Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
OBJETIVO ............................................................................................................................................................................. 5
ALCANCE .............................................................................................................................................................................. 5
PROPÓSITO ......................................................................................................................................................................... 5
A QUIEN VA DIRIGIDA ...................................................................................................................................................... 5
DESCRIPCIÓN ..................................................................................................................................................................... 6
USO RECOMENDADO DE LA GUÍA ............................................................................................................................... 9
1. IDENTIFICACIÓN Y EVALUACIÓN DE LA ORGANIZACIÓN ........................................................................... 10
1.1 Conocer la organización.................................................................................................................................... 10
1.2 Entregables ......................................................................................................................................................... 11
2. IDENTIFICACIÓN Y EVALUACIÓN DEL ÁREA DE TI. ....................................................................................... 14
2.1 Conocer el área .................................................................................................................................................. 14
2.2 Entregables ......................................................................................................................................................... 15
3. IDENTIFICACIÓN Y EVALUACIÓN DE LOS PROCESOS DEL ÁREA DE TI ................................................ 19
3.1 Conocer los procesos de TI .............................................................................................................................. 19
3.2 Introducción a los procesos COBIT ................................................................................................................. 20
3.3 Introducción a controles .................................................................................................................................... 21
3.3.1 Los procesos requieren controles.................................................................................................................. 21
3.3.2 Controles del negocio y de TI ................................................................................................................... 23
3.3.3 Controles generales de TI y controles de aplicación ............................................................................ 24
3.4 Documentación de procesos ............................................................................................................................ 25
3.4.2 Introducción a los componentes esenciales de COBIT........................................................................ 26
3.5 Relacionar los procesos COBIT con los procesos del área ........................................................................ 27
3.6 Relacionar las metas de TI de COBIT con las metas de TI del área ......................................................... 27
3.7 Introducción de objetivos de Control ............................................................................................................... 28
3.8 Relacionar los objetivos de control de COBIT con el área de TI ................................................................ 28
3.9 Responder preguntas gerenciales ................................................................................................................... 28
3.10 Entregables ......................................................................................................................................................... 28
4 APLICACIÓN DE COBIT .......................................................................................................................................... 41
Página 1
GUÍA METODOLÓGICA COBIT 4.1
Página 2
GUÍA METODOLÓGICA COBIT 4.1
Ilustraciones
Página 3
GUÍA METODOLÓGICA COBIT 4.1
Tablas
TABLA 1. PLANTILLA ORGANIZACIONAL .................................................................................................................................................. 13
TABLA 2. PLANTILLA TI ............................................................................................................................................................................ 17
TABLA 3. PLANTILLA SUB-ÁREAS TI ........................................................................................................................................................ 18
TABLA 4. CONTROLES PROCESOS .......................................................................................................................................................... 23
TABLA 5. CONTROLES DE APLICACIÓN .................................................................................................................................................... 25
TABLA 6. COMPONENTES COBIT ........................................................................................................................................................... 27
TABLA 8. PLANTILLA DE PROCESOS........................................................................................................................................................ 30
TABLA 9. PLANTILLA DE ACTIVIDADES .................................................................................................................................................... 31
TABLA 10.PLANTILLA DE RELACIÓN DE PROCESOS ................................................................................................................................ 32
TABLA 11. PLANTILLA DE RELACIÓN DE METAS DE TI ............................................................................................................................ 33
TABLA 12. PLANTILLA DE RELACIÓN DE OBJETIVOS DE CONTROL ......................................................................................................... 39
TABLA 13. PREGUNTAS GERENCIALES .................................................................................................................................................... 40
TABLA 14. CRITERIOS DE INFORMACIÓN................................................................................................................................................. 42
TABLA 15. RECURSOS DE TI ................................................................................................................................................................... 45
TABLA 16. MODELO GENÉRICO DE MADUREZ ......................................................................................................................................... 53
Página 4
GUÍA METODOLÓGICA COBIT 4.1
OBJETIVO
Proporcionar una herramienta útil y de fácil entendimiento que permita la implementación de COBIT en
aquellas empresas que tienen su propia área de TI.
ALCANCE
Determinar el estado de madurez actual del área de TI, y lo que se debe hacer para mejorar los distintos
aspectos de la misma para conseguir una nivel de madurez mayor, según sea el caso. Esto basándose
en el marco de referencia COBIT 4.1.
PROPÓSITO
Esta guía se desarrolla con el fin de apoyar a los coordinadores, directores y/o CEO’s en su labor de
mejoramiento de procesos y control en el área de TI. Se utilizarán diferentes plantillas que permiten
evaluar y medir los diferentes aspectos actuales del área de TI, como también permitirán ver el avance y
el desarrollo de estos durante y después de la implementación de COBIT.
A QUIEN VA DIRIGIDA
Esta guía va dirigida a aquellos profesionales que tengan un rol gerencial dentro del área de TI que están
interesados en la implementación de COBIT en su área.
Página 5
GUÍA METODOLÓGICA COBIT 4.1
DESCRIPCIÓN
La guía se encuentra estructurada de tal forma que se pueda realizar el proceso de mejoramiento y control
a través de seis fases, las cuales están contenidas en dos etapas principales:
Identificación y
Aplicación de Analisis de
evaluación de la COBIT 4.1 COBIT
organización.
Identificación Resultados de la
Identificación y evaluación implementación
y evaluación de los
del area de TI. procesos del
area de TI.
La primera etapa es de aplicación, en la cual se siguen las primeras cuatro fases de la siguiente manera:
Página 6
GUÍA METODOLÓGICA COBIT 4.1
estructura a nivel gerencial y la forma en que esta opera en el día a día, además determinar
la forma en que el área contribuye al “core” del negocio. Para esta actividad esta guía ofrece
una plantilla que permita obtener la información relevante para la aplicación de COBIT.
Plantilla de resultados.
3. Identificación y evaluación de los procesos del área de TI. En esta fase se conoce el área de TI
a nivel operativo, ya que se debe obtener toda la información relacionada con los procesos que se
llevan a cabo en esta, su documentación, si la hay, y los controles y métricas existentes sobre los
mismo, si es que se tienen. Además de las personas encargadas de cada proceso y la importancia
de los mismos. Basándose en esta información obtenida, se hace una relación entre esta
información y COBIT. Esto se hace con el fin de determinar los procesos que inicialmente se
incluirán en COBIT y de comenzar a ver y entender el área en términos de COBIT, lo cual facilita la
implementación de la misma. Las actividades relevantes de esta fase son:
Conocer los procesos de TI. Usar las plantillas dadas por la guía para documentar los
procesos importantes que se tienen en el área, se encuentren documentados o no.
Documentación de procesos. Se debe tomar la plantilla proporcionada por COBIT 4.1 de
cada uno de los procesos seleccionados, y revisar cada una de sus secciones con el fin de
entender a nivel general lo que implica cada proceso. Esta guía contiene un formato que
explica de forma clara la plantilla de procesos de COBIT.
Relacionar los procesos COBIT con los procesos del área. Determinar cuáles procesos
listados en COBIT se están realizando en el área de TI.
Relacionar las metas de TI de COBIT con las metas de TI del área. Determinar cuáles
metas de TI listadas en COBIT se cumplen en el área de TI.
Relacionar los objetivos de control de COBIT con el área de TI. Determinar cuáles
objetivos de control listados en COBIT se cumplen en el área de TI.
Responder preguntas gerenciales: Se deben responder las preguntas planteadas en esta
guía, con el fin de determinar la perspectiva que tiene(n) la(s) persona(s) involucrada(s) en
la implementación de COBIT.
Plantilla de procesos y relación de COBIT vs Área.
4. Aplicación de COBIT 4.1. Esta es la fase principal de la guía; basados en la información obtenida
en las fase anteriores se comienza la implementación de COBIT en el área de TI. En esta se usarán
las plantillas de COBIT, que hacen referencia a las metas de TI y los procesos de TI; para hacer el
mapeo entre la información obtenida en las fases anteriores y COBIT, además se desarrolla COBIT
Página 7
GUÍA METODOLÓGICA COBIT 4.1
para los procesos actuales de la organización, Para esto se realizaran las siguientes actividades:
Mapear la información de TI obtenida. En esta actividad se toman las plantillas resultantes
en la fase 3, y a partir de esta, se relaciona la información obtenida, con cada una de las
metas de TI de COBIT 4.1, con el fin de reflejar lo que se tiene en la actualidad a nivel
organizacional en TI basados en COBIT. El formato para esta actividad se explicara más
adelante.
Revisar las directrices gerenciales: COBIT contiene un componente llamado directrices
generales de cada uno de sus procesos, con lo cual se busca tener una visión completa de
cómo administrar y medir el proceso. Por lo tanto, se debe revisar y entender este
componente en cada uno de los procesos para la correcta implementación de COBIT y
además obtener un mayor beneficio de la misma; para lo cual la guía proporciona un formato
en el que se explica cada uno de los puntos de este componente, con el fin de adaptarlo a
cualquier organización.
Determinar la madurez de cada proceso. Se debe tomar cada uno de los procesos
seleccionados y determinar el nivel de madurez de cada proceso con el fin de poder
identificar en donde se encuentra hoy la empresa, el estatus de la misma respecto a su
entorno, en donde desea estar la empresa y el crecimiento requerido entre “como es” y
“como será”. Para eso se debe utilizar la plantilla establecida en COBIT 4.1.
La segunda etapa es de análisis y retroalimentación, basada en la etapa anterior, y se siguen las siguientes
dos fases:
5. Análisis de COBIT. Esta fase consta de dos sub-fases, en la primer sub-fase se hace un análisis
completo de los resultados obtenidos a partir de la fase anterior, en la que se determina, basándose
en las herramientas de COBIT, en qué nivel de madurez se encuentra la organización, como está el
área de TI en términos generales, y determinar que tan alineada esta la estrategia de TI con la
estrategia del negocio. Para esta sub-fase se realizarán las siguientes actividades:
Obtener el nivel de madurez: Se obtiene el nivel de madurez del área en general,
basándose en los resultados obtenidos en la fase anterior.
Análisis de resultados: Se hace un análisis de los resultados obtenidos, basándose en lo
que se obtuvo en el archivo de COBIT.
En la segunda sub-fase se reutiliza esta guía, basándose en análisis de resultados de la fase anterior.
Iteración de la guía: Realizar la guía desde un punto determinado para complementar y
mejorar lo que se obtuvo hasta el momento.
6. Resultados de la implementación. En esta última fase se tiene un archivo que permite ver de
Página 8
GUÍA METODOLÓGICA COBIT 4.1
forma concisa la labor realizada durante esta guía. Esto basado en toda la información obtenida de
las cinco fases anteriores.
Página 9
GUÍA METODOLÓGICA COBIT 4.1
ETAPA 1
Esta es una etapa de aplicación en la cual se hace un levantamiento de información y se desarrolla COBIT.
Para esto la guía proporciona una herramienta de apoyo que permite el desarrollo de esta etapa a través de
las siguientes cuatro fases:
Obtener la información corporativa que permita la correcta relación con las metas de negocio de
COBIT 4.1.
En esta primera etapa es necesario que aquella(s) persona(s) involucrada(s) con la implementación de
COBIT conozcan la organización; para lo cual es importante conocer los ítems claves para la
organización, los cuales son:
Core del negocio: Esto es determinar qué es lo que caracteriza, define y diferencia a la
organización en el mercado.
Los valores de la organización.
Misión de la empresa.
Visión de la compañía.
Objetivos de la organización.
Estructura organizacional de la compañía: Determinar las principales áreas de la organización.
Políticas internas de la organización: Se deben listar todo tipo de políticas contempladas dentro
de la compañía.
Productos: Se deben listar los productos que ofrece la compañía.
Página 10
GUÍA METODOLÓGICA COBIT 4.1
Clientes: Listar los clientes con los que cuenta según su importancia, la cual se mide en una
escala de, alta, media y baja.
Entorno: En este ítem se determina en que nicho de mercado se encuentra la compañía y sus
competidores.
Estado actual: Este ítem hace referencia a determinar en donde se encuentra la compañía en la
actualidad, para lo cual se debe contemplar el número de empleados, las sedes con las que
cuenta, cantidad e innovación de sus productos, número de clientes y su importancia en el
mercado.
1.2 Entregables
El entregable final de esta fase es:
Durante esta etapa de la guía se debe desarrollar y entregar la plantilla organizacional (Plantilla
OrganizacionalTabla 1) diligenciada por la(s) persona(s) responsable(s) del desarrollo de COBIT.
Esta incluye todos los puntos importantes para conocer la organización, los cuales han sido
descritos y explicados en la sección 1.1.
Página 11
GUÍA METODOLÓGICA COBIT 4.1
PLANTILLA ORGANIZACIONAL
Nombre de la empresa
ITEMS ORGANIZACIONALES
• •
• •
Valores. • •
• •
• •
Misión
Visión
•
•
•
Objetivos
•
•
•
• •
Estructura
organizacional • •
(Principales áreas de la • •
organización)
• •
•
•
•
Políticas internas.
•
•
•
• •
• •
Productos
• •
• •
Página 12
GUÍA METODOLÓGICA COBIT 4.1
• •
Alta
• •
• •
• •
• •
Media
• •
Clientes • •
(Listar los clientes según
su importancia) • •
• •
Baja
• •
• •
• •
• •
• •
Nicho de mercado
Entorno • •
(Nicho de mercado de la • •
compañía y sus Competidores
competidores) • •
• •
Número de empleados
Cantidad de productos
Número de clientes
Estado actual • • •
(En donde se encuentra la
• • •
compañía en la Sedes
actualidad) • • •
• • •
Importancia en el mercado (Ranking)
Tabla 1. Plantilla Organizacional
Página 13
GUÍA METODOLÓGICA COBIT 4.1
La identificación y evaluación del área de TI tiene como objetivo que la(s) persona(s) encargadas de la
implementación de COBIT conozcan y entiendan en un 100% esta área, ya que es en esta área es en donde
se implementará COBIT. Esto es, conocer el área desde todos los puntos posibles; financiera, operativa y
administrativamente. Basados en esto, es necesario, conocer y entender el objetivo principal del área, sus
objetivos, su estructura organizacional, los puntos críticos de la misma, sus funciones principales, la
importancia del área para las demás áreas, el valor de la misma para la consecución de los objetivos de la
empresa, sus políticas, controles existentes, la forma en que operan cada una de sus áreas y finalmente, su
estado actual y hacia donde se está enfocando el área en un futuro cercano. Esta información es obtenida ya
sea a través del conocimiento que tiene la persona, encargada del área y además de la implementación de
COBIT; o por los documentos y entrevistas dadas por las personas de TI, la forma de obtener la información
varía según la compañía. Esta obtención de información se debe hacer tanto a nivel general del área, como a
cada una de las sub-áreas que están dentro de TI. Con el fin de consolidar la información relevante e
importante para el correcto desarrollo de COBIT sin importar como sea obtenida la información, la guía define
y proporciona un formato que contiene toda esta indagación. En esta fase debe usarse la herramienta de
apoyo de esta guía.
En esta etapa se hace un análisis y estudio profundo sobre el área de TI, con el fin de identificar sus
puntos principales para su operación en el día a día, en el corto y largo plazo. Adicionalmente, se busca
determinar de qué forma esta área está contribuyendo al “core” y metas del negocio. Para obtener la
información que contribuye a lograr estos objetivos es necesario conocer los siguientes ítems:
Página 14
GUÍA METODOLÓGICA COBIT 4.1
Controles existentes: Listar los controles establecidos por el área. Esto es aquellos
procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad
razonable al área; o aquellas que previenen o detectan eventos no deseados.
Puntos críticos: Se deben listar aquellos puntos que se consideran críticos para el área.
Soporta a: Listar aquellas áreas de la compañía que dependen del área de TI. Se debe poner una
escala de dependencia, la cual se mide en una escala de alta, media y baja.
Importancia: Determinar la importancia del área de TI para la compañía. Esta escala se mide en
nivel de importancia, es decir, alta, media o baja. Esta se asigna basado en el ítem anterior, lo cual
se hace asignando la escala que más se repitió en ese ítem.
2.2 Entregables
Los entregables finales de esta fase son:
Durante esta etapa de la guía se debe desarrollar y entregar la plantilla TI (Tabla 2) diligenciada por
la(s) persona(s) responsable(s) de la implementación de COBIT. Esta incluye todos los puntos
importantes para conocer el área de TI, los cuales han sido descritos e explicados en la sección
2.1.
Se debe diligenciar la plantilla de sub-área TI (Tabla 3), la cual está basada en la plantilla de TI, y
contiene varios de los puntos descritos en la sección anterior. Esta se aplica a cada una de las
sub-áreas que se tienen en el área de TI.
Página 15
GUÍA METODOLÓGICA COBIT 4.1
PLANTILLA TI
Objetivo principal
(Objetivo principal del
área de TI)
•
•
•
•
Objetivos del área.
•
•
•
•
•
•
•
•
Funciones
•
Principales
•
•
•
•
•
•
•
•
Políticas
•
•
•
•
•
•
•
•
Controles •
existentes •
•
•
•
•
Puntos críticos •
Página 16
GUÍA METODOLÓGICA COBIT 4.1
Tabla 2. Plantilla TI
Página 17
GUÍA METODOLÓGICA COBIT 4.1
PLANTILLA SUB-ÁREAS TI
Sub-Área
Objetivo principal
(Objetivo principal del
sub-área de TI)
•
•
•
Objetivos del área. •
•
•
•
•
•
•
Funciones •
Principales •
•
•
•
•
•
•
Políticas
•
•
•
•
•
Controles •
existentes •
•
•
•
•
•
Puntos críticos •
(Cuales son los puntos
críticos del área de TI)
•
•
•
•
Importancia
Tabla 3. Plantilla sub-áreas TI
Página 18
GUÍA METODOLÓGICA COBIT 4.1
Con base a la información y el conocimiento adquirido en la fase anterior sobre el área de TI y sus sub-áreas,
se puede comenzar a conocer el área a nivel operativo, es decir, enfatizar en cada uno de los procesos que
son ejecutados para cumplir al 100% con su operación. En esta fase no solo se obtendrá una lista de todos
los procesos, sino que también se determinará cuales están documentados, que tipo de documentación es,
como son documentados; además, conocer si hay información adicional en la documentación, como lo son,
los controles y las métricas para el proceso, la persona responsable del mismo, y si se ha determinado la
importancia que este tiene para una correcta operación. Esta información será obtenida tanto, por los
documentos existentes, como también por el conocimiento y las entrevistas realizadas a las personas
responsables de sus procesos. Esta guía proporciona una plantilla para consolidar la información descrita
anteriormente. En esta fase debe usarse la herramienta de apoyo de esta guía.
Obtener toda la información existente sobre los procesos que se ejecutan en el área de TI de la
organización.
Asignar los responsables de cada uno de los procesos del área de TI.
Conocer la perspectiva que tienen sobre el área de TI los responsables de la misma.
Relacionar los procesos del área de TI con los procesos de COBIT 4.1.
En esta etapa se obtiene cada uno de los procesos del área de TI, junto con su documentación. Con el fin
de determinar que está establecido como proceso y la forma en que se documenta. En esta
documentación se incluirán los siguientes ítems:
Página 19
GUÍA METODOLÓGICA COBIT 4.1
COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios.
Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y
Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y
monitorear.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser
administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir,
ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la siguiente
figura, se llaman:
o Planear y Organizar (PO): Proporciona dirección para la entrega de soluciones (AI) y la entrega
de servicio (DS).
o Adquirir e Implementar (AI): Proporciona las soluciones y las pasa para convertirlas en servicios.
o Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales.
o Monitorear y Evaluar (ME): Monitorear todos los procesos para asegurar que se sigue la dirección
provista.
Página 20
GUÍA METODOLÓGICA COBIT 4.1
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver
¡Error! No se encuentra el origen de la referencia.) para la lista completa). Mientras la mayoría de las
empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la
mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran
todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser
utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es
necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta.
Información de cómo se pueden medir las metas, también se proporcionan cuáles son sus actividades
clave y entregables principales, y quién es el responsable de ellas.
COBIT define objetivos de control para los 34 procesos, así como para el proceso general y los controles
de aplicación.
Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas
para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no
deseados serán prevenidos o detectados y corregidos.
Página 21
GUÍA METODOLÓGICA COBIT 4.1
Para lograr un gobierno efectivo, los gerentes de operaciones deben implementar los controles necesarios
dentro de un marco de control definido para todos los procesos TI. Ya que los objetivos de control de TI de
COBIT están organizados por procesos de TI, el marco de trabajo brinda vínculos claros entre los
requerimientos de gobierno de TI, los procesos de TI y los controles de TI.
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos de
control detallados. Como un todo, representan las características de un proceso bien administrado. Cada
proceso COBIT tiene requerimientos de control genéricos, los cuales son:
CONTROLES PROCESOS
Definir y comunicar procesos, metas y objetivos específicos, medibles,
Metas y objetivos accionables, reales, orientados a resultado y en tiempo (SMART) para la
del Proceso ejecución efectiva de cada proceso de TI. Asegurando que están enlazados a
las metas de negocio y se soportan por métricas adecuadas.
Asignar un dueño para cada proceso de TI, y definir claramente los roles y
responsabilidades del dueño del proceso. Incluye, por ejemplo,
Propiedad del
responsabilidad del diseño del proceso, interacción con otros procesos,
proceso
rendición de cuentas de los resultados finales, medición del desempeño del
proceso y la identificación de mejora de las oportunidades.
Diseñar y establecer cada proceso clave de TI de tal manera que sea repetible
y consecuentemente produzca los resultados esperados. Proveer una
secuencia lógica pero flexible y escalable de actividades que lleve a los
Proceso repetible
resultados deseados y que sea lo suficientemente ágil para manejar las
excepciones y emergencias. Usar procesos consistentes, cuando sea posible,
y ajustarlos sólo cuando no se pueda evitar.
Políticas, planes y Definir y comunicar cómo todas las políticas, planes y procedimientos que
Página 22
GUÍA METODOLÓGICA COBIT 4.1
Los controles efectivos reducen el riesgo, aumentan la probabilidad de la entrega de valor y aumentan la
eficiencia, debido a que habrá menos errores y un enfoque de administración más consistente.
Página 23
GUÍA METODOLÓGICA COBIT 4.1
Los controles generales son aquellos que están inmersos en los procesos y servicios de TI.
Algunos ejemplos son:
Desarrollo de sistemas
Administración de cambios
Seguridad
Operaciones de computo
Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general
como controles de aplicación. Por ejemplo:
Integridad (Completitud)
Precisión
Validez
Autorización
Segregación de funciones.
COBIT asume que el diseño e implementación de los controles de aplicación automatizados son
responsabilidad de TI, y están cubiertos en el dominio de Adquirir e Implementar, con base en los
requerimientos de negocio definidos, usando los criterios de información de COBIT. La
responsabilidad operativa de administrar y controlar los controles de aplicación no es de TI, sino del
dueño del proceso de negocio.
Por lo tanto, la responsabilidad de los controles de aplicación es una responsabilidad conjunta, fin a
fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera:
TI es responsable de:
o Automatizar e implementar los requisitos de las funciones de negocio y de control.
o Establecer controles para mantener la integridad de controles de aplicación.
Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los
aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso
operativo es de la empresa.
Página 24
GUÍA METODOLÓGICA COBIT 4.1
CONTROLES DE APLICACIÓN
Asegurar que los documentos fuente están preparados por personal
autorizado y calificado siguiendo los procedimientos establecidos,
Preparación y
teniendo en cuenta una adecuada segregación de funciones respecto al
autorización de
origen y aprobación de estos documentos. Los errores y omisiones
información
pueden ser minimizados a través de buenos diseños de formularios de
fuente
entrada. Detectar errores e irregularidades para que sean informados y
corregidos.
Chequeos de
Asegurar que las transacciones son exactas, completas y válidas. Validar
Exactitud,
los datos ingresados, y editar o devolver para corregir, tan cerca del punto
Integridad y
de origen como sea posible.
Autenticidad
Para cada uno de los procesos TI de COBIT, se proporciona un objetivo de control de alto nivel, junto con
las metas y métricas clave en forma de cascada.
Página 25
GUÍA METODOLÓGICA COBIT 4.1
El marco de trabajo de COBIT está compuesto de los siguientes componentes esenciales, organizados
en los 34 procesos de TI, brindando así una visión completa de cómo controlar, administrar y medir
Página 26
GUÍA METODOLÓGICA COBIT 4.1
cada proceso. Cada proceso está cubierto en cuatro secciones, y cada sección constituye
aproximadamente una página, de la manera siguiente:
COMPONENTES COBIT
Secciones Contenido Descripción
Descripción del proceso que resume los objetivos del
proceso
El objetivo de control de alto nivel representado en Describen lo que el
Sección 1 formada de cascada. dueño requiere hacer.
El mapeo de este proceso con los criterios de Se indica con una P la
información, con los recursos de TI y con las áreas de relación primaria y con
enfoque de gobierno de TI. una S la secundaria.
3.5 Relacionar los procesos COBIT con los procesos del área
En esta etapa la guía proporciona una plantilla en la que se listan los procesos establecidos por COBIT 4.1
(ver Tabla 9), en la cual se debe colocar si ese proceso se cumple en el área. Esta información se completa
basándose en la información obtenida en las fases anteriores y por el conocimiento de las personas
encargadas del área.
En la herramienta de apoyo de esta guía, al usar esta plantilla, al hacer doble click sobre el nombre del
proceso encontrará la descripción del mismo, para entender de una mejor forma a que hace referencia
cada uno de estos.
3.6 Relacionar las metas de TI de COBIT con las metas de TI del área
En esta etapa la guía proporciona una plantilla en la que se listan las metas de TI establecidos por COBIT
4.1, en la cual se debe colocar si esa meta se cumple en el área. Esta información se completa basándose
en la información obtenida en las fases anteriores y por el conocimiento de las personas encargadas del
área.
Página 27
GUÍA METODOLÓGICA COBIT 4.1
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos
de control detallados. Como un todo, representan las características de un proceso bien administrado. Los
objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, AI, DS y
ME) más un número de proceso y un número de objetivo de control.
En esta etapa la guía proporciona una plantilla en la que se listan los objetivos de control establecidos por
COBIT 4.1, en la cual se debe colocar si cada uno de esos objetivos se cumple en el área. Esta
información se completa basándose en la información obtenida en las fases anteriores y por el
conocimiento de las personas encargadas del área.
En la herramienta de apoyo de esta guía, al usar esta plantilla, al hacer doble click sobre el nombre del
objetivo de control encontrará la descripción del mismo, para entender de una mejor forma a que hace
referencia cada uno de estos.
Antes de comenzar a desarrollar COBIT, la guía proporciona ciertas preguntas con el fin de conocer que
visión tiene los responsables del área de TI en la actualidad.
3.10 Entregables
Durante esta etapa de la guía se debe desarrollar y entregar la plantilla de procesos (Tabla 7 )
diligenciada por la(s) persona(s) responsable(s) de la implementación de COBIT. Esta incluye la
información necesaria para conocer cada uno de los procesos del área. Esta plantilla no hace parte
Página 28
GUÍA METODOLÓGICA COBIT 4.1
de la herramienta de apoyo de la guía, ya que solo se utiliza para un conocimiento general del
área. Cada ítem ha sido explicado en la sección 3.1.
También se debe diligenciar la plantilla de actividades (Tabla 8), la cual incluye la información
importante de las actividades que apoyan cada proceso. Esta plantilla no hace parte de la
herramienta de apoyo de la guía, ya que solo se utiliza para un conocimiento general del área.
Se debe completar la plantilla de relación de procesos ( Tabla 9), en la cual se debe colocar SI en
caso de que se considere que se cumple en el área o NO en caso contrario.
Se debe completar la plantilla de relación de metas de TI ( Tabla 9), en la cual se debe colocar SI en
caso de que se considere que se cumple en el área o NO en caso contrario.
Se debe completar la plantilla de relación de Objetivos de Control (Tabla 11), en la cual se debe
colocar SI en caso de que se considere que se cumple en el área o NO en caso contrario.
En esta fase la(s) persona(s) responsable(s) de la implementación de COBIT deben desarrollar la
plantilla de preguntas gerenciales (Tabla 12). Deben responder SI o NO. Las preguntas están
divididas en 4 grupos, en donde cada grupo representa un dominio. Además hay un campo
adicional por cada domino, por si se desea aclarar algún aspecto respecto a alguna pregunta.
PLANTILLA PROCESOS
Nombre del
proceso
Descripción
Objetivo(s)
Métricas •
(Como se esta •
midiendo la correcta
•
ejecución del proceso
o la efectividad del •
mismo) •
Página 29
GUÍA METODOLÓGICA COBIT 4.1
•
•
• •
Procesos
• •
relacionados (Que
otros procesos están • •
relacionados con el • •
proceso)
• •
Responsable(s)
Importancia o Escala de
criticidad medición
Tabla 7. Plantilla de Procesos
PLANTILLA ACTIVIDADES
ACTIVIDAD
DESCRIPCIÓN
Responsable(s)
ACTIVIDAD
DESCRIPCIÓN
Responsable(s)
ACTIVIDAD
Página 30
GUÍA METODOLÓGICA COBIT 4.1
DESCRIPCIÓN
Responsable(s)
RELACIÓN DE PROCESOS
ID
Dominio Procesos COBIT Se ejecuta (SI/NO)
proceso
P01 Definir un plan estratégico de TI
P02 Definir la Arquitectura de la Información
P03 Determinar la Dirección Tecnológica
P04 Definir los Procesos, Organización y Relaciones de TI
P05 Administrar la Inversión en TI
Planear y
organizar Comunicar las Aspiraciones y la Dirección de la
P06
Gerencia
P07 Administrar Recursos Humanos de TI
P08 Administrar la Calidad
P09 Evaluar y Administrar los Riesgos de TI
P10 Administrar Proyectos
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnológica
Adquirir e
AI4 Facilitar la operación y el uso
implementar
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
Entregar y DS4 Garantizar la continuidad del servicio
dar soporte DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
Página 31
GUÍA METODOLÓGICA COBIT 4.1
RELACIÓN DE METAS DE TI
Página 32
GUÍA METODOLÓGICA COBIT 4.1
Página 33
GUÍA METODOLÓGICA COBIT 4.1
Página 34
GUÍA METODOLÓGICA COBIT 4.1
Página 35
GUÍA METODOLÓGICA COBIT 4.1
Página 36
GUÍA METODOLÓGICA COBIT 4.1
Página 37
GUÍA METODOLÓGICA COBIT 4.1
Página 38
GUÍA METODOLÓGICA COBIT 4.1
PREGUNTAS GERENCIALES
Observaciones
Observaciones
Página 39
GUÍA METODOLÓGICA COBIT 4.1
Observaciones
Observaciones
Página 40
GUÍA METODOLÓGICA COBIT 4.1
4 APLICACIÓN DE COBIT
Esta es la fase principal de la guía, ya que es en está, en la que se hace el desarrollo completo de COBIT;
basados en la información obtenida en las etapas anteriores y en la información proporcionada en esta fase
sobre COBIT, se hace el mapeo de lo que se tiene en el actualidad en el área de TI, con lo propuesto en esta
metodología, para luego comenzar a desarrollar cada uno de los procesos actuales basándose en COBIT 4.1.
Durante esta etapa la(s) persona(s) involucrada(s) en la implementación de COBIT se darán cuenta la utilidad
de la guía, ya que si esta es seguida como se ha planteado, se facilitará el entendimiento y el desarrollo de la
metodología, y lo más importante, se estará desarrollando COBIT en el área de TI sin necesidad de ser un
experto en el tema, y con la certeza de que se está haciendo de una forma efectiva y conveniente para el
área. Para esto, la guía proporciona todas las herramientas necesarias para lograr lo dicho anteriormente; ya
sean gráficas, plantillas o formatos necesarios para el caso. En esta fase debe usarse la herramienta de
apoyo de esta guía.
Mapear por completo la información del área de TI obtenida con COBIT 4.1.
Obtener la madurez de los procesos actuales del área de TI basados en COBIT 4.1.
COBIT se basa en el siguiente principio: Para proporcionar la información que la empresa requiere para lograr
sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto
estructurado de procesos que provean los servicios que entregan la información empresarial requerida. Como
lo muestra la siguiente figura.
Página 41
GUÍA METODOLÓGICA COBIT 4.1
Para cumplir con este principio COBIT ofrece herramientas que garantizan la alineación con los
requerimientos del negocio.
Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de
control, los cuales son referidos en COBIT como requerimientos de información del negocio. Para esto
se definieron los siguientes siete criterios de información:
CRITERIOS DE INFORMACIÓN
Tiene que ver con que la información sea relevante y pertinente a los procesos
Efectividad del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
Consiste en que la información sea generada con el óptimo (más productivo y
Eficiencia
económico) uso de los recursos.
Se refiere a la protección de información sensitiva contra revelación no
Confidencialidad
autorizada.
Está relacionada con la precisión y completitud de la información, así como con
Integridad
su validez de acuerdo a los valores y expectativas del negocio.
Se refiere a que la información esté disponible cuando sea requerida por los
Disponibilidad procesos del negocio en cualquier momento. También concierne a la protección
de los recursos y las capacidades necesarias asociadas.
Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales
a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios
Cumplimiento
impuestos externamente, así como políticas internas.
Página 42
GUÍA METODOLÓGICA COBIT 4.1
Mientras que los criterios de información proporcionan un método genérico para definir los
requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece
una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de
negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. Toda
empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas como metas del
negocio para TI.
Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia de la
empresa, debe existir una propiedad y una dirección clara de los requerimientos por parte del negocio
(el cliente) y un claro entendimiento para TI, de cómo y qué debe entregar (el proveedor). La Ilustración
6 muestra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos
relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI). Estos objetivos a su vez,
deben conducir a una clara definición de los propios objetivos de TI (las metas de TI), y luego éstas a
su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) requeridos para
ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial. Para que el
cliente entienda las metas y los scorecard de TI, todos estos objetivos y sus métricas asociadas se
deben expresar en términos de negocio significativos para el cliente, y esto, combinado con una
alineación efectiva de la jerarquía de objetivos, asegurará que el negocio pueda confirmar que TI
puede, con alta probabilidad, dar soporte a las metas del negocio.
Una vez que han sido definidas las metas alineadas, estás requieren ser monitoreadas para garantizar
que la entrega cumple con las expectativas. Esto se logra con métricas derivadas de las metas y
capturadas en el scorecard de TI.
Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos objetivos y
métricas asociadas deben expresarse en términos de negocio significativos para el cliente. Esto,
combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio puede
confirmar que es probable que TI soporte los objetivos de la empresa.
Página 43
GUÍA METODOLÓGICA COBIT 4.1
4.1.3 RECURSOS DE TI
La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos
con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnología para ejecutar
aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del
negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI, como
se muestra en la Ilustración 6.
Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los
recursos requeridos para crear una capacidad técnica adecuada (Ej., un sistema de planeación de
recursos empresariales [ERP]) para dar soporte a la capacidad del negocio (Ej., implementando una
cadena de suministro) que genere el resultado deseado (Ej., mayores ventas y beneficios financieros).
Página 44
GUÍA METODOLÓGICA COBIT 4.1
RECURSOS DE TI
Incluyen tanto sistemas de usuario automatizados como procedimientos
Aplicaciones
manuales que procesan información.
Los datos en todas sus formas, de entrada, procesados y generados por los
Información sistemas de información, en
cualquier forma en que sean utilizados por el negocio.
En esta etapa se deben tomar como guía las plantillas resultantes de las fase 2 y 3 (Ver Sección 2.2 y
Entregables), y la plantilla de Metas de TI proporcionada por COBIT 4.1. Para esta parte de la guía se
usara la plantilla llamada Enlace metas TI a procesos TI (Ver Ilustración 13) la cual contiene los siguientes
campos:
Metas de TI: Corresponden a las metas de TI que son planteadas por COBIT.
Procesos: Son los ID’s de los procesos planteados por COBIT.
Criterios de información: Ver Criterios de información. En este campo, algunos de estos
criterios contienen la letra P o S, las cuales son referencias primarias y secundarias que se basan
en un agregado de los criterios para cada proceso de TI y en una evaluación subjetiva de qué es
primario y qué es secundario para la meta de TI., debido a que algunos procesos tienen mayor
impacto en la meta de TI que otros. Estos son simples indicativos propuestos por COBIT.
La(s) persona(s) responsable(s) de la implementación de COBIT deben seguir el siguiente procedimiento:
1) En la plantilla de Enlace metas TI a procesos TI (Ver Ilustración 13) se deben poner en azul
aquella metas que aparecen en SI en la Plantilla de relación de Metas de TI, las cuales se deben
seleccionar (filtrar por color), con el fin de obtener solo aquellas que se están cumpliendo
actualmente en el área.
2) Tomar cada uno de los procesos correspondientes a las metas seleccionadas, y revisar si en
procesos cumplidos aparecen con NO, en caso de ser así, estos deben ponerse en rojo en la
Página 45
GUÍA METODOLÓGICA COBIT 4.1
Plantilla de relación de procesos. Con esto se busca determinar aquellos procesos que
probablemente se están cumpliendo en el área, pero no se tienen presentes.
Con esto se busca reflejar la actualidad a nivel organizacional del área de TI, es decir, determinar la
cantidad de metas que se tienen, si son las esperadas, si son las deseadas, y además cuales están
faltando. Adicional a esto, ya se puede ver y entender el área de TI en términos de COBIT, lo cual es
fundamental para la correcta implementación de esta metodología.
Estas directrices lo que buscan es que exista un mejor control y una mejor administración de los procesos,
además que estos sean fáciles de entender tanto para la persona directamente responsable como para las
personas interesadas en medir el desempeño del área. Estas directrices, se dividen en:
Los roles en la matriz RACI están clasificados para todos los procesos como sigue:
Página 46
GUÍA METODOLÓGICA COBIT 4.1
La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué
se debe medir y cómo? Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e
implementar un juego de herramientas gerenciales para monitorear esta mejora. Dos de las maneras en
que COBIT desarrolla estos temas son:
Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos
satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los
procesos internos basados en los principios de un marcador de puntuación balanceado (balanced
scorecard).
Metas de actividades para facilitar el desempeño efectivo de los procesos.
Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría
para medir a TI).
Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar
soporte a los objetivos de TI (cómo sería medido el dueño del proceso de TI)
Métricas de desempeño de los procesos (miden qué tan bien se desempeña el proceso para
indicar si es probable alcanzar las metas).
Las metas están definidas de arriba hacia abajo por lo que una meta de negocio determinará varias metas
de TI que la soporten. Una meta de TI se logra por un proceso o la interacción de varios procesos. Por lo
tanto, las metas de TI ayudan a definir las diferentes metas de proceso. A su vez, cada meta de proceso
requiere varias actividades, estableciendo así las metas de actividad. La siguiente figura proporciona un
ejemplo de las relaciones de las metas de negocio, TI, procesos y actividades.
Página 47
GUÍA METODOLÓGICA COBIT 4.1
Medidas de resultado: Indican cuando las metas se han conseguido. Estas pueden medirse sólo
después el hecho y, por eso, se llaman ‘indicadores pasados’.
Indicadores de Desempeño: Indican si es probable conseguir la meta. Se pueden medir antes de
que el resultado sea claro y, por eso, se llaman ‘indicadores futuros’.
Las medidas de resultado de el nivel mas bajo se convierten en indicadores de desempeño para las de
nivel mas alto.
Los indicadores de resultado definen mediciones que informan a gerencia—después del hecho—cuando
una función, proceso o actividad de TI ha alcanzado sus metas. Los indicadores de resultados de las
funciones de TI a menudo se expresan en términos de criterios de la información:
Disponibilidad de información necesaria para dar soporte a las necesidades del negocio
Ausencia de riesgos de integridad y de confidencialidad
Eficiencia en costos de procesos y operaciones
Confirmación de confiabilidad, efectividad y cumplimiento
Los indicadores de desempeño definen las medidas que determinan lo bien que el negocio, la función de
TI o los procesos de TI se están realizando para que se consigan las metas. Son indicadores futuros de
que las metas serán probablemente conseguidas, impulsando así a las metas de nivel más alto. A menudo
miden la disponibilidad de capacidades, prácticas y habilidades apropiadas, y el resultado de las
actividades subyacentes. Por ejemplo, un servicio entregado por TI es una meta para TI pero es un
indicador de desempeño y una capacidad para el negocio. Esto es debido a que los indicadores de
desempeño se refieren a veces como impulsores de desempeño, particularmente en el balanced
scorecards.
Página 48
GUÍA METODOLÓGICA COBIT 4.1
Por lo tanto, las métricas provistas son tanto medidas de resultado de la función de TI, proceso de TI o
meta de la actividad que miden, como un indicador de desempeño que impulsa las metas de más alto
nivel del negocio, función de TI o proceso de TI.
La siguiente figura ilustra la relación entre las metas de negocio, de TI, de proceso y de las actividades, y
las diferentes métricas. La cascada de metas es ilustrada desde arriba a la izquierda hasta arriba a la
derecha. Debajo de la meta está su medida de resultado. La flecha indica que la misma métrica es un
indicador de desempeño para la meta de más alto nivel.
COBIT proporciona métricas sólo para los resultados de las metas de TI marcadas por la línea punteada.
Mientras que también son indicadores de desempeño para las metas de negocio para TI, COBIT no
proporciona medidas de resultado para las metas de negocio.
Un alto ratio de visión a esfuerzo (Ej., visión del desempeño y logro de las metas comparado con el
esfuerzo de capturarlas)
Comparable internamente (Ej. Porcentaje contra una base o números en el tiempo)
Comparable externamente sin tener en cuenta el tamaño de la empresa o industria.
Mejor tener pocas métricas buenas (puede incluso ser una muy buena que puede ser influenciadas
por diferentes significados) que una lista más larga de métricas de poca calidad.
Fácil de medir, no confundir con los objetivos.
Página 49
GUÍA METODOLÓGICA COBIT 4.1
Para cada proceso de TI en COBIT, las metas y métricas se presentan, como se indica en la siguiente
figura:
En esta etapa se deben revisar las directrices gerenciales de cada uno de los procesos seleccionados,
con el fin de conocer mejor lo que COBIT establece para cada uno de estos, y comenzar a aplicarlo en los
procesos del área.
Los Modelos de madurez facilitan la evaluación por medio de benchmarking y la identificación de las
mejoras necesarias en la capacidad.
En el área de TI el dueño del proceso se debe poder evaluar de forma progresiva, contra los objetivos de
control. Esto responde a tres necesidades:
Página 50
GUÍA METODOLÓGICA COBIT 4.1
Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería
como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un
modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las
condiciones del nivel inferior. Con los modelos de madurez de COBIT, a diferencia de la aproximación del
CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un
nivel se ha conseguido con exactitud. Una evaluación de la madurez de COBIT resultara en un perfil
donde las condiciones relevantes a diferentes niveles de madurez se han conseguido, como se muestra
en el siguiente ejemplo gráfico:
70.00%
60.00%
50.00%
40.00%
30.00%
20.00%
10.00%
0.00%
MM Nivel 1 MM Nivel 2 MM Nivel 3 MM Nivel 4 MM Nivel 5
Ilustración 11. Posible nivel de madurez de un Proceso de TI
Esto se debe a que cuando se emplea la evaluación de la madurez con los modelos de COBIT, a menudo
algunas implementaciones estarán en diferentes niveles aunque no esté completa o suficiente. Estas
fortalezas pueden apalancarse para seguir mejorando la madurez. Por ejemplo, algunas partes del
proceso pueden estar bien definidas, y, aún cuando esté incompleto, sería erróneo decir que no está
definido del todo.
Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la
gerencia podrá identificar:
Página 51
GUÍA METODOLÓGICA COBIT 4.1
Para hacer que los resultados sean utilizables con facilidad en resúmenes gerenciales, donde se
presentarán como un medio para dar soporte al caso de negocio para planes futuros, se requiere contar
con un buen método gráfico de presentación.
El desarrollo se basó en las descripciones del modelo de madurez genérico descritas en la tabla siguiente:
Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser
resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc
1 Inicial
que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la
administración es desorganizado.
Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares
2 Repetible
en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación
Página 52
GUÍA METODOLÓGICA COBIT 4.1
Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de
mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma
5 Optimizado integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se
adapte de manera rápida.
Tabla 15. Modelo genérico de madurez
La ventaja de un modelo de madurez es que es relativamente fácil para la dirección ubicarse a sí misma en la
escala y evaluar qué se debe hacer si se requiere desarrollar una mejora. La escala incluye al 0 ya que es
muy posible que no existan procesos en lo absoluto. La escala del 0-5 se basa en una escala de madurez
simple que muestra como un proceso evoluciona desde una capacidad no existente hasta una capacidad
optimizada.
El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos,
esto es, qué tan capaces son en realidad. Qué tan bien desarrollados o capaces deberían ser, principalmente
dependen de las metas de TI y en las necesidades del negocio subyacentes a las cuales sirven de base.
Cuánta de esa capacidad es realmente utilizada actualmente para retornar la inversión deseada en una
empresa. Por ejemplo, habrá procesos y sistemas críticos que requieren de una mayor administración de la
seguridad que otros que son menos críticos. Por otro lado, el grado y sofisticación de los controles que se
requiere aplicar en un proceso están más definidos por el apetito de riesgo de una empresa y por los
requerimientos aplicables.
Las escalas del modelo de madurez ayudarán a los profesionales a explicarle a la gerencia dónde se
encuentran los defectos en la administración de procesos de TI y a establecer objetivos donde se requieran.
El nivel de madurez correcto estará influenciado por los objetivos de negocio de una empresa, por el ambiente
operativo y por las prácticas de la industria. Específicamente, el nivel de madurez en la administración se
Página 53
GUÍA METODOLÓGICA COBIT 4.1
basará en la dependencia que tenga la empresa en TI, en su sofisticación tecnológica y, lo más importante, en
el valor de su información.
Un punto de referencia estratégico para una empresa que ayuda a mejorar la administración y el control de los
procesos de TI se puede encontrar observando los estándares internacionales y las mejores prácticas. Las
prácticas emergentes de hoy en día se pueden convertir en el nivel esperado de desempeño del mañana y por
lo tanto son útiles para planear dónde desea estar la empresa en un lapso de tiempo.
Los modelos de madurez se desarrollan empezando con el modelo genérico cualitativo (ver Tabla 15. Modelo
genérico de madurezModelo genérico de madurez) al cual se añaden, en forma creciente, algunos principios
contenidos en los siguientes atributos, a través de niveles:
Conciencia y comunicación
Políticas, estándares y procedimientos
Herramientas y automatización
Habilidades y experiencia
Responsabilidad y rendición de cuentas
Establecimiento y medición de metas
En resumen, los modelos de madurez brindan un perfil genérico de las etapas a través de las cuales
evolucionan las empresas para la administración y el control de los procesos de TI, estos son:
Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de
madurez.
Una escala donde la diferencia se puede medir de forma sencilla.
Una escala que se presta a sí misma para una comparación práctica.
La base para establecer el estado actual y el estado deseado.
Soporte para un análisis de brechas para determinar qué se requiere hacer para alcanzar el nivel
seleccionado.
Tomado en conjunto, una vista de cómo se administra TI en la empresa.
Sin embargo, se diseñaron para ser aplicables siempre, con niveles que brindan una descripción que una
empresa pueda reconocer como la mejor para sus procesos. El nivel correcto está determinado por el tipo de
empresa, por su medio ambiente y por la estrategia.
El desempeño, o la manera en que la capacidad se usa y se implanta, es una decisión de rentabilidad. Por
ejemplo, un alto nivel de administración de la seguridad quizá se tenga que enfocar sólo en los sistemas
empresariales más críticos.
Para finalizar, mientras los niveles de madurez más altos aumentan el control del proceso, la empresa aún
necesita analizar, con base en los impulsores de riesgo y de valor, cuáles mecanismos de control debe
aplicar. Las metas genéricas de negocio y de TI, como se definen en este marco de trabajo, ayudarán a
realizar este análisis. Los objetivos de control de COBIT guían los mecanismos de control y éstos se enfocan
Página 54
GUÍA METODOLÓGICA COBIT 4.1
en qué se hace en el proceso; los modelos de madurez se enfocan principalmente en qué tan bien se
administra un proceso.
Un ambiente de control implantado de forma adecuada, se logra cuando se han conseguido los tres aspectos
de madurez (capacidad, desempeño y control). El incremento en la madurez reduce el riesgo y mejora la
eficiencia, generando menos errores, más procesos predecibles y un uso rentable de los recursos.
En esta etapa se busca determinar la madurez de los procesos que se tienen en el área de TI actualmente.
La(s) persona(s) responsable(s) de la implementación de COBIT debe seguir el siguiente procedimiento:
1) En la plantilla de Enlace Metas TI a Procesos TI se debe seleccionar (hacer click) cada uno de los
procesos, e ir a la sección de modelo de madurez (ver Ilustración 14. Navegación en COBIT). Allí se
mostrarán cada una de los niveles de madurez del proceso junto con sus descripciones
correspondientes (ver Ilustración 21)
2) Por cada uno de los procesos se debe determinar cuáles de estas descripciones se cumplen, y se
debe poner en azul (el tono se muestra en la hoja) cada una de las que son realizadas en el área.
Cabe aclarar que estas descripciones no son excluyente de un nivel a otro, ni tampoco es
necesario que se estén realizando completamente, tal y como se describe en la sección anterior.
3) Cuando se haya completado el chequeo de cada una de las descripciones del proceso, se debe
hacer click sobre el nombre de este, lo cual mostrará una tabla (ver Ilustración 22) con la gráfica de
la madurez del proceso.
4.6 Entregables
Los entregables finales de esta fase se encuentran en la herramienta de apoyo en la sección llamada fase
4. Los cuales se muestran a continuación:
Página 55
GUÍA METODOLÓGICA COBIT 4.1
Página 56
GUÍA METODOLÓGICA COBIT 4.1
Página 57
GUÍA METODOLÓGICA COBIT 4.1
Página 58
GUÍA METODOLÓGICA COBIT 4.1
Página 59
GUÍA METODOLÓGICA COBIT 4.1
Página 60
GUÍA METODOLÓGICA COBIT 4.1
Página 61
GUÍA METODOLÓGICA COBIT 4.1
Página 62
GUÍA METODOLÓGICA COBIT 4.1
Etapa 2
En esta etapa se hace el análisis y la retroalimentación de los resultados obtenidos en la etapa anterior; y la
validación de la utilidad y efectividad de esta guía. Para esto se deben cumplir las siguientes dos fases:
5 ANALISIS DE COBIT
Esta es la fase final de la guía, se determinará como esta el área de TI a nivel general, y que mejoras quedan
por hacer basándose en la información obtenida en las cuatro fases anteriores. Esta etapa se puede dividir en
2 sub-fases; en la primera, se hace el análisis completo de los resultados obtenidos, lo cual es, determinar en
que nivel de madurez se encuentra la organización desde el punto de vista de TI, como está actualmente el
área de TI, establecer que tan alineada esta la estrategia de TI con la estrategia del negocio, y además
enfatizar en aquellas mejoras que se deben realizar para alcanzar el estado deseado por los encargados del
área; en la segunda, se determina a qué punto debo volver, para continuar con la implementación de COBIT
en el área de TI.
En esta etapa se deben tomar cada una de las tablas de madurez de los procesos desarrollados y
determinar cuántos procesos hay en MM nivel 0, nivel 1 hasta nivel 5, y basándose en estos resultados
completar la tabla Madurez Empresa. Al completar esta tabla, se mostrará automáticamente una grafica con
el estado actual del área de TI de la organización.
Basados en esta gráfica, las gráficas individuales de los procesos, y la demás información obtenida
durante el desarrollo de esta guía; la(s) persona(s) involucrada(s) deben determinar cuál es el siguiente
paso a seguir por parte de ellos, con el fin de comenzar a realizar las mejoras necesarias en el área
basándose en la información ofrecida en esta guía y su herramienta de apoyo.
En esta etapa se aconseja que se tomen aquellos procesos que están en un nivel de madurez por debajo
del requerido (si este es el caso), y se apliquen aquellas medidas establecidas por COBIT 4.1 ofrecidas
en la herramienta de apoyo de este documento.
A partir del análisis realizado en el paso anterior se debe volver a un punto determinado de esta guía y
seguir nuevamente el procedimiento establecido, esto con el fin de llegar a tener en algún momento el área
de TI gobernada por COBIT en un 100%.
Página 63
GUÍA METODOLÓGICA COBIT 4.1
Página 64
GUÍA METODOLÓGICA COBIT 4.1
En esta etapa simplemente se listan los puntos importantes que se obtuvieron con esta guía.
El resultado principal de esta guía es haber desarrollado COBIT 4.1 en el área de TI, y esto se ve
reflejado en la documentación obtenida con esta guía.
Hay un resultado intangible, el cual es, facilitar el entendimiento y manejo de la metodología COBIT
sin ser un experto en la materia.
Se logro sintetizar la información relevante del área de TI, de su estado actual, y adicionalmente,
indica que se debe hacer para mejorar las distintas debilidades y deficiencias encontradas durante el
desarrollo de esta guía (Archivo COBIT 4.1)
Página 65
GUÍA METODOLÓGICA COBIT 4.1
GLOSARIO
Arquitectura de TI- Un marco integrado para evolucionar o dar mantenimiento a TI existente y adquirir nueva
TI para alcanzar las metas estratégicas y de negocio de la empresa.
Arquitectura empresarial para TI- Respuesta en la entrega de TI, provista por procesos claramente definidos
usando sus recursos (aplicaciones, información, infraestructura y personas).
Arquitectura empresarial- Mapa de rutas tecnológicas orientada al negocio para el logro de las metas y
objetivos de negocio.
Balanced Scorecard— Un método para medir las actividades de una empresa en términos de su visión y
estrategias, proporcionando una vista rápida e integral del desempeño del negocio a la gerencia. Es una
herramienta administrativa cuyo fin es medir un negocio desde las siguientes perspectivas: financiera, del
cliente, del negocio y del aprendizaje (Robert S. Kaplan y David Norton, 1992).
Cliente- Una persona o entidad externa o interna que recibe los servicios empresariales de TI.
Control- Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar
una garantía razonable de que los objetivos del negocio se alcanzaran y los eventos no deseados serán
prevenidos o detectados.
Domino- Agrupación de objetivos de control en etapas lógicas en el ciclo de vida de inversión en TI.
Empresa— Un grupo de individuos que trabajan juntos para un fin común, por lo general dentro del contexto
de una forma organizacional, como una corporación agencia pública, entidad de caridad o fondo.
Estándar- Una práctica de negocio o producto tecnológico que es una práctica aceptada, avalada por la
empresa o por el equipo gerencial de TI. Los estándares se pueden Implementar para dar soporte a una
política o a un proceso, o como respuesta a una necesidad operativa. Así como las políticas, los estándares
deben incluir una descripción de la forma en que se detectará el incumplimiento.
Gobierno- El método por medio del cual una organización es dirigida, administrada o controlada.
Madurez- Indica el grado de confiabilidad o dependencia que el negocio puede tener en un proceso, al
alcanzar las metas y objetivos deseados.
Página 66
GUÍA METODOLÓGICA COBIT 4.1
Objetivo de control- Una declaración del resultado o propósito que se desea alcanzar al Implementar
procedimientos de control en un proceso en particular.
Política- Por lo general, un documento que ofrece un principio de alto nivel o una estrategia a seguir. El
propósito de una política es influenciar y guiar la toma de decisiones presente y futura, haciendo que estén de
acuerdo a la filosofía, objetivos y planes estratégicos establecidos por los equipos gerenciales de la empresa.
Además del contenido de la política, esta debe describir las consecuencias de la falta de cumplimiento de la
misma, el mecanismo para manejo de excepciones y la manera en que se verificará y medirá el cumplimiento
de la política.
Procedimiento- Una descripción de una manera particular de lograr algo; una forma establecida de hacer las
cosas; una serie de pasos que se siguen en un orden regular definido, garantizando un enfoque consistente y
repetitivo hacia las actividades.
Proceso- Por lo general, un conjunto de procedimientos influenciados por las políticas y estándares de la
organización, que toma las entradas provenientes de un número de fuentes, incluyendo otros procesos,
manipula las entradas, y genera salidas, incluyendo a otros procesos, para los clientes de los procesos. Los
procesos tienen razones claras de negocio para existir, dueños responsables, roles claros y responsabilidades
alrededor de la ejecución del proceso, así como los medios para medir el desempeño.
Riesgo- El potencial de que una amenaza específica explote las debilidades de un activo o grupo de activos
para ocasionar pérdida
y/o daño a los activos. Por lo general se mide por medio de una combinación del impacto y la probabilidad de
ocurrencia.
Página 67