2013

Cobit 4.1 vs. Cobit 5

Anlisis comparativo del nuevo marco COBIT.
El presente documento constituye un anlisis comparativo de las dos ltimas
versiones de COBIT, ejercicio de un proceso y la lista de verificacin
correspondiente bajo el nuevo enfoque.

Freddy Esparza Jos Luis Garca Daniel Guerrn Benalczar - Leopoldo Venegas

ESCUELA POLITCNICA DEL EJRCITO

01/04/2013

Cobit 4.1 vs. Cobit 5

Tabla de contenido
Antecedentes................................................................................................................................. 3
Comparacin COBIT 4.1 vs. COBIT 5. .............................................................................................. 4
Caractersticas Cobit 4.1. ............................................................................................................ 4
Caractersticas Cobit 5. ............................................................................................................... 4
Figura 4. Procesos del Gobierno de TI ......................................................................................... 8
Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5............................................................................ 8
Ejercicio con Objetivo de Control. ................................................................................................ 10
ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1) ........................................... 10
AI6 Administrar Cambios ......................................................................................................... 10
DESCRIPCIN DEL PROCESO. .................................................................................................... 10
CONSTRUIR, ADQUIRIR E IMPLEMENTAR Gestionar los Cambios (COBIT 5). .......................... 15
Lista de Verificacin (Construir, Adquirir e Implementar Gestionar los Cambios). ...................... 18
Conclusiones. ............................................................................................................................... 22
Recomendaciones. ....................................................................................................................... 23
ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5. ........................................................................................ 24
ANEXO 2. VENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT 5. .......................................................... 26
ANEXO 3. FUENTES DE CONSULTA. .............................................................................................. 28

Pgina 2

Cobit 4.1 vs. Cobit 5

Antecedentes.
Con objeto de introducirnos en el tema antes de realizar la comparacin se ha encontrado
importante citar varios conceptos y antecedentes.
COBIT es el acrnimo de Control Objectives for Information and related Technology en espaol
Objetivos de Control para tecnologa de la informacin y relacionada)
Es un modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control
Association (ISACA) y el IT Governance Institute (ITGI), Tiene varios objetivos a nivel alto que
cubren lineamientos de control clasificados en varios dominios como Planificacin, Organizacin,
Adquisicin, Entrega, Supervisin y Evaluacin
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI.,
apoya el alineamiento con el negocio y simplifica la implantacin del COBIT. Esta versin no
invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo
hecho.
Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo
entero. Es un marco de gobernacin TI que permite a gerentes acortar el hueco entre exigencias
de control, cuestiones tcnicas y riesgos de negocio. COBIT permite el desarrollo claro de poltica y
la prctica buena para el control de TI en todas partes de organizaciones.
Con el avance progresivo de sus lineamientos acenta el cumplimiento regulador, ayuda a
organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la puesta en
prctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones ms
tempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobre
aquellas versiones ms tempranas. Cuando actividades principales son planeadas para iniciativas
de gobernacin TI, o cuando una revisin y reparacin del marco de control de la empresa es
esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de
regalos en una manera ms dinamizada y prctica tan la mejora continua de la gobernacin TI es
ms fcil que alguna vez para alcanzar.
Independientemente de la realidad tecnolgica de cada caso concreto, COBIT determina, con el
respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para
la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el
negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el
cumplimiento de metas y el nivel de madurez de los procesos de la organizacin.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente
aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos en el maximizar las
ventajas sacadas por el empleo de tecnologa de informacin y desarrollo de la gobernacin
apropiada TI y el control en una empresa.

Pgina 3

Cobit 4.1 vs. Cobit 5

Proporciona adems ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician
de COBIT porque esto provee de ellos de una fundacin sobre cual TI las decisiones relacionadas e
inversiones pueden estar basadas. La toma de decisiones es ms eficaz porque COBIT ayuda la
direccin en la definicin de un plan de TI estratgico, la definicin de la arquitectura de la
informacin, la adquisicin del hardware necesario TI y el software para ejecutar una estrategia TI,
la aseguracin del servicio continuo, y la supervisin del funcionamiento del sistema TI. TI usuarios
se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la
reunin, el tratamiento, y el reportaje de informacin cumplen con COBIT ya que esto implica
mandos y la seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores
porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de
una empresa. Esto tambin les ayuda a corroborar sus conclusiones de auditora.
La misin COBIT es investigar, desarrollar, hacer pblico y promover un juego autoritario,
actualizado, internacional de objetivos de control de tecnologa de informacin generalmente
aceptados para el empleo cotidiano por directores comerciales e interventores. Los gerentes,
interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender
sus sistemas TI y decidir el nivel de seguridad y control que es necesario para proteger el activo de
sus empresas por el desarrollo de un modelo de gobernacin TI.

Comparacin COBIT 4.1 vs. COBIT 5.

Caractersticas Cobit 4.1.
Para ayudar a las organizaciones a satisfacer con xito los desafos de los negocios, el IT
Governance Institute (ITGI) ha publicado la versin de COBIT 4.1

COBIT es un marco de trabajo de Gobierno de TI y un conjunto de herramientas de

soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los
requerimientos de control, los aspectos tcnicos y riesgos de negocio.
COBIT hace posible el desarrollo de una poltica clara y las buenas prcticas para los
controles de T.I. a travs de las organizaciones.
COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar
el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementacin de la
estructura COBIT.

La versin, COBIT 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a

incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantacin de
COBIT. Esta versin no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino
que puede ser empleado para mejorar el trabajo previo.

Caractersticas Cobit 5.
Esta es la ms recin versin de COBIT y est basada en procesos, se enfoca fuertemente en el
control y menos en la ejecucin, es decir, indica qu se debe conseguir sin focalizarse en el cmo.
Pgina 4

Cobit 4.1 vs. Cobit 5

La primera impresin es que ISACA ha orientado definitivamente COBIT hacia el Gobierno de las TI.
En sus primeras versiones, COBIT se defina como un marco de control para auditores de TI. En la
revisin del ao 2000, COBIT 3, se inclua como producto/documento aparte las Management
Guidelines o gua de gestin para la direccin, con una orientacin ms cercana al concepto de
Gobierno
TI.
La versin 4 de COBIT supuso la configuracin definitiva de Cobit como un marco general de
Gobierno TI, pero quedaba confusa la relacin con otros marcos de ISACA con otra orientacin
como Val IT (valor de las TI) o RISK IT (riesgos) o con el nuevo estndar de Gobierno TI ISO/IEC
38500.

Figura 1. Evolucin de Cobit

La nueva versin tiene un carcter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo
de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma
ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute).
El nuevo modelo se basa en los siguientes elementos:
5 Principios

Satisfacer las necesidades de los Stakeholders (Interesados)

Crear valor manteniendo el equilibrio entre realizacin de beneficios y la optimizacin del
uso de recursos y gestin del riesgo.
Cubrir la organizacin de principio a fin.
Integrando el Gobierno corporativo con el Gobierno de las TI. Orientacin al negocio.
Pgina 5

Cobit 4.1 vs. Cobit 5

Aplicar un nico marco de trabajo integrado.

COBIT cubre todas las necesidades y se integra con otros marcos y buenas prcticas, de forma que
puede ser utilizado como marco general.
Aproximacin holstica.
Para conseguir una Gestin y Gobierno de las TI con eficiencia y eficacia:

Separar Gestin de Gobierno.

Ambas disciplinas son importantes y complementarias.

Figura 2. Cobit 5
7 Facilitadores
Son los elementos a tener en cuenta en el modelo:

Principios, polticas y marcos

Son los vehculos para trasladar el comportamiento deseado en una gua prctica para
conducir las tareas de gestin TI en el da a da.

Procesos
Constituyen un conjunto organizado de prcticas y actividades para conseguir alcanzar los
objetivos establecidos respecto a las tecnologas de la informacin.
Estructura organizacional
Pgina 6

Cobit 4.1 vs. Cobit 5

Son las entidades de la organizacin que toman las decisiones crticas.

Cultura, tica y Comportamiento

Tanto de los individuos como de la organizacin. Muy a menudo se subestima su influencia
en la consecucin de los objetivos de Gobierno establecidos.

Informacin.
La informacin invade todos los mbitos de la organizacin, es necesitada por esta para
operar y para la toma de decisiones. Tambin puede ser el resultado de la actividad de la
organizacin.
Servicios, Infraestructura y Aplicaciones
Es la parte ms cercana a los profesionales de las TIC.

Personas, habilidades y competencias.

Se asocia a las personas necesarias para realizar las actividades, tomar decisiones y realizar
tareas correctivas.

Figura 3. Principios y Polticas

Procesos
Gua muy detallada del modelo de procesos que conforman la esencia de COBIT.
Se sigue manteniendo la "Cascada de Objetivos", esto es la forma en la que los objetivos y
mtricas TI se derivan de los objetivos de negocio de alto nivel, permitiendo esa integracin TINegocio tan caracterstica de ese marco.

Pgina 7

Cobit 4.1 vs. Cobit 5

En esta versin de COBIT aparece una separacin entre procesos de Gestin y procesos orientados
al Gobierno de las TI, en claro alineamiento con la norma ISO/IEC 38500 (Evaluar, Dirigir,
Monitorizar).

Figura 4. Procesos del Gobierno de TI

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5.

reas de cambio
Los principales cambios en COBIT 5:
1.
2.
3.
4.
5.
6.
7.
8.
9.

Nuevos Principios de GEIT.

Mayor foco en Habilitadores.
Nuevo Modelo de Referencia de Procesos.
Nuevos y modificados procesos.
Prcticas y Actividades.
Metas y Mtricas ms desarrolladas.
Entradas y Salidas a nivel de prctica.
RACI Charts ms detalladas.
Process Capability Maturity Models and Assessments.

Pgina 8

Cobit 4.1 vs. Cobit 5

Integracin de Val IT y Risk IT
COBIT 5 ha integrado el contenido de COBIT 4.1, Val IT and Risk IT en un Modelo de Referencia de
Procesos.

Nuevos y modificados procesos

Hay nuevos y modificados procesos, en particular:

APO03 Manage enterprise architecture.

APO04 Manage innovation.
APO05 Manage portfolio.
APO06 Manage budget and costs.
APO08 Manage relationships.
APO13 Manage security.
BAI05 Manage organizational change enablement.
BAI08 Manage knowledge.
BAI09 Manage assets.
DSS05 Manage security service.
DSS06 Manage business process controls.

Prcticas y Actividades
Las prcticas de gobierno y de administracin de COBIT 5 son equivalentes a los objetivos de
control de COBIT 4.1 y los procesos de Val IT y Risk IT.
Las actividades de COBIT 5 son equivalentes a las prcticas de control de COBIT 4.1 y a las prcticas
de administracin de Val IT y Risk IT.

Process Capability Maturity

Models and Assessments
COBIT 5 descontina el COBIT 4.1, Val IT and Risk IT
CMM-based capability maturity modelling approach.
COBIT 5 ser soportado por un nuevo process capability assessment approach basado
en ISO/IEC 15504.
Otros cambios:
o Algo que puede resultar impactante es que en COBIT 5 los Objetivos de Control
han desaparecido. Realmente se han convertido en prcticas de gestin o de
Gobierno de las TI a fin de generalizar el concepto para todos los mbitos de
aplicacin, y no nicamente para el Control.
o Tambin desaparece el modelo de madurez de capacidades- CMM aplicado a los
procesos para introducir un modelo basado en la ISO/IEC 15504.
o Asimismo, se han actualizado los procesos, los modelos de responsabilidad RACI y
otros elementos de COBIT para hacer ms completo, sencillo e integrado.
Pgina 9

Cobit 4.1 vs. Cobit 5

Ejercicio con Objetivo de Control.
El objeto del ejercicio es encontrar las variantes que a consecuencia de la nueva versin el proceso
elegido para los talleres de clases tiene, para esto se ha encontrado apropiado enunciar la
conceptualizacin que este tiene en cada versin de COBIT.

ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1)

AI6 Administrar Cambios
DESCRIPCIN DEL PROCESO.
Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse
formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y
parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar
contra los resultados planeados despus de la implantacin. Esto garantiza la reduccin de riesgos
que impactan negativamente la estabilidad o integridad del ambiente de produccin.

Control sobre el proceso TI de

Administrar cambios
Que satisface el requerimiento del negocio de TI para:
Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se
reducen los defectos y la repeticin de trabajos en la prestacin del servicio y en la solucin.
Enfocndose en:
Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la
infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando errores que se deben a
especificaciones incompletas de la solicitud y detener la implantacin de cambios no autorizados
Se logra con:

La definicin y comunicacin de los procedimientos de cambio, que incluyen cambios de

emergencia
Pgina 10

Cobit 4.1 vs. Cobit 5

La evaluacin, la asignacin de prioridad y autorizacin de cambios

Seguimiento del estatus y reporte de los cambios

Y se mide con:

El nmero de interrupciones o errores de datos provocados por especificaciones inexactas

o una evaluacin de impacto incompleta
La repeticin de aplicaciones o infraestructura debida a especificaciones de cambio
inadecuadas
El porcentaje de cambios que siguen procesos de control de cambio formales

OBJETIVOS DE CONTROL
AI6 Administrar Cambios
AI6.1 Estndares y Procedimientos para Cambios
Establecer procedimientos de administracin de cambio formales para manejar de manera
estndar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones,
procedimientos, procesos, parmetros de sistema y servicio, y las plataformas fundamentales.
AI6.2 Evaluacin de Impacto, Priorizacin y Autorizacin
Garantizar que todas las solicitudes de cambio se evalan de una estructurada manera en cuanto a
impactos en el sistema operacional y su funcionalidad. Esta evaluacin deber incluir
categorizacin y priorizacin de los cambios. Previo a la migracin hacia produccin, los
interesados correspondientes autorizan los cambios.
AI6.3 Cambios de Emergencia
Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no
sigan el proceso de cambio establecido. La documentacin y pruebas se realizan, posiblemente,
despus de la implantacin del cambio de emergencia.

Pgina 11

Cobit 4.1 vs. Cobit 5

AI6.4 Seguimiento y Reporte del Estatus de Cambio
Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de
cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los
procedimientos, a los procesos, parmetros del sistema y del servicio y las plataformas
fundamentales.
AI6.5 Cierre y Documentacin del Cambio
Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentacin
de usuario y procedimientos correspondientes. Establecer un proceso de revisin para garantizar
la implantacin completa de los cambios.

Pgina 12

Cobit 4.1 vs. Cobit 5

MODELO DE MADUREZ
AI6 Administrar Cambios
La administracin del proceso de Administrar cambios que satisfaga el requerimiento de negocio
de TI de responder a los requerimientos de acuerdo con la estrategia del negocio, mientras que se
reducen los defectos y repeticiones de trabajos en la entrega de soluciones y servicios es:
0 No Existente cuando
No existe un proceso definido de administracin de cambio y los cambios se pueden realizar
virtualmente sin control. No hay conciencia de que el cambio puede causar una interrupcin para
TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administracin
de cambio.
1 Inicial / Ad Hoc cuando
Se reconoce que los cambios se deben administrar y controlar. Las prcticas varan y es muy
probable que se puedan dar cambios sin autorizacin. Hay documentacin de cambio pobre o no
existente y la documentacin de configuracin es incompleta y no confiable.
Es posible que ocurran errores junto con interrupciones al ambiente de produccin, provocados
por una pobre administracin de cambios.
Pgina 13

Cobit 4.1 vs. Cobit 5

2 Repetible pero Intuitivo cuando
Existe un proceso de administracin de cambio informal y la mayora de los cambios siguen este
enfoque; sin embargo, el proceso no est estructurado, es rudimentario y propenso a errores. La
exactitud de la documentacin de la configuracin es inconsistente y de planeacin limitada y la
evaluacin de impacto se da previa al cambio.
3 Definido cuando
Existe un proceso formal definido para la administracin del cambio, que incluye la categorizacin,
asignacin de prioridades, procedimientos de emergencia, autorizacin del cambio y
administracin de liberacin, y va surgiendo el cumplimiento. Se dan soluciones temporales a los
problemas y los procesos a menudo se omiten o se hacen a un lado. An pueden ocurrir errores y
los cambios no autorizados ocurren ocasionalmente. El anlisis de impacto de los cambios de TI en
operaciones de negocio se est volviendo formal, para apoyar la implantacin planeada de nuevas
aplicaciones y tecnologas.
4 Administrado y Medible cuando
El proceso de administracin de cambio se desarrolla bien y es consistente para todos los cambios,
y la gerencia confa que hay excepciones mnimas. El proceso es eficiente y efectivo, pero se basa
en manuales de procedimientos y controles considerables para garantizar el logro de la calidad.
Todos los cambios estn sujetos a una planeacin minuciosa y a la evaluacin del impacto para
minimizar la probabilidad de tener problemas de post-produccin. Se da un proceso de
aprobacin para cambios. La documentacin de administracin de cambios es vigente y correcta,
con seguimiento formal a los cambios. La documentacin de configuracin es generalmente
exacta. La planeacin e implantacin de la administracin de cambios en TI se van integrando con
los cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al
entrenamiento, cambio organizacional y continuidad del negocio. Existe una coordinacin
creciente entre la administracin de cambio de TI y el rediseo del proceso de negocio. Hay un
proceso consistente para monitorear la calidad y el desempeo del proceso de administracin de
cambios.
5 Optimizado cuando
El proceso de administracin de cambios se revisa con regularidad y se actualiza para permanecer
en lnea con las buenas prcticas.
El proceso de revisin refleja los resultados del monitoreo. La informacin de la configuracin es
computarizada y proporciona un control de versin. El rastreo del cambio es sofisticado e incluye
herramientas para detectar software no autorizado y sin licencia. La administracin de cambio de
TI se integra con la administracin de cambio del negocio para garantizar que TI sea un factor que
hace posible el incremento de productividad y la creacin de nuevas oportunidades de negocio
para la organizacin.
Pgina 14

Cobit 4.1 vs. Cobit 5

CONSTRUIR, ADQUIRIR E IMPLEMENTAR Gestionar los Cambios (COBIT
5).
BAI06 Gestionar los Cambios
DESCRIPCIN DEL PROCESO
Gestione todos los cambios de una forma controlada, incluyendo cambios estndar y de
mantenimiento de emergencia en relacin con los procesos de negocio, aplicaciones e
infraestructura. Esto incluye normas y procedimientos de cambio, anlisis de impacto, priorizacin
y autorizacin, cambios de emergencia, seguimiento, reporte, cierre y documentacin.

Declaracin del Propsito del Proceso

Posibilitar una entrega de los cambios rpida y fiable para el negocio, a la vez que se mitiga
cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se
aplica el cambio.

El proceso apoya la consecucin de un conjunto de principales metas TI:

Meta TI

Mtricas Relacionadas

04 Riesgos de negocio relacionados con las TI

gestionados

Porcentaje de procesos de negocio crticos,

servicios TI y programas de negocio habilitados
por las TI cubiertos por evaluaciones de riesgos
Nmero de incidentes significativos
relacionados con las TI que no fueron
identificados en la evaluacin de riesgos
Porcentaje de evaluaciones de riesgo de la
empresa que incluyen los riesgos relacionados
con TI
Frecuencia de actualizacin del perfil de
riesgo
Nmero de interrupciones del negocio
debidas a incidentes en el servicio de TI
Porcentaje de partes interesadas satisfechas
con el cumplimiento del servicio de TI
entregado respecto a los niveles de servicio
acordados
Porcentaje de usuarios satisfechos con la
calidad de los servicios de TI entregados
Nmero de incidentes de seguridad
causantes
de
prdidas
financieras,
interrupciones del
negocio o prdida de imagen pblica
Nmero de servicios de TI con los requisitos
de seguridad pendientes
Tiempo para otorgar, modificar y eliminar los

07 Entrega de servicios de TI de acuerdo a los

requisitos del negocio

10 Seguridad de la informacin, infraestructura

de
procesamiento y aplicaciones

Pgina 15

Cobit 4.1 vs. Cobit 5

privilegios de acceso, comparado con los
niveles de servicio acordados
Frecuencia de la evaluacin de seguridad
frente a los ltimos estndares y guas

Objetivos y Mtricas del Proceso:

Meta TI

Mtricas Relacionadas

1. Los cambios autorizados son realizados de Cantidad de trabajo rehecho debido a

acuerdo a sus cronogramas respectivos y con cambios fallidos
errores mnimos.
Reduccin en el tiempo y esfuerzo necesarios
para aplicar los cambios
Nmero y antigedad de peticiones de
cambio en cartera
2. Las evaluaciones de impacto revelan el Porcentaje de cambios sin xito debidos a
efecto de los cambios sobre todos los evaluaciones de impacto inadecuadas
componentes afectados.
3. Todos los cambios de emergencia son Porcentaje sobre el total de cambios que
revisados y autorizados una vez hecho el corresponde a cambios de emergencia
cambio.
Nmero de cambios de emergencia no
autorizados una vez hecho el cambio
4. Las principales partes interesadas estn Ratios de satisfaccin de las partes
informadas sobre todos los aspectos del interesadas con las comunicaciones de los
cambio.
cambios

Pgina 16

Cobit 4.1 vs. Cobit 5

Pgina 17

Cobit 4.1 vs. Cobit 5

Lista de Verificacin (Construir, Adquirir e Implementar Gestionar

los Cambios).
Para el desarrollo de la siguiente seccin se ha considerado necesario relevar la conceptualizacin
que los procesos tienen en cada una de las versiones de Cobit:

Pgina 18

Cobit 4.1 vs. Cobit 5

COBIT 4.1

COBIT 5

ADQUIRIR E IMPLEMENTAR
Administrar los Cambios

CONSTRUIR, ADQUIRIR E
IMPLEMENTAR
Gestionar los Cambios

AI6 Administrar Cambios

BAI06 Gestionar los Cambios

Todos los cambios, incluyendo el

mantenimiento de emergencia y parches,
relacionados con la infraestructura y las
Gestione todos los cambios de una forma
aplicaciones dentro del ambiente de
controlada, incluyendo cambios estndar y de
produccin, deben administrarse formalmente
mantenimiento de emergencia en relacin
y controladamente.
con los procesos de negocio, aplicaciones e
Los cambios (incluyendo procedimientos,
infraestructura.
procesos, sistema y parmetros del servicio) se
Esto incluye normas y procedimientos de
deben registrar, evaluar y autorizar previo a la
cambio, anlisis de impacto, priorizacin y
implantacin y revisar contra los resultados
autorizacin, cambios de emergencia,
planeados despus de la implantacin.
seguimiento, reporte, cierre y documentacin.
Esto garantiza la reduccin de riesgos que
impactan negativamente la estabilidad o
integridad del ambiente de produccin.

A continuacin se da a conocer la lista de verificacin para ambas versiones de Cobit y su

aplicabilidad:

Pgina 19

LISTA DE VERIFICACIN COBIT 4.1 Y COBIT 5

Objetivos de control
(COBIT 4.1)

Prcticas de gobierno y
de administracin
(COBIT 5)

AI6.1 Estndares y
Procedimientos para
Cambios
BAI06.01 Evaluar, priorizar
y autorizar peticiones de
cambio

AI6.2 Evaluacin de
Impacto, Priorizacin y
Autorizacin

AI6.3 Cambios de
Emergencia

BAI06.02 Gestionar
Cambios de Emergencia

LISTA DE VERIFICACIN

APLICABILIDAD

Existen procedimientos y formularios estndar para la solicitud

de cambios?

Cobit 4.1 & Cobit 5

Se han definido responsabilidades de la revisin, ajuste y

aprobacin de solicitudes de cambio?

Cobit 4.1 & Cobit 5

Las peticiones de cambio son categorizadas, estas obedecen a

una clasificacin y se conoce claramente el alcance de
afectacin e impacto del cambio?

Cobit 4.1 & Cobit 5

Bajo qu criterios se determina la prioridad de atencin de los

requerimientos de cambio? (Negocio, Cumplimiento,
Oportunidad, etc.)

Cobit 4.1 & Cobit 5

De qu manera se distinguen los cambios estndar de los

cambios ocasionales?

Cobit 4.1 & Cobit 5

Se analiza el volumen de cambios existente, esfuerzo asociado

y cronogramas para su aplicacin?

Cobit 4.1 & Cobit 5

Como se involucra a los proveedores en los cambios que

afectan servicios de terceros y ponen en riesgo los SLAs?

Cobit 4.1 & Cobit 5

Qu poltica y procedimiento se emplea para declarar,

evaluar, aprobar y autorizar cambios de emergencia?

Cobit 4.1 & Cobit 5

Se ha determinado personal responsable para la aplicacin de

cambios de emergencia?

Cobit 4.1 & Cobit 5

Qu procedimientos se han definido para la revisin y

seguimiento post implementacin?

Cobit 5

Cobit 4.1 vs. Cobit 5

Cul es el nivel de control y material gua para la
implementacin de acciones correctivas ante un cambio
emergente con resultados no previstos?

AI6.4 Seguimiento y
Reporte del Estatus de
Cambio

AI6.5 Cierre y
Documentacin del
Cambio

BAI06.03 Hacer
seguimiento e informar
cambios de estado

BAI06.04 Cerrar y
Documentar los cambios

Cobit 4.1 & Cobit 5

Cul es el procedimiento empleado para mantener un control

adecuado del inventario de solicitudes de cambio, como se lo
ha clasificado?

Cobit 5

De qu manera se notifica el resultado y rendimiento de los

cambios emergentes?

Cobit 4.1 & Cobit 5

Cmo se mide la efectividad y oportunidad de los cambios de

emergencia?

Cobit 4.1 & Cobit 5

Como se cotejan los informes de estado de cambios con la

realidad? (Pistas de auditora e historial de cambios)

Cobit 5

Qu mtricas se llevan para conocer si la implementacin de

cambios emergentes es efectiva y oportuna?

Cobit 4.1 & Cobit 5

Existen herramientas que permitan conocer el estado de las

peticiones de cambio y muestren estadsticas al respecto?

Cobit 5

Cules son los entregables de una peticin de cambio

ejecutada?
Existen procedimientos que evidencien las consecuencias de la
implementacin de los cambios, orienten sobre su afectacin,
establezcan actividades de contingencia y procedimientos de
ayuda?
Se ha definido categoras de documentacin y tiempos de
conservacin?
Qu niveles de revisin existen para la documentacin
generada y cul es el proceso de elaboracin y revisin de la
misma?
Se cuenta con un manual de calidad o lineamientos sobre la
estructura, contenido, formato y niveles de revisin y aprobacin
de la informacin generada?

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Pgina 21

Conclusiones.

Para el caso elegido no existen mayores diferencias en cuanto al enfoque, sin embargo de
manera general se puede rescatar que Cobit 5 tiene una conceptualizacin ms sobria, clara y
ordenada respecto a lo que denomina Prcticas de gobierno y organizacin que en Cobit 4.1
son Objetivos de Control.
Con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que
implicar que todos los involucrados, ms all del rol (CEO, CIO, CRO, CISO, CCO, Advisor,
Auditor, etc), evolucin estratgicamente sincronizados con este nuevo estndar.
Cobit 5 es la mayor evolucin estratgica de Cobit 4.1, el nico framework globalmente
aceptado para el IT Governance y brinda a los interesados la gua ms completa y actualizada
para un mejor gerenciamiento de IT.
El marco referencial de Cobit 4 y Cobit 5 consta de Objetivos de control de TI de alto nivel y de
una estructura general para su clasificacin y presentacin.
La aplicacin del marco de referencia COBIT permite al departamento de TI tener la visibilidad
a un nivel detallado la mayora de sus procesos que son repetitivos, intuitivos y crticos al
mismo tiempo evidencia el nivel de maduracin de procesos con la que se trabaja en TI. Con el
avance progresivo de sus lineamientos acenta el cumplimiento regulador, ayuda a
organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la puesta
en marcha de un cambio radical.
El esquema de objetivos de control categorizados en cuatro dominios para definir los procesos
de COBIT es apropiado para integrar actividades similares que se ejecuten en equipos de TI, al
manejarse de manera aislada con definiciones, ejecuciones y evaluaciones diferentes la
aplicacin de COBIT es ineficiente. Debido que COBIT al ser independiente de herramientas
tecnolgicas trata de integrar dentro de un objetivo de control las actividades comunes a
travs de prcticas y polticas que permitan alinear actividades de cada equipo en una sola
definicin, ejecucin y evaluacin.
La inclusin de factores crticos de xito, objetivos de control de bajo nivel, indicadores claves
de desempeo y de resultados, y su seguimiento para cada proceso de TI son factores
importantes que aportan a crear prcticas de monitoreo de procesos que es un punto a
fortalecer en TI y tendr como resultado final alcanzar procesos administrados y medidos que
optimicen la calidad de los servicios ofrecidos por TI.
COBIT al tener como misin investigar, desarrollar, y promover cambios en procesos los
gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les
ayuda a entender sus sistemas TI y decidir el nivel de seguridad y control que es necesario
para proteger el activo de sus empresas por el desarrollo de un modelo de gobernacin TI.

Cobit 4.1 vs. Cobit 5

Recomendaciones.

Aunque la versin 5 de Cobit es ms estructurada no basta con seguir nicamente estas

pautas, siempre ser nutrido y conveniente el agregar criterios de otras guas como ISO/IEC e
ITIL.
Dentro de la validacin del proceso COBIT se encontr que algunos indicadores claves de
desempeo y de resultados planteados pueden ser representados de manera cualitativa; por
lo cual puede volver subjetiva la medicin de los procesos de TI. Esta situacin se debe a que
el marco de referencia COBIT trata de ser general y abarcar un amplio rango de
consideraciones tcnicas y de negocio en los procesos. Para la aplicacin del proceso COBIT se
recomienda considerar los indicadores claves que puedan ser calificados cuantitativamente.
La aplicacin de COBIT en una empresa con una organizacin y estructura limitada puede
producir resultados no adecuados. Por lo que se recomienda que para una aplicacin de COBIT
en una organizacin se la incluya como parte de un plan estratgico de tecnologa y como
objetivo del negocio; de igual manera cuente con el apoyo e impulso total de la gerencia de TI,
para obtener mejor calidad en sus procesos.
Al detallar el proceso DS9, Administracin de la configuracin, y M1, Monitoreo del proceso;
se encontr en la definicin del proceso segn COBIT se abarca actividades que se ejecutan
una sola vez relacionadas con estrategia, y actividades que son recurrentes y estn
relacionadas con la operacin. Esta limitacin de COBIT puede ocasionar confusin y
ambigedad al momento de definir y documentar un proceso. Se recomienda dividir en
subprocesos, las actividades de un mismo proceso cuya recurrencia y naturaleza puedan ser
distintas; y que se considere estas diferencias al momento de comunicar y monitorear el
rediseo del proceso.
Este anlisis comparativo motivo de este documento permiti visualizar que algunos de los
procesos definidos por COBIT; como la administracin de la configuracin no consta varios
servicios, proyectos o implementaciones que ameriten la evaluacin de cada uno de estos
componentes; por el contrario es preferible aplicar solamente una evaluacin global tanto de
eficacia como de eficiencia para asegurar la medicin completa del proceso. Por esta razn se
recomienda identificar claramente este tipo de procesos en COBIT al momento de aplicar una
propuesta de mejora en la organizacin para obtener una fase de evaluacin alineada con la
naturaleza del negocio

Pgina 23

Cobit 4.1 vs. Cobit 5

ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5.

PROCESO
PO
PO1
PO2
PO3
PO4

PO5
PO6
PO7
PO8
PO9
PO10
AI
AI01
AI02
AI03

AI04
AI05
AI06
AI07
DS
DS1
DS2

COBIT 4.1
DESCRPCIN
PLANEAR Y ORGANIZAR
Definir
un
plan
estratgico de TI
Definir la arquitectura
de la informacin
Definir la direccin
tecnolgica
Definir los procesos
organizacin
y
relaciones de TI
Administrar la inversin
en TI
Comunicar las metas y
direccin de la gerencia
Administrar los recursos
humanos de TI
Administrar la calidad
Evaluar y administrar los
riesgos de TI
Administrar
los
proyectos
ADQUIRIR E
IMPLEMENTAR
Identificar las soluciones
automatizadas
Adquirir y mantener
software aplicativo
Adquirir y mantener la
infraestructura
tecnolgica
Facilitar la operacin y
el uso
Procurar recursos de TI
Administrar los cambios
Instalar y acreditar las
soluciones y cambios
ENTREGAR SERVICIO
Definir y administrar los
niveles de servicio
Administrar los servicios
de terceros

COBIT 5 Cobertura Primaria (P) y Secundaria (S)

PRIMARIA
SECUNDARIA
ALINEAR, PLANEAR Y ORGANIZAR
APO02
EDM02/APO05
APO03

APO01

APO02/APO04

EDM01/APO03/APO01

APO01

APO07/ APO11/DSS06

APO06

APO05

APO01

EDM03

APO07

APO01

APO11
APO12

EDM03/APO01

BAI01
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
BAI02
BAI03
BAI03

DSS02

BAI08

BAI05

APO10
BAI06
BAI07

BAI03
BAI05

ENTREGAR SERVICIO Y SOPORTAR

APO09
APO10

Pgina 24

Cobit 4.1 vs. Cobit 5

DS3

DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
ME
ME1
ME2
ME3

ME4

Administrar
el
desempeo
y
la
capacidad
Asegurar el servicio
continuo
Garantizar la seguridad
de los sistemas
Identificar y asignar
costos
Educar y entrenar a los
usuarios
Administrar la mesa de
servicios y los incidentes
Administrar
la
configuracin
Administrar
los
problemas
Administrar los datos
Administrar el ambiente
fsico
Administrar
las
operaciones
MONITOREAR Y
EVALUAR
Monitorear y evaluar el
desempeo de TI
Monitorear y evaluar el
control interno
Garantizar
el
cumplimiento
regulatorio
Proporcionar gobierno
de TI

BAI04

DSS04
DSS05

APO13

APO06
APO07
DSS02
BAI10

DSS02

DSS03
DSS04
DSS01/DSS05

DSS01/DSS05/DSS06

DSS01

DSS05/BAI09

MONITOREAR Y EVALUAR
MEA01
MEA02
MEA03

EDM01/EDM02/EDM03/EDM04/MEA02

Pgina 25

Cobit 4.1 vs. Cobit 5

ANEXO 2. VENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT 5.

Pgina 26

Cobit 4.1 vs. Cobit 5

Modelo de Madurez Cobit 4.1

Modelo de Madurez Cobit 5

Pgina 27

Cobit 4.1 vs. Cobit 5

ANEXO 3. FUENTES DE CONSULTA.

2012. Cobit 5 comparativo con Cobit 4 - ISACA. Extrado de:

http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-deisaca/
2009. Cobit 4 Slideshare. Extrado de:
http://www.slideshare.net/MarthaLechuga/cobit-4
2007. IT Governance Institute. Extrado de:
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
2012. Presentacin SEGURINFO - ISACA.

Pgina 28