COBIT 4.0 COBIT define las actividades de TI en un modelo de 34 procesos genricos agrupados en 4 dominios: Planear y Organizar Estrategias y t cticas!

as! Identificar la manera en "ue TI pueda contri#uir de la me$or manera al logro de los o#$etivos del negocio! %d"uirir e Implementar Identificaci&n de soluciones' desarrollo o ad"uisici&n' cam#ios y(o mantenimiento de sistemas e)istentes! Entregar y *ar +oporte Cu#re la entrega de los servicios re"ueridos! Incluye la prestaci&n del servicio' la administraci&n de la seguridad y de la continuidad' el soporte del servicio a los usuarios' la administraci&n de los datos y de las instalaciones operacionales! ,onitorear y Evaluar Todos los procesos de TI de#en evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los re"uerimientos de control! Este dominio a#arca la administraci&n del desempe-o' el monitoreo del control interno' el cumplimiento regulatorio y la aplicaci&n del go#ierno! reas tradicionales de TI de planear' construir'

.os dominios se e"uiparan a las e$ecutar y monitorear!

COBIT proporciona un modelo de procesos de referencia y un lengua$e com/n para "ue cada uno en la empresa visualice y administre las actividades de TI! .a incorporaci&n de un modelo operacional y un lengua$e com/n para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales m s importantes 0acia un #uen go#ierno! Tam#in #rinda un marco de tra#a$o para la medicin y monitoreo del desempe-o de TI' comunic ndose con los proveedores de servicios e integrando las me$ores pr cticas administrativas! 1n modelo de procesos fomenta la propiedad de los procesos' permitiendo "ue se definan las responsa#ilidades! Para go#ernar efectivamente TI' es importante determinar las actividades y los riesgos "ue re"uieren ser administrados! 2stos se pueden resumir como sigue: LOS PROCESOS REQUIEREN CONTROLES Control pol3ticas' procedimientos' pr cticas y estructuras organizacionales dise-adas para #rindar una seguridad razona#le "ue los o#$etivos de negocio se alcanzar n' y los eventos no deseados ser n prevenidos o detectados y corregidos! O#$etivos de Control re"uerimientos m3nimos para un control efectivo de cada proceso de IT! 4erencia usa los procesos para organizar y administrar las actividades de TI en curso! Cada proceso de TI de COBIT tiene un o#$etivo de control de alto nivel y un n/mero de o#$etivos de control detallados %dem s de los o#$etivos de control detallados' cada proceso COBIT tiene re"uerimientos de control genricos "ue se identifican con PCn' "ue significa n/mero de control de proceso:

5esumen COBIT

P gina 6 de 7

PC1 Dueo del proceso %signar un due-o para cada proceso COBIT de tal manera "ue la responsa#ilidad sea clara! PC2 Reiterativo *efinir cada proceso COBIT de tal forma "ue sea repetitivo! PC3 Metas y objetivos Esta#lecer metas y o#$etivos claros para cada proceso COBIT para una e$ecuci&n efectiva! PC4 Roles y responsabilidades *efinir roles' actividades y responsa#ilidades claros en cada proceso COBIT para una e$ecuci&n eficiente! PC5 Desempeo del proceso ,edir el desempe-o de cada proceso COBIT en comparaci&n con sus metas! PC6 Pol ticas! planes y procedimientos *ocumentar' revisar' actualizar' formalizar y comunicar a todas las partes involucradas cual"uier pol3tica' plan & procedimiento "ue impulse un proceso COBIT! .os propietarios de procesos de#en entender "u entradas re"uieren de otros procesos y "ue re"uieren otros de sus procesos! 5oles y responsa#ilidades documentados Clave para un go#ierno efectivo! 4r fica RACI 8"uin es responsa#le' "uin rinde cuentas' "uin es consultado y "uien informado9 para cada proceso! 5endir cuentas la persona "ue provee autorizaci&n y direccionamiento a una actividad! 5esponsa#ilidad la persona "ue realiza la actividad! Consultado e Informado garantizan "ue todas las personas "ue son re"ueridas est n involucradas y dan soporte al proceso! CONTROLES DEL NEGOCIO CONTROLES DE TI

O!"eti#o$ de ne%ocio +e fi$an a nivel de direcci&n e$ecutiva! +e esta#lecen pol3ticas y se toman decisiones de c&mo aplicar y administrar los recursos empresariales para e$ecutar la estrategia de la compa-3a! .os controles TI se gu3an por este con$unto de o#$etivos y pol3ticas de alto nivel! Contro&e$ de ne%ocio a nivel de procesos de negocio! +on controles para actividades espec3ficas del negocio! .a mayor3a de los procesos de negocio est n automatizados e integrados con los sistemas aplicativos de TI muc0os de los controles a este nivel estn automatizados 'contro&e$ de &($ ()&ic(cione$*! P!e!: Integridad' precisi&n' validez' autorizaci&n' segregaci&n de funciones: Otros controles como procedimientos manuales 8autorizaci&n de transacciones' separaci&n de funciones conciliaciones manuales!!!9 'contro&e$ m(n+(&e$*! Ser#icio$ TI Proporcionados para soportar los procesos de negocio! +uelen estar compartidos por varios procesos de negocio! % estos servicios se tam#in aplican controles 'contro&e$ %ener(&e$ de TI*! P!e!: desarrollo de sistemas' administraci&n de cam#ios' seguridad' operaciones del computador' :

Con"+nto recomend(do de contro&e$ de &($ ()&ic(cione$, Contro&e$ de ori%en de d(to$- (+tori.(cin "C1 Procedimientos de preparaci#n de datos "C2 Procedimientos de autori$aci#n de documentos %uente "C3 Recolecci#n de datos de documentos %uente "C4 Manejo de errores en documentos %uente "C5 Retenci#n de documentos %uente Contro&e$ de entr(d( de d(to$ "C6 Procedimientos de autori$aci#n de captura de datos "C& 'eri%icaciones de precisi#n! inte(ridad y autori$aci#n
5esumen COBIT P gina ; de 7

"C) Manejo de errores en la entrada de datos Contro&e$ en e& Proce$(miento de d(to$ "C* +nte(ridad en el procesamiento de datos "C1, 'alidaci#n y edici#n del procesamiento de datos "C11 Manejo de errores en el procesamiento de datos Contro&e$ de $(&id( de d(to$ "C12 Manejo y retenci#n de salidas "C13 Distribuci#n de salidas "C14 Cuadre y conciliaci#n de salidas "C15 Revisi#n de salidas y manejo de errores "C16 Provisi#n de se(uridad para reportes de salida Contro&e$ de &/mite$ "C1& "utenticidad e inte(ridad "C1) Protecci#n de in%ormaci#n sensitiva durante su transmisi#n y transporte GENERADORES DE 0EDICIONES .as empresas de#en medir d&nde se encuentran y d&nde se re"uieren me$oras' e implementar un $uego de 0erramientas gerenciales para monitorear esta me$ora! <=asta d&nde de#emos ir> <Est $ustificado el costo por el #eneficio> Para responder a esto COBIT utiliza: 0ode&o$ de m(d+re. "ue facilitan la evaluaci&n por medio de #enc0mar?ing y la identificaci&n de las me$oras necesarias en la capacidad 0et($ y medicione$ de desempe-o para los procesos de TI c&mo los procesos satisfacen las necesidades del negocio y de TI' y c&mo se usan para medir el desempe-o de los procesos internos 0et($ de (cti#id(de$ para facilitar el desempe-o efectivo de los procesos 1sando los procesos de madurez desarrollados para cada uno de los 34 procesos TI la administraci&n podr identificar:

El desempe-o real de la empresa@*&nde se encuentra la empresa 0oy 89 El estatus actual de la industria@.a comparaci&n 89 El o#$etivo de me$ora de la empresa@*&nde desea estar la empresa 89

Modelo genrico de madurez 0 No e1i$tente. Carencia completa de cual"uier proceso reconoci#le! .a empresa no 0a reconocido si"uiera "ue e)iste un pro#lema a resolver! 2 Inici(&. E)iste evidencia "ue la empresa 0a reconocido "ue los pro#lemas e)isten y re"uieren ser resueltos! +in em#argoA no e)isten procesos est ndar en su lugar e)isten enfo"ues ad -oc "ue tienden a ser aplicados de forma individual o caso por caso! El enfo"ue general 0acia la administraci&n es desorganizado! 3 Re)eti!&e. +e 0an desarrollado los procesos 0asta el punto en "ue se siguen procedimientos similares en diferentes reas "ue realizan la misma tarea! Bo 0ay entrenamiento o comunicaci&n formal de los procedimientos est ndar' y se de$a la responsa#ilidad al individuo! E)iste un alto grado de confianza en el conocimiento de los individuos y' por lo tanto' los errores son muy pro#a#les! 4 De5inido! .os procedimientos se 0an estandarizado y documentado' y se 0an difundido a travs de entrenamiento! +in em#argo' se de$a "ue el individuo decida utilizar estos procesos' y es poco pro#a#le "ue se detecten desviaciones! .os procedimientos en s3 no son sofisticados pero formalizan las pr cticas e)istentes! 4 Admini$tr(do. Es posi#le monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn tra#a$ando de forma efectiva! .os

5esumen COBIT

P gina 3 de 7

procesos est n #a$o constante me$ora y proporcionan #uenas pr cticas! +e usa la automatizaci&n y 0erramientas de una manera limitada o fragmentada! 6 O)timi.(do. .os procesos se 0an refinado 0asta un nivel de me$or pr ctica' se #asan en los resultados de me"or($ contin+($ y en un modelo de madurez con otras empresas! TI se usa de forma integrada para automatizar el flu$o de tra#a$o' #rindando 0erramientas para me$orar la calidad y la efectividad' 0aciendo "ue la empresa se adapte de manera r pida! 0EDICI7N DEL DESE0PE8O +e definen met($ a nivel de Begocio' TI' Proceso y %ctividad +e definen m9tric($ a nivel de negocio' de TI y de proceso! +e utilizan dos tipos de mtrica: Indicadores clave de metas 8C4I9 indican 8despus del 0ec0o9 si un proceso 0a alcanzado o no sus re"uerimientos de negocio! Indicadores clave de desempe-o 8CPI9 indican c&mo se est desempe-ando un proceso 8si ser facti#le o no alcanzar la meta9! .os indicadores de metas de #a$o nivel se convierten en indicadores de desempe-o para los niveles altos! ,etas de actividad ,etas de Proceso ,etas de TI ,etas de Begocio C4I

CPI

CPI ,trica de Begocio CPI ,trica de TI C4I ,trica de Proceso C4I

Caractersticas de mtricas efectivas: 1na alta proporci&n entendimientoDesfuerzo 8esto es' el entendimiento del desempe-o y del logro de las metas en contraste con el esfuerzo de lograrlos9 *e#en ser compara#les internamente 8esto es' un porcenta$e en contraste con una #ase o n/meros en el tiempo9 *e#en ser compara#les e)ternamente sin tomar en cuenta el tama-o de la empresa o la industria Es me$or tener pocas mtricas 8"uiz una sola muy #uena "ue pueda ser influenciada por distintos medios9 "ue una lista m s larga de menor calidad *e#e ser f cil de medir y no se de#e confundir con las metas 0ARCO DE TRABA:O GENERAL DE COBIT: El modelo de procesos de COBIT compuesto de 4 dominios "ue contienen 34 procesos genricos' administrando los rec+r$o$ de TI para proporcionar in5orm(cin al negocio de acuerdo con los re"uerimientos del negocio y de go#ierno! ,OBITO5E%5 E EF%.1%5 ,E6 ,onitorear y evaluar el desempe-o de TI! ,E; ,onitorear y evaluar el control interno ,E3 4arantizar cumplimiento regulatorio! ,E4 Proporcionar go#ierno de TI! P.%BE%5 E O54%BIG%5 PO6 *efinir el plan estratgico de TI! PO; *efinir la ar"uitectura de la informaci&n

5esumen COBIT

P gina 4 de 7

PO3 *eterminar la direcci&n tecnol&gica! PO4 *efinir procesos' organizaci&n y relaciones de TI! PO7 %dministrar la inversi&n en TI! POH Comunicar las aspiraciones y la direcci&n de la gerencia! POI %dministrar recursos 0umanos de TI! POJ %dministrar calidad! POK Evaluar y administrar riesgos de TI PO6L %dministrar proyectos! %*M1I5I5 E I,P.%BT%5 %I6 Identificar soluciones automatizadas! %I; %d"uirir y mantener el softNare aplicativo! %I3 %d"uirir y mantener la infraestructura tecnol&gica %I4 Oacilitar la operaci&n y el uso! %I7 %d"uirir recursos de TI! %IH %dministrar cam#ios! %II Instalar y acreditar soluciones y cam#ios! EBT5E4%5 E *%5 +OPO5TE *+6 *efinir y administrar niveles de servicio! *+; %dministrar servicios de terceros! *+3 %dministrar desempe-o y capacidad! *+4 4arantizar la continuidad del servicio! *+7 4arantizar la seguridad de los sistemas! *+H Identificar y asignar costos! *+I Educar y entrenar a los usuarios! *+J %dministrar la mesa de servicio y los incidentes! *+K %dministrar la configuraci&n! *+6L %dministrar los pro#lemas! *+66 %dministrar los datos! *+6; %dministrar el am#iente f3sico! *+63 %dministrar las operaciones!

IBOO5,%CIPB Efectividad Eficiencia Confidencialidad Integridad *isponi#ilidad Cumplimiento Confia#ilidad

5EC15+O+ %plicaciones Informaci&n Infraestructura Personas

5esumen COBIT

P gina 7 de 7