformación digital de la organización y proporcionar el valor deseado a través de una hoja de ruta con cambios incrementales. Usar un
enfoque holístico en cuanto a I&T, asegurando que cada iniciativa esté claramente conectada con una estrategia global. Habilitar el cambio en todos los diversos
aspectos de la organización, desde los canales y procesos a los datos, cultura, habilidades, modelo operativo e incentivos.

Alinear, Planificar y Organizar

El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primordiales:
Metas empresariales
Æ Metas de alineamiento
• EG01 Portafolio de productos y servicios competitivos AG08 Habilitar y dar soporte a procesos de negocio mediante la
• EG05 Cultura de servicio orientada al cliente integración de aplicaciones y tecnología
• EG08 Optimización de la funcionalidad de procesos internos del
negocio
• EG12 Gestión de programas de transformación digital
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
EG01 a. Porcentaje de productos y servicios que cumplen o exceden los AG08 a. Plazo para la ejecución de servicios o procesos empresariales
objetivos de ingresos y/o cuota de mercado b. Número de programas empresariales habilitados por I&T
b. Porcentaje de productos y servicios que cumplen o exceden los retrasados o que incurren en costes adicionales debido a
objetivos de satisfacción del cliente problemas de integración tecnológica
c. Porcentaje de productos y servicios que proporcionan una c. Número de cambios en los procesos de negocio que se deben
ventaja competitiva aplazar o revisar debido a problemas de integración tecnológica
d. Plazo de comercialización para nuevos productos y servicios d. Número de aplicaciones o infraestructuras críticas que operan en
silos y no están integradas
EG05 a. Número de interrupciones del servicio al cliente
b. Porcentaje de partes interesadas del negocio satisfechas con
que la prestación de servicios al cliente cumpla con los niveles
de servicio acordados
c. Número de quejas del servicio al cliente
d. Tendencia de los resultados de la encuesta de satisfacción al
cliente
EG08 a. Niveles de satisfacción de la junta directiva y la dirección
ejecutiva con las capacidades del proceso empresarial
b. Niveles de satisfacción de los clientes con las capacidades de
prestación de servicios
c. Niveles de satisfacción de los proveedores con las capacidades
de la cadena de suministro
EG12 a. Número de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución
del programa
c. Porcentaje de programas de transformación del negocio
d. Porcentaje de programas de transformación del negocio con
actualizaciones del estado notificado regularmente

65
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso
Práctica de gestión Métricas modelo
APO02.01 Comprender el contexto y la dirección de la empresa. a. Nivel de conocimiento dentro de la dirección de I&T de la organización y
Entender el contexto de la empresa (impulsores de la industria, la regulación contexto empresariales actuales
relevante, la base para la competencia), su forma actual de funcionar y su nivel b. Nivel of conocimiento dentro de la dirección de I&T de las metas y dirección
de ambición en cuanto a la digitalización. empresariales
c. Nivel de conocimiento de las partes interesadas claves sobre I&T y sus
requisitos específicos
Actividades Nivel de
capacidad
1. Desarrollar y mantener un conocimiento del entorno externo de la empresa. 2
2. Desarrollar y mantener un conocimiento de la forma actual de trabajo, incluido el entorno en el que opera, la arquitectura empresarial
(dominios del negocio, la información, los datos, las aplicaciones y la tecnología), la cultura de la empresa y los retos actuales.
Alinear, Planificar y Organizar

3. Desarrollar y mantener un conocimiento de la dirección futura de la empresa, incluidas la estrategia, metas y objetivos empresariales.
Conocer el nivel de ambición de la empresa en términos de digitalización, lo cual puede incluir aspirar a alcanzar una serie de metas , desde
recorte de gastos, aumento a centrarse en el cliente, o una comercialización más rápida mediante la digitalización de las operaciones
internas, para crear nuevos flujos de ingresos procedentes de nuevos modelos de negocio (como el negocio de plataformas).
4. Identificar a partes interesadas clave y obtener información sobre sus requisitos.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
COSO Enterprise Risk Management, junio de 2017 7. Strategy and Objective-Setting—Principle 6
Práctica de gestión Métricas modelo
APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la a. Porcentaje de personal satisfecho con sus capacidades actuales
empresa. b. Porcentaje de satisfacción del Dueño de negocio con la inversión y la
Evaluar el rendimiento de los servicios de I&T actuales, y desarrollar una utilización de la base de activos interna y externa para cumplir con factores
comprensión de las capacidades de la empresa y de I&T actuales (tanto internas críticos de éxito
como externas). Evaluar la madurez digital actual de la empresa y su apetito de
cambio.
Actividades Nivel de
capacidad
1. Desarrollar una línea base de las capacidades y servicios empresariales y de I&T actuales. Incluir la evaluación de servicios externalizados, el 2
gobierno de I&T y las habilidades y competencias de I&T de toda la empresa.
2. Evaluar la madurez digital en distintas dimensiones (p. ej., la capacidad de liderazgo para aprovechar la tecnología, el nivel de riesgo 3
tecnológico aceptado, la estrategia de innovación, la cultura y el nivel de conocimiento de los usuarios). Evaluar el apetito por el cambio.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
COSO Enterprise Risk Management, junio de 2017 7. Strategy and Objective-Setting—Principle 6; 9. Review and Revision—Principle
15
Práctica de gestión Métricas modelo
APO02.03 Definir las capacidades digitales objetivo. a. Porcentaje de objetivos empresariales considerados en las metas/objetivos
A partir del conocimiento del contexto y dirección de la empresa, definir los de I&T
productos y servicios objetivo de I&T y las capacidades requeridas. Considerar b. Porcentaje de objetivos de I&T que apoyan la estrategia empresarial
los estándares de referencia, las mejores prácticas y las tecnologías emergentes
validadas.
Actividades Nivel de
capacidad
1. Resumir el contexto y la dirección de la empresa e identificar aspectos de I&T específicos de la estrategia empresarial (como procesos de 2
digitalización, implementación de nueva tecnología, soporte de la arquitectura legacy, aplicación de nuevos modelos de negocio digital,
desarrollo de portafolio de producto digitales, etc.).
2. Definir objetivos y metas de I&T de alto nivel y especificar su contribución a los objetivos empresariales.
3. Detallar los servicios y productos de I&T requeridos para lograr los objetivos empresariales. Considerar ideas sobre tecnologías emergentes 3
o innovación validadas, estándares de referencia, capacidades empresariales y de I&T de los competidores, benchmarks comparativos de
buenas prácticas y provisión de servicios de I&T emergentes.
4. Determinar las estrategias en cuanto a capacidades, metodologías y enfoques organizativos de I&T requeridas para lograr el portafolio
definido de productos y servicios de I&T. Considerar distintas metodologías de desarrollo (Agile, Scrum, Waterfall, Bimodal IT), dependiendo
de los requisitos del negocio. Considerar como cada uno de ellos puede contribuir a lograr los objetivos de I&T.

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica

Sin Documentación relacionada para esta práctica de gestión
66
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO02.04 Llevar a cabo un análisis de brecha a. Número de cambios de gran impacto requeridos en los distintos dominios de
Identificar las brechas entre los entornos actual y objetivo y describir los la arquitectura empresarial
cambios de alto nivel en la arquitectura empresarial. b. Número de brechas significativas entre el entorno actual y las buenas
prácticas
Actividades Nivel de
capacidad
1. Identificar todas las brechas y cambios requeridos para lograr el entorno objetivo. 3
2. Describir los cambios de alto nivel en la arquitectura empresarial (dominios del negocio, la información, los datos, las aplicaciones y la
tecnología).
3. Considerar las implicaciones de alto nivel de todas las brechas. Evaluar el impacto de los posibles cambios en los modelos operativos de
I&T y empresarial, las capacidades de investigación y desarrollo de I&T y los programas de inversión en I&T.

Alinear, Planificar y Organizar

4. Considerar el valor de los posibles cambios en las capacidades de I&T y del negocio, los servicios y la arquitectura empresarial de TI y las 4
implicaciones de no lograr ningún cambio.
5. Perfeccionar la definición del entorno objetivo y preparar una declaración de valor que destaque los beneficios del entorno objetivo.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO02.05 Definir el plan estratégico y el mapa de ruta. a. Nivel de apoyo de las partes interesadas al plan de transformación digital
Desarrollar una estrategia digital holística, en cooperación con las partes b. Porcentaje de iniciativas en la estrategia de I&T que se autofinancian (con
interesadas relevantes, y detallar una hoja de ruta que define los pasos beneficios financieros que exceden los costes)
incrementales a seguir requeridos para lograr las metas y objetivos. Asegurar el c. Grado de correspondencia entre la estrategia empresarial y la estrategia y
foco en la ruta de transformación, mediante el nombramiento de una persona objetivos de I&T
que ayude a liderar la transformación digital e impulse el alineamiento entre I&T
y la empresa.
Actividades Nivel de
capacidad
1. Definir las iniciativas requeridas para eliminar las brechas entre los entornos actual y el objetivo. Integrar las iniciativas en una estrategia de 3
I&T coherente que alinee a la I&T con todas las facetas empresariales.
2. Detallar una hoja de ruta que defina los pasos incrementales requeridos para lograr las metas y objetivos de la estrategia de I&T. Garantizar
que se incluyan acciones para formar al personal en nuevas habilidades, apoyar la adopción de nueva tecnología, mantener el cambio en toda
la organización, etc.
3. Considerar el ecosistema externo (socios empresariales, proveedores, startups, etc.) para que contribuya a apoyar la ejecución de la hoja de
ruta
4. Agrupar las acciones en programas y/o proyectos con una meta o entregable claros. Identificar para cada proyecto los requisitos de recursos
de alto nivel, la programación de actividades, el presupuesto para la inversión/operativo, el riesgo, el impacto del cambio, etc.
5. Determinar las dependencias, solapamientos, sinergias e impactos entre proyectos, y priorizar.
6. Finalizar la hoja de ruta, indicando una programación relativa de actividades y las interdependencias entre proyectos.
7. Garantizar el foco en la ruta de transformación. Designar a un campeón de transformación y alineamiento digital entre la empresa y la I&T (el
director de tecnologías digitales (CDO) u otro rol tradicional directivo).
8. Obtener el apoyo y aprobación formal del plan de las partes interesadas.
9. Trasladar los objetivos a resultados medibles representados por métricas (qué) y objetivos (cuánto). Asegurar que los resultados y medidas 4
se correspondan con los beneficios empresariales.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ISF, The Standard of Good Practice for Information Security 2016 SG2.1 Information Security Strategy
ITIL V3, 2011 Service Strategy, 4.1 Strategy management for IT services

67
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO02.06 Comunicar la dirección y estrategia de I&T. a. Frecuencia de actualizaciones del plan de comunicación de la estrategia de
Crear concienciación y comprensión de los objetivos y la dirección del negocio y I&T
de I&T, tal como se registró en la estrategia de I&T, mediante la comunicación a b. Porcentaje de partes interesadas conocedoras de la dirección y estrategia de
las partes interesadas y los usuarios apropiados en toda la empresa. I&T
Actividades Nivel de
capacidad
1. Desarrollar un plan de comunicación que cubra los mensajes, el público objetivo, los mecanismos/canales de comunicación y la 3
programación de actividades requeridas.
2. Preparar un paquete de comunicación que presente el plan de forma eficaz usando los medios de comunicación y tecnologías disponibles.
3. Desarrollar y mantener una red para promocionar, apoyar e impulsar la estrategia de I&T.
Alinear, Planificar y Organizar

4. Obtener retroalimentación y actualizar el plan de comunicación y su presentación como corresponda. 4

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

B. Componente: Estructuras organizativas

Gestor de seguridad de la información

Gestor de continuidad del negocio
Director de tecnologías digitales

Oficina de gestión de proyectos

Dueños del proceso de negocio

Jefe de administración de TI
Función de gestión de datos
Consejo de gobierno de I&T

Jefe de operaciones de TI
Director general ejecutivo

Director de tecnología

Director de privacidad
Gestor de relaciones
Jefe de arquitectura

Gestor de Servicios
Jefe de desarrollo
Director de TI

Práctica clave de gestión

APO02.01 Comprender el contexto y la dirección de la empresa. A R R R R R R R R R R R R
APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la empresa. A R R R R R R R R R R R

APO02.03 Definir las capacidades digitales objetivo. R R A R R R R R R R R R R R

APO02.04 Llevar a cabo un análisis de brecha R R R A R R R R R R R R R R
APO02.05 Definir el plan estratégico y el mapa de ruta. R R R A R R R R R R R R R R R
APO02.06 Comunicar la dirección y estrategia de I&T. R R R R A
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ISO/IEC 38502:2017(E) 5.4 Responsibilities of managers

C. Componente: Flujos y elementos de información (ver también la sección 3.6)

Práctica de gestión Entradas Salidas
APO02.01 Comprender el contexto y la dirección de la De Descripción Descripción A
empresa.
APO04.02 Oportunidades de Fuentes y prioridades del Interna
innovación relacionadas cambio
con los motivadores
empresariales
EDM04.01 Principios rectores para la
asignación de recursos y
capacidades
Fuera de COBIT Estrategia empresarial y
análisis de fortalezas,
oportunidades, debilidades
y amenazas(FODA)

68
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

C. Componente: Flujos y elementos de información (ver también la sección 3.6) (cont.)

Práctica de gestión Entradas Salidas
APO02.02 Evaluar las capacidades, rendimiento y madurez digital De Descripción Descripción A
actual de la empresa.
APO06.05 Oportunidades de optimización Brechas y riesgos relacionados APO12.01
de costes con las capacidades actuales

APO08.05 Definición de posibles Análisis FODA de capacidades Interna

proyectos de mejora

APO09.01 Brechas identificadas en Línea base de capacidades Interna

servicios de TI para la empresa actuales

APO09.04 Planes de acción de mejora y

remediaciones

APO12.01 Problemas y factores de riesgo

Alinear, Planificar y Organizar

emergentes

APO12.02 Resultados del análisis de

riesgos
APO12.03 Perfil de riesgo agregado,
incluido el estado de las
acciones de gestión de riesgos

APO12.05 Propuestas de proyecto para

reducir el riesgo

BAI04.03 • Priorizar las mejoras

• Planes de rendimiento y
capacidad
BAI04.05 Acciones correctivas
BAI09.01 Resultados de revisiones
adecuadas para el propósito

BAI09.04 • Resultados de las revisiones

de optimización de costes
• Oportunidades para reducir
los costes o aumentar el valor
de los activos
EDM04.03 Retroalimentación sobre la
asignación y eficiencia de
recursos and capacidades

APO02.03 Definir las capacidades digitales objetivo. APO04.05 • Resultados y recomendación Cambios propuestos a la APO03.03
de iniciativas de valoraciones arquitectura empresarial
de concepto
• Análisis de iniciativas Capacidades empresariales y Interna
rechazadas de TI requeridas

Metas de alto nivel Interna

relacionadas con I&T
APO02.04 Llevar a cabo un análisis de brecha APO04.06 Evaluaciones del uso de Brechas y cambios requeridos APO01.03;
enfoques innovadores para lograr la capacidad APO13.02;
objetivo BAI03.11;
EDM04.01
APO05.01 Expectativas de retorno de Declaración del beneficio de BAI03.11
inversión valor del entorno objetivo
BAI01.05 Resultados de la
monitorización de la
consecución de metas del
programa
BAI01.06 Resultados de la revisión de los
cambios de fases (stage-gate)
BAI11.09 Resultados de la revisión
posterior a la implementación
EDM02.02 Evaluación del alineamiento
estratégico

69
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

C. Componente: Flujos y elementos de información (ver también la sección 3.6) (cont.)

Práctica de gestión Entradas Salidas
APO02.05 Definir el plan estratégico y el mapa de ruta. De Descripción Descripción A
APO03.01 • Alcance definido para la Estrategia y objetivos de I&T Todos los APO;
arquitectura todos los BAI;
• Caso de negocio y todos los DSS;
propuesta de valor del todos los MEA
concepto de arquitectura
APO03.02 Modelo de la arquitectura Hoja de ruta estratégica APO01.01;
de información APO03.01;
APO08.01;
EDM02.01;
EDM02.02
APO03.03 Arquitectura de transición Definición de iniciativas EDM02.01
Alinear, Planificar y Organizar

estratégicas
APO05.01 Opciones de financiación Iniciativas de evaluación de EDM02.01,
riesgos APO12.01
APO06.02 Asignaciones de
presupuesto
APO06.03 Presupuestos de I&T
BAI09.05 Plan de acción para ajustar
el número de licencias y
asignaciones

DSS04.02 Opciones estratégicas

aprobadas
EDM02.01 Retroalimentación sobre
estrategia y metas
EDM04.01 Plan de recursos aprobado
EDM04.03 Acciones remediales para
solucionar las desviaciones
de gestión de
recursos
APO02.06 Comunicar la dirección y estrategia de I&T. EDM04.02 Comunicación de Paquete de comunicación Todos los APO;
estrategias de gestión de todos los BAI;
recursos todos los DSS;
todos los MEA
Plan de comunicación Interna
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ITIL V3, 2011 Service strategy, 3.9 Service strategy inputs and outputs

D. Componente: Personas, habilidades y competencias

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Desarrollo del plan de negocio e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.3. Business Plan
Professionals in all industry sectors—Part 1: Framework, 2016 Development
Supervisión de tecnologías Skills Framework for the Information Age V6, 2015 EMRG
emergentes
Estrategia y planificación de I&T Skills Framework for the Information Age V6, 2015 ITSP
Alineamiento estratégico e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.1. IS and Business
Professionals in all industry sectors—Part 1: Framework, 2016 Strategy Alignment

70
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

E. Componente: Políticas y procedimientos

Política relevante Descripción de la política Documentación relacionada Referencia específica
Principios de la estrategia de servicio Para obtener más información, ITIL V3, 2011 Service Strategy, 3. Service
de I&T consulte la Documentación strategy principles
relacionada.
Política y principios estratégicos de I&T Proporcionar una visión holística del
entorno empresarial y de I&T actual,
la dirección futura y las iniciativas
necesarias para migrar al entorno
futuro deseado. Garantizar que la
estrategia empresarial y de I&T refleje
el nivel de digitalización objetivo.

F. Componente: Cultura, ética y comportamiento

Alinear, Planificar y Organizar

Elementos culturales clave Documentación relacionada Referencia específica
Establecer una cultura y valores subyacentes que encajen con la estrategia El Scaled Agile Framework for Lean Un marco de trabajo configurable que
global de la empresa (es decir, orientada al cliente, impulsada por la innovación Enterprises (SAFe®) ayuda a las organizaciones a ofrecer
basada en los productos). Encontrar formas de acelerar los procesos e introducir nuevos productos y soluciones en un
una cultura y comportamiento que lo apoye, que permitan moverse a mayor plazo de tiempo sostenible más corto
velocidad. Se podría empezar con el cambio de hábitos básicos como tener posible (todos los capítulos)
más reuniones frecuentes de liderazgo de estrategia o automatizando ciertas
actividades.

En el contexto actual de modelos de negocio, ecosistemas y disrupción digitales,

es fundamental para muchas organizaciones priorizar la transformación
digital en su estrategia. Crear una cultura que desafíe el status quo y explore
nuevos métodos de trabajo (como invertir en automatización para responder
rápidamente a los clientes, desarrollar sistemas de elaboración de informes y
analíticas sofisticadas para interpretar las necesidades de los clientes, crear
interfaces innovadoras para recopilar los datos del cliente, crear mecanismos
para ofrecer contenido y ofertas en todos los canales relevantes).

G. Componente: Servicios, infraestructura y aplicaciones

• Análisis de clientes
• Benchmarks de la industria
• Sistema de medición del desempeño (p. ej., cuadro de mando integral, herramienta de gestión de competencias)
• Servicios y herramientas de vigilancia tecnológica

71
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

Página dejada en blanco intencionadamente

Alinear, Planificar y Organizar

72
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

Dominio: Alinear, Planificar y Organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO03 — Gestionar la Arquitectura Empresarial COBIT
Descripción
Establecer una arquitectura común que consiste en capas de arquitectura de procesos de negocio, información, datos, aplicaciones y tecnología. Crear modelos y
prácticas claves que describen las arquitecturas base y objetivo, en línea con la estrategia de I&T de la empresa. Definir los requisitos de taxonomía, estándares,
directrices, procedimientos, plantillas y herramientas, y proporcionar un vínculo para estos componentes. Mejorar el alineamiento, aumentar la agilidad, mejorar la
calidad de la información y generar ahorros potenciales de costes mediante iniciativas como la reutilización de componentes de bloques de construcción.
Propósito
Representar los diferentes bloques de construcción que conforman la empresa y sus interrelaciones, así como los principios que guían su diseño y evolución a lo
largo del tiempo, para posibilitar una prestación estándar, responsable y eficiente de los objetivos operativos y estratégicos.
El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primordiales:
Metas empresariales
Æ Metas de alineamiento

Alinear, Planificar y Organizar

• EG01 Portafolio de productos y servicios competitivos • AG06 Agilidad para convertir los requisitos del negocio en soluciones
• EG05 Cultura de servicio orientada al cliente operativas
• EG08 Optimización de la funcionalidad de procesos internos del negocio AG08 Habilitar y dar soporte a procesos de negocio mediante la
• EG12 Gestión de programas de transformación digital integración de aplicaciones y tecnología
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
EG01 a. Porcentaje de productos y servicios que cumplen o exceden los AG06 a. Nivel de satisfacción de los ejecutivos de negocios con la
objetivos de ingresos y/o cuota de mercado capacidad de respuesta de I&T a los nuevos requisitos
b. Porcentaje de productos y servicios que cumplen o exceden los b. Plazo de comercialización promedio para servicios y aplicaciones
objetivos de satisfacción del cliente nuevos relacionados con las I&T
c. Porcentaje de productos y servicios que proporcionan una c. Tiempo promedio para convertir los objetivos estratégicos de I&T
ventaja competitiva en iniciativas acordadas y aprobadas
d. Plazo de comercialización para nuevos productos y servicios d. Número de procesos de negocio críticos soportados por
infraestructura y aplicaciones actualizadas
EG05 a. Número de interrupciones del servicio al cliente AG08 a. Plazo para la ejecución de servicios y procesos empresariales
b. Porcentaje de partes interesadas del negocio satisfechas con b. Número de programas empresariales facilitados por I&T
que la prestación de servicios al cliente cumpla con los niveles retrasados o que incurren en costes adicionales debido a
de servicio acordados problemas de integración tecnológica
c. Número de quejas de los clientes c. Número de cambios en los procesos de negocio que se deben
d. Tendencia de los resultados de la encuesta de satisfacción al aplazar o revisar debido a problemas de integración tecnológica
cliente d. Número de aplicaciones o infraestructuras críticas que operan en
silos y no están integradas
EG08 a. Niveles de satisfacción del consejo de administración y
la dirección ejecutiva con las capacidades del proceso
empresarial
b. Niveles de satisfacción de los clientes con las capacidades de
prestación de servicios
c. Niveles de satisfacción de los proveedores con las capacidades
de la cadena de suministro
EG12 a. Número de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución
del programa
c. Porcentaje de programas de transformación del negocio
suspendidos
d. Porcentaje de programas de transformación del negocio con
actualizaciones del estado notificadas regularmente

A. Componente: Proceso
Práctica de gestión Métricas modelo
APO03.01 Desarrollar la visión de la arquitectura empresarial. a. Nivel de retroalimentación de los clientes sobre la arquitectura
La visión de la arquitectura ofrece una temprana descripción de alto nivel de b. Grado en el que las arquitecturas base y objetivo cubren los dominios del
la línea base y la arquitectura objetivo, cubriendo los dominios del negocio, la negocio, la información, los datos, la aplicación y la tecnología.
información, los datos, la aplicación y la tecnología. La visión de la arquitectura
ofrece al patrocinador una herramienta clave para promover los beneficios de las
capacidades propuestas a las partes interesadas de la empresa. La visión de la
arquitectura describe cómo las nuevas capacidades (en línea con la estrategia
y objetivos de I&T) cumplirán con las metas y los objetivos empresariales
estratégicos, y abordará las preocupaciones de las partes interesadas cuando se
implemente.

73
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Actividades Nivel de
capacidad
1. Identificar a las partes interesadas clave y sus preocupaciones/objetivos. Definir los requisitos clave de la empresa que deben abordarse, así 2
como las visualizaciones de la arquitectura que deben desarrollarse para satisfacer los requisitos de las partes interesadas.
2. Identificar las metas y motivadores estratégicos de la empresa. Definir las limitaciones que deben abordarse, incluidas las limitaciones de la
empresa en su conjunto y las específicas de los proyectos (como plazos, programación de actividades, recursos, etc.).
3. Alinear los objetivos de la arquitectura con las prioridades del programa estratégico.
4. Entender las capacidades y metas empresariales, e identificar a continuación opciones para conseguir dichas metas.
5. Evaluar la preparación de la empresa para el cambio.
6. Definir el alcance de la arquitectura de referencia y la arquitectura objetiva. Enumerar elementos que están dentro del alcance y aquellos que
no lo están. (La arquitectura de referencia y objetiva no debe describirse con el mismo nivel de detalle.)
Alinear, Planificar y Organizar

7. Entender las metas y objetivos estratégicos empresariales actuales. Trabajar con el proceso de planificación estratégico para garantizar que
se aprovechen las oportunidades de la arquitectura empresarial de I&T para el desarrollo del plan estratégico.
8. Basándose en las preocupaciones de las partes interesadas, los requisitos de las capacidades empresariales, el alcance, restricciones y
principios crear la visión de la arquitectura (es decir, la vista de alto nivel de las arquitecturas de referencia y objetiva).
9. Confirmar y elaborar los principios de arquitectura, incluyendo los principios empresariales. Asegurar que todas las definiciones existentes 3
estén actualizadas. Aclarar cualquier aspecto ambiguo.
10. Identificar el riesgo al cambio empresarial asociado con la visión de la arquitectura. Evaluar el nivel inicial de riesgo (como crítico, marginal
o insignificante). Desarrollar una estrategia de mitigación para cada riesgo significativo.
11. Desarrollar un caso de negocio de concepto de arquitectura empresarial y diseñar planes y la declaración del trabajo de la arquitectura.
Asegurar la aprobación para iniciar un proyecto alineado e integrado con la estrategia empresarial.
12. Definir las propuestas de valor, metas y métricas de la arquitectura objetivo. 4
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
National Institute of Standards and Technology Special Publication 800-53, 3.15 Program management (PM-7)
Revisión 5 (Borrador), agosto de 2017
The Open Group Standard TOGAF version 9.2, 2018 6. Phase A: Architecture Vision
Práctica de gestión Métricas modelo
APO03.02: Definir la arquitectura de referencia. a. Fecha de la última actualización de las arquitecturas de dominio y/o federadas
La arquitectura de referencia describe las arquitecturas actuales y objetivo para b. Número de excepciones a los estándares y referencias de la arquitectura
los dominios de negocio, información, datos, aplicación y tecnología. solicitadas y concedidas
Actividades Nivel de
capacidad
1. Mantener un repositorio de arquitectura, que contiene estándares, componentes reutilizables, los artefactos de modelado, las relaciones, las 3
dependencias y las visualizaciones, para permitir la uniformidad de la organización y mantenimiento de la arquitectura.
2. Seleccionar puntos de vista de referencia del repositorio de la arquitectura que permite al arquitecto demostrar cómo se abordan las
preocupaciones de las partes interesadas en la arquitectura.
3. Seleccionar modelos necesarios para respaldar la vista específica requerida, para cada punto de vista. Usar las herramientas y métodos
seleccionados y el nivel de descomposición adecuado.
4. Desarrollar las descripciones de dominio arquitectónico de referencia, usando el alcance y nivel de detalle necesario para respaldar la
arquitectura objetivo y, hasta donde sea posible, identificando los bloques de construcción relevantes de la arquitectura del repositorio de
arquitectura.
5. Mantener un modelo de arquitectura de procesos, como parte de las descripciones de dominios de referencia y objetivo. Normalizar las
descripciones y documentación de procesos. Definir los roles y responsabilidades de los responsables de la toma de decisiones del proceso,
el Dueño del proceso, los usuarios del proceso, el equipo del proceso y otras partes interesadas del proceso que deberían involucrarse.
6. Mantener un modelo de arquitectura de la información como parte de las descripciones de los dominios de referencia y objetivo, consistente
con la estrategia empresarial para adquirir, almacenar y usar los datos de forma óptima para respaldar la toma de decisiones.
7. Comprobar la consistencia y precisión interna de los modelos de arquitectura. Realizar un análisis de brecha entre la referencia y el
objetivo. Priorizar las brechas y definir componentes nuevos o modificados que deben desarrollarse para la arquitectura objetivo. Resolver
incompatibilidades, inconsistencias o conflictos dentro de la arquitectura objetivo.
8. Conducir una revisión formal de las partes interesadas, comparando la arquitectura propuesta con la intención original del proyecto de la
arquitectura y la declaración del trabajo de arquitectura.
9. Finalizar las arquitecturas de los dominios del negocio, la información, los datos, las aplicaciones y la tecnología. Crear un documento de
definición de la arquitectura.

74
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

A. Componente: Proceso (cont.)

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Approach; Platform and Architecture—
Data Integration
ITIL V3, 2011 Service Strategy, 5.4 IT service strategy and enterprise architecture
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 9)
Revisión 2 (Borrador), mayo de 2018
National Institute of Standards and Technology Special Publication 800-53, 3.5 Configuration management (CM-8)
Revisión 5 (Borrador), agosto de 2017
The Open Group Standard TOGAF versión 9.2, 2018 7. Phase B: Business Architecture; 8. Phase C: Information Systems
Architectures; 9. Phase C: Information Systems Architectures Data Architecture;
10. Phase C: Information Systems Architectures Application Architecture; 11.
Phase D: Technology Architecture

Alinear, Planificar y Organizar

Práctica de gestión Métricas modelo
APO03.03 Seleccionar oportunidades y soluciones. a. Número de brechas identificadas en los modelos empresariales de los
Racionalizar las brechas entre las arquitecturas de referencia y la objetivo, dominios de arquitectura del negocio, la información, los datos, la aplicación
tomando tanto las perspectivas de negocio como técnicas, y agruparlas y la tecnología
lógicamente en paquetes de trabajo del proyecto. Integrar el proyecto con todos b. Porcentaje de partes interesadas clave del negocio y de TI para evaluar la
los programas de inversión habilitados por I&T para asegurarse de que las disposición de transformación de la empresa, e identificar oportunidades,
iniciativas de la arquitectura estén alineadas y permitan estas iniciativas como soluciones y todas las restricciones de implementación
parte de un cambio empresarial general. Hacer de este un esfuerzo colaborativo
con las partes interesadas clave del negocio y de TI para evaluar la disposición
de transformación de la empresa, e identificar oportunidades, soluciones y todas
las restricciones de implementación.
Actividades Nivel de
capacidad
1. Determinar y confirmar atributos de cambios empresariales clave. Considerar la cultura de la empresa, el impacto potencial de la cultura en la 3
implementación de la arquitectura y las capacidades de transición de la empresa.
2. Identificar cualquier factor empresarial que limitaría la secuencia de implementación. Incluir una revisión empresarial y de línea estratégica
de negocio de la empresa y de los planes de negocio, . Considerar la madurez de la arquitectura empresarial actual.
3. Revisar y consolidar los resultados del análisis de recha entre las arquitecturas de referencia y la objetivo. Evaluar las implicaciones con
respecto a posibles soluciones, oportunidades, interdependencias y alineamiento con los programas actuales habilitados por I&T.
4. Evaluar los requisitos, brechas, soluciones y otros factores para identificar un conjunto mínimo de requisitos funcionales cuya integración en
paquetes de trabajo llevarían a una implementación más eficaz y eficiente de la arquitectura objetivo.
5. Conciliar los requisitos consolidados con posibles soluciones.
6. Perfeccionar las dependencias iniciales e identificar las restricciones de los planes de implementación y migración. Compilar un informe de
análisis de dependencias.
7. Confirmar la disposición de la empresa a la transformación empresarial y el riesgo asociado a ella.
8. Formular una estrategia de alto nivel para la implementación y la migración. Implementar la arquitectura objetivo (e implementar cualquier
arquitectura de transición) conforme a la estrategia, objetivos y plazos de la empresa en su conjunto.
9. Identificar y agrupar paquetes de trabajo importantes en un conjunto coherente de programas y proyectos, relacionados con la dirección y el
enfoque de la implementación estratégica empresarial.
10. Desarrolla arquitecturas de transición en las que el alcance del cambio requerido por la arquitectura necesita un enfoque incremental.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Approach; Platform and
Architecture—Data Integration
The Open Group Standard TOGAF versión 9.2, 2018 12. Phase E: Opportunities and Solutions

75
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO03.04 Definir la implementación de la arquitectura. a. Definición clara de los requisitos de gobierno para la implementación de la
Crear una aplicación viable y un plan de migración en alineación con arquitectura
los portafolios de programas y proyectos. Asegurarse que el plan esté b. Porcentaje de partes interesadas conocedoras de la implementación y
estrechamente coordinado para garantizar que se brinde valor y que los recursos migración de la arquitectura
necesarios estén disponibles para completar el trabajo necesario.
Actividades Nivel de
capacidad
1. Establecer los elementos requeridos para el plan de implementación y migración como parte de la planificación de programas y proyectos. 3
Asegurar que el plan está alineado con los requisitos de los responsables de toma de decisiones relevantes.
2. Confirmar los incrementos y las fases de la arquitectura de transición. Actualizar el documento de definición de la arquitectura
3. Definir y completar la implementación de la arquitectura y el plan de migración, incluidos los requisitos de gobierno relevantes. Integrar el
Alinear, Planificar y Organizar

plan, actividades y dependencias en el programa y la planificación del proyecto.

4. Comunicar la hoja de ruta de la arquitectura definida a las partes interesadas relevantes. Informar a las partes interesadas acerca de la
definición de la arquitectura objetivo, las directrices y principios de arquitectura, el portafolio de servicios, etc.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Approach; Platform and Architecture—
Data Integration
The Open Group Standard TOGAF versión 9.2, 2018 13. Phase F: Migration Planning
Práctica de gestión Métricas modelo
APO03.05 Proporcionar servicios de arquitectura empresarial. a. Nivel de retroalimentación del cliente sobre los servicios de arquitectura
Proporcionar servicios de arquitectura empresarial dentro de la empresa que b. Porcentaje de proyectos que utilizan el marco y la metodología para reutilizar
incluyen guía y supervisión de proyectos de implementación, formalización componentes definidos
de maneras de trabajar a través de contratos de arquitectura, y medición y c. Porcentaje de proyectos que utilizan servicios de arquitectura empresarial
comunicación del valor agregado y supervisión del cumplimiento. d. Los beneficios del proyecto obtenidos que pueden atribuirse a la participación
de la arquitectura (p. ej., reducción de costes mediante la reutilización)
Actividades Nivel de
capacidad
1. Confirmar el alcance y las prioridades y proporcionar directrices para desarrollar e implementar soluciones (p. ej., usando la arquitectura 3
orientada a los servicios).
2. Gestionar los requisitos de la arquitectura empresarial y respaldar el negocio y TI con consejos e información experta sobre principios,
modelos y bloques de construcción. Garantizar que las nuevas implementaciones (como cambios a la arquitectura actual) están alineadas
con los principios y requisitos de la arquitectura empresarial.
3. Gestionar el portafolio de servicios de la arquitectura empresarial y garantizar el alineamiento con los objetivos estratégicos y el desarrollo
de soluciones.
4. Identificar las prioridades de la arquitectura empresarial. Alinear las prioridades con los factores que proporcionan valor. Definir y recopilar 4
métricas de valor y medir y comunicar el valor de la arquitectura empresarial.
5. Establecer un foro de tecnología para proporcionar directrices de arquitectura, asesorar proyectos y guiar la selección de tecnología. Medir el 5
cumplimiento con los estándares y directrices, incluido el cumplimiento con los requisitos externos y con la relevancia empresarial interna.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Standards

ITIL V3, 2011 Service Design, 3.9 Service Oriented Architecture

The Open Group Standard TOGAF versión 9.2, 2018 14. Phase G: Implementation Governance; 15. Phase H: Architecture Change
Management

76
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

B. Componente: Estructuras organizativas

Director de tecnologías digitales

Función de gestión de datos

Consejo de gobierno de I&T
Consejo de arquitectura
Director de operaciones

Director de tecnología

Jefe de arquitectura
Director de TI
Práctica clave de gestión

Alinear, Planificar y Organizar

APO03.01 Desarrollar la visión de arquitectura empresarial. R R R R A R R
APO03.02 Definir la arquitectura de referencia. R R R R A R R
APO03.03 Seleccionar oportunidades y soluciones. R R R R A R R
APO03.04 Definir la implementación de la arquitectura. R R R R R A R R
APO03.05 Proporcionar servicios de arquitectura empresarial. R R R R R A R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
The Open Group Standard TOGAF versión 9.2, 2018 41. Architecture Board

C. Componente: Flujos y elementos de información (ver también la sección 3.6)

Práctica de gestión Entradas Salidas
APO03.01 Desarrollar la visión de arquitectura empresarial. De Descripción Descripción A
APO02.05 Hoja de ruta estratégica Alcance definido para la APO02.05
arquitectura
EDM04.01 Principios directrices para Caso de negocio y APO02.05;
la arquitectura empresarial propuesta de valor del APO05.02
concepto de arquitectura
Fuera de COBIT Estrategia empresarial Principios de arquitectura BAI02.01;
BAI03.01;
BAI03.02
APO03.02 Definir la arquitectura de referencia. APO01.04 • Definición de la estructura Modelo de arquitectura de APO01.04
organizativa y sus procesos
funciones
• Directrices operativas de
la empresa
APO01.06 • Evaluación de opciones Modelo de arquitectura de APO02.05;
para la organización de TI la información APO14.03;
• Ubicación operativa de la BAI02.01;
función de TI definida BAI03.02;
DSS05.03;
DSS05.04;
DSS05.06

77
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

C. Componente: Flujos y elementos de información (ver también la sección 3.6) (cont.)

Práctica de gestión Entradas Salidas
APO03.02 Definir la arquitectura de referencia. (cont.) De Descripción Descripción A
APO01.07 Directrices de clasificación Descripciones de dominios APO13.02;
de datos de referencia y definición de BAI02.01;
arquitectura BAI03.01;
BAI03.02;
APO14.01 Estrategia de gestión de BAI03.12
datos
APO14.03 Documentación de
metadatos
Fuera de COBIT Estrategia empresarial
APO03.03 Seleccionar oportunidades y soluciones. APO02.03 Cambios propuestos a la Arquitectura de transición APO02.05
Alinear, Planificar y Organizar

arquitectura empresarial
Fuera de COBIT • Motivadores
empresariales
• Estrategias empresariales
APO03.04 Definir la implementación de la arquitectura. Descripciones de la fase de BAI01.01;
implementación BAI01.02;
BAI11.01
Requisitos del gobierno de BAI01.01;
arquitectura BAI11.01
Requisitos de recursos BAI01.02
APO03.05 Proporcionar servicios de arquitectura empresarial. Directrices para el BAI02.01;
desarrollo de soluciones BAI02.02;
BAI03.02;
BAI03.12
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 9): Inputs and Outputs
Revisión 2, septiembre de 2017
The Open Group Standard TOGAF version 9.2, 2018 6. Phase A: Architecture Vision: Inputs and Outputs; 7. Phase B: Business
Architecture: Inputs and Outputs; 9. Phase C: Information Systems
Architectures Data Architecture: Inputs and Outputs; 10. Information Systems
Architectures Application Architecture: Inputs and Outputs; 11. Phase D:
Technology Architecture: Inputs and Outputs; 12. Phase E: Opportunities and
Solutions: Inputs and Outputs; 13. Phase F: Migration Planning: Inputs and
Outputs; 14. Phase G: Implementation Governance: Inputs and Outputs; 15.
Phase H: Architecture Change Management: Inputs and Outputs

D. Componente: Personas, habilidades y competencias

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Diseño de arquitectura e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.5. Architecture Design
Professionals in all industry sectors—Part 1: Framework, 2016
Análisis de datos Skills Framework for the Information Age V6, 2015 DTAN
Arquitectura empresarial y del Skills Framework for the Information Age V6, 2015 STPL
negocio
Planificación de productos/servicios e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.4. Product/Service
Professionals in all industry sectors—Part 1: Framework, 2016 Planning
Arquitectura solución Skills Framework for the Information Age V6, 2015 ARCH

78
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

E. Componente: Políticas y procedimientos

Política relevante Descripción de la política Documentación relacionada Referencia específica
Principios de arquitectura Define los principios generales para The Open Group Standard TOGAF 20. Architecture Principles
informar reglas y 20. Directrices de versión 9.2, 2018
los principios de arquitectura para
procesos, procedimientos, capas de
arquitectura y uso e interconexión
general de los recursos y activos
de I&T. Señala los principios de la
arquitectura para mejorar la toma de
decisiones. Asegura un alineamiento
de la arquitectura actual y objetivo con
los objetivos y estrategia empresarial.

Alinear, Planificar y Organizar

F. Componente: Cultura, ética y comportamiento
Elementos culturales clave Documentación relacionada Referencia específica
Crear un entorno que el que la dirección entienda las necesidades de la
arquitectura con respecto a las metas y objetivos del negocio. Impulsar una
práctica eficaz de la arquitectura empresarial en toda la organización (no solo
para los arquitectos de la empresa). Garantizar un enfoque holístico que vincule
los componentes perfectamente (por ej. dejar de contar con equipos dedicados
de especialistas en aplicaciones).

G. Componente: Servicios, infraestructura y aplicaciones

Repositorio de arquitectura

79
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

Página dejada en blanco intencionadamente

Alinear, Planificar y Organizar

80
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

Dominio: Alinear, Planificar y Organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO04 — Gestionar la innovación COBIT
Descripción
Mantener una concienciación de I&T y tendencias de servicio relacionadas y monitorizar las tendencias tecnológicas emergentes. Identificar de forma proactiva
oportunidades de innovación y planificar cómo beneficiarse de la innovación en relación con las necesidades empresariales y la estrategia de I&T. Analizar qué
oportunidades de mejora o innovación empresarial pueden crearse mediante tecnologías emergentes, servicios o innovación empresarial habilitada por I&T, así
como a través de tecnologías ya establecidas y por la innovación de procesos empresariales y de TI. Influenciar la planificación estratégica y las decisiones de
arquitectura empresarial.
Propósito
Lograr ventajas competitivas, innovación empresarial, una mejor experiencia del cliente y una mayor eficacia y eficiencia operativa con el aprovechamiento de los
desarrollos de I&T y tecnologías emergentes.
El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primarias:

Alinear, Planificar y Organizar

Metas empresariales Metas de alineamiento
• EG01 Portafolio de productos y servicios competitivos • AG06 Agilidad para convertir los requisitos del negocio en soluciones
• EG13 Innovación de producto y del negocio operativas
• AG13 Conocimiento, habilidad e iniciativas para la innovación empresarial
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
EG01 a. Porcentaje de productos y servicios que cumplen o exceden los AG06 a. Nivel de satisfacción de los ejecutivos de negocios con la
objetivos de ingresos y/o cuota de mercado capacidad de respuesta de I&T a los nuevos requisitos
b. Porcentaje de productos y servicios que cumplen o exceden los b. Tiempo promedio de comercialización para nuevos servicios y
objetivos de satisfacción del cliente aplicaciones relacionados con I&T
c. Porcentaje de productos y servicios que proporcionan una c. Tiempo promedio para convertir los objetivos estratégicos de I&T
ventaja competitiva en iniciativas acordadas y aprobadas
d. Plazo de comercialización para nuevos productos y servicios d. Número de procesos de negocio críticos soportados por
infraestructura y aplicaciones actualizadas
EG13 a. Nivel de conocimiento y comprensión de las oportunidades de AG13 a. Nivel de conocimiento y comprensión de los ejecutivos del
innovación del negocio negocio sobre las posibilidades de innovación de las I&T
b. Satisfacción de las partes interesadas con los niveles de b. Número de iniciativas aprobadas como resultado de ideas
habilidades e ideas sobre innovación y productos innovadoras de I&T
c. Número de iniciativas de productos y servicios aprobadas c. Número de campeones en innovación reconocidos/premiados
como resultado de ideas innovadoras

A. Componente: Proceso
Práctica de gestión Métricas modelo
APO04.01 Crear un entorno favorable que conduzca a la innovación. a. Percepciones y retroalimentación de las partes interesadas de la empresa
Crear un entorno que propicie la innovación, considerando métodos como respecto a la innovación en I&T
la cultura, las recompensas, la colaboración, los foros de tecnología y los b. Inclusión de objetivos relacionados con la innovación o tecnología emergente
mecanismos para promover y capturar las ideas de los empleados. en los objetivos de rendimiento para el personal relevante
Actividades Nivel de
capacidad
1. Crear un plan de innovación que incluya el apetito al riesgo, un presupuesto propuesto para iniciativas de innovación y objetivos de 2
innovación.
2. Proporcionar una infraestructura que pueda ser un componente de gobierno para la innovación (como herramientas de colaboración para
mejorar el trabajo entre sitios geográficos y/o divisiones).
3. Mantener un personal que gracias a programas presente ideas innovadoras y cree una estructura de toma de decisiones adecuada para 3
evaluar las ideas y sacarlas adelante.
4. Fomentar las ideas innovadoras de los clientes, proveedores y socios empresariales.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

81
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO04.02 Mantener un entendimiento del entorno de la empresa. a. Porcentaje de iniciativas implementadas con un claro vínculo a un objetivo
Trabajar con las partes interesadas pertinentes para entender sus desafíos. Mantener empresarial
una comprensión adecuada de la estrategia de la empresa y del entorno competitivo y de b. Porcentaje de oportunidades habilitadas por nuevas tecnologías identificadas
otras restricciones, de forma que se puedan identificar las oportunidades habilitadas por
las nuevas tecnologías.
Actividades Nivel de
capacidad
1. Mantener un conocimiento de los motivadores empresariales y de industria, la estrategia empresarial y de I&T y las operaciones empresariales y retos 2
actuales. Aplicar el entendimiento para identificar posibles tecnologías de valor agregado e innovar en I&T
2. Conducir reuniones regulares con unidades de negocio, divisiones y/u otras partes interesadas para entender los problemas empresariales actuales, los 3
cuellos de botella de los procesos y otras limitaciones, cuando las tecnologías emergentes o la innovación de I&T pueden crear oportunidades.
Alinear, Planificar y Organizar

3. Entender los parámetros de inversión empresariales para la innovación y nuevas tecnologías con el fin de desarrollar tecnologías adecuadas.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO04.03 Monitorizar explorar el entorno tecnológico. a. Frecuencia de la investigación y exploración del entorno realizadas para identificar
Implementar una vigilancia tecnológica para monitorizar y explorar sistemáticamente el ideas y tendencias innovadoras
entorno externo de la empresa para identificar las tecnologías emergentes que tengan b. Porcentaje de partes interesadas satisfechas con los esfuerzos para monitorizar el
el potencial de crear valor (p. ej., lograr la estrategia empresarial, optimizar costes, mercado, el entorno competitivo, los sectores de la industria y las tendencias legales y
evitar la obsolescencia y habilitar de mejor manera los procesos empresariales y de regulatorias para poder analizar las tecnologías emergentes o las ideas de innovación
I&T). Monitorizar el mercado, el entorno competitivo, los sectores de la industria y las en el contexto empresarial.
tendencias legales y regulatorias para poder analizar las tecnologías emergentes o las
ideas de innovación en el contexto empresarial.
Actividades Nivel de
capacidad
1. Entender el apetito y potencial de la empresa en cuanto a innovación tecnológica. Centrar los esfuerzos de concienciación en las innovaciones 2
tecnológicas más oportunas.
2. Establecer un proceso de vigilancia tecnológica e investigar y explorar el entorno externo, incluidos sitios webs, revistas y conferencias
adecuadas, para identificar las tecnologías emergentes y su valor potencial para la empresa.
3. Consultar a terceros expertos conforme sea necesario para confirmar la investigación o suministrar información sobre tecnologías emergentes.
4. Captar las ideas innovadoras del personal de I&T y revisar su posible implementación.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas de a. Porcentaje de iniciativas implementadas que logran los beneficios previstos
innovación. b. Porcentaje de iniciativas de pruebas de concepto exitosas para poner a prueba
Analizar las tecnologías emergentes identificadas y/u otras sugerencias de tecnologías emergentes u otras ideas de innovación
innovación en I&T para comprender su potencial empresarial. Trabajar con las
partes interesadas para validar las suposiciones sobre el potencial de nuevas
tecnologías e innovación.
Actividades Nivel de
capacidad
1. Evaluar las tecnologías identificadas, considerando aspectos como el tiempo para alcanzar la madurez, el riesgo inherente (incluidas las 2
posibles implicaciones legales), su encaje con la arquitectura empresarial y el potencial de valor, en línea con la estrategia empresarial y de
I&T.
2. Identificar asuntos que pudieran ser resueltos o validado a través de una iniciativa de prueba de concepto. 3
3. Alcance de la iniciativa de prueba de concepto, incluidos los resultados deseados, el presupuesto requerido, los plazos y las
responsabilidades.
4. Obtener la aprobación para la iniciativa de prueba de concepto.
5. Conducir iniciativas de prueba de concepto para poner a prueba tecnologías emergentes u otras ideas de innovación. Identificar problemas y
determinar si la implementación o despliegue debería considerarse basada en la factibilidad y el ROI potencial.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

82
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO04.05 Recomendar iniciativas adicionales apropiadas . a. Número de iniciativas de prueba de concepto evaluadas y aprobadas para su
Evaluar y monitorizar los resultados de las iniciativas de prueba de concepto posterior implementación
y, si son favorables, generar recomendaciones para más iniciativas. Obtener el b. Número de iniciativas de prueba de concepto que han sido apalancadas con la
apoyo de las partes interesadas. inversión real.
Actividades Nivel de
capacidad
1. Documentar los resultados de la prueba de concepto, incluidas directrices y recomendaciones de tendencias y programas de innovación 3
2. Comunicar oportunidades de innovación viables en la estrategia de I&T y los procesos de arquitectura empresarial.
3. Analizar y comunicar las razones de iniciativas de pruebas de concepto rechazadas.
4. Hacer un seguimiento de las iniciativas de prueba de concepto para medir la inversión real. 4

Alinear, Planificar y Organizar

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO04.06 Supervisar la implementación y el uso de la innovación. a. Aumentar la cuota de mercado o competitividad debido a innovaciones
Supervisar la implementación y el uso de las tecnologías emergentes y las b. Número de lecciones aprendidas y oportunidades de mejora captadas para su
innovaciones durante la adopción, integración, y todo el ciclo de vida económico uso futuro
para garantizar que se obtengan los beneficios prometidos y para identificar las
lecciones aprendidas.
Actividades Nivel de
capacidad
1. Captar las lecciones aprendidas y las oportunidades de mejora. 3
2. Garantizar que las iniciativas de innovación estén alineadas con la estrategia empresarial y de I&T. Monitorizar continuamente el
alineamiento. Ajustar el plan de innovación, si fuera necesario.
3. Evaluar nueva tecnología o innovaciones de I&T implementadas como parte de la estrategia de I&T y el desarrollo de la arquitectura 4
empresarial. Evaluar el nivel de adopción durante la gestión de iniciativas del programa.
4. Identificar y evaluar el valor potencial de la innovación.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

B. Componente: Estructuras organizativas

Gestor de seguridad de la información

Director de tecnologías digitales
Dueños del proceso de negocio

Director de Recursos Humanos

Función de gestión de datos

Jefe de operaciones de TI
Director de tecnología

Gestor de relaciones
Jefe de arquitectura

Gestor de Servicios
Jefe de desarrollo
Comité Ejecutivo
Director de TI

Práctica clave de gestión

APO04.01 Crear un entorno favorable que conduzca a la innovación. A R R R R R R R R R R R
APO04.02 Mantener un entendimiento del entorno de la empresa. A R R R R R R R R R R R
APO04.03 Monitorizar y explorar el entorno tecnológico. A R R R R R R R R R R
APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas de innovación. A R R R R R R R R R R
APO04.05 Recomendar iniciativas adicionales apropiadas . A R R R R R R R R R R
APO04.06 Supervisar la implementación y el uso de la innovación. A R R R R R R R R R R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para este componente.

83
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

C. Componente: Flujos y elementos de información (ver también la sección 3.6)

Práctica de gestión Entradas Salidas
APO04.01 Crear un entorno favorable que conduzca a la De Descripción Descripción A
innovación.
EDM03.01 Guía del apetito de riesgo Programa de APO07.04
reconocimiento y
recompensas
Plan de innovación Interna

APO04.02 Mantener un entendimiento del entorno de la Fuera de COBIT Estrategia empresarial Oportunidades de APO02.01
empresa. y análisis análisis de innovación relacionadas
fortalezas, oportunidades, con los motivadores
debilidades, amenazas empresariales
(FODA)
Alinear, Planificar y Organizar

APO04.03 Monitorizar y explorar el entorno tecnológico. Fuera de COBIT Tecnologías emergentes Análisis de investigación BAI03.01
de las posibilidades de
innovación
APO04.04 Evaluar el potencial de las tecnologías emergentes y Alcance de la prueba de APO05.02;
las ideas de innovación. conceptos y descripción del APO06.02
caso de negocio
Evaluación de las iniciativas BAI03.01
de innovación
Comprobar resultados de Interna
iniciativas de prueba de
concepto
APO04.05 Recomendar iniciativas adicionales apropiadas . Análisis de iniciativas APO02.03;
rechazadas BAI03.08
Resultados y APO02.03;
recomendación de BAI03.09
iniciativas de prueba de
concepto
APO04.06 Supervisar la implementación y el uso de la Evaluaciones del uso de APO02.04;
innovación. estrategias innovadoras BAI03.02
Evaluación de los APO05.03
beneficios de innovación
Ajuste de los planes de Interna
innovación

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica

Sin Documentación relacionada para este componente.

D. Componente: Personas, habilidades y competencias

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Desarrollo de plan de negocio e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.3. Plan de negocio
Professionals in all industry sectors—Part 1: Framework, 2016 Desarrollo
Monitorización de tecnologías Skills Framework for the Information Age V6, 2015 EMRG
emergentes
Innovación e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.9. Innovación
Professionals in all industry sectors—Part 1: Framework, 2016
Innovation Skills Framework for the Information Age V6, 2015 INOV
Investigación Skills Framework for the Information Age V6, 2015 RSCH
Monitorización de tendencias e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.7. Tendencias
tecnológicas Professionals in all industry sectors—Part 1: Framework, 2016 tecnológicas
Supervisión

84
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

E. Componente: Políticas y procedimientos

Política relevante Descripción de la política Documentación relacionada Referencia específica
Principios de innovación Define principios generales
garantizando que las ideas nuevas/
innovadoras se evalúan de forma
exhaustiva a la hora de definir nuevas
metas y decisiones estratégicas.

F. Componente: Cultura, ética y comportamiento

Elementos culturales clave Documentación relacionada Referencia específica
Crear un entorno propicio para la innovación, al mantener las iniciativas
relevantes de RR. HH., como el reconocimiento por la innovación y los programas
de recompensas, la rotación adecuada de puestos de trabajo, y el tiempo

Alinear, Planificar y Organizar

opcional para la experimentación. Asegurar una colaboración y coordinación
estrechas de las iniciativas en toda la organización.

G. Componente: Servicios, infraestructuras y aplicaciones

• Plataformas de colaboración
• Benchmarks de la industria
• Servicios y herramientas de vigilancia tecnológica

85
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

Página dejada en blanco intencionadamente

Alinear, Planificar y Organizar

86
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

Dominio: Alinear, Planificar y Organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO05 — Gestionar el portafolio COBIT
Descripción
Ejecutar la dirección estratégica establecida para las inversiones, en línea con la visión de la arquitectura empresarial y la hoja de ruta de I&T. Considerar las
diferentes categorías de inversiones y las limitaciones de recursos y financiación. Evaluar, priorizar y equilibrar los programas y servicios, gestionando la demanda
dentro de las limitaciones de recursos y financiamiento, basándose en su alineación con los objetivos estratégicos, el valor y el riesgo de la empresa. Mover los
programas seleccionados al portafolio de productos o servicios activa para su ejecución. Supervisar el rendimiento del portafolio general de productos y servicios, y
programas, proponiendo ajustes según sea necesario en respuesta al rendimiento del programa, producto o servicio, o cambiando las prioridades de la empresa.
Propósito
Optimizar el rendimiento del portafolio general de programas en respuesta al rendimiento individual de programas, productos y servicios y a las cambiantes
prioridades y demandas de la empresa.
El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primarias:

Alinear, Planificar y Organizar

Metas empresariales Metas de alineamiento
• EG01 Portafolio de productos y servicios competitivos • AG03 Beneficios obtenidos del portafolio de inversiones y servicios
• EG08 Optimización de la funcionalidad de procesos internos del relacionados con I&T
negocio • AG05 Prestación de servicios de I&T conforme a los requisitos del negocio
• EG12 Gestión de programas de transformación digital
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
EG01 a. Porcentaje de productos y servicios que cumplen o exceden los AG03 a. Porcentaje de inversiones posibilitadas por I&T en las que los
objetivos de ingresos y/o cuota de mercado beneficios previstos se cumplen o exceden
b. Porcentaje de productos y servicios que cumplen o exceden los b. Porcentaje de servicios de I&T para los que se han logrado los
objetivos de satisfacción del cliente beneficios esperados (indicados en los acuerdos de nivel de
c. Porcentaje de productos y servicios que proporcionan una servicio)
ventaja competitiva
d. Plazo de comercialización para nuevos productos y servicios

EG08 a. Niveles de satisfacción de la junta directiva y la dirección AG05 a. Porcentaje de partes interesadas del negocio satisfechas con
ejecutiva con las capacidades del proceso del negocio que la prestación de servicios de I&T cumpla con los niveles de
b. Niveles de satisfacción de los clientes con las capacidades de servicio acordados
prestación de servicios b. Número de interrupciones del negocio debido a incidentes de
c. Niveles de satisfacción de los proveedores con las capacidades servicios de I&T
de la cadena de suministro c. Porcentaje de usuarios satisfechos con la calidad de la prestación
de servicios de I&T
EG12 a. Número de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución
del programa
c. Porcentaje de programas de transformación del negocio
suspendidos
d. Porcentaje de programas de transformación del negocio con
actualizaciones del estado notificadas regularmente

A. Componente: Proceso
Práctica de gestión Métricas modelo
APO05.01 Determinar la disponibilidad y las fuentes de fondos. a. Proporción entre los fondos asignados y los fondos utilizados
Determinar posibles fuentes de fondos, diferentes opciones de financiamiento b. Proporción entre los ingresos retenidos y los fondos asignados
y las implicaciones de las fuentes de financiamiento en las expectativas de
retorno de inversión.
Actividades Nivel de
capacidad
1. Entender la disponibilidad y el compromiso actual de fondos, el gasto real aprobado y el gasto real hasta la fecha. 2
2. Identificar opciones de financiación adicional para inversiones facilitadas por I&T, considerando fuentes internas y externas.
3. Determinar las implicaciones de las fuentes de financiación en las expectativas de retorno de inversión.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

87
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO05.02 Evaluar y seleccionar programas para financiar. a. Porcentaje de proyectos en el portafolio de proyectos de I&T que pueden
Basándose en los requisitos generales de la mezcla general del portafolio de atribuirse directamente a la estrategia de I&T
inversión y el plan estratégico y la hoja de ruta de I&T, evaluar y establecer b. Porcentaje de unidades de negocio involucradas en el proceso de evaluación
prioridades de los casos de negocio del programa y tomar decisiones sobre las y priorización
propuestas de inversión. Asignar fondos e iniciar los programas.
Actividades Nivel de
capacidad
1. Identificar y clasificar las oportunidades de inversión en línea con las categorías del portafolio de inversiones. Concretar el/los resultado(s) 2
empresariales esperados, las iniciativas requeridas para lograr el/los resultado(s) esperados, los costes de alto nivel, las dependencias y el
riesgo. Concretar la metodología para medir los resultados, el coste y el riesgo.
2. Realizar una evaluación detallada de todos los casos de negocio del programa. Evaluar el alineamiento estratégico, el beneficio empresarial, 3
Alinear, Planificar y Organizar

el riesgo y la disponibilidad de recursos.

3. Evaluar el impacto de añadir posibles programas al conjunto del portafolio de inversiones, incluidos cambios que pudieran ser requeridos por
otros programas.
4. Decidir qué programas candidatos deberían trasladarse al portafolio de inversiones activas. Decidir si los programas rechazados deberían
conservarse para su consideración futura o dotarse de financiación inicial para determinar si el caso de negocio puede mejorarse o
descartarse.
5. Determinar los hitos requeridos para cada ciclo de vida económico completo del programa seleccionado. Asignar y reservar la financiación
total de programa total por hito. Trasladar el programa al portafolio activo de inversión.
6. Establecer procedimientos para comunicar el coste, el beneficio y aspectos de portafolios relacionados con los riesgos, para su
consideración en la priorización del presupuesto, la gestión de costes y los procesos de gestión de beneficios.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
PMBOK Guide Sixth Edition, 2017 Part 1: 1.2.3 Relationship of project, program, portfolio and operations
management
Práctica de gestión Métricas modelo
APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio a. Tendencias en ROI de las iniciativas incluidas en la estrategia de I&T
de inversión. b. Nivel de satisfacción con los informes de monitorización del portafolio
Monitorizar y optimizar de forma periódica el rendimiento del portafolio de c. Porcentaje de programas alineados con los requisitos de negocio de la
inversión y los programas individuales durante todo el ciclo de vida de las empresa
inversiones. Garantizar un seguimiento continuo al alineamiento del portafolio
con la estrategia de I&T.
Actividades Nivel de
capacidad
1. Revisar regularmente el portafolio para identificar y explotar sinergias, eliminar la duplicación entre programas, e identificar y mitigar el 3
riesgo.
2. Cuando se producen los cambios, reevaluar y repriorizar el portafolio para garantizar el alineamiento con la estrategia empresarial y de I&T.
Mantener la combinación de inversiones objetivo para que el portafolio optimice el valor total. Los programas podrían cambiar, postergarse
o retirarse, y nuevos programas podrían iniciarse, para reequilibrar y optimizar el portafolio.
3. Ajustar los objetivos de la empresa, las estimaciones, los presupuesto y, de ser necesario, el grado de monitorización para reflejar los
gastos y beneficios empresariales atribuibles a programas del portafolio de inversiones activas. Cargar los gastos del programa. Establecer
procesos presupuestarios flexibles para que proyectos prometedores consigan los recursos para escalar rápidamente.
4. Desarrollar métricas para medir la contribución de I&T a la empresa. Establecer objetivos de rendimiento adecuado que reflejen los objetivos 4
requeridos de capacidad empresarial y de I&T. Usar los consejos de expertos externos y realizar benchmark de datos para desarrollar
métricas.
5. Proporcionar una vista exacta del rendimiento del portafolio de inversión a todas las partes interesadas.
6. Proporcionar informes para revisión de los altos directivos sobre el progreso de la empresa hacia los objetivos identificados, que incluyan
que debe aún gastarse y lograr en los plazos dados.
7. En la monitorización regular del rendimiento , incluir información sobre el grado de consecución de los objetivos planificados, el riesgo
mitigado, las capacidades creadas, los entregables obtenidos y los objetivos de desempeño alcanzados.
8. Identificar desviaciones del presupuesto vs. gasto real y ROI esperado de inversiones.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

88
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO05.04 Mantener los portafolios. a. Números de programas y proyectos finalizados
Mantener los portafolios de los programas y proyectos de inversión, productos y b. Tiempo transcurrido desde la última actualización del portafolio de servicios
servicios de I&T y los activos de I&T.
Actividades Nivel de
capacidad
1. Crear y mantener portafolios de programas de inversión habilitados por I&T, servicios prestados por I&T y activos de I&T, que forman la base 3
para el presupuesto de I&T actual y respaldan los planes tácticos y estratégicos de I&T.
2. Trabajar con gestores de servicios para conservar el portafolio de servicios. Trabajar con gestores de operaciones, gestores de producto y
arquitectos para conservar los portafolios de activos. Priorizar los portafolios para respaldar las decisiones de inversión.
3. Retirar un programa del portafolio de inversiones activas cuando los beneficios empresariales deseados se han alcanzado o cuando está
claro que los beneficios no se alcanzarán dentro de los criterios de valor establecidos para el programa.

Alinear, Planificar y Organizar

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ITIL V3, 2011 Service Strategy, 4.2 Service portfolio management
Práctica de gestión Métricas modelo
APO05.05 Gestionar el logro de beneficios. a. Porcentaje de cambios del programa de inversiones reflejados en los
Monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados, portafolios relevantes de I&T
basándose en el caso de negocio acordado y vigente. b. Porcentaje de partes interesadas satisfechas con los esfuerzos para
monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados,
basándose en el caso de negocio acordado y vigente.
Actividades Nivel de
capacidad
1. Usar las métricas acordadas y hacer un seguimiento de cómo se alcanzan los beneficios, cómo evolucionan a lo largo del ciclo de vida de 4
programas y proyectos, cómo se obtienen de productos y servicios de I&T, y cómo se comparan con benchmarks internos y de la industria.
Comunicar resultados a las partes interesadas
2. Implementar la acción correctiva cuando los beneficios logrados se desvían significativamente de los beneficios esperados. Actualizar el 5
caso de negocio para nuevas iniciativas e implementar procesos de negocio y mejoras de servicio, conforme sean necesarias.
3. Considerar la obtención de ayuda de expertos externos, líderes de la industria y datos de benchmarking comparativos para poner a prueba y
mejorar las métricas y objetivos.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

89
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

B. Componente: Estructuras organizativas

Director de tecnologías digitales

Oficina de gestión de proyectos

Dueños del proceso de negocio
Consejo de gobierno de I&T
Director general financiero

Director de tecnología

Gestor de programas
Gestor de portafolio
Director de TI
Práctica clave de gestión
Alinear, Planificar y Organizar

APO05.01 Determinar la disponibilidad y las fuentes de fondos. R R A R

APO05.02 Evaluar y seleccionar programas para financiar. R R R R A R R
APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio de inversión. R R R A R R
APO05.04 Mantener los portafolios. R R R A R R R
APO05.05 Gestionar el logro de beneficios. R R R R A R R R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para este componente.

C. Componente: Flujos y elementos de información (ver también la sección 3.6)

Práctica de gestión Entradas Salidas
APO05.01 Determinar la disponibilidad y las fuentes de fondos. De Descripción Descripción A
Expectativas de retorno de APO02.04;
inversión APO06.02;
BAI01.06;
EDM02.02
Opciones de financiación APO02.05

90
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

C. Componente: Flujos y elementos de información (ver también la sección 3.6) (cont.)

Práctica de gestión Entradas Salidas
APO05.02 Evaluar y seleccionar programas para financiar. De Descripción Descripción A
APO03.01 Caso de negocio y propuesta Caso de negocio del programa APO06.02;
de valor del concepto de BAI01.02
arquitectura
APO04.04 Alcance de la prueba de Evaluaciones de casos de APO06.02;
conceptos y descripción del negocio BAI01.06
caso de negocio
APO06.02 • Asignaciones de presupuesto Programas seleccionados con BAI01.04;
• Priorización y clasificación de hitos de retorno de inversión EDM02.02
las iniciativas de I&T (ROI)

APO06.03 • Presupuesto de TI

Alinear, Planificar y Organizar

• Comunicaciones del
presupuesto
APO09.01 Brechas identificadas en
servicios de TI prestados a la
empresa
APO09.03 Acuerdos de nivel de servicio
(SLA)
APO13.02 Casos de negocio de seguridad
de la información
BAI01.02 • Plan de obtención de
beneficios del programa
• Caso de negocio del concepto
del programa
• Mandato e resumen del
programa
EDM02.02 • Evaluación del alineamiento
estratégico
• Evaluación de los portafolios
de inversiones y servicios
EDM02.03 Tipos y criterios de inversión

APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del APO04.06 Evaluación de los beneficios de Informes de rendimiento del APO09.04;
portafolio de inversión. innovación portafolio de inversiones BAI01.06;
EDM02.03;
BAI01.06 Resultados de la revisión por EDM02.04;
fases MEA01.03
EDM02.02 Evaluación de los portafolios de
inversiones y servicios
EDM02.04 • Retroalimentación sobre el
rendimiento del portafolio y
los programas
• Acciones para mejorar la
entrega de valor
APO05.04 Mantener los portafolios. BAI01.09 Comunicación de la retirada de Portafolios actualizados de APO09.02;
programas y programas, servicios y activos BAI01.01
rendición de cuentas futuras

BAI03.11 Portafolio de servicios

actualizada
APO05.05 Gestionar el logro de beneficios. BAI01.04 Registro del presupuesto y los Acciones correctivas para APO09.04;
beneficios del programa mejorar la obtención de BAI01.06
beneficios

BAI01.05 Resultados de la monitorización Resultados de beneficios y APO09.04;

de la obtención de beneficios comunicaciones relacionadas BAI01.06;
EDM02.02

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica

Sin Documentación relacionada para este componente.
91
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

D. Componente: Personas, habilidades y competencias

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Gestión de beneficios Skills Framework for the Information Age V6, 2015 BENM
Gestión del portafolio Skills Framework for the Information Age V6, 2015 POMG
Planificación de productos/servicios e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.4. Planificación de
Professionals in all industry sectors—Part 1: Framework, 2016 productos/servicios

E. Componente: Políticas y procedimientos

Política relevante Descripción de la política Documentación relacionada Referencia específica
Principios del portafolio Define los principios generales que
garantizan la selección correcta y
diversa de programas y proyectos para
Alinear, Planificar y Organizar

lograr la estrategia de I&T; considerar

el alineamiento con la estrategia
empresarial, una combinación de
inversión adecuada, etc.

F. Componente: Cultura, ética y comportamiento

Elementos culturales clave Documentación relacionada Referencia específica
Fomentar la gestión sistemática de inversiones de I&T; medir y evaluar
escenarios de inversión objetivamente.
Apoyar la velocidad y agilidad, asegurar que los líderes evalúan el portafolio de
inversiones activa de forma decisiva. Si un prototipo no funciona, el liderazgo
debe acabar con el proyecto de forma decisiva, incorporando las lecciones
aprendidas y siguiendo hacia delante. Dedicar rápidamente recursos adicionales
a proyectos de éxito para escalarlos de forma adecuada.

G. Componente: Servicios, infraestructura y aplicaciones

Herramientas de gestión del portafolio/inversión

92
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

Dominio: Alinear, Planificar y Organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO06 — Gestionar el presupuesto y los costes COBIT
Descripción
Gestionar las actividades financieras relacionadas con I&T en las funciones empresariales y de TI, cubriendo el presupuesto, la gestión de costes y beneficios, y
la priorización de gastos mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de asignación de costes a la empresa. Consultar a
las partes interesadas para identificar y controlar los costes y beneficios totales dentro del contexto de los planes estratégicos y tácticos de I&T. Iniciar la acción
correctiva cuando sea necesario.
Propósito
Fomentar la asociación entre las partes interesadas de la empresa y de TI para permitir el uso eficaz y eficiente de los recursos relacionados con I&T, y proporcionar
transparencia y rendición de cuentas sobre el coste y el valor para el negocio de soluciones y servicios. Habilitar a la empresa para que tome decisiones informadas
sobre el uso de soluciones y servicios de I&T.
El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primarias:

Alinear, Planificar y Organizar

Metas empresariales Metas de alineamiento
• EG01 Portafolio de productos y servicios competitivos • AG04 Calidad de la información financiera relacionada con la tecnología
• EG04 Calidad de la información financiera • AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto,
• EG07 Calidad de la información sobre gestión y que cumplen con los requisitos y estándares de calidad
• EG08 Optimización de la funcionalidad de procesos internos del
negocio
• EG09 Optimización de costes de los procesos del negocio
• EG12 Gestión de programas de transformación digital
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
EG01 a. Porcentaje de productos y servicios que cumplen o exceden los AG04 a. Satisfacción de partes interesadas clave con respecto al nivel
objetivos de ingresos y/o cuota de mercado de transparencia, comprensión y precisión de la información
b. Porcentaje de productos y servicios que cumplen o exceden los financiera de I&T
objetivos de satisfacción del cliente b. Porcentaje de servicios de I&T con costes operativos claramente
c. Porcentaje de productos y servicios que proporcionan una definidos y aprobados, y beneficios esperados
ventaja competitiva
d. Plazo de comercialización para nuevos productos y servicios
EG04 a. Encuesta de satisfacción de las partes interesadas clave con AG09 a. Número de programas/proyectos ejecutados a tiempo y dentro del
respecto al nivel de transparencia, comprensión y precisión de presupuesto
la información financiera de la empresa b. Número de programas que necesitan una revisión significativa
b. Coste de incumplimiento con respecto a regulaciones debido a defectos de calidad
financieras c. Porcentaje de partes interesadas satisfechas con la calidad del
programa/proyecto
EG07 a. Grado de satisfacción del consejo de administración y la
dirección ejecutiva con la información para la toma de
decisiones
b. Número de incidentes causados por decisiones erróneas de
negocio basadas en información imprecisa
c. Tiempo que se tarda en proporcionar la información que
respalde la toma de decisiones empresariales eficaces
d. Periodicidad de la información sobre gestión
EG08 a. Niveles de satisfacción del consejo de administración y
la dirección ejecutiva con las capacidades del proceso
empresarial
b. Niveles de satisfacción de los clientes con las capacidades de
prestación de servicios
c. Niveles de satisfacción de los proveedores con las capacidades
de la cadena de suministro
EG09 a. Relación entre el coste y los niveles de servicio conseguidos
b. Niveles de satisfacción del consejo de administración y
la dirección ejecutiva con las capacidades del proceso
empresarial
EG12 a. Número de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución
del programa
c. Porcentaje de programas de transformación del negocio
suspendidos
d. Porcentaje de programas de transformación del negocio con
actualizaciones del estado notificadas regularmente

93
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso
Práctica de gestión Métricas modelo
APO06.01 Gestión financiera y contable. a. Número de desviaciones entre las categorías presupuestarias esperadas y
Establecer y mantener un método para gestionar y contabilizar todos los costes reales
y la depreciación relacionados con I&T como una parte integral de los sistemas b. Utilidad de la información financiera como información para casos de negocio
y contabilidad financiera de la empresa. Elaborar un informe con los sistemas de para nuevas inversiones en activos y servicios de I&T
medición financiera de la empresa.
Actividades Nivel de
capacidad
1. Definir procesos, entradas, salidas y responsabilidades para la gestión y contabilidad financiera de I&T en línea con el presupuesto y las 2
políticas y estrategia de contabilidad de costes de la empresa. Definir cómo analizar e informar (a quién y cómo) sobre el proceso de control
presupuestario de I&T.
2. Definir un esquema de clasificación para identificar todos los elementos de costes relacionados con la I&T (gastos de capital [capex] vs.
Alinear, Planificar y Organizar

gastos operativos [opex], hardware, software, personas, etc.). Identificar cómo se captan.
3. Utilidad de la información financiera a fin de proporcionar información en casos de negocio para nuevas inversiones en activos y servicios de 3
I&T.
4. Garantizar que los costes se mantengan en los portafolios de activos y servicios de I&T.
5. Establecer y mantener prácticas para la planificación financiera y la optimización de costes operativos recurrentes a fin de obtener el máximo 4
valor para la empresa con el mínimo gasto.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ITIL V3, 2011 Service Strategy, 4.3 Financial management for IT services
Práctica de gestión Métricas modelo
APO06.02 Establecer prioridades para la asignación de recursos. a. Número de problemas de asignación de recursos escalados
Implementar un proceso de toma de decisiones para establecer prioridades b. Porcentaje de alineamiento de recursos de I&T con iniciativas de alta prioridad
sobre la asignación de recursos y establecer reglas para las inversiones
discrecionales por unidades individuales de negocio. Incluir el posible uso
de proveedores de servicios externos y considerar las opciones de compra,
desarrollo y alquiler.
Actividades Nivel de
capacidad
1. Clasificar todas las iniciativas y solicitudes de presupuesto de I&T con base en los casos de negocio y las prioridades estratégicas y tácticas. 2
Establecer procedimientos para determinar la asignación de presupuesto y los puntos de corte.
2. Asignar recursos empresariales y de TI (incluidos proveedores de servicios externos) dentro de las asignaciones presupuestarias de alto
nivel para programas, servicios y activos relacionados con I&T. Considerar las opciones para la compra o desarrollo de activos y servicios
capitalizados frente a activos y servicios utilizados externamente con base en el pago por uso.
3. Establecer un procedimiento para comunicar las decisiones presupuestarias y revisarlas con los responsables de presupuesto de las
unidades de negocio.
4. Identificar, comunicar y resolver los impactos significativos de las decisiones presupuestarias en los casos de negocio, portafolios y planes
estratégicos. (Por ejemplo, esto podría incluir las situaciones donde los presupuestos deben revisarse debido al cambio de las circunstancias
empresariales o cuando éstas no son suficientes para respaldar los objetivos estratégicos u objetivos del caso de negocio).
5. Obtener la ratificación del comité ejecutivo para las implicaciones presupuestarias de I&T que tengan un impacto negativo en los planes 3
estratégicos o tácticos de la entidad. Sugerir acciones para resolver estos impactos.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión
Práctica de gestión Métricas modelo
APO06.03 Crear y mantener presupuestos. a. Número de cambios presupuestarios debido a omisiones y errores
Preparar un presupuesto que refleje las prioridades de inversión con base en el b. Utilidad del presupuesto de I&T a la hora de identificar todos los costes de I&T
portafolio de programas habilitados por I&T y los servicios de I&T. esperados de los programas, servicios y activos habilitados por I&T.

94
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

A. Componente: Proceso (cont.)

Actividades Nivel de
capacidad
1. Implementar un presupuesto de I&T formal, incluidos todos los costes de I&T esperados de los programas, servicios y activos habilitados por 2
I&T.
2. A la hora de crear el presupuesto, considerar los componentes siguientes: alineamiento con el negocio; alineamiento con la estrategia de
abastecimiento; fuentes de financiación autorizadas; costes de recursos internos, incluido el personal, activos de información y garantías;
costes de terceros, incluidos los contratos de externalización, consultores y proveedores de servicios; gastos de capital y operativos; y
elementos de coste que dependen de la carga de trabajo.
3. Documentar las razones que justifican las contingencias y revisarlas de forma regular.
4. Instruir a los dueños del proceso, servicio y programa, así como a los gestores de proyecto y activos, para planificar los presupuestos.
5. Revisar los planes presupuestarios y tomar decisiones sobre las asignaciones de presupuesto. Recopilar y ajustar el presupuesto con base 3
en los cambios de las necesidades de la empresa y consideraciones financieras.

Alinear, Planificar y Organizar

6. Registrar, mantener y comunicar el presupuesto de I&T actual, incluidos los gastos comprometidos y los gastos actuales, mediante la
consideración de los proyectos de I&T registrados en los portafolios de inversión habilitadas por I&T y el funcionamiento y mantenimiento de
los portafolios de activos y servicios.
7. Monitorizar la efectividad de los distintos aspectos del presupuesto. 4
8. Usar los resultados monitorizados para implementar mejoras y asegurar que los presupuestos futuros sean más precisos, confiables y 5
rentables.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ISO/IEC 20000-1:2011(E) 6.4 Budgeting and accounting for services
PMBOK Guide Sixth Edition, 2017 Part 1: 7. Project cost management
Práctica de gestión Métricas modelo
APO06.04 Modelar y asignar los costes. a. Porcentaje de costes generales de I&T que se asignan de acuerdo con los
Establecer y usar un modelo basado en los costes de I&T, por ejemplo, en modelos de costes acordados
la definición de los servicios. Este enfoque garantiza que la asignación de b. Número de revisiones y benchmarks del modelo de costes/devoluciones y su
costes para servicios sea identificable, medible y predecible, y fomenta el uso adecuación para las cambiantes actividades empresariales y de I&T
responsable de los recursos, incluidos aquellos proporcionados por proveedores
de servicios. Revisar y comparar regularmente el modelo de coste/devoluciones
para conservar su relevancia y adecuación a las cambiantes actividades
empresariales y de TI.
Actividades Nivel de
capacidad
1. Decidir un modelo de asignación de costes que permita una asignación justa, transparente, repetible y comparable de costes relacionados 3
con I&T a los usuarios. Un ejemplo de modelo de asignación básico es la asignación uniforme de costes compartidos relacionados con I&T.
Se trata de un sencillísimo modelo de asignación que es fácil de aplicar; sin embargo, según el contexto de la empresa, se suele considerar
injusto y que no fomenta el uso responsable de los recursos. Un esquema de costes basado en actividades, en aquel en el que los costes se
asignan a servicios de TI y se cargan a los usuarios de estos servicios, permite una asignación de costes más transparente y comparable.
2. Inspeccionar los catálogos de definiciones de servicios para identificar aquellos sujetos a devolución a los usuarios y aquellos que son
servicios compartidos.
3. Diseñar el modelo de costes de manera que sea lo bastante transparente como para permitir a los usuarios identificar el uso y cargo actual,
con categorías y factores de costes que tengan sentido para el usuario (como, coste por llamada a Help Desk, costo por licencia de software)
y para permitir una mejor , predictibilidad de costes de I&T y utilización eficaz y eficiente de los recursos de I&T. Analizar los factores de
coste (tiempo dedicado por actividad, gastos, proporción de costes fijos frente a variables, etc.). Decidir una diferenciación adecuada (p. ej.
distintas categorías de usuarios con distinto peso) y usar aproximaciones o medias de coste cuando los costes reales tienen una naturaleza
muy variable.
4. Explicar los principios y el resultado del modelo de costes a las partes interesadas clave. Obtener su retroalimentación para perfeccionarlo
con vistas a lograr un modelo transparente y exhaustivo.
5. Obtener la aprobación de las partes interesadas clave para comunicar el modelo de costes de I&T a la dirección de los departamentos de
usuario.
6. Comunicar cambios importantes en los principios del modelo de coste/repercusión a las partes interesadas y directivos clave de los
departamentos de usuario.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

95
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Práctica de gestión Métricas modelo
APO06.05 Gestionar los costes. a. Porcentaje de variación entre presupuestos, previsiones y costes reales
Implementar un proceso de gestión de costes que compare los costes actuales b. Puntualidad de la monitorización e información en caso de desviaciones, así
contra el presupuesto. Es necesario monitorizar e informar sobre los costes, Las como su impacto sobre los procesos empresariales y los servicios evaluados.
desviaciones presupuestarias deben identificarse de forma oportuna, así como
su impacto sobre los procesos empresariales y los servicios evaluados.
Actividades Nivel de
capacidad
1. Obtener la aprobación de las partes interesadas clave para comunicar el modelo de costes de I&T a la dirección de los departamentos de 2
usuario.
2. Establecer escalas de tiempo para la ejecución del proceso de gestión de costes en línea con los requisitos y el plazo del presupuesto y la
contabilidad.
Alinear, Planificar y Organizar

3. Definir un método para recopilar los datos relevantes para identificar desviaciones del presupuesto frente a los gastos reales, el ROI de la
inversión, las tendencias de los costes de servicios, etc.
4. Definir cómo se consolidan los costes para los niveles adecuados en la empresa (TI central frente al presupuesto de TI dentro de los 3
departamentos de la empresa) y cómo se presentarán a las partes interesadas. El informe proporciona información de los costes por
categoría de costes, estado del presupuesto frente a los gastos actuales, mayores gastos, etc., para permitir la identificación oportuna de las
acciones correctivas requeridas.
5. Instruir a aquellos responsables de la gestión de costes a captar, recoger y consolidar los datos y presentar e informar de los datos a los
responsables de presupuesto correspondientes. Los analistas y responsables del presupuesto analizan conjuntamente las desviaciones
y comparan el rendimiento con benchmarks internos y de la industria. Estos deberían establecer y mantener el método de asignación de
superávits. El resultado del análisis proporciona una explicación de las desviaciones significativas y las acciones correctivas sugeridas.
6. Garantizar que los niveles directivos adecuados revisen los resultados del análisis y aprueben las acciones correctivas sugeridas.
7. Garantizar que se identifiquen los cambios en estructuras de costes y necesidades empresariales, y que se revisen los presupuestos y 4
previsiones, conforme sea necesario.
8. En intervalos regulares, y sobre todo cuando hay recortes de presupuesto debido a limitaciones financieras, identificar la forma de optimizar 5
los costes e introducir eficiencias sin poner en peligro los servicios.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para esta práctica de gestión

B. Componente: Estructuras organizativas

Director de tecnologías digitales

Jefe de administración de TI
Director general financiero

Director de tecnología

Gestor de portafolio
Director de TI

Práctica clave de gestión

APO06.01 Gestión financiera y contable. A R R
APO06.02 Establecer prioridades para la asignación de recursos. R A R R R R
APO06.03 Crear y mantener presupuestos. R A R R R
APO06.04 Modelar y asignar los costes. R A R
APO06.05 Gestionar los costes. R A R R R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin Documentación relacionada para este componente.

96
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

C. Componente: Flujos y elementos de gestión (ver también la sección 3.6)

Práctica de gestión Entradas Salidas
APO06.01 Gestión financiera y contable. De Descripción Descripción A
BAI09.01 Registro de activos Prácticas de planificación Interna
financiera
Esquema de clasificación Interna
de costes de I&T

Procesos contables Interna

APO06.02 Establecer prioridades para la asignación de APO04.04 Alcance de prueba de Asignaciones de APO02.05;
recursos. concepto y descripción del presupuesto APO05.02;
caso de negocio APO07.05;
BAI03.11

Alinear, Planificar y Organizar

APO05.01 Expectativas de retorno de Priorización y clasificación APO05.02
inversión de las iniciativas de I&T
APO05.02 • Caso de negocio del
programa
• Evaluaciones del caso de
negocio
EDM02.02 Evaluación de los
portafolios de inversiones y
servicios
EDM02.04 Acciones para mejorar la
entrega de valor
APO06.03 Crear y mantener presupuestos. Presupuestos de I&T APO02.05;
APO05.02;
APO07.01;
BAI03.11
Comunicaciones del APO05.02;
presupuesto APO07.01;
BAI03.11
APO06.04 Modelar y asignar los costes. Procedimientos operativos Interna
Comunicaciones de Interna
asignación de costes
Modelo de asignación de Interna
costes
Costes de I&T Interna
categorizados
APO06.05 Gestionar los costes. BAI01.02 Plan de obtención de Oportunidades de APO02.02
beneficios del programa optimización de costes
BAI01.04 Registro del presupuesto y Método de consolidación Interna
los beneficios del programa de costes
BAI01.05 Resultados de Método de recolección de Interna
monitorización de datos de costes
obtención de beneficios
EDM02.04 Observaciones sobre el
rendimiento del portafolio y
los programas
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
PMBOK Guide Sixth Edition, 2017 Part 1: 7. Project cost management: Inputs and Outputs

D. Componente: Personas, habilidades y competencias

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Gestión financiera Skills Framework for the Information Age V6, 2015 FMIT

97
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

E. Componente: Políticas y procedimientos

Política relevante Descripción de la política Documentación relacionada Referencia específica
Política presupuestaria Se encarga de la preparación y plazos
del presupuesto anual y la predicción
de la posición financiera anual.
Señala los procesos de elaboración
de informes requeridos por la
dirección. Establece la rendición de
cuentas y la responsabilidad del plan
presupuestario y otros documentos
financieros.

F. Componente: Cultura, ética y comportamiento

Elementos culturales clave Documentación relacionada Referencia específica
Alinear, Planificar y Organizar

La gestión efectiva y eficaz de I&T viene apoyada por una cultura de

transparencia del presupuesto, costes y beneficios en toda la organización.
La Dirección debería habilitar una cultura basada en la toma de decisiones
soportada en hechos a través de, por ejemplo, estimaciones comparables de los
costes y beneficios empresariales y de TI como insumo a la gestión de portafolio
la asignación justa de costes de activos y recursos de TI y la elaboración de
presupuestos repetidos de TI.

G. Componente: Servicios, infraestructura y aplicaciones

Sistema de contabilidad de costes

98
Personal Copy of: Ing. Andy Alexander Davila
 capíTuLo 4
oBjeTivos de goBierno y gesTión de coBiT: guía deTaLLada

Dominio: Alinear, planificar y organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO07—Gestionar los recursos humanos COBIT
Descripción
Proporcionar un enfoque estructurado para asegurar una contratación/adquisición, planificación, evaluación y desarrollo de recursos humanos óptimos (tanto
interna como externamente).
Propósito
Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.
El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primarias:
Metas empresariales
Æ Metas de alineamiento
• EG01 Portafolio de productos y servicios competitivos • AG12 Personal competente y motivado con un entendimiento mutuo de la
• EG10 Habilidades, motivación y productividad del personal tecnología y el negocio
• EG13 Innovación de productos y del negocio • AG13 Conocimiento, experiencia e iniciativas para la innovación

Alinear, Planificar y Organizar

empresarial
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
EG01 a. Porcentaje de productos y servicios que cumplen o exceden los AG12 a. Porcentaje de empresarios con comprensión en I&T (es decir,
objetivos de ingresos y/o cuota de mercado aquellos que tienen los conocimientos y el entendimiento de I&T
b. Porcentaje de productos y servicios que cumplen o exceden los requeridos para guiar, dirigir, innovar y ver las oportunidades de
objetivos de satisfacción del cliente I&T en su área de especialización empresarial)
c. Porcentaje de productos y servicios que proporcionan una b. Porcentaje de empresarios con comprensión en I&T (es decir,
ventaja competitiva aquellos que tienen los conocimientos y el entendimiento de los
d. Plazo de comercialización para nuevos productos y servicios dominios empresariales relevantes para guiar, dirigir, innovar y ver
las oportunidades de I&T para su dominio empresarial)
c. Número o porcentaje de empresarios con experiencia en gestión
de tecnología
EG10 a. Productividad del personal comparada con benchmarks AG13 a. Nivel de conocimiento y comprensión de los ejecutivos del
b. Nivel de satisfacción de las partes interesadas con los niveles negocio sobre las posibilidades de innovación de las I&T
de conocimientos y habilidades del personal b. Número de iniciativas aprobadas como resultado de ideas
c. Porcentaje de personal cuyas habilidades son insuficientes con innovadoras de I&T
respecto a la competencia en su rol c. Número de líderes en innovación reconocidos/premiados
d. Porcentaje de personal satisfecho
EG13 a. Nivel de conocimiento y comprensión de las posibilidades de
innovación del negocio
b. Satisfacción de las partes interesadas con los niveles de
conocimientos e ideas sobre innovación y productos
c. Número de iniciativas de productos y servicios aprobadas
como resultado de ideas innovadoras

A. Componente: Proceso
Práctica de gestión Métricas modelo
APO07.01 Adquirir y mantener una dotación de personal suficiente y adecuada. a. Duración promedio de las vacantes
Establecer y mantener un método para gestionar y contabilizar todos los costes, b. Porcentaje de puestos de TI vacantes
inversiones y depreciación relacionados con I&T como una parte integral de los c. Porcentaje de rotación de personal
sistemas y contabilidad financiera de la empresa. Elaborar un informe con los
sistemas de medición financiera de la empresa.
Actividades Nivel de
capacidad
1. Evaluar los requisitos de personal de forma periódica o ante cambios mayores Asegurar que tanto la empresa como la función de TI tengan 2
los suficientes recursos para apoyar las metas y los objetivos empresariales, procesos y controles empresariales y las iniciativas habilitadas
por I&T de forma adecuada y apropiada.
2. Mantener los procesos de contratación y retención de personal empresarial y de TI en línea con todas las políticas y procedimientos de
personal de la empresa.
3. Establecer una estructura de recursos flexible, como el uso de transferencias, contratistas externos y acuerdos de servicio con terceros, para
apoyar el cambio en las necesidades empresariales.
4. Incluir verificaciones de antecedentes en el proceso de contratación de TI para empleados, contratistas y terceros. El alcance y frecuencia de 3
estas verificaciones debe depender de la sensibilidad y/o criticidad de la función.

99
Personal Copy of: Ing. Andy Alexander Davila
 Marco de referencia coBiT® 2019: oBjeTivos de goBierno y gesTión

A. Componente: Proceso (cont.)

Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
COSO Enterprise Risk Management, junio de 2017 6. Governance and Culture—Principle 5
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Acquire
Práctica de gestión Métricas modelo
APO07.02 Identificar al personal clave de TI. a. Porcentaje de trabajos críticos en los que la empresa depende de un único
Identificar al personal clave de TI. Usar la captura de conocimientos individuo
(documentación), intercambio de conocimientos, planificación de sucesión y b. Número de planes de respaldo de personal realizados
personal de respaldo para minimizar la dependencia en un único individuo que
realice un trabajo crítico.
Actividades Nivel de
capacidad
Alinear, Planificar y Organizar

1. Como precaución de seguridad, proporcionar directrices sobre un tiempo mínimo de vacaciones anuales que tomarán las personas clave. 2
2. Tomar las acciones pertinentes relativas a cambios laborales, en especial terminación de contratos.
3. Usar la captura de conocimientos (documentación), intercambio de conocimientos, planificación de sucesión y personal de respaldo para
minimizar la dependencia en un único individuo que realice un trabajo crítico.
4. Comprobar regularmente los planes de respaldo de personal 3
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
CMMI Cybermaturity Platform, 2018 [Link] Identification of Roles and Responsibilities
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Acquire
Práctica de gestión Métricas modelo
APO07.03 Mantener las habilidades y competencias del personal. a. Identificar habilidades y competencias clave que no se encuentren en la matriz
Definir y administrar las habilidades y competencias que necesita el personal. de recursos
Verificar periódicamente que el personal cuente con las competencias b. Número de brechas identificadas entre las habilidades requeridas y las
necesarias para realizar sus funciones conforme a su educación, capacitación disponibles
y/o experiencia. Verificar que estas competencias se mantengan con programas c. Número de programas de capacitación proporcionados
de aptitud y certificación cuando sea apropiado. Dar a los empleados
oportunidades de aprendizaje continuas para mantener sus conocimientos,
habilidades y competencias al nivel requerido para alcanzar las metas
empresariales.
Actividades Nivel de
capacidad
1. Identificar las habilidades y competencias disponibles actuales, tanto de recursos internos como externos. 2
2. Identificar las brechas entre las habilidades requeridas y las disponibles Desarrollar planes de acción, como capacitación (habilidades
técnicas y de conducta), contratación, reasignación y cambio de las estrategias de abastecimiento, para resolver las brechas desde el punto
de vista individual y colectivo.
3. Revisar los materiales y programas de capacitación de forma regular. Garantizar su idoneidad con respecto a los requisitos en constante 3
evolución de la empresa y su impacto sobre el conocimiento, capacidades y habilidades necesarias.
4. Proporcionar acceso a los repositorios de conocimiento para respaldar el desarrollo de habilidades y competencias.
5. Desarrollar y ofrecer programas de capacitación conforme a los requisitos del proceso y organizativos, incluidos los requisitos para el
conocimiento empresarial, control interno, conducta ética, seguridad y privacidad.
6. Realizar evaluaciones periódicas para evaluar la evolución de las habilidades y competencias de los recursos internos y externos. Evaluar la 4
planificación de los reemplazos.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ISF, The Standard of Good Practice for Information Security 2016 PM2.3 Security Education/Training
ISO/IEC 27001:2013/Cor.2:2015(E) 7.2 Competence
National Institute of Standards and Technology Framework for Improving Critical [Link] Awareness and Training
Infrastructure Cybersecurity V1.1, abril de 2018
National Institute of Standards and Technology Special Publication 800-53, 3.2 Awareness and training (AT-3, AT-4)
Revisión 5 (Borrador), agosto de 2017
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Deploy
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 17: Security Skills Assessment and Appropriate Training to Fill Gaps
de 2016

100
Personal Copy of: Ing. Andy Alexander Davila