COBIT 5

Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administracin
COBIT3
Control
COBIT
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
A!ditor"a
COBIT1
COBIT: Gobierno de TI de las Empresas
(GEIT)
2005/7 2000 !!"

E
#
o
l
$
c
i
%
n

d
e
l

A
l
c
a
n
c
e
!!& 202
'al I( 2.0
)200"*
+is, I(
)200!*
So$rce- C./I(0 5 Introd$ction 1resentation 2 202 ISACA0 All rig3ts reser#ed
COBIT 5 en Resumen
COBIT 5 rene a los cinco principios
que permiten a la empresa de construir
una gobernabilidad efectia ! un marco
de gestin basado en un con"unto
#ol$stico de siete facilitadores que
optimi%a la informacin ! la inersi&n en
tecnologa ! el uso para el beneficio de
las partes interesadas'
El marco COBIT 5
4 En pocas palabras( COBIT 5 a!uda a las empresas a crear
alor &ptimo de TI mediante el mantenimiento de un equilibrio
entre la obtenci&n de beneficios ! la optimi%aci&n de los
nieles de ries)o ! el uso de los recursos'
4 COBIT 5 permite que la informaci&n ! la tecnolo)$a
relacionada para ser )obernado ! administrado de manera
inte)ral para el con"unto de la empresa( teniendo en el pleno
de e*tremo a e*tremo del ne)ocio ! +reas funcionales de
responsabilidad( teniendo en cuenta los intereses
relacionados con la TI de )rupos de inter,s internos !
e*ternos'
4
-os principios ! los facilitadores de COBIT 5 son de
car+cter )en,rico ! til para las empresas de todos los
tama.os( !a sea comercial( sin fines de lucro o en el sector
pblico'
-os /rincipios de COBIT 5
So$rce- C./I(0 5, 5ig$re 2. 2 202 ISACA0 All rig3ts reser#ed.
1rincipios
de C./I( 5
. Satis5acer
las
necesidades
de las partes
interesadas
2. C$brir la
.rgani6aci%n de
5orma integral
7. Aplicar $n
solo marco
integrado
8. 9abilitar
$n en5o:$e
3olistico
5. Separar el
;obierno de la
Administraci%n
0abilitadores de COBIT 5
So$rce- C./I(0 5, 5ig$re 2. 2 202 ISACA0 All rig3ts
reser#ed.
. 1rincipios, 1ol<ticas = Marcos
2. 1rocesos
7. Estr$ct$ras
.rgani6acionales
8. C$lt$ra, >tica
= Comportamiento
5. In5ormaci%n
&. Ser#icios,
In5raestr$ct$ra
= Aplicaciones
7. 1ersonas,
9abilidades =
Competencias
+ECU+S.S
GRC en COBIT 5
Gobierno (! administraci&n) en COBIT 5
4 Gobierno ase)ura que los ob"etios de la empresa se lo)ren
mediante la evaluacin de las necesidades de las partes
interesadas( las condiciones ! opciones( estableciendo la
direccin a tra,s de la priori%aci&n ! decisi&n( !
monitoreando el desempe.o( el cumplimiento ! el pro)reso
contra acordaron direcci&n ! ob"etios (ED!'
4
"dministracin planea# constru$e# e%ecuta $ monitorea
actiidades alineadas con la direcci&n establecida por el &r)ano
de )obierno para alcan%ar los ob"etios de la empresa(&B'!(
4 El ejercicio de gobierno y la gestin eficaz en la prctica
requiere el uso adecuado de todos los facilitadores. El proceso
COBIT como modelo de referencia nos permite enfocar
fcilmente sobre las actiidades empresariales releantes.
Gobierno en COBIT 5

El modelo de referencia COBIT 5 subdivide proceso de las prcticas

relacionadas con la TI y las actividades de la empresa en dos
grandes reas: la gobernanza y la gestin con la administracin
dividida en dominios de los procesos

El dominio OBIE!"O contiene cinco procesos de gobierno# dentro

de cada proceso# evaluar# dirigir y supervisar $E%&' (as prcticas
se definen)
4 *+ ,segurar el marco de gobierno y el mantenimiento de su configuracin)
4 *- ,segurar la entrega beneficios)
4 *. arantizar la optimizacin de riesgos)
4 */ arantizar la optimizacin de recursos)
4 *5 arantizar la transparencia de los terceros interesados.

(os cuatro dominios de gestin estn en l0nea con las reas de

responsabilidad de planear# construir# e1ecutar y monitorear
$2B!&')
#val!ar$ %iri&ir ' (onitorear )rocesos para el Gobierno Corporativo de TI
)rocesos para la Administracin de TI Corporativa
Alinear$ )lanear ' Or*ani+ar
Constr!ir$ Ad,!irir e Implementar
#ntre*ar$ -ervir ' %ar -oporte
(onitorear$ #val!ar
' .alorar


























#%(01 Aseg$rar
:$e se 5i?a el Marco
de ;obierno = s$
Mantenimiento
#%(0 Aseg$rar
la Entrega de 'alor
#%(03 Aseg$rar
la .ptimi6aci%n de
los +iesgos
#%(04 Aseg$rar
la .ptimi6aci%n de
los +ec$rsos
#%(05 Aseg$rar
la (ransparencia a
las partes
interesadas
A)O01 Administrar el
Marco de la
Administraci%n de (I
A)O0 Administrar
la Estrategia
A)O04 Administrar la
Inno#aci%n
A)O03 Administrar
la Ar:$itect$ra
Corporati#a
A)O05 Administrar el
1orta5olio
A)O0/ Administrar
el 1res$p$esto = los
Costos
A)O00 Administrar el
+ec$rso 9$mano
A)O01 Administrar
las +elaciones
A)O02 Administrar
los Contratos de
Ser#icios
A)O11 Administrar
la Calidad
A)O10 Administrar
los 1ro#eedores
A)O1 Administrar
los +iesgos
A)O13 Administrar la
Seg$ridad
BAI01 Administrar
1rogramas =
1ro=ectos
BAI0 Administrar
la @e5inici%n de
+e:$erimientos
BAI04 Administrar la
@isponibilidad =
Capacidad
BAI03 Administrar
la Identi5icaci%n =
Constr$cci%n de
Sol$ciones
BAI05 Administrar la
9abilitaci%n del
Cambio
BAI0/ Administrar
Cambios
BAI00 Administrar la
Aceptaci%n de
Cambios =
(ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Acti#os
BAI10 Admnistrar la
Con5ig$raci%n
%--01 Administrar
las .peraciones
%--0 Administrar
las Solicit$des de
Ser#icios = los
Incidentes
%--04 Administrar la
Contin$idad
%--03 Administrar
1roblemas
%--05 Administrar
los Ser#icios de
Seg$ridad
%--0/ Administrar
los Controles en los
1rocesos de Aegocio
(#A01 Monitorear,
E#al$ar = 'alorar el
@esempeBo =
C$mplimiento
(#A0 Monitorear,
E#al$ar = 'alorar el
Sistema de Control
Interno
(#A03 Monitorear,
E#al$ar = 'alorar el
C$mplimiento con
+e:$isitos ECternos
Gobierno en COBIT 5 (cont')
So$rce- C./I(0 5, 5ig$re &. 2 202 ISACA0 All rig3ts reser#ed.
1dministraci&n de Ries)os en COBIT 5

El dominio de obierno cotiene cinco procesos de gobierno# uno

de los cuales se enfoca en el riesgo relacionado con los
ob1etivos de los terceros interesados: EDM03 Asegurar la
optimizacin de riesgos.

Descripcin de procesos

,segurar 3ue el apetito de riesgo de la empresa y la tolerancia se

entiende# articulado y comunicado# y 3ue el riesgo de valor de la
empresa en relacin con el uso de las TI es identificado y
gestionado)

Proceso de declaracin de propsito

,segurar 3ue riesgos relacionados con TI de la empresa no supere la

tolerancia al riesgo y el apetito de riesgo# el impacto de los riesgos
de TI de valor de la empresa es identificado y mane1ado# y la
posibilidad de fallas de cumplimiento es m0nimo)
1dministraci&n de Ries)os en COBIT 5
(cont')

El dominio de estin ,linear# 2lanear y Organizar

contiene un proceso de riesgos relacionados: APO12
Gestionar el riesgo.

Descripcin del proceso

Continuamente identificar# evaluar y reducir los riesgos

relacionados con TI dentro de los niveles de tolerancia
establecidos por la direccin e1ecutiva de la empresa)

Proceso de Declaracin de Propsito

Integrar la gestin de riesgos empresariales relacionados

con la TI con el E!& en general# y e3uilibrar los costos
y beneficios de la gestin de riesgos relacionados con
TI de la empresa)
#val!ar$ %iri&ir ' (onitorear )rocesos para el Gobierno Corporativo de TI
)rocesos para la Administracin de TI Corporativa
Alinear$ )lanear ' Or*ani+ar
Constr!ir$ Ad,!irir e Implementar
#ntre*ar$ -ervir ' %ar -oporte
(onitorear$ #val!ar
' .alorar


























#%(01 Aseg$rar
:$e se 5i?a el Marco
de ;obierno = s$
Mantenimiento
#%(0 Aseg$rar
la Entrega de 'alor
#%(03 Aseg$rar
la .ptimi6aci%n de
los +iesgos
#%(04 Aseg$rar
la .ptimi6aci%n de
los +ec$rsos
#%(05 Aseg$rar
la (ransparencia a
las partes
interesadas
A)O01 Administrar el
Marco de la
Administraci%n de (I
A)O0 Administrar
la Estrategia
A)O04 Administrar la
Inno#aci%n
A)O03 Administrar
la Ar:$itect$ra
Corporati#a
A)O05 Administrar el
1orta5olio
A)O0/ Administrar
el 1res$p$esto = los
Costos
A)O00 Administrar el
+ec$rso 9$mano
A)O01 Administrar
las +elaciones
A)O02 Administrar
los Contratos de
Ser#icios
A)O11 Administrar
la Calidad
A)O10 Administrar
los 1ro#eedores
A)O1 Administrar
los +iesgos
A)O13 Administrar la
Seg$ridad
BAI01 Administrar
1rogramas =
1ro=ectos
BAI0 Administrar
la @e5inici%n de
+e:$erimientos
BAI04 Administrar la
@isponibilidad =
Capacidad
BAI03 Administrar
la Identi5icaci%n =
Constr$cci%n de
Sol$ciones
BAI05 Administrar la
9abilitaci%n del
Cambio
BAI0/ Administrar
Cambios
BAI00 Administrar la
Aceptaci%n de
Cambios =
(ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Acti#os
BAI10 Admnistrar la
Con5ig$raci%n
%--01 Administrar
las .peraciones
%--0 Administrar
las Solicit$des de
Ser#icios = los
Incidentes
%--04 Administrar la
Contin$idad
%--03 Administrar
1roblemas
%--05 Administrar
los Ser#icios de
Seg$ridad
%--0/ Administrar
los Controles en los
1rocesos de Aegocio
(#A01 Monitorear,
E#al$ar = 'alorar el
@esempeBo =
C$mplimiento
(#A0 Monitorear,
E#al$ar = 'alorar el
Sistema de Control
Interno
(#A03 Monitorear,
E#al$ar = 'alorar el
C$mplimiento con
+e:$isitos ECternos
1dministraci&n de Ries)os en COBIT 5 (cont')
So$rce- C./I(0 5, 5ig$re &. 2 202 ISACA0 All rig3ts reser#ed.
1dministraci&n de Ries)os en COBIT 5 (cont')

Todas las actividades de la empresa tienen una e4posicin de

riesgos asociados derivados de las amenazas ambientales 3ue
aprovec5an las vulnerabilidades 5abilitador

EDM03 Asegurar optimizacin del riesgo asegura 3ue el

enfo3ue de riesgo de los terceros interesado este enfocado a
como sern tratados los riesgos 3ue enfrenta la empresa)

APO12 Gestin de Riesgo proporciona a las empresas la gestin

de riesgos $E!&' las diposiciones 3ue aseguren 3ue la
direccin dada por los terceros interesados es seguida por la
empresa)

odos los dem!s procesos incluye prcticas y actividades 3ue

son dise6adas para tratar el riesgo relacionado $evitar# reducir 7
mitigar 7 controlar7 compartir 7 transferir 7 aceptar')
"&O)* '"CI C+art
,e$ anagement
&ractice
Bo
ard
C+i
ef
E-
ec
uti
ve
Off
ice
r
C+i
ef
.in
an
cial
Off
ice
r
C+i
ef
Op
era
tin
g
Off
ice
r
Bu
sin
ess
E-
ec
uti
ves
Bu
sin
ess
&ro
ces
s
O/
ner
s
0tr
ate
g$
E-
ec
uti
ve
Co
m
mit
tee
0te
eri
ng
(&r
ogr
am
me
s1&
ro%
ect
s!
Co
m
mit
tee
&ro
%ec
t
a
na
ge
me
nt
Off
ice
2al
ue
a
na
ge
me
nt
Off
ice
C+i
ef
'is
3
Off
ice
r
C+i
ef
Inf
or
ma
tio
n
0e
cur
it$
Off
ice
r
"rc
+it
ect
ure
Bo
ard
Ent
erp
ris
e
'is
3
Co
m
mit
tee
4e
ad
4u
ma
n
'e
so
urc
es
Co
mp
lia
nc
e
"u
dit
C+i
ef
Inf
or
ma
tio
n
Off
ice
r
4e
ad
"rc
+it
ect
4e
ad
De
vel
op
me
nt
4e
ad
IT
Op
era
tio
ns
4e
ad
IT
"d
mi
nis
trat
ion
0er
vic
e
a
na
ger
Inf
or
ma
tio
n
0e
cur
it$
a
na
ger
Bu
sin
ess
Co
nti
nui
t$
a
na
ger
&ri
vac
$
Offi
cer
"&O)*(5)
I R R R R I C C 1 R R R R R R R R
Collect data'
"&O)*(5*
I R C R C I R R 1 C C C C C C C C
1nal!se ris2'
"&O)*(56
I R C 1 C I R R R C C C C C C C C
3aintain a ris2 profile'
"&O)*(57
I R C R C I C C 1 C C C C C C C C
1rticulate ris2'
"&O)*(55
I R C 1 C I C C R C C C C C C C C
4efine a ris2 mana)ement
action portfolio'
"&O)*(58
I R R R R I C C 1 R R R R R R R R
Respond to ris2'
1dministraci&n de Ries)os en COBIT 5 (cont')

,dems de las actividades# COBIT 5 sugiere las responsabilidades# funciones

y responsabilidades de las empresas y el gobierno 7 administracin
estructuras $tablas !,CI' para cada proceso) Estos inclu"en roles para
riesgos relacionados.
So$rce- COBIT 5: Enabling Processes, page 0". 2 202 ISACA0 All rig3ts reser#ed.
A
l
i
*
n
$

)
l
a
n

a
n
d

O
r
*
a
n
i
s
e
Cumplimiento en COBIT 5

El dominio de la gestin &onitorear# Evaluar y valorar

contiene un proceso de cumplimiento enfocado# MEA03
super$isar% e$aluar " e$aluar el cumplimiento de los
re&uisitos e'ternos.

Descripcin del proceso

Evaluar 3ue los procesos de TI y procesos de negocios

apoyados por TI cumplen con las leyes# regulaciones y
re3uerimientos contractuales) Conseguir garant0as de 3ue
los re3uisitos se 5an identificado y se cumplan# e integrar el
cumplimiento de TI con el cumplimiento general de la
empresa)

Proceso de propsito de declaracin

,seg8rese de 3ue la empresa cumple con todos los

re3uerimientos e4ternos aplicables)
#val!ar$ %iri&ir ' (onitorear )rocesos para el Gobierno Corporativo de TI
)rocesos para la Administracin de TI Corporativa
Alinear$ )lanear ' Or*ani+ar
Constr!ir$ Ad,!irir e Implementar
#ntre*ar$ -ervir ' %ar -oporte
(onitorear$ #val!ar
' .alorar


























#%(01 Aseg$rar
:$e se 5i?a el Marco
de ;obierno = s$
Mantenimiento
#%(0 Aseg$rar
la Entrega de 'alor
#%(03 Aseg$rar
la .ptimi6aci%n de
los +iesgos
#%(04 Aseg$rar
la .ptimi6aci%n de
los +ec$rsos
#%(05 Aseg$rar
la (ransparencia a
las partes
interesadas
A)O01 Administrar el
Marco de la
Administraci%n de (I
A)O0 Administrar
la Estrategia
A)O04 Administrar la
Inno#aci%n
A)O03 Administrar
la Ar:$itect$ra
Corporati#a
A)O05 Administrar el
1orta5olio
A)O0/ Administrar
el 1res$p$esto = los
Costos
A)O00 Administrar el
+ec$rso 9$mano
A)O01 Administrar
las +elaciones
A)O02 Administrar
los Contratos de
Ser#icios
A)O11 Administrar
la Calidad
A)O10 Administrar
los 1ro#eedores
A)O1 Administrar
los +iesgos
A)O13 Administrar la
Seg$ridad
BAI01 Administrar
1rogramas =
1ro=ectos
BAI0 Administrar
la @e5inici%n de
+e:$erimientos
BAI04 Administrar la
@isponibilidad =
Capacidad
BAI03 Administrar
la Identi5icaci%n =
Constr$cci%n de
Sol$ciones
BAI05 Administrar la
9abilitaci%n del
Cambio
BAI0/ Administrar
Cambios
BAI00 Administrar la
Aceptaci%n de
Cambios =
(ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Acti#os
BAI10 Admnistrar la
Con5ig$raci%n
%--01 Administrar
las .peraciones
%--0 Administrar
las Solicit$des de
Ser#icios = los
Incidentes
%--04 Administrar la
Contin$idad
%--03 Administrar
1roblemas
%--05 Administrar
los Ser#icios de
Seg$ridad
%--0/ Administrar
los Controles en los
1rocesos de Aegocio
(#A01 Monitorear,
E#al$ar = 'alorar el
@esempeBo =
C$mplimiento
(#A0 Monitorear,
E#al$ar = 'alorar el
Sistema de Control
Interno
(#A03 Monitorear,
E#al$ar = 'alorar el
C$mplimiento con
+e:$isitos ECternos
Cumplimiento en COBIT 5 (cont')
So$rce- C./I(0 5, 5ig$re &. 2 202 ISACA0 All rig3ts reser#ed.
Cumplimiento en COBIT 5 (cont')

Cumplimiento legal y regulatorio es una parte clave de

la gestin efectiva de una empresa# de a50 su
inclusin en el t9rmino !C y en los ob1etivos de la
empresa COBIT 5 y la estructura soportante proceso
facilitador $&E,*.')

,dicionalmente al &E,*.# todas las actividades de la

empresa incluyen las actividades de control 3ue
estn dise6ados para asegurar el cumplimiento no
slo e4ternamente impuestas e4igencias legislativas
o reglamentarias# sino tambi9n con las empresas
gobernabilidad determinados principios# pol0ticas y
procedimientos)
E"56 '"CI C+art
,e$ anagement &ractice
Bo
ard
C+i
ef
E-
ec
uti
ve
Off
ice
r
C+i
ef
.in
an
cia
l
Off
ice
r
C+i
ef
Op
era
tin
g
Off
ice
r
Bu
sin
ess
E-
ec
uti
ves
Bu
sin
ess
&r
oc
ess
O/
ner
s
0tr
ate
g$
E-
ec
uti
ve
Co
m
mit
tee
0te
eri
ng
(&r
ogr
am
me
s1&
ro%
ect
s!
Co
m
mit
tee
&r
o%e
ct
a
na
ge
me
nt
Off
ice
2al
ue
a
na
ge
me
nt
Off
ice
C+i
ef
'is
3
Off
ice
r
C+i
ef
Inf
or
ma
tio
n
0e
cur
it$
Off
ice
r
"rc
+it
ect
ure
Bo
ard
Ent
erp
ris
e
'is
3
Co
m
mit
tee
4e
ad
4u
ma
n
'e
so
urc
es
Co
mp
lia
nc
e
"u
dit
C+i
ef
Inf
or
ma
tio
n
Off
ice
r
4e
ad
"rc
+it
ect
4e
ad
De
vel
op
me
nt
4e
ad
IT
Op
era
tio
ns
4e
ad
IT
"d
mi
nis
trat
ion
0er
vic
e
a
na
ger
Inf
or
ma
tio
n
0e
cur
it$
a
na
ger
Bu
sin
ess
Co
nti
nui
t$
a
na
ger
&ri
vac
$
Off
ice
r
E"56(5)
1 R R R R R
Identif! e*ternal
compliance requirements'
E"56(5*
R R R 1 R I R R R R I R R R R R R R
Optimise response to
e*ternal requirements'
E"56(56
I R R R R R I I C 1 I R C C C C C C C R
Confirm e*ternal compliance'
E"56(57
I I I I C C I C C 1 R C C C C C C C C
Obtain assurance of
e*ternal compliance'
Cumplimiento en COBIT 5 (cont')

,dems de las actividades# COBIT 5 sugiere las responsabilidades# funciones y

responsabilidades de las empresas y el gobierno 7 administracin estructuras
$tablas !,CI' para cada proceso. Estos inclu"en una (uncin relacionada
con el cumplimiento.
So$rce- COBIT 5: Enabling Processes, page 27. 2 202 ISACA0 All rig3ts reser#ed.
Resumen

El marco C./I( 5 incl$=e la orientaci%n necesaria para

apo=ar los ob?eti#os de ;+C de la empresa =
acti#idades de apo=o-

Acti#idades de gobierno relacionadas a ;EI( )5 procesos*

1rocesos de gesti%n de riesgos = apo=o para la gesti%n

de riesgos a tra#Ds del espacio ;EI(

C$mplimiento- $n en5o:$e espec<5ico en las acti#idades

de c$mplimiento en el marco = c%mo enca?an dentro de
la imagen completa de la empresa

Ea incl$si%n de los ac$erdos de ;+C en el marco de

negocio para ;EI( a=$da a las empresas a e#itar el
problema principal con sol$ciones ;+C Fsilos de
acti#idadG
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other pbli!ation or prod!t.
COBIT 5
/roductos 5uturos de 1po!o
27
H$ente- C./I(0 5, Hig$ra . 2 202 ISACA0 (odos derec3os reser#ados.

C./I(
0
5
Implementaci%n
Otras Guas
Profesionales
C./I(0 5 Ambiente Colaborati#o En E<nea
;$<as de 9abilitadores de C./I(0 5
C./I(
0
5-
1rocesos 9abilitadores
Otras Guas
Habilitadoras
C./I(
0
5
In5ormaci%n 9abilitadora
C./I(
0
5
1ara la Seg$ridad
de la In5ormaci%n
C./I(0 5
1ara el
Aseg$ramiento
C./I(
0
5
1ara +iesgos
C./I(
0
5-
;$ias 1ro5esionales de .rientaci%n de C./I(0 5
-a 5amilia de /roductos de COBIT 5
COBIT 5 /roductos 5uturos de 1po!o
"rod!tos #tros de Apoyo$

%&as "rofesionales de 'rienta!i(n$

C')IT * para la Se+ridad de Informa!i(n

C')IT * para el Ase+ramiento

C')IT * para ,ies+os

%&as de 'rienta!i(n de los -abilitadores$

C')IT *$ Informa!i(n -abilitadora

C')IT .n /&nea ,eempla0o

C')IT "ro+rama de .vala!i(n$

1odelo de .vala!i(n de "ro!esos 2"A13$ 4sando C')IT *

%&a para Asesores$ 4sando C')IT *

%&a de Ato5.vala!i(n$ 4sando C')IT *

28
ISACA 2012. .l presente traba6o as& !omo !ales7ier derivados del mismo no podr8 ser ofre!ido para la venta, ni solo ni !omo parte de nin+na otra pbli!a!i(n o prod!to.