Documentos de Académico
Documentos de Profesional
Documentos de Cultura
.
El segmento cuatro lo componen las COACs, que
se hallaban bajo el control de la Superintendencia de
Figura 1: Las reas Clave de Gobierno y Gestin [1]
Bancos y Seguros SBS. [6]
2.2.1 EL MODELO DE CAPACIDAD DE COBIT 5
2.2 MARCO DE TRABAJO COBIT
El marco de referencia COBIT 5 se basa en la
El proyecto COBIT se emprendi por primera vez norma internacionalmente reconocida ISO / IEC 15504
en el ao 1995, con el fin de crear un mayor producto para determinar su modelo de capacidad de procesos.
global que pudiese tener un impacto duradero sobre el El modelo busca alcanzar los objetivos generales de la
campo de visin de los negocios, as como sobre los evaluacin y apoyar a la mejora de procesos, a travs
controles de los sistemas de informacin implantados. de medidas del desempeo de los mismos.
Existen seis niveles de capacidad que estn Figura 2: Atributos de capacidad de procesos [1]
compuestos a partir del Nivel 2 por varios atributos,
como se describe a continuacin: 2.2.2 NORMA ISO 15504.
Valor Categora
1 Sin Importancia
2 Casi sin Importancia
3 Poco Importante
4 Importante
5 Muy importante
Los procesos cuya calificacin se ubic por encima atributo en el proceso evaluado. (50 a 85 por ciento de
del valor de 3, fueron considerados para la evaluacin, y logro).
se los lista a continuacin:
F (Completamente alcanzado).- Existe evidencia
DOMINIO: Alinear, Planificar y Organizar (APO). de un completo y sistemtico enfoque y un logro
completo del atributo definido en el proceso evaluado.
Gestionar el marco de gestin de TI. No existen debilidades significativas relacionadas con el
Gestionar la estrategia. atributo en el proceso evaluado. (85 a 100 por ciento de
Gestionar el portafolio. logro).
Gestionar los recursos humanos.
Gestionar las relaciones. Para cada uno de los rangos se determin un valor
Gestionar los acuerdos de servicio. para ser utilizado en la calificacin y cmputo final,
Gestionar los proveedores. obtenido a partir de encontrar el promedio de los valores
porcentuales entre el lmite mximo y mnimo, tal como
Gestionar el riesgo.
se muestra en la Tabla 3:
Gestionar la seguridad.
Tabla 3: Valores para evaluacin de capacidad de los
DOMINIO: Construir, adquirir e implementar (BAI)
procesos
Gestionar la disponibilidad y la capacidad.
Gestionar los cambios. Escala Valor
Gestionar la aceptacin del cambio y la N - No se ha alcanzado 0
transicin. P - Parcialmente logrado 0.33
Gestionar el conocimiento. L Ampliamente logrado 0.67
Gestionar los activos. F - Totalmente logrado 1
Gestionar la configuracin.
Los rangos definidos para la evaluacin de NPG.- Nmero de prcticas de gestin del proceso a
capacidad de los procesos se basan tambin en las evaluar.
escalas y rangos de la norma ISO/IEC 15504 de
acuerdo al grado en el que cada objetivo es alcanzado. NPGMi.- Nmero de prcticas gestin que contribuyen
al logro de la meta i, del proceso a evaluar.
La escala est determinada dentro de los
siguientes rangos: PM.-Peso de cada uno de los metas del proceso a
evaluar (1).
N (No alcanzado).- Hay muy poca o ninguna 1 (1)
=
evidencia de que se alcanza el atributo definido en el
proceso de evaluacin. (0 al 15 por ciento de logro).
VPGi.- Valor de las prcticas gestin para la meta i,
P (Parcialmente alcanzado).- Hay alguna realizadas o llevadas a cabo por la organizacin (*).
evidencia de aproximacin, y algn logro del atributo
definido en el proceso evaluado. Algunos aspectos del GCMi(PG).-Grado de cumplimiento de la meta i, en
logro del atributo pueden ser impredecibles. (15 a 30 por funcin de las prcticas de gestin (2).
ciento de logro).
(2)
() =
L (Ampliamente alcanzado).- Hay evidencias de
un enfoque sistemtico y de un logro significativo del
atributo definido en el proceso evaluado. Pueden CP (PG).-Medida de capacidad del proceso en funcin
encontrarse algunas debilidades relacionadas con el de las prcticas gestin (3).
(3)
() = ()
(6)
() = PAT ()
(*) El valor de la mtrica VPGi se obtiene de
sumar el valor del grado de realizacin de las prcticas (*) Para obtener VPGNi, hay que tomar en cuenta
de gestin que contribuyen al logro de la meta i. la calificacin asignada a cada una de las prcticas de
gestin genricas a los valores definidos en la Tabla 3,
El valor del grado de realizacin de una meta se de donde la sumatoria de esta calificacin definir el
obtiene del promedio del valor del grado de ejecucin de valor final.
las actividades que forman la prctica de gestin.
Para la recoleccin de informacin se construy
Cada actividad tiene un grado de realizacin al una plantilla compuesta por la definicin del Proceso a
cual se le asigna un valor segn lo definido en la Tabla Evaluar, los niveles de capacidad, los atributos del
3. proceso para cada nivel, junto con de las prcticas de
gestin genricas.
Para la recoleccin de informacin se construy 3.4 DEFINICION DE LOS NIVELES DE CAPACIDAD
una plantilla especfica a este Nivel, compuesta por la
definicin del Proceso a Evaluar, la definicin de las La determinacin del nivel de capacidad depende
metas a alcanzar, las prcticas de Gestin de si los atributos del proceso a ese nivel han sido
correspondientes al proceso, junto con las actividades alcanzados en gran medida (L) y totalmente (F) o si los
cuya evaluacin determina el nivel de capacidad de las atributos de proceso para los niveles ms bajos se han
prcticas de gestin alcanzado totalmente (F).
3.5 CRITERIOS PARA LA DETERMINACIN DEL La metodologa para la aplicacin del modelo se
NIVEL DE MADUREZ bas en la realizacin de entrevistas, con el fin de
obtener informacin para la evaluacin de los niveles de
Para la evaluacin del nivel de madurez de la capacidad de cada uno de los procesos, a travs del
organizacin o nivel de madurez resultado de la llenado de las matrices o plantillas de evaluacin de
evaluacin se tienen en cuenta los resultados de la capacidad de procesos respectivas.
evaluacin de la capacidad de los procesos asociados.
La ejecucin de la evaluacin de la capacidad de
De donde, si todos los procesos evaluados se los procesos de Ti, deba realizarse en fases, ya que
hallan en un nivel de capacidad N, entonces se puede despus del anlisis de cada nivel y los resultados
determinar que la organizacin ha alcanzado el grado obtenidos, se consider pertinente la planificacin de
de madurez N, segn la correspondencia de nuevas entrevistas para los niveles superiores.
equivalencias definida para los niveles de capacidad y
los niveles de madurez como desarrollo del presente Despus de la ejecucin del primer ciclo de
modelo. entrevistas se evaluaron los resultados preliminares a
nivel 1, para determinar la necesidad de la planificacin
La correspondencia mencionada se resume en la de una segunda ronda de entrevistas que permitira
Tabla 5, que se muestra a continuacin: evaluar la capacidad de los procesos en los niveles
superiores, de donde se concluy que la organizacin al
Tabla 5: Criterios para la determinacin del nivel de momento de la ejecucin de la prueba no cumpla con
madurez los requisitos necesarios para realizar la evaluacin a
estos niveles.
NIVEL DE MADUREZ CRITERIO
Nivel de madurez 0 La organizacin no tiene una 4.2 RESULTADOS
implementacin efectiva de
los procesos. El modelo fue aplicado segn la metodologa
desarrollada, identificando debilidades de gestin y
Nivel de madurez 1 Algunos de los procesos
generando las recomendaciones para mejorar los
objeto de evaluacin alcanzan
procesos, de donde se extraen como parte de este
el nivel de capacidad 1, es
decir, existen productos documento las debilidades y recomendaciones ms
resultantes para los mismos y importantes que tienen que ver con: gestionar los
acuerdos de servicio y gestionar el riesgo:
el proceso se puede
identificar.
4.2.1 APO09 Gestionar los acuerdos de servicio.
Nivel de madurez 2 Los procesos objeto de
evaluacin tienen el nivel de
Los niveles en la entrega de servicios tanto
capacidad 2 o superior.
internos como externos carecen de una definicin
Nivel de madurez 3 Los procesos objeto de para su medida y control.
evaluacin tienen el nivel de
capacidad 3 o superior. No se ha definido un catlogo de servicios de TI
Nivel de madurez 4 Uno o ms procesos tienen que aporten a la consecucin de los objetivos de la
nivel de capacidad 4 o organizacin, y tampoco el nivel de servicio esperado
superior. por el negocio.
Nivel de madurez 5 Uno o ms procesos tienen
nivel de capacidad 5. No existe evidencia de levantamiento y definicin
de niveles de servicio para clientes internos.
La supervisin y cumplimiento se realiza en 1. Definir un catlogo de servicios dentro de la
funcin de los parmetros definidos en los contratos con organizacin junto con sus responsables y su
los proveedores, pero al momento no se ha llegado a vinculacin a cada uno de los procesos del negocio,
definir acuerdos de niveles de servicio. incorporando el grado de criticidad e impacto para
el negocio ante una contingencia.
Existen registros de bitcoras pero no se ha
complementado con un proceso para el seguimiento de 2. Definir, negociar y formalizar acuerdos de nivel de
irregularidades en la entrega del servicio por parte de servicio con clientes internos de acuerdo a la
los proveedores. criticidad de los servicios definidos en el catlogo
de servicios.
COBIT 5 para la prctica de gestin APO09.01
sugiere: Analizar los requisitos del negocio y el modo 3. Definir, negociar y formalizar acuerdos de nivel de
en que los servicios de TI y los niveles de servicio servicio con proveedores de acuerdo a la criticidad
soportan los procesos de negocio. Discutir y acordar de los servicios definidos en el catlogo de
servicios potenciales y niveles de servicio con el negocio servicios.
y compararlos con la cartera actual para identificar
servicios nuevos o modificados, u opciones de nivel de 4. Registrar bitcoras de eventos que representen
servicio. impacto a la entrega del servicio, ya sea por
degradacin (entrega deficiente del servicio) o
De la misma manera para la prctica de gestin interrupcin total.
APO09.02 se espera Definir y mantener uno o ms
catlogos de servicios para grupos de clientes objetivo 5. Redactar informes peridicos que resuman el
relevantes. Publicar y mantener los servicios de TI comportamiento de la entrega de servicios tanto a
activos en los catlogos. clientes internos, como los entregados por clientes
externos.
De acuerdo a la prctica de gestin APO09.03 se
espera Definir y preparar los acuerdos de servicio
basndose en las opciones de los catlogos de servicio. 4.2.2 APO12 Gestionar el riesgo.
Incluir acuerdos de niveles de operaciones internos.
Dentro de la organizacin no se realiza una
En la prctica de gestin APO09.04 el alcance se adecuada gestin de los riesgos que involucran a
define en Supervisar los niveles de servicio, informar los servicios de TI puestos a disposicin del
las mejoras e identificar tendencias. Proporcionar negocio.
informacin de gestin adecuada para ayudar a la
gestin del rendimiento. El registro de informacin de eventos que afectan
la operacin y entrega del servicio de TI, se lo realiza
El crecimiento y diversificacin de los servicios del para determinados casos.
negocio, no ha tenido el mismo ritmo en las reas que
podran considerarse estratgicas para el logro de los Dentro de la organizacin existen evidencias de un
objetivos, tal como el rea tecnolgica, en materia de anlisis de riesgos de tecnologa, pero no existe una
inversin, innovacin, capacitacin del personal, evaluacin integral del riesgo con sus componentes de
interrelacin con las reas de negocio, negociacin de probabilidad de ocurrencia y su grado de impacto al
las necesidades, evaluacin de capacidades y negocio, as como tampoco se ha logrado identificar un
proyecciones futuras. plan de mitigacin para responder ante la
materializacin de los riesgos.
La falta de definiciones en acuerdos de niveles de
servicio internos puede ocasionar inconvenientes De acuerdo a lo especificado en el marco de
dentro de la organizacin ya que las reas involucradas referencia COBIT 5, a travs de la prctica de gestin
o usuarias de los servicios no estn al tanto de las APO12.01, la organizacin debe Identificar y recopilar
prioridades que el rea de Ti brinda en la atencin de datos relevantes para catalizar una identificacin,
un requerimiento. anlisis y notificacin efectiva de riesgos relacionados
con TI.
Un inadecuado manejo de las relaciones con los Conforme a la prctica de gestin APO12.03 es
proveedores pueden ocasionarle a la organizacin necesario Mantener un inventario del riesgo conocido y
inconvenientes con la entrega del servicio y esto a su atributos de riesgo (incluyendo frecuencia esperada,
vez evaluado desde el punto de vista tiempo/costo impacto potencial y respuestas) y de otros recursos,
representara prdidas econmicas para la capacidades y actividades de control actuales
organizacin. relacionados.
6 REFERENCIAS
[1] ISACA.ORG, ISACA.ORG, [En lnea]. Available:
http://www.isaca.org/COBIT/Documents/COBIT5-
Framework-Spanish.pdf.
[2] F. Ramirez, Blog SPICE/ISO /IEC 15504, 09 05 2012.
[En lnea]. Available:
http://seispice.blogspot.com/2012/05/spiceiso-iec-15504-
norma-spiceiso-iec.html.
[3] F. J. Pino, M. Serrano, F. Garca, M. Piattini y H. Oktaba,
Competisof, 12 2006. [En lnea]. Available:
http://alarcos.inf-
cr.uclm.es/competisoft/publico/downloads/Inf_T%C3%A9
cnicos/COMPETISOFT_IT_3.pdf.
[4] SEPS, SEPS, 16 02 2012. [En lnea]. Available:
http://www.seps.gob.ec/c/document_library/get_file?uuid
=dda0d545-4998-4b61-9bd9-
7185090766ef&groupId=10157. [ltimo acceso: 2013].
[5] SEPS, SEPS, 05 04 2011. [En lnea]. Available:
http://www.seps.gob.ec/c/document_library/get_file?uuid
=4d879bbc-2bbc-47db-a27d-
09642ef8a0c7&groupId=10157. [ltimo acceso: 2013].
[6] Junta de Regulacion del SFPS, SEPS, 29 10 2012.
[En lnea]. Available:
http://www.seps.gob.ec/c/document_library/get_file?uuid
=7352a858-e24d-4269-b747-
03ce40cb89b8&groupId=10157. [ltimo acceso: 2013].
[7] INGERTEC, INGERTEC, [En lnea]. Available:
http://ingertec.com/iso-15504.
[8] Superintendencia de Bancos y Seguros, Republica del
Ecuador- Superintendencia de Bancos y Seguros, [En
lnea]. Available:
http://www.sbs.gob.ec/medios/PORTALDOCS/download
s/normativa/nueva_codificacion/todos/L1_X_cap_V.pdf.
[ltimo acceso: 27 07 2013].
[9] ISACA, Procesos Catalizadores, Estados Unidos,
2012.
[10] Isaca, COBIT 5 Introduccin - Presentacin de
PowerPoint - isaca, [En lnea]. Available:
https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&s
ource=web&cd=3&ved=0CDkQFjAC&url=http%3A%2F%
2Fwww.isaca.org%2FCOBIT%2FDocuments%2FCOBIT
5-Introduction-Spanish.ppt&ei=c-
gCUsr8LYP88gSiuYHYDA&usg=AFQjCNHwaWjs0bKzkj
EJ4dgoNAs1BrCKvA&bvm=bv.50310824,d.eWU&ca.
[11] Isaca - Cobit 5, Process Assessment Model Cobit 5,
1013.
[12] J. Garzas, C. M. Fernandez y M. Piattini,
http://www.ati.es/, 09 2009. [En lnea]. Available:
http://www.ati.es/IMG/pdf/GarzasVol5Num2.pdf.