Motivaciones para el desarrollo de un marco de referencia

• Proporciona una guía en:

− Arquitectura Empresarial
− Gestión de activos y servicios
− Modelos emergentes de organización y externalización / internalización
− Innovación y tecnologías emergentes

• La necesidad de la empresa de:

− Lograr mayor creación de valor

− Obtener satisfacción del usuario de negocios
− Lograr el cumplimiento de las leyes pertinentes, reglamentos y políticas
− Mejorar la relación entre negocio y TI
− Aumentar el rendimiento del gobierno sobre las TI de la empresa
− Conectar y alinear con otros marcos de referencia y estándares principales

Principal principio de COBIT gobernar y administrar información

− La información es igualmente importante para:

• Negocios globales, multinacionales

• Gobierno nacional y local
• Organizaciones de beneficencia y para las empresas sin fines de lucro
• Empresas pequeñas a medianas y
• Clubes y asociaciones

Valor para las partes interesadas

• La entrega de valor a las partes interesadas de la empresa requiere de un buen gobierno y

la gestión de la información y de los activos tecnológicos (TI).

• Las juntas empresariales, los ejecutivos y la gerencia tienen que adoptar a TI como
cualquier otra parte importante del negocio.

• Los requerimientos externos de cumplimiento con normas legales, reglamentarias y

contractuales relacionados con el uso de la empresa de la información y tecnología están
aumentando, amenazando la generación valor si se incumplen.

• COBIT 5 proporciona un marco de referencia amplio, que ayuda a las empresas a

alcanzar sus metas y ofrecer valor, a través de una gobernabilidad y gestión eficaz de las
TI en la empresa.
Beneficios COBIT 5

• Define el punto de partida de la gobernabilidad y las actividades de gestión con las

necesidades de las partes interesadas relacionadas con las TI de la empresa.

• Crea una visión más holística, integrada y completa de la gobernabilidad y gestión

empresarial de TI, que es consistente, ofrece una visión extremo a extremo en todas las
materia relacionadas a TI.

• Crea un lenguaje común entre TI y el negocio para la gobernabilidad y gestión empresarial

de las TI.

• Es consistente con los estándares de gobernabilidad corporativos generalmente aceptados

y así ayuda a cumplir con los requerimientos regulatorios.

Holística: Procesos más estructurados.

Necesidades del negocio

Las empresas están bajo constante presión para:

• Generar valor para el negocio a partir de nuevas inversiones de la

empresa que son soportadas con inversión en las TI

• Lograr excelencia operacional a través de la aplicación de la tecnología

COBIT 5 está basado en:

− 5 principios y

− 7 catalizadores

Cobit 5 maneja 5 grandes dominios, descritos a continuación:

EDM: Evaluar, orientar y supervisar

BAI: Construir, adquirir e implementar

DSS: Entrega, servicios y soporte

MEA: Supervisar, evaluar y valorar

APO: Alinear, planificar y organizar

PRESENTACION II
Introducción a los 5 Principios

 Principio 1 Satisfacer las Necesidades de las Partes Interesadas

 Principio 2 Abarcar la Empresa de Extremo a Extremo
 Principio 3 Aplicar un Marco de Referencia Integrado Único
 Principio 4 Habilitar un Enfoque Holístico
 Principio 5 Separar Gobierno de Gestión

Principio 1: Satisfacer las Necesidades de las Partes Interesadas

 Las empresas tienen muchas partes interesadas

 La Gobernabilidad se trata de

La negociación
Decidir entre los diferentes intereses de valor de las partes interesadas
Considerar todas las partes interesadas en la toma de decisiones relativas a la
evaluación de riesgos, recursos y la obtención de beneficios.

 Para cada decisión, preguntarse:

¿Para quiénes son los beneficios?

¿Quién asume el riesgo?
¿Qué recursos se requieren?

• Las empresas existen para crear valor para las partes interesadas, principal objetivo de
cobit.

• Creación de Valor: Conseguir los beneficios a un costo óptimo de los recursos mientras se
optimiza el riesgo.
Cascada de objetivos de Cobit 5

Como ayuda la cascada de objetivos a la gobernabilidad: Recordar que las metas de TI están
asociadas a las metas corporativas.

La cascada de objetivos de COBIT 5 permite definir las prioridades de acuerdo a:

− Implementación
− Mejora
− Aseguramiento de gobernabilidad de las TI en la empresa

En la práctica, la cascada de objetivos:

− Define las metas y objetivos relevantes y tangibles en los diversos niveles de

responsabilidad

− Filtra la base del conocimiento de COBIT 5, basado en las metas de la empresa

para extraer la orientación relevante a incluir en la implementación, mejoras o
proyectos de aseguramiento específicos.

− Identifica y comunica claramente cómo se usan los catalizadores para alcanzar los
objetivos de la empresa.
 PARTES INTERESADAS EXTERNAS
Socios del negocio proveedores,
accionistas, reguladores /
gobierno, usuarios externos,
clientes, organismos de
normalización, auditores externos,
consultores, etc..
NECESIDADES DE LAS PARTES INTERESADAS EXTERNAS
 ¿Cómo sé que las operaciones de mi socio de negocios son seguras y
fiables?
 ¿Cómo sé que la organización cumple con los reglamentos y normas
aplicables?
 ¿Cómo sé que la empresa mantiene un sistema eficaz de control
interno?

Recordar que socios del negocio son los proveedores y no las partes gerenciales de la entidad.

• COBIT 5 trata la gobernabilidad y gestión de la información y la tecnología relacionada

desde una perspectiva de extremo a extremo en toda la empresa

Los catalizadores se pueden dirigir a: Personas, procesos o infraestructura.

Principio 2: Abarcar la Empresa de Extremo a Extremo

 Esto significa que COBIT 5:

o integra la gobernabilidad de las TI de la empresa dentro de la gobernabilidad

empresarial y

o cubre todas las funciones y procesos necesarios para gobernar y administrar la

información de la empresa y tecnologías relacionadas dondequiera que se procese
la información.

o COBIT 5 trata todos los servicios relevantes de las TI internos y externos así como
los procesos de negocio internos y externos.

Elementos principales del enfoque de gobernabilidad:

• Los Catalizadores de gobernalidad comprenden:

− Los recursos organizativos para la gobernabilidad

− Los recursos de la Empresa
 − La falta de recursos o catalizadores puede afectar la capacidad de la empresa para
crear valor

• El Alcance de Gobernabilidad comprende

− Toda la empresa
− Una entidad, activos tangibles o intangibles, etc.
• Roles, actividades y relaciones de gobernabilidad

− Definir Quién está involucrado en la gobernabilidad

− Cómo se involucran
− Qué hacen y
− Cómo interactúan

• COBIT 5 define la diferencia entre las actividades de gobierno y de gestión en el principio

5.

Principio 3: Aplicar un Marco de Referencia Integrado Único

• COBIT 5:

− Permite alinearse con los marcos de referencia y normas relevantes más recientes

− Es completo en cuanto a la cobertura de la empresa

− Proporciona una base para integrar eficazmente otros marcos de referencia,

normas y prácticas usados.

− Integra todos los conocimientos anteriormente dispersos en diferentes marcos de

referencia de ISACA

− Proporciona una arquitectura simple para estructurar materiales de orientación

y elaborar un conjunto de productos coherentes

• La familia de productos de COBIT 5 es la colección:

− COBIT 5: Un Marco de Referencia de Negocios para la Gobernabilidad y Gestión de

las TI de Empresa

− COBIT 5 Activación de Procesos

− COBIT 5 Guía de Implementación
− COBIT 5 para Seguridad de la Información
− COBIT 5 para Aseguramiento
− COBIT 5 para Riesgo
 − Se planea una serie de otros productos, éstos se adaptarán para audiencias o
temas específicos
− COBIT 5 Online

• El concepto de perspectiva vincula lo anterior a fuentes externas para estándares

Principio 4: Habilitar un Enfoque Holístico

• COBIT 5 define un conjunto de catalizadores para apoyar la implementación de un sistema
integral de gestión y gobierno de las TI empresariales.

Los catalizadores COBIT 5 son:

• Factores que influyen individual y colectivamente de si algo funcionará

• Impulsados por la cascada de objetivos

• Descritos por el marco de referencia de COBIT 5 en siete categorías

Habilitadores = Catalizadores

Catalizadores:

1. Principios, políticas y Marcos de Referencia

2. Procesos
3. Estructuras organizacional
4. Cultura, ética y conducta
5. Información
6. Servicios, infraestructura y aplicaciones
7. Personas, habilidades y competencias
• El Gobierno asegura que las necesidades, condiciones y opciones de las partes
interesadas:

− Sean Evaluadas para determinar un equilibrio, en acuerdo con los objetivos que
desea lograr la empresa.

− Ajusten la dirección a través de la priorización y toma de decisiones.

− Supervisen el rendimiento, cumplimiento y progreso frente a la dirección y los

objetivos acordados (EDM)

 La Gerencia: planifica, desarrolla, ejecuta y supervisa las actividades alineadas con la

dirección establecida por el órgano de gobierno, para alcanzar los objetivos de la empresa
(PBRM)(PCEM)
 PRESENTACION III

Catalizador 1 Principios, Políticas y Marcos de Referencia

 El propósito de este catalizador es transmitir la dirección e instrucciones de gestión
del consejo de administración. Ellas son instrumentos para comunicar las reglas de
la empresa, en apoyo a los objetivos de gobernabilidad y valores de la empresa
según lo definido por la junta directiva y administración ejecutiva.
o Diferencias entre principios y políticas
o Los Principios deben ser limitados en número
o Ponerlos en un lenguaje sencillo, expresando lo más claramente posible los
valores fundamentales de la empresa
o Las políticas son directrices más detalladas sobre cómo poner los principios
en práctica

 Las características de las buenas políticas; deberían

o Ser eficaces – lograr su propósito
o Ser eficientes – especialmente al implementarlas
o No intrusivas – debe tener sentido y lógica para quienes tienen que cumplir
con ellas.

 Las Políticas deben tener un mecanismo (marco de referencia) establecido donde

puedan ser administradas eficazmente y los usuarios puedan saber dónde ir,
específicamente deben ser:
o Integrales, abarcando todas las áreas necesarias
o Abiertas y flexibles permitiendo un cambio y adaptación fácil.
o Actuales y actualizadas

 El propósito de un ciclo de vida de las políticas es que debe respaldar un marco de

referencia de políticas, con el fin de alcanzar objetivos definidos.
 Los Requisitos de las Buenas Prácticas para las políticas y marcos de referencia, son
importantes, específicamente:
o Su alcance
o Las consecuencias de no cumplir con la política
o Los medios de control de excepciones
o Cómo se monitorearán.
  Los vínculos y relaciones entre los principios, políticas y marcos de referencia y
otros catalizadores:
o Los principios, políticas y marcos de referencia reflejan la cultura, ética y
valores de la empresa
o Los procesos son el vehículo más importante para la ejecución de las
políticas
o Las estructuras organizacionales pueden definir e implementar políticas
o Las políticas son parte de la información.

Catalizador 2: Procesos
• 5 Catalizadores COBIT: Procesos complementa a COBIT 5 y contiene una guía de referencia
detallada a los procesos que se definen en el modelo de referencia de procesos de COBIT
5:

− La cascada de objetivos de COBIT 5 esta recapitulada y complementada con un

conjunto de métricas de ejemplo para los objetivos de la empresa y los objetivos
vinculados a las TI. Ver el ejemplo brindado en el apéndice.

− El modelo de procesos de COBIT 5 es explicado y se definen sus componentes.

− La guía del Catalizador de procesos a la que se hace referencia en este módulo,

contiene la información del proceso en detalle para los 37 procesos de COBIT 5,
los que se muestran en el modelo de referencia de procesos.

COBIT 5: Procesos Catalizadores

• El modelo de referencia de procesos COBIT 5 subdivide las prácticas vinculadas a las TI y

las actividades de la empresa en dos áreas principales – gobierno y gestión- con la gestión
dividida, a su vez, en dominios de procesos:

• El dominio de GOBIERNO contiene cinco procesos de gobernabilidad; dentro de

cada proceso, se define el evaluar, orientar y supervisar las prácticas (EDM).

• Los cuatro dominios de GESTIÓN están alineados con las áreas de responsabilidad
de planificar, construir, ejecutar y Supervisar (PBRM))
 • Estructura de la plantilla de PRM (basado en las definiciones y estructura de procesos de la
ISO 15504)

• El PRM se divide en un Dominio de Gobernabilidad con 5 procesos titulados EDM

(Evaluar, Orientar y Supervisar)

• Cuatro dominios de gestión titulados APO (Alinear, Planificar y Organizar; BAI

(Construir, Adquirir e Implementar) DSS (Entregar, dar Servicio y Soporte) y MEA
(Supervisar, Evaluar y Valorar)

• APO contiene 13 procesos, BAI 10 procesos, DSS 6 procesos y MEA 3 procesos

• Esto asciende a un total de 37 procesos, 32 para la gestión y 5 para la Gobernabilidad

Prácticas de Gobierno = Prácticas de Gestión

 Un proceso se define como "un conjunto de prácticas influenciadas por las políticas
empresariales y procedimientos, que toman entradas de varias fuentes (incluyendo otros
procesos), manipula las entradas y produce salidas (p. ej., productos y servicios)

 Las Prácticas de proceso se definen como la “guía” necesaria para alcanzar objetivos del
proceso.

 Actividades del proceso se definen como la “guía” para lograr prácticas de gestión para un
gobierno exitoso y el manejo de las TI de empresa.

 Entradas y Salidas son los productos/objetos de trabajo del proceso que se consideran
necesarios para apoyar la operación del proceso.
Catalizador 3 Estructuras Organizacionales
 Una serie de Buenas Prácticas de estructura organizacional puede distinguirse como:

o Principios operativos – Las modalidades prácticas sobre cómo operará la estructura,

tales como la documentación de la frecuencia de las reuniones y otras normas

o Ámbito de control – Los límites de la estructura organizativa de derechos de decisión.

o Nivel de autoridad – Las decisiones que la estructura está autorizada para tomar.

o Delegación de responsabilidad – La estructura puede delegar un subconjunto de

derechos de decisión a otras estructuras que le reportan.

o Procedimientos de escalamiento – La ruta de escalamiento para una estructura describe

las acciones requeridas en caso de problemas en la toma de decisiones.
Catalizador 4 Cultura, Ética y Comportamiento
 Las buenas prácticas para crear, fomentar y mantener el comportamiento deseado en
toda la empresa incluyen:

o La Comunicación en toda la empresa de los comportamientos deseados y valores

corporativos. (Esto puede hacerse mediante un código de ética)
o La Conciencia del comportamiento deseado, reforzado por ejemplo por la alta
gerencia. Esta es una de las claves para un buen ambiente de gobierno cuando los
directivos de alto cargo y los ejecutivos "predican con el ejemplo" por así decirlo. A
veces es un campo difícil y que hace que muchas empresas fracasen porque
conduce a un gobierno pobre. (Por lo general esto será parte de unas sesiones de
formación y sensibilización en torno a un código de ética)
o Los incentivos para fomentar, así como las medidas disuasivas para hacer cumplir
el comportamiento deseado. Hay un vínculo claro a esquemas de pago y
recompensa de RR.HH.
o Reglas y normas que proporcionen más guía y que normalmente se encuentran en
un Código de Ética.

 La relación de este catalizador con otros catalizadores

o Vincula los procesos para la ejecución de las actividades del proceso

o Vincula las estructuras organizacionales para la implementación de decisiones y

o Vincula los principios y políticas para poder comunicar los valores corporativos.
(Muchas organizaciones incluyen su código de ética con sus políticas)
Catalizador 5 Información
 Importancia de las categorías y dimensiones de la Calidad de la Información;

o El concepto de criterios de información fue introducido en COBIT 3.a edición en el

año 2000 y desempeñó un papel clave en COBIT 4.1; éstos fueron muy
importantes por haber sido capaces de mostrar cómo cumplir los requerimientos
del negocio.

 Importancia de los criterios de información

o COBIT 4.1 nos presentó el concepto de 7 criterios de información clave para

cumplir con los requerimientos del Negocio. Esto se ha conservado pero traducido
de manera diferente en la Figura 9 abajo: Figura 26, Apéndice F.
COBIT 5 Catalizador 5 – Información – Metadatos Ciclo de Información

 Atributos de la Información aplicados a las siguientes capas:

o Capa física del mundo – el mundo donde se llevan a cabo todos los fenómenos
que pueden ser observados empíricamente.

o Capa empírica - la observación empírica de los signos usados para codificar la

información y su distinción el uno del otro.

o Capa sintáctica – las reglas y principios para la construcción de oraciones en el

idioma natural o artificial. La sintaxis hace referencia a la forma de la información.

 Capa semántica – las reglas y principios para construir el significado de las estructuras de
la sintaxis.

 Capa pragmática – las reglas y estructuras para la construcción de estructuras de idiomas

más grandes que cumplan fines específicos en la comunicación humana. La pragmática se
refiere al uso de la información.

 Capa social del mundo – el mundo que se construye socialmente a través del uso de las
estructuras del idioma en el nivel pragmático de la semiótica, por ejemplo, contratos,
leyes. Cultura.

• Los posibles usos del Modelo de información

o Se utiliza para especificaciones de la información

o Se utiliza para determinar la protección requerida

o Se utiliza para determinar la facilidad de uso de datos