Las Fases Usadas en La Investigación de Operaciones

GUÍA METODOLÓGICA COBIT 4.
GUÍA METODOLOGICA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.
Contenido
OBJETIVO ............................................................................................................................................................................. 5
ALCANCE .............................................................................................................................................................................. 5
PROPÓSITO ......................................................................................................................................................................... 5
A QUIEN VA DIRIGIDA ...................................................................................................................................................... 5
DESCRIPCIÓN ..................................................................................................................................................................... 6
USO RECOMENDADO DE LA GUÍA ............................................................................................................................... 9
1. IDENTIFICACIÓN Y EVALUACIÓN DE LA ORGANIZACIÓN ........................................................................... 10
1.1 Conocer la organización.................................................................................................................................... 10
1.2 Entregables ......................................................................................................................................................... 11
2. IDENTIFICACIÓN Y EVALUACIÓN DEL ÁREA DE TI. ....................................................................................... 14
2.1 Conocer el área .................................................................................................................................................. 14
2.2 Entregables ......................................................................................................................................................... 15
3. IDENTIFICACIÓN Y EVALUACIÓN DE LOS PROCESOS DEL ÁREA DE TI ................................................ 19
3.1 Conocer los procesos de TI .............................................................................................................................. 19
3.2 Introducción a los procesos COBIT ................................................................................................................. 20
3.3 Introducción a controles .................................................................................................................................... 21
3.3.1 Los procesos requieren controles.................................................................................................................. 21
3.3.2 Controles del negocio y de TI ................................................................................................................... 23
3.3.3 Controles generales de TI y controles de aplicación ............................................................................ 24
3.4 Documentación de procesos ............................................................................................................................ 25
3.4.2 Introducción a los componentes esenciales de COBIT........................................................................ 26
3.5 Relacionar los procesos COBIT con los procesos del área ........................................................................ 27
3.6 Relacionar las metas de TI de COBIT con las metas de TI del área ......................................................... 27
3.7 Introducción de objetivos de Control ............................................................................................................... 28
3.8 Relacionar los objetivos de control de COBIT con el área de TI ................................................................ 28
3.9 Responder preguntas gerenciales ................................................................................................................... 28
3.10 Entregables ......................................................................................................................................................... 28
4 APLICACIÓN DE COBIT .......................................................................................................................................... 41
Página 1
GUÍA METODOLÓGICA COBIT 4.1
4.1 Introducción a las metas de negocio de TI y metas de TI de COBIT ........................................................ 41

4.1.1 CRITERIOS DE INFORMACIÓN DE COBIT ............................................................................................... 42
4.1.2 METAS DE NEGOCIO Y DE TI ..................................................................................................................... 43
4.1.3 RECURSOS DE TI ........................................................................................................................................... 44
4.2 Mapear la información de TI obtenida............................................................................................................. 45
4.3 Directrices gerenciales ...................................................................................................................................... 46
4.3.1 Introducción a las directrices gerenciales............................................................................................... 46
4.3.1.1 Entradas y salidas de proceso ............................................................................................................. 46
4.3.1.2 Matriz RACI ............................................................................................................................................. 46
4.3.1.3 Metas y métricas .................................................................................................................................... 47
4.4 Revisar las directrices gerenciales .............................................................................................................. 50
4.5 Modelo de madurez ........................................................................................................................................... 50
4.5.1 Introducción a modelo de madurez ......................................................................................................... 50
4.5.2 Determinar la madurez de cada proceso ............................................................................................... 55
4.6 Entregables ..................................................................................................................................................... 55
5 ANALISIS DE COBIT ................................................................................................................................................. 63
5.1 Análisis del área de TI ....................................................................................................................................... 63
5.2 Siguiente iteración de COBIT ........................................................................................................................... 63
6 RESULTADOS DEL DESARROLLO DE LA GUIA ............................................................................................... 65
GLOSARIO.......................................................................................................................................................................... 66
Página 2
Ilustraciones
ILUSTRACIÓN 1. FASES DE LAS GUÍA ......................................................................................................................................................... 6

ILUSTRACIÓN 2.LOS 4 DOMINIOS INTERRELACIONADOS DE COBIT ....................................................................................................... 20
ILUSTRACIÓN 3. MODELO DE CONTROL COBIT ..................................................................................................................................... 22
ILUSTRACIÓN 4. NAVEGACIÓN EN COBIT............................................................................................................................................... 26
ILUSTRACIÓN 5. PRINCIPIO BÁSICO DE COBIT ...................................................................................................................................... 42
ILUSTRACIÓN 6. METAS DE TI Y ARQUITECTURA EMPRESARIAL PARA TI ............................................................................................... 44
ILUSTRACIÓN 7.EJEMPLO RELACIÓN ENTRE METAS ............................................................................................................................... 48
ILUSTRACIÓN 8. EJEMPLO IMPULSORES DE DESEMPEÑO ...................................................................................................................... 48
ILUSTRACIÓN 9. RELACIÓN ENTRE PROCESOS, METAS Y MÉTRICAS ...................................................................................................... 49
ILUSTRACIÓN 10. PRESENTACIÓN DE METAS Y MÉTRICAS ..................................................................................................................... 50
ILUSTRACIÓN 11. POSIBLE NIVEL DE MADUREZ DE UN PROCESO DE TI................................................................................................. 51
ILUSTRACIÓN 12. REPRESENTACIÓN GRÁFICA MODELO MADUREZ ....................................................................................................... 52
ILUSTRACIÓN 13. ENLACE METAS TI A PROCESOS TI ........................................................................................................................... 56
ILUSTRACIÓN 14. NAVEGACIÓN EN COBIT ........................................................................................................................................... 56
ILUSTRACIÓN 15. DESCRIPCIÓN DEL PROCESO ...................................................................................................................................... 57
ILUSTRACIÓN 16. OBJETIVOS DE CONTROL ............................................................................................................................................ 58
ILUSTRACIÓN 17. DESCRIPCIÓN OBJETIVO DE CONTROL ...................................................................................................................... 58
ILUSTRACIÓN 18. ENTRADAS Y SALIDAS ................................................................................................................................................. 59
ILUSTRACIÓN 19. MATRIZ RACI.............................................................................................................................................................. 59
ILUSTRACIÓN 20. METAS Y MÉTRICAS .................................................................................................................................................... 60
ILUSTRACIÓN 21. MODELO DE MADUREZ ............................................................................................................................................... 61
ILUSTRACIÓN 22. GRÁFICA NIVEL DE MADUREZ DEL PROCESO .............................................................................................................. 62
ILUSTRACIÓN 23. MADUREZ EMPRESA ................................................................................................................................................... 64
Página 3
Tablas
TABLA 1. PLANTILLA ORGANIZACIONAL .................................................................................................................................................. 13
TABLA 2. PLANTILLA TI ............................................................................................................................................................................ 17
TABLA 3. PLANTILLA SUB-ÁREAS TI ........................................................................................................................................................ 18
TABLA 4. CONTROLES PROCESOS .......................................................................................................................................................... 23
TABLA 5. CONTROLES DE APLICACIÓN .................................................................................................................................................... 25
TABLA 6. COMPONENTES COBIT ........................................................................................................................................................... 27
TABLA 8. PLANTILLA DE PROCESOS........................................................................................................................................................ 30
TABLA 9. PLANTILLA DE ACTIVIDADES .................................................................................................................................................... 31
TABLA 10.PLANTILLA DE RELACIÓN DE PROCESOS ................................................................................................................................ 32
TABLA 11. PLANTILLA DE RELACIÓN DE METAS DE TI ............................................................................................................................ 33
TABLA 12. PLANTILLA DE RELACIÓN DE OBJETIVOS DE CONTROL ......................................................................................................... 39
TABLA 13. PREGUNTAS GERENCIALES .................................................................................................................................................... 40
TABLA 14. CRITERIOS DE INFORMACIÓN................................................................................................................................................. 42
TABLA 15. RECURSOS DE TI ................................................................................................................................................................... 45
TABLA 16. MODELO GENÉRICO DE MADUREZ ......................................................................................................................................... 53
Página 4
GUÍA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.
OBJETIVO
Proporcionar una herramienta útil y de fácil entendimiento que permita la implementación de COBIT en
aquellas empresas que tienen su propia área de TI.
ALCANCE
Determinar el estado de madurez actual del área de TI, y lo que se debe hacer para mejorar los distintos
aspectos de la misma para conseguir una nivel de madurez mayor, según sea el caso. Esto basándose
en el marco de referencia COBIT 4.1.
PROPÓSITO
Esta guía se desarrolla con el fin de apoyar a los coordinadores, directores y/o CEO’s en su labor de
mejoramiento de procesos y control en el área de TI. Se utilizarán diferentes plantillas que permiten
evaluar y medir los diferentes aspectos actuales del área de TI, como también permitirán ver el avance y
el desarrollo de estos durante y después de la implementación de COBIT.
A QUIEN VA DIRIGIDA
Esta guía va dirigida a aquellos profesionales que tengan un rol gerencial dentro del área de TI que están
interesados en la implementación de COBIT en su área.
Página 5
DESCRIPCIÓN
La guía se encuentra estructurada de tal forma que se pueda realizar el proceso de mejoramiento y control
a través de seis fases, las cuales están contenidas en dos etapas principales:
Identificación y
Aplicación de Analisis de
evaluación de la COBIT 4.1 COBIT
organización.
Identificación Resultados de la
Identificación y evaluación implementación
y evaluación de los
del area de TI. procesos del
area de TI.
Ilustración 1. Fases de las guía.
La primera etapa es de aplicación, en la cual se siguen las primeras cuatro fases de la siguiente manera:
1. Identificación y evaluación de la organización. En esta fase se hará un conocimiento más

profundo de la organización en la que se desea aplicar esta guía, obteniendo la información sobre el
“core” del negocio, los objetivos de la misma, hacia donde se está o se quiere dirigir; es decir; sus
metas generales; y, su estructura y funcionamiento interno. Para esto se realizan las siguientes
actividades:
 Conocer la organización. Identificar los elementos organizacionales nombrados
anteriormente según la información proporcionada por la organización, basándose en la
plantilla dada en esta guía.
 Plantilla de resultados.
2. Identificación y evaluación del área de TI. En esta fase se conocerá el área de TI de la

organización, obteniendo la información de sus objetivos, su estructura interna, su importancia y/o
dependencia para la empresa y su funcionamiento en el día a día. Las actividades a realizar son:
 Conocer el área. Hacer un análisis y estudio profundo al área de TI, que permita conocer su
Página 6
estructura a nivel gerencial y la forma en que esta opera en el día a día, además determinar
la forma en que el área contribuye al “core” del negocio. Para esta actividad esta guía ofrece
una plantilla que permita obtener la información relevante para la aplicación de COBIT.
 Plantilla de resultados.
3. Identificación y evaluación de los procesos del área de TI. En esta fase se conoce el área de TI
a nivel operativo, ya que se debe obtener toda la información relacionada con los procesos que se
llevan a cabo en esta, su documentación, si la hay, y los controles y métricas existentes sobre los
mismo, si es que se tienen. Además de las personas encargadas de cada proceso y la importancia
de los mismos. Basándose en esta información obtenida, se hace una relación entre esta
información y COBIT. Esto se hace con el fin de determinar los procesos que inicialmente se
incluirán en COBIT y de comenzar a ver y entender el área en términos de COBIT, lo cual facilita la
implementación de la misma. Las actividades relevantes de esta fase son:
 Conocer los procesos de TI. Usar las plantillas dadas por la guía para documentar los
procesos importantes que se tienen en el área, se encuentren documentados o no.
 Documentación de procesos. Se debe tomar la plantilla proporcionada por COBIT 4.1 de
cada uno de los procesos seleccionados, y revisar cada una de sus secciones con el fin de
entender a nivel general lo que implica cada proceso. Esta guía contiene un formato que
explica de forma clara la plantilla de procesos de COBIT.
 Relacionar los procesos COBIT con los procesos del área. Determinar cuáles procesos
listados en COBIT se están realizando en el área de TI.
 Relacionar las metas de TI de COBIT con las metas de TI del área. Determinar cuáles
metas de TI listadas en COBIT se cumplen en el área de TI.
 Relacionar los objetivos de control de COBIT con el área de TI. Determinar cuáles
objetivos de control listados en COBIT se cumplen en el área de TI.
 Responder preguntas gerenciales: Se deben responder las preguntas planteadas en esta
guía, con el fin de determinar la perspectiva que tiene(n) la(s) persona(s) involucrada(s) en
la implementación de COBIT.
 Plantilla de procesos y relación de COBIT vs Área.
4. Aplicación de COBIT 4.1. Esta es la fase principal de la guía; basados en la información obtenida
en las fase anteriores se comienza la implementación de COBIT en el área de TI. En esta se usarán
las plantillas de COBIT, que hacen referencia a las metas de TI y los procesos de TI; para hacer el
mapeo entre la información obtenida en las fases anteriores y COBIT, además se desarrolla COBIT
Página 7
para los procesos actuales de la organización, Para esto se realizaran las siguientes actividades:
 Mapear la información de TI obtenida. En esta actividad se toman las plantillas resultantes
en la fase 3, y a partir de esta, se relaciona la información obtenida, con cada una de las
metas de TI de COBIT 4.1, con el fin de reflejar lo que se tiene en la actualidad a nivel
organizacional en TI basados en COBIT. El formato para esta actividad se explicara más
adelante.
 Revisar las directrices gerenciales: COBIT contiene un componente llamado directrices
generales de cada uno de sus procesos, con lo cual se busca tener una visión completa de
cómo administrar y medir el proceso. Por lo tanto, se debe revisar y entender este
componente en cada uno de los procesos para la correcta implementación de COBIT y
además obtener un mayor beneficio de la misma; para lo cual la guía proporciona un formato
en el que se explica cada uno de los puntos de este componente, con el fin de adaptarlo a
cualquier organización.
 Determinar la madurez de cada proceso. Se debe tomar cada uno de los procesos
seleccionados y determinar el nivel de madurez de cada proceso con el fin de poder
identificar en donde se encuentra hoy la empresa, el estatus de la misma respecto a su
entorno, en donde desea estar la empresa y el crecimiento requerido entre “como es” y
“como será”. Para eso se debe utilizar la plantilla establecida en COBIT 4.1.
La segunda etapa es de análisis y retroalimentación, basada en la etapa anterior, y se siguen las siguientes
dos fases:
5. Análisis de COBIT. Esta fase consta de dos sub-fases, en la primer sub-fase se hace un análisis
completo de los resultados obtenidos a partir de la fase anterior, en la que se determina, basándose
en las herramientas de COBIT, en qué nivel de madurez se encuentra la organización, como está el
área de TI en términos generales, y determinar que tan alineada esta la estrategia de TI con la
estrategia del negocio. Para esta sub-fase se realizarán las siguientes actividades:
 Obtener el nivel de madurez: Se obtiene el nivel de madurez del área en general,
basándose en los resultados obtenidos en la fase anterior.
 Análisis de resultados: Se hace un análisis de los resultados obtenidos, basándose en lo
que se obtuvo en el archivo de COBIT.
En la segunda sub-fase se reutiliza esta guía, basándose en análisis de resultados de la fase anterior.
 Iteración de la guía: Realizar la guía desde un punto determinado para complementar y
mejorar lo que se obtuvo hasta el momento.
6. Resultados de la implementación. En esta última fase se tiene un archivo que permite ver de
Página 8
forma concisa la labor realizada durante esta guía. Esto basado en toda la información obtenida de
las cinco fases anteriores.
USO RECOMENDADO DE LA GUÍA

La guía debe ser desarrollada según se muestra en la Ilustración 1, ya que cada una de las fases requiere
su fase anterior para su completo entendimiento, además de esta forma se asegura el éxito de la
implementación de COBIT, pues se va adquiriendo el conocimiento necesario fase a fase, hasta lograr un
muy buen entendimiento de esta metodología. Esta guía proporciona una herramienta de apoyo con el fin
de sintetizar toda la información, y de facilitar el desarrollo de esta guía, por lo cual, la gran mayoría de los
puntos descritos en este documento se deben desarrollar sobre la herramienta, tal y como se indicará en
cada ítem; de lo contario, no se asegura un correcto entendimiento y desarrollo tanto de la guía, como de
COBIT.
Página 9
ETAPA 1
Esta es una etapa de aplicación en la cual se hace un levantamiento de información y se desarrolla COBIT.
Para esto la guía proporciona una herramienta de apoyo que permite el desarrollo de esta etapa a través de
las siguientes cuatro fases:
1. IDENTIFICACIÓN Y EVALUACIÓN DE LA ORGANIZACIÓN
La identificación y evaluación de la organización busca que la(s) persona(s) interesadas en realizar la

implementación de COBIT entiendan en un 100 % la organización en la que están, es decir, que haya un
conocimiento de qué hace la empresa, cómo funciona, en qué momento se encuentra, hacia donde quiere ir,
cuáles son sus lineamientos principales, como es su estructura internamente, en que sector se encuentra, sus
políticas y su entorno interno y externo. Esta información se obtiene a partir de los documentos
organizacionales existentes en la compañía. La guía proporciona un formato para obtener la información
necesaria y relevante de esta fase. Se considera necesaria y relevante aquella información que es importante
para la implementación de COBIT. En esta fase debe usarse la herramienta de apoyo de esta guía.
Los objetivos de esta fase son los siguientes:
 Obtener la información corporativa necesaria para brindarle a la(s) persona(s) involucradas en la

implementación de COBIT el conocimiento necesario sobre la organización.
 Obtener la información corporativa que permita la correcta relación con las metas de negocio de
COBIT 4.1.
1.1 Conocer la organización
En esta primera etapa es necesario que aquella(s) persona(s) involucrada(s) con la implementación de
COBIT conozcan la organización; para lo cual es importante conocer los ítems claves para la
organización, los cuales son:
 Core del negocio: Esto es determinar qué es lo que caracteriza, define y diferencia a la
organización en el mercado.
 Los valores de la organización.
 Misión de la empresa.
 Visión de la compañía.
 Objetivos de la organización.
 Estructura organizacional de la compañía: Determinar las principales áreas de la organización.
 Políticas internas de la organización: Se deben listar todo tipo de políticas contempladas dentro
de la compañía.
 Productos: Se deben listar los productos que ofrece la compañía.
Página 10
 Clientes: Listar los clientes con los que cuenta según su importancia, la cual se mide en una
escala de, alta, media y baja.
 Entorno: En este ítem se determina en que nicho de mercado se encuentra la compañía y sus
competidores.
 Estado actual: Este ítem hace referencia a determinar en donde se encuentra la compañía en la
actualidad, para lo cual se debe contemplar el número de empleados, las sedes con las que
cuenta, cantidad e innovación de sus productos, número de clientes y su importancia en el
mercado.
1.2 Entregables
El entregable final de esta fase es:
 Durante esta etapa de la guía se debe desarrollar y entregar la plantilla organizacional (Plantilla
OrganizacionalTabla 1) diligenciada por la(s) persona(s) responsable(s) del desarrollo de COBIT.
Esta incluye todos los puntos importantes para conocer la organización, los cuales han sido
descritos y explicados en la sección 1.1.
Página 11
PLANTILLA ORGANIZACIONAL
Nombre de la empresa
ITEMS ORGANIZACIONALES
Core del negocio

(Que caracteriza, define y
diferencia la organización)
• •
• •
Valores. • •
• •
• •
Misión
Visión
•
•
•
Objetivos
•
•
•
• •
Estructura
organizacional • •
(Principales áreas de la • •
organización)
• •
•
•
•
Políticas internas.
•
•
•
• •
• •
Productos
• •
• •
Página 12
• •
Alta
• •
• •
• •
• •
Media
• •
Clientes • •
(Listar los clientes según
su importancia) • •
• •
Baja
• •
• •
• •
• •
• •
Nicho de mercado
Entorno • •
(Nicho de mercado de la • •
compañía y sus Competidores
competidores) • •
• •
Número de empleados
Cantidad de productos
Número de clientes
Estado actual • • •
(En donde se encuentra la
• • •
compañía en la Sedes
actualidad) • • •
• • •
Importancia en el mercado (Ranking)
Tabla 1. Plantilla Organizacional
Página 13
2. IDENTIFICACIÓN Y EVALUACIÓN DEL ÁREA DE TI.
La identificación y evaluación del área de TI tiene como objetivo que la(s) persona(s) encargadas de la
implementación de COBIT conozcan y entiendan en un 100% esta área, ya que es en esta área es en donde
se implementará COBIT. Esto es, conocer el área desde todos los puntos posibles; financiera, operativa y
administrativamente. Basados en esto, es necesario, conocer y entender el objetivo principal del área, sus
objetivos, su estructura organizacional, los puntos críticos de la misma, sus funciones principales, la
importancia del área para las demás áreas, el valor de la misma para la consecución de los objetivos de la
empresa, sus políticas, controles existentes, la forma en que operan cada una de sus áreas y finalmente, su
estado actual y hacia donde se está enfocando el área en un futuro cercano. Esta información es obtenida ya
sea a través del conocimiento que tiene la persona, encargada del área y además de la implementación de
COBIT; o por los documentos y entrevistas dadas por las personas de TI, la forma de obtener la información
varía según la compañía. Esta obtención de información se debe hacer tanto a nivel general del área, como a
cada una de las sub-áreas que están dentro de TI. Con el fin de consolidar la información relevante e
importante para el correcto desarrollo de COBIT sin importar como sea obtenida la información, la guía define
y proporciona un formato que contiene toda esta indagación. En esta fase debe usarse la herramienta de
apoyo de esta guía.
 Obtener la información necesaria para brindarle a la(s) persona(s) encargada(s) de implementar

COBIT el conocimiento necesario sobre el área de TI.
 Obtener la información del área de TI necesaria que permita la correcta relación con las metas de
TI de COBIT 4.1.
2.1 Conocer el área
En esta etapa se hace un análisis y estudio profundo sobre el área de TI, con el fin de identificar sus
puntos principales para su operación en el día a día, en el corto y largo plazo. Adicionalmente, se busca
determinar de qué forma esta área está contribuyendo al “core” y metas del negocio. Para obtener la
información que contribuye a lograr estos objetivos es necesario conocer los siguientes ítems:
 Objetivo principal: Determinar cuál es el objetivo principal del área de TI.

 Objetivos del área: Listar cuales son los objetivos del área, tanto generales como específicos, si
los hay.
 Estructura organizacional: Determinar cómo está estructurada el área de TI, es decir, el
organigrama de la misma. También es necesario hacer una breve descripción de las sub-áreas que
se muestran en el organigrama, para un mejor entendimiento de las mismas. Se deja un formato, el
cual es sencillo de modificar, simplemente se debe adicionar o eliminar según sea el caso.
 Funciones principales: Listar las funciones principales que se realizan en el área.
 Políticas: Listar las políticas contempladas en el área.
Página 14
 Controles existentes: Listar los controles establecidos por el área. Esto es aquellos
procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad
razonable al área; o aquellas que previenen o detectan eventos no deseados.
 Puntos críticos: Se deben listar aquellos puntos que se consideran críticos para el área.
 Soporta a: Listar aquellas áreas de la compañía que dependen del área de TI. Se debe poner una
escala de dependencia, la cual se mide en una escala de alta, media y baja.
 Importancia: Determinar la importancia del área de TI para la compañía. Esta escala se mide en
nivel de importancia, es decir, alta, media o baja. Esta se asigna basado en el ítem anterior, lo cual
se hace asignando la escala que más se repitió en ese ítem.
2.2 Entregables
Los entregables finales de esta fase son:
 Durante esta etapa de la guía se debe desarrollar y entregar la plantilla TI (Tabla 2) diligenciada por
la(s) persona(s) responsable(s) de la implementación de COBIT. Esta incluye todos los puntos
importantes para conocer el área de TI, los cuales han sido descritos e explicados en la sección
2.1.
 Se debe diligenciar la plantilla de sub-área TI (Tabla 3), la cual está basada en la plantilla de TI, y
contiene varios de los puntos descritos en la sección anterior. Esta se aplica a cada una de las
sub-áreas que se tienen en el área de TI.
Página 15
PLANTILLA TI
Objetivo principal
(Objetivo principal del
área de TI)
•
•
•
•
Objetivos del área.
•
•
•
•
•
•
•
•
Funciones
•
Principales
•
•
•
•
•
•
•
•
Políticas
•
•
•
•
•
•
•
•
Controles •
existentes •
•
•
•
•
Puntos críticos •
Página 16
(Cuales son los puntos •

críticos del área de TI)
•
•
•
•
•
•
•
Áreas Dependencia Áreas Dependencia
Soporta a • •
(Áreas de la compañía • •
que dependen del
área de TI) • •
• •
Importancia
Estructura organizacional (Organigrama del área)
Tabla 2. Plantilla TI
Página 17
PLANTILLA SUB-ÁREAS TI
Sub-Área
Objetivo principal
(Objetivo principal del
sub-área de TI)
•
•
•
Objetivos del área. •
•
•
•
•
•
•
Funciones •
Principales •
•
•
•
•
•
•
Políticas
•
•
•
•
•
Controles •
existentes •
•
•
•
•
•
Puntos críticos •
(Cuales son los puntos
críticos del área de TI)
•
•
•
•
Importancia
Tabla 3. Plantilla sub-áreas TI
Página 18
3. IDENTIFICACIÓN Y EVALUACIÓN DE LOS PROCESOS DEL ÁREA DE TI
Con base a la información y el conocimiento adquirido en la fase anterior sobre el área de TI y sus sub-áreas,
se puede comenzar a conocer el área a nivel operativo, es decir, enfatizar en cada uno de los procesos que
son ejecutados para cumplir al 100% con su operación. En esta fase no solo se obtendrá una lista de todos
los procesos, sino que también se determinará cuales están documentados, que tipo de documentación es,
como son documentados; además, conocer si hay información adicional en la documentación, como lo son,
los controles y las métricas para el proceso, la persona responsable del mismo, y si se ha determinado la
importancia que este tiene para una correcta operación. Esta información será obtenida tanto, por los
documentos existentes, como también por el conocimiento y las entrevistas realizadas a las personas
responsables de sus procesos. Esta guía proporciona una plantilla para consolidar la información descrita
anteriormente. En esta fase debe usarse la herramienta de apoyo de esta guía.
Los objetivos de esta fase son:
 Obtener toda la información existente sobre los procesos que se ejecutan en el área de TI de la
organización.
 Asignar los responsables de cada uno de los procesos del área de TI.
 Conocer la perspectiva que tienen sobre el área de TI los responsables de la misma.
 Relacionar los procesos del área de TI con los procesos de COBIT 4.1.
3.1 Conocer los procesos de TI
En esta etapa se obtiene cada uno de los procesos del área de TI, junto con su documentación. Con el fin
de determinar que está establecido como proceso y la forma en que se documenta. En esta
documentación se incluirán los siguientes ítems:
 Nombre del proceso

 Descripción del proceso
 Objetivo
 Actividades: Que actividades apoyan la ejecución del proceso, la descripción de cada una de
estas y además quienes son los responsables de las mismas.
 Métricas: Como se esta midiendo la correcta ejecución del proceso o la efectividad del mismo.
 Procesos relacionados: Que otros procesos están relacionados con el proceso.
 Responsable(s).
 Importancia o criticidad: Que importancia o criticidad tiene el proceso para el área de TI.
Página 19
3.2 Introducción a los procesos COBIT
COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios.
Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y
Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y
monitorear.
El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común

para que todos en la empresa visualicen y administren las actividades de TI. La incorporación de un
modelo operativo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de
los pasos iniciales más importantes hacia un buen gobierno. Un modelo de procesos fomenta la propiedad
de los procesos, permitiendo que se definan las responsabilidades.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser
administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir,
ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la siguiente
figura, se llaman:
Ilustración 2.Los 4 dominios interrelacionados de COBIT
o Planear y Organizar (PO): Proporciona dirección para la entrega de soluciones (AI) y la entrega
de servicio (DS).
o Adquirir e Implementar (AI): Proporciona las soluciones y las pasa para convertirlas en servicios.
o Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales.
o Monitorear y Evaluar (ME): Monitorear todos los procesos para asegurar que se sigue la dirección
provista.
PLANEAR Y ORGANIZAR (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede
contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión
estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente,
se debe implementar una estructura organizacional y una estructura tecnológica apropiada.
Página 20
ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o
adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el
mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las
soluciones sigan satisfaciendo los objetivos del negocio.
ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración
de los datos y de las instalaciones operativos.
MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el
monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver
¡Error! No se encuentra el origen de la referencia.) para la lista completa). Mientras la mayoría de las
empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la
mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran
todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser
utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es
necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta.
Información de cómo se pueden medir las metas, también se proporcionan cuáles son sus actividades
clave y entregables principales, y quién es el responsable de ellas.
3.3 Introducción a controles
COBIT define objetivos de control para los 34 procesos, así como para el proceso general y los controles
de aplicación.
3.3.1 Los procesos requieren controles
Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas
para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no
deseados serán prevenidos o detectados y corregidos.
COBIT se basa en el siguiente modelo de control estándar:
Página 21
Ilustración 3. Modelo de Control COBIT
Para lograr un gobierno efectivo, los gerentes de operaciones deben implementar los controles necesarios
dentro de un marco de control definido para todos los procesos TI. Ya que los objetivos de control de TI de
COBIT están organizados por procesos de TI, el marco de trabajo brinda vínculos claros entre los
requerimientos de gobierno de TI, los procesos de TI y los controles de TI.
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos de
control detallados. Como un todo, representan las características de un proceso bien administrado. Cada
proceso COBIT tiene requerimientos de control genéricos, los cuales son:
CONTROLES PROCESOS
Definir y comunicar procesos, metas y objetivos específicos, medibles,
Metas y objetivos accionables, reales, orientados a resultado y en tiempo (SMART) para la
del Proceso ejecución efectiva de cada proceso de TI. Asegurando que están enlazados a
las metas de negocio y se soportan por métricas adecuadas.
Asignar un dueño para cada proceso de TI, y definir claramente los roles y
responsabilidades del dueño del proceso. Incluye, por ejemplo,
Propiedad del
responsabilidad del diseño del proceso, interacción con otros procesos,
proceso
rendición de cuentas de los resultados finales, medición del desempeño del
proceso y la identificación de mejora de las oportunidades.
Diseñar y establecer cada proceso clave de TI de tal manera que sea repetible
y consecuentemente produzca los resultados esperados. Proveer una
secuencia lógica pero flexible y escalable de actividades que lleve a los
Proceso repetible
resultados deseados y que sea lo suficientemente ágil para manejar las
excepciones y emergencias. Usar procesos consistentes, cuando sea posible,
y ajustarlos sólo cuando no se pueda evitar.
Definir las actividades clave y entregables finales del proceso. Asignar y

Roles y comunicar roles y responsabilidades no ambiguas para la ejecución efectiva y
responsabilidades eficiente de las actividades clave y su documentación, así como la rendición
de cuentas para los entregables finales del proceso.
Políticas, planes y Definir y comunicar cómo todas las políticas, planes y procedimientos que
Página 22
procedimientos dirigen los procesos de TI están documentados, revisados, mantenidos,

aprobados, almacenados, comunicados y usados para el entrenamiento.
Asignar responsabilidades para cada una de estas actividades y en momentos
oportunos, revisar si se ejecutan correctamente. Asegurar que las políticas,
planes y procedimientos son accesibles, correctos, entendidos y actualizados.
Identificar un conjunto de métricas que proporcionen visión de las salidas y el

desempeño del proceso. Establecer objetivos que se reflejen en las metas del
proceso y los indicadores de desempeño de tal manera que permitan el logro
Desempeño del
de las metas de los procesos. Definir como los datos son obtenidos. Comparar
proceso
las medidas actuales con los objetivos y tomar las acciones sobre las
desviaciones cuando sea necesario. Alinear métricas, objetivos y métodos con
el enfoque de monitoreo global del desempeño de TI.
Tabla 4. Controles Procesos
Los controles efectivos reducen el riesgo, aumentan la probabilidad de la entrega de valor y aumentan la
eficiencia, debido a que habrá menos errores y un enfoque de administración más consistente.
3.3.2 Controles del negocio y de TI
El sistema de control interno de la empresa impacta en TI a tres niveles:
 Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se

toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la
estrategia de la compañía. El enfoque genérico hacia el gobierno y el control se establece por parte
del consejo y se comunica a todo lo largo de la empresa. El ambiente de control de TI es guiado por
este conjunto de objetivos y políticas de alto nivel.
 Al nivel de procesos de negocio, se aplican controles para actividades específicas del negocio.
La mayoría de los procesos de negocio están automatizados e integrados con los sistemas
aplicativos de TI, dando como resultado que muchos de los controles a este nivel estén
automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos
controles dentro del proceso de negocios permanecen como procedimientos manuales, como la
autorización de transacciones, la separación de funciones y las conciliaciones manuales. Los
controles al nivel de procesos de negocio son, por lo tanto, una combinación de controles manuales
operados por el negocio, controles de negocio y controles de aplicación automatizados. Ambos son
responsabilidad del negocio en cuanto a su definición y administración aunque los controles de
aplicación requieren que la función de TI dé soporte a su diseño y desarrollo.
 Para soportar los procesos de negocio, TI proporciona servicios, por lo general de forma
compartida, por varios procesos de negocio, así como procesos operativos y de desarrollo de TI
que se proporcionan a toda la empresa, y mucha de la infraestructura de TI provee un servicio
común (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los controles
aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI. La
operación formal de estos controles generales es necesaria para que dé confiabilidad a los
controles en aplicación. Por ejemplo, una deficiente administración de cambios podría poner en
Página 23
riesgo (por accidente o de forma deliberada) la confiabilidad de los chequeos automáticos de

integridad.
3.3.3 Controles generales de TI y controles de aplicación
Los controles generales son aquellos que están inmersos en los procesos y servicios de TI.
Algunos ejemplos son:
 Desarrollo de sistemas
 Administración de cambios
 Seguridad
 Operaciones de computo
Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general
como controles de aplicación. Por ejemplo:
 Integridad (Completitud)
 Precisión
 Validez
 Autorización
 Segregación de funciones.
COBIT asume que el diseño e implementación de los controles de aplicación automatizados son
responsabilidad de TI, y están cubiertos en el dominio de Adquirir e Implementar, con base en los
requerimientos de negocio definidos, usando los criterios de información de COBIT. La
responsabilidad operativa de administrar y controlar los controles de aplicación no es de TI, sino del
dueño del proceso de negocio.
Por lo tanto, la responsabilidad de los controles de aplicación es una responsabilidad conjunta, fin a
fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera:
 La empresa es responsable de:

o Definir apropiadamente los requisitos funcionales y de control
o Uso adecuado de los servicios automatizados.
 TI es responsable de:
o Automatizar e implementar los requisitos de las funciones de negocio y de control.
o Establecer controles para mantener la integridad de controles de aplicación.
Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los
aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso
operativo es de la empresa.
Página 24
La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones:
CONTROLES DE APLICACIÓN
Asegurar que los documentos fuente están preparados por personal
autorizado y calificado siguiendo los procedimientos establecidos,
Preparación y
teniendo en cuenta una adecuada segregación de funciones respecto al
autorización de
origen y aprobación de estos documentos. Los errores y omisiones
información
pueden ser minimizados a través de buenos diseños de formularios de
fuente
entrada. Detectar errores e irregularidades para que sean informados y
corregidos.
Establecer que la entrada de datos se realice en forma oportuna por

Recolección y personal calificado y autorizado. Las correcciones y reenvíos de los datos
entrada de que fueron erróneamente ingresados se deben realizar sin comprometer
información los niveles de autorización de las transacciones originales. En donde sea
fuente apropiado para reconstrucción, retener los documentos fuente originales
durante el tiempo necesario.
Chequeos de
Asegurar que las transacciones son exactas, completas y válidas. Validar
Exactitud,
los datos ingresados, y editar o devolver para corregir, tan cerca del punto
Integridad y
de origen como sea posible.
Autenticidad
Integridad y Mantener la integridad y validación de los datos a través del ciclo de

Validez del procesamiento. Detección de transacciones erróneas no interrumpe el
Procesamiento procesamiento de transacciones validas.
Establecer procedimientos y responsabilidades asociadas para asegurar
Revisión de
que la salida se maneja de una forma autorizada, entregada al
Salidas,
destinatario apropiado, y protegida durante la transmisión; que se verifica,
Reconciliación y
detecta y corrige la exactitud de la salida; y que se usa la información
Manejo de Errores
proporcionada en la salida.
Antes de pasar datos de la transacción entre aplicaciones internas y
Autenticación e funciones de negocio/operativas (dentro o fuera de la empresa), verificar
Integridad de el apropiado direccionamiento, autenticidad del origen e integridad del
Transacciones contenido. Mantener la autenticidad y la integridad durante la transmisión
o el transporte.
Tabla 5. Controles de aplicación
3.4 Documentación de procesos
La navegación en COBIT de un proceso es un formato que proporciona esta metodología para

documentar cada uno de los procesos de TI, por lo cual es parte fundamental porque un objetivo final de
esta guía es tener cada uno de los procesos del área de TI de esta forma.
Para cada uno de los procesos TI de COBIT, se proporciona un objetivo de control de alto nivel, junto con
las metas y métricas clave en forma de cascada.
Página 25
Ilustración 4. Navegación en COBIT
3.4.2 Introducción a los componentes esenciales de COBIT
El marco de trabajo de COBIT está compuesto de los siguientes componentes esenciales, organizados
en los 34 procesos de TI, brindando así una visión completa de cómo controlar, administrar y medir
Página 26
cada proceso. Cada proceso está cubierto en cuatro secciones, y cada sección constituye
aproximadamente una página, de la manera siguiente:
COMPONENTES COBIT
Secciones Contenido Descripción
Descripción del proceso que resume los objetivos del
proceso
El objetivo de control de alto nivel representado en Describen lo que el
Sección 1 formada de cascada. dueño requiere hacer.
El mapeo de este proceso con los criterios de Se indica con una P la
información, con los recursos de TI y con las áreas de relación primaria y con
enfoque de gobierno de TI. una S la secundaria.
Sección 2 Los objetivos de control detallados para este proceso.
Lo que el dueño del

Las entradas del proceso. proceso requiere de
otros.
Lo que el dueño debe
Las salidas del proceso.
Sección 3 entregar.
Qué se debe delegar y a
La matriz RACI.
quién.
Cómo se debe medir el
Las metas y las métricas.
proceso.
Qué se debe hacer para
Sección 4 El modelo de madurez para el proceso.
mejorar.
Tabla 6. Componentes COBIT
3.5 Relacionar los procesos COBIT con los procesos del área
En esta etapa la guía proporciona una plantilla en la que se listan los procesos establecidos por COBIT 4.1
(ver Tabla 9), en la cual se debe colocar si ese proceso se cumple en el área. Esta información se completa
basándose en la información obtenida en las fases anteriores y por el conocimiento de las personas
encargadas del área.
En la herramienta de apoyo de esta guía, al usar esta plantilla, al hacer doble click sobre el nombre del
proceso encontrará la descripción del mismo, para entender de una mejor forma a que hace referencia
cada uno de estos.
3.6 Relacionar las metas de TI de COBIT con las metas de TI del área
En esta etapa la guía proporciona una plantilla en la que se listan las metas de TI establecidos por COBIT
4.1, en la cual se debe colocar si esa meta se cumple en el área. Esta información se completa basándose
en la información obtenida en las fases anteriores y por el conocimiento de las personas encargadas del
área.
Página 27
3.7 Introducción de objetivos de Control
Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a

considerar por la gerencia para un control efectivo de cada proceso de TI. Estos:
 Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo.

 Consisten en políticas, procedimientos, prácticas y estructuras organizacionales.
 Están diseñadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se
conseguirán y que los eventos no deseables se prevendrán, detectarán y corregirán.
La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control:
 Seleccionando aquellos aplicables.

 Decidir aquellos que deben implementarse.
 Elegir como implementarlos (frecuencia, extensión, automatización, etc.)
 Aceptar el riesgo de no implementar aquellos que podrían aplicar.
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos
de control detallados. Como un todo, representan las características de un proceso bien administrado. Los
objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, AI, DS y
ME) más un número de proceso y un número de objetivo de control.
3.8 Relacionar los objetivos de control de COBIT con el área de TI
En esta etapa la guía proporciona una plantilla en la que se listan los objetivos de control establecidos por
COBIT 4.1, en la cual se debe colocar si cada uno de esos objetivos se cumple en el área. Esta
información se completa basándose en la información obtenida en las fases anteriores y por el
conocimiento de las personas encargadas del área.
En la herramienta de apoyo de esta guía, al usar esta plantilla, al hacer doble click sobre el nombre del
objetivo de control encontrará la descripción del mismo, para entender de una mejor forma a que hace
referencia cada uno de estos.
3.9 Responder preguntas gerenciales
Antes de comenzar a desarrollar COBIT, la guía proporciona ciertas preguntas con el fin de conocer que
visión tiene los responsables del área de TI en la actualidad.
3.10 Entregables
Los entregables propuestos son:
 Durante esta etapa de la guía se debe desarrollar y entregar la plantilla de procesos (Tabla 7 )
diligenciada por la(s) persona(s) responsable(s) de la implementación de COBIT. Esta incluye la
información necesaria para conocer cada uno de los procesos del área. Esta plantilla no hace parte
Página 28
de la herramienta de apoyo de la guía, ya que solo se utiliza para un conocimiento general del
área. Cada ítem ha sido explicado en la sección 3.1.
 También se debe diligenciar la plantilla de actividades (Tabla 8), la cual incluye la información
importante de las actividades que apoyan cada proceso. Esta plantilla no hace parte de la
herramienta de apoyo de la guía, ya que solo se utiliza para un conocimiento general del área.
 Se debe completar la plantilla de relación de procesos ( Tabla 9), en la cual se debe colocar SI en
caso de que se considere que se cumple en el área o NO en caso contrario.
 Se debe completar la plantilla de relación de metas de TI ( Tabla 9), en la cual se debe colocar SI en
caso de que se considere que se cumple en el área o NO en caso contrario.
 Se debe completar la plantilla de relación de Objetivos de Control (Tabla 11), en la cual se debe
colocar SI en caso de que se considere que se cumple en el área o NO en caso contrario.
 En esta fase la(s) persona(s) responsable(s) de la implementación de COBIT deben desarrollar la
plantilla de preguntas gerenciales (Tabla 12). Deben responder SI o NO. Las preguntas están
divididas en 4 grupos, en donde cada grupo representa un dominio. Además hay un campo
adicional por cada domino, por si se desea aclarar algún aspecto respecto a alguna pregunta.
PLANTILLA PROCESOS
Nombre del
proceso
Descripción
Objetivo(s)
Métricas •
(Como se esta •
midiendo la correcta
•
ejecución del proceso
o la efectividad del •
mismo) •
Página 29
•
•
• •
Procesos
• •
relacionados (Que
otros procesos están • •
relacionados con el • •
proceso)
• •
Responsable(s)
Importancia o Escala de
criticidad medición
Tabla 7. Plantilla de Procesos
PLANTILLA ACTIVIDADES
ACTIVIDAD
DESCRIPCIÓN
Responsable(s)
ACTIVIDAD
DESCRIPCIÓN
Responsable(s)
ACTIVIDAD
Página 30
DESCRIPCIÓN
Responsable(s)
Tabla 8. Plantilla de Actividades
RELACIÓN DE PROCESOS
ID
Dominio Procesos COBIT Se ejecuta (SI/NO)
proceso
P01 Definir un plan estratégico de TI
P02 Definir la Arquitectura de la Información
P03 Determinar la Dirección Tecnológica
P04 Definir los Procesos, Organización y Relaciones de TI
P05 Administrar la Inversión en TI
Planear y
organizar Comunicar las Aspiraciones y la Dirección de la
P06
Gerencia
P07 Administrar Recursos Humanos de TI
P08 Administrar la Calidad
P09 Evaluar y Administrar los Riesgos de TI
P10 Administrar Proyectos
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnológica
Adquirir e
AI4 Facilitar la operación y el uso
implementar
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
Entregar y DS4 Garantizar la continuidad del servicio
dar soporte DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
Página 31
DS9 Administrar la configuración

DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones
ME1 Monitorear y Evaluar el Desempeño de TI
Monitorear ME2 Monitorear y Evaluar el Control Interno
y evaluar ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
Tabla 9.Plantilla de relación de procesos
RELACIÓN DE METAS DE TI
Metas de TI Se cumple (SI/NO)
Responder a requerimientos de negocio alineado con la estrategia de

1
negocio
Responder a los requerimientos de gobierno en línea con la dirección
2
ejecutiva
Asegurar la satisfacción del usuario final con la oferta de servicios y
3
niveles de servicio
4 Optimizar el uso de la información
5 Crear agilidad de TI
Definir como la funcionalidad de negocio y requerimientos de control se
6
trasladan en soluciones efectivas
7 Adquirir y mantener sistemas de aplicación integrados y estandarizados
8 Adquirir y mantener una infraestructura de TI integrada y estandarizada
9 Adquirir y mantener habilidades de TI que responden a la estrategia de TI
10 Asegurar la satisfacción mutua de relaciones con terceras partes
Asegurar la integración sin fisuras de las aplicaciones dentro de los
11
procesos del negocio
Asegurar la transparencia y comprensión de costes de TI, beneficios,
12
estrategia, políticas y niveles de servicio
Asegurar el uso apropiado y desempeño de las soluciones de aplicación y
13
tecnología
14 Tener en cuenta y proteger todos los activos de TI
15 Optimizar la infraestructura, recursos y capacidades de TI.
16 Reducir los defectos de la solución y entrega de servicio y reelaborar
17 Proteger el logro de los objetivos de TI
Establecer la claridad del impacto de negocio de los riesgos a los objetivos
18
y recursos de TI
Asegurar que la información critica y confidencial se retiene a aquellos que
19
no deben tener acceso
Página 32
Asegurar que las transacciones de negocio automatizadas y los cambios a

20
la información son confiables
Asegurar que los servicios de TI y la infraestructura pueden resistir
21 apropiadamente y recuperar fallos debido a errores, ataques deliberados o
desastres
Asegurar el mínimo impacto de negocio en caso de una interrupción de
22
servicios de TI o cambios
23 Estar seguros que los servicios de TI están disponibles según se requiere
Mejorar la eficiencia de costes de TI y sus contribuciones a la rentabilidad
24
del negocio
Entregar proyectos a tiempo y sobre presupuesto, reuniendo los
25 estándares de calidad
Mantener la integridad de la información e infraestructura de
26
procesamiento
27 Asegurar que TI cumple con la legislación, regulación y contratos.
Asegurar que TI demuestra la eficiencia de costes de la calidad de
28
servicios, mejoras continuas y disposición para cambios futuros.
Tabla 10. Plantilla de relación de Metas de TI
RELACIÓN OBJETIVOS DE CONTROL
ID Proceso ID O.C Objetivo de Control Se ejecuta (SI/NO)
P01.1 Administración del Valor de TI

P01.2 Alineación de TI con el Negocio
P01.3 Evaluación del Desempeño y la Capacidad Actual
P01
P01.4 Plan Estratégico de TI
P01.5 Planes Tácticos de TI
P01.6 Administración del Portafolio de TI
P02.1 Modelo de Arquitectura de Información Empresarial
Diccionario de Datos Empresarial y Reglas de Sintaxis
P02.2
P02 de Datos
P02.3 Esquema de Clasificación de Datos
P02.4 Administración de Integridad
P03.1 Planeación de la Dirección Tecnológica
P03.2 Plan de Infraestructura Tecnológica
P03 P03.3 Monitoreo de Tendencias y Regulaciones Futuras
P03.4 Estándares Tecnológicos
P03.5 Consejo de Arquitectura de TI
P04.1 Marco de Trabajo de Procesos de TI
P04.2 Comité Estratégico de TI
P04 P04.3 Comité Directivo de TI
P04.4 Ubicación Organizacional de la Función de TI
P04.5 Estructura Organizacional
Página 33
P04.6 Establecimiento de Roles y Responsabilidades

P04.7 Responsabilidad de Aseguramiento de Calidad de TI
Responsabilidad sobre el Riesgo, la Seguridad y el
P04.8
Cumplimiento
P04.9 Propiedad de Datos y de Sistemas
P04.10 Supervisión
P04.11 Segregación de Funciones
P04.12 Personal de TI
P04.13 Personal Clave de TI
P04.14 Políticas y Procedimientos para Personal Contratado
P04.15 Relaciones
P05.1 Marco de Trabajo para la Administración Financiera
P05.2 Prioridades Dentro del Presupuesto de TI
P05 P05.3 Proceso Presupuestal
P05.4 Administración de Costos de TI
P05.5 Administración de Beneficios
P06.1 Ambiente de Políticas y de Control
Riesgo Corporativo y Marco de Referencia de Control
P06.2
Interno de TI
P06
P06.3 Administración de Políticas para TI
P06.4 Implantación de Políticas de TI
P06.5 Comunicación de los Objetivos y la Dirección de TI
P07.1 Reclutamiento y Retención del Personal
P07.2 Competencias del Personal
P07.3 Asignación de Roles
P07.4 Entrenamiento del Personal de TI
P07
P07.5 Dependencia Sobre los Individuos
P07.6 Procedimientos de Investigación del Personal
P07.7 Evaluación del Desempeño del Empleado
P07.8 Cambios y Terminación de Trabajo
P08.1 Sistema de Administración de Calidad
P08.2 Estándares y Prácticas de Calidad
P08.3 Estándares de Desarrollo y de Adquisición
P08
P08.4 Enfoque en el Cliente de TI
P08.5 Mejora Continua
P08.6 Medición, Monitoreo y Revisión de la Calidad
P09.1 Marco de Trabajo de Administración de Riesgos
P09.2 Establecimiento del Contexto del Riesgo
P09
P09.3 Identificación de Eventos
P09.4 Evaluación de Riesgos de TI
Página 34
P09.5 Respuesta a los Riesgos

Mantenimiento y Monitoreo de un Plan de Acción de
P09.6
Riesgos
P10.1 Marco de Trabajo para la Administración de Programas
P10.2 Marco de Trabajo para la Administración de Proyectos
P10.3 Enfoque de Administración de Proyectos
P10.4 Compromiso de los Interesados
P10.5 Declaración de Alcance del Proyecto
P10.6 Inicio de las Fases del Proyecto
P10.7 Plan Integrado del Proyecto
P10 P10.8 Recursos del Proyecto
P10.9 Administración de Riesgos del Proyecto
P10.10 Plan de Calidad del Proyecto
P10.11 Control de Cambios del Proyecto
P10.12 Planeación del Proyecto y Métodos de Aseguramiento
Medición del Desempeño, Reporte y Monitoreo del
P10.13
Proyecto
P10.14 Cierre del Proyecto
Definición y Mantenimiento de los Requerimientos
A1.1
Técnicos y Funcionales del Negocio
A1.2 Reporte de Análisis de Riesgos
AI1
Estudio de Factibilidad y Formulación de Cursos de
A1.3
Acción Alternativos
A1.4 Requerimientos, Decisión de Factibilidad y Aprobación
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
Configuración e Implantación de Software Aplicativo
AI2.5
AI2 Adquirido
AI2.6 Actualizaciones Importantes en Sistemas Existentes
AI2.7 Desarrollo de Software Aplicativo
AI2.8 Aseguramiento de la Calidad del Software
AI2.9 Administración de los Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo
AI3.1 Plan de Adquisición de Infraestructura Tecnológica
Protección y Disponibilidad del Recurso de
AI3.2
AI3 Infraestructura
AI3.3 Mantenimiento de la Infraestructura
AI3.4 Ambiente de Prueba de Factibilidad
AI4.1 Plan para Soluciones de Operación
AI4 Transferencia de Conocimiento a la Gerencia del
AI4.2
Negocio
Página 35
AI4.3 Transferencia de Conocimiento a Usuarios Finales

Transferencia de Conocimiento al Personal de
AI4.4
Operaciones y Soporte
AI5.1 Control de Adquisición
AI5.2 Administración de Contratos con Proveedores
AI5
AI5.3 Selección de Proveedores
AI5.4 Adquisición de Recursos de TI
AI6.1 Estándares y Procedimientos para Cambios
AI6.2 Evaluación de Impacto, Priorización y Autorización
AI6 AI6.3 Cambios de Emergencia
AI6.4 Seguimiento y Reporte del Estatus de Cambio
AI6.5 Cierre y Documentación del Cambio
AI7.1 Entrenamiento
AI7.2 Plan de Prueba
AI7.3 Plan de Implantación
AI7.4 Ambiente de Prueba
AI7 AI7.5 Conversión de Sistemas y Datos
AI7.6 Pruebas de Cambios
AI7.7 Prueba de Aceptación Final.
AI7.8 Promoción a Producción
AI7.9 Revisión Posterior a la Implantación
Marco de Trabajo de la Administración de los Niveles
DS1.1
de Servicio
DS1.2 Definición de Servicios
DS1.3 Acuerdos de Niveles de Servicio
DS1 DS1.4 Acuerdos de Niveles de Operación
Monitoreo y Reporte del Cumplimento de los Niveles de
DS1.5
Servicio
Revisión de los Acuerdos de Niveles de Servicio y de
DS1.6
los Contratos
Identificación de Todas las Relaciones con
DS2.1
Proveedores
DS2 DS2.2 Gestión de Relaciones con Proveedores
DS2.3 Administración de Riesgos del Proveedor
DS2.4 Monitoreo del Desempeño del Proveedor
DS3.1 Planeación del Desempeño y la Capacidad
DS3.2 Capacidad y Desempeño Actual
DS3 DS3.3 Capacidad y Desempeño Futuros
DS3.4 Disponibilidad de Recursos de TI
DS3.5 Monitoreo y Reporte
DS4.1 Marco de Trabajo de Continuidad de TI
DS4
DS4.2 Planes de Continuidad de TI
Página 36
DS4.3 Recursos Críticos de TI

DS4.4 Mantenimiento del Plan de Continuidad de TI
DS4.5 Pruebas del Plan de Continuidad de TI
DS4.6 Entrenamiento del Plan de Continuidad de TI
DS4.7 Distribución del Plan de Continuidad de TI
DS4.8 Recuperación y Reanudación de los Servicios de TI
Almacenamiento de Respaldos Fuera de las
DS4.9
Instalaciones
DS4.10 Revisión Post Reanudación
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5
DS5.7 Protección de la Tecnología de Seguridad
DS5.8 Administración de Llaves Criptográficas
Prevención, Detección y Corrección de Software
DS5.9
Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
DS6.1 Definición de Servicios
DS6.2 Contabilización de TI
DS6
DS6.3 Modelación de Costos y Cargos
DS6.4 Mantenimiento del Modelo de Costos
Identificación de Necesidades de Entrenamiento y
DS7.1
Educación
DS7
DS7.2 Impartición de Entrenamiento y Educación
DS7.3 Evaluación del Entrenamiento Recibido
DS8.1 Mesa de Servicios
DS8.2 Registro de Consultas de Clientes
DS8 DS8.3 Escalamiento de Incidentes
DS8.4 Cierre de Incidentes
DS8.5 Análisis de Tendencias
DS9.1 Repositorio y Línea Base de Configuración
Identificación y Mantenimiento de Elementos de
DS9 DS9.2
Configuración
DS9.3 Revisión de Integridad de la Configuración
DS10.1 Identificación y Clasificación de Problemas
DS10 DS10.2 Rastreo y Resolución de Problemas
DS10.3 Cierre de Problemas
Página 37
Integración de las Administraciones de Cambios,

DS10.4
Configuración y Problemas
Requerimientos del Negocio para Administración de
DS11.1
Datos
DS11.2 Acuerdos de Almacenamiento y Conservación
DS11.3 Sistema de Administración de Librerías de Medios
DS11
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
Requerimientos de Seguridad para la Administración de
DS11.6
Datos
DS12.1 Selección y Diseño del Centro de Datos
DS12.2 Medidas de Seguridad Física
DS12 DS12.3 Acceso Físico
DS12.4 Protección Contra Factores Ambientales
DS12.5 Administración de Instalaciones Físicas
DS13.1 Procedimientos e Instrucciones de Operación
DS13.2 Programación de Tareas
DS13 DS13.3 Monitoreo de la Infraestructura de TI
DS13.4 Documentos Sensitivos y Dispositivos de Salida
DS13.5 Mantenimiento Preventivo del Hardware
ME1.1 Enfoque del Monitoreo
ME1.2 Definición y Recolección de Datos de Monitoreo
ME1.3 Método de Monitoreo
ME1
ME1.4 Evaluación del Desempeño
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
ME1.6 Acciones Correctivas
ME2.1 Monitoreo del Marco de Trabajo de Control Interno
ME2.2 Revisiones de Auditoría
ME2.3 Excepciones de Control
ME2 ME2.4 Auto Evaluación del Control
ME2.5 Aseguramiento del Control Interno
ME2.6 Control Interno para Terceros
ME2.7 Acciones Correctivas
Identificar los Requerimientos de las Leyes,
ME3.1
Regulaciones y Cumplimientos Contractuales
ME3.2 Optimizar la Respuesta a Requerimientos Externos
ME3 Evaluación del Cumplimiento con Requerimientos
ME3.3
Externos
ME3.4 Aseguramiento Positivo del Cumplimiento
ME3.5 Reportes Integrados
ME4 ME4.1 Establecimiento de un Marco de Gobierno de TI
Página 38
ME4.2 Alineamiento Estratégico

ME4.3 Entrega de Valor
ME4.4 Administración de Recursos
ME4.5 Administración de Riesgos
ME4.6 Medición del Desempeño
ME4.7 Aseguramiento Independiente
Tabla 11. Plantilla de relación de Objetivos de Control
PREGUNTAS GERENCIALES
 ¿Están alineadas las estrategias de TI y del negocio?
 ¿La empresa está alcanzando un uso óptimo de sus recursos?
 ¿Entienden todas las personas dentro de la organización los

Planear y organizar
objetivos de TI?
 ¿Se entienden y administran los riesgos de TI?
 ¿Es apropiada la calidad de los sistemas de TI para las necesidades

del negocio?
Observaciones
 ¿Es probable que los nuevos proyectos generen soluciones que

satisfagan las necesidades del negocio?
 ¿Es probable que los nuevos proyectos sean entregados a tiempo y
Adquirir e dentro del presupuesto?
implementar  ¿Trabajaran adecuadamente los nuevos sistemas una vez
implementados?
 ¿Los cambios no afectaran a las operaciones actuales del negocio?
Observaciones
 ¿Se están entregando los servicios de TI de acuerdo con las

prioridades del negocio?
 ¿Están optimizando los costos de TI?

Entregar y dar
soporte  ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de
manera productiva y segura?
 ¿Están implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?
Página 39
Observaciones
 ¿Se mide el desempeño de TI para detectar los problemas antes de

que sea demasiado tarde?
 ¿La Gerencia garantiza que los controles internos son efectivos y
Monitorear y eficientes?
evaluar  ¿Puede vincularse el desempeño de lo que TI ha realizado con las
metas del negocio?
 ¿Se miden y reportan los riesgos, el control, el cumplimiento y el
desempeño?
Observaciones
Tabla 12. Preguntas gerenciales
Página 40
4 APLICACIÓN DE COBIT
Esta es la fase principal de la guía, ya que es en está, en la que se hace el desarrollo completo de COBIT;
basados en la información obtenida en las etapas anteriores y en la información proporcionada en esta fase
sobre COBIT, se hace el mapeo de lo que se tiene en el actualidad en el área de TI, con lo propuesto en esta
metodología, para luego comenzar a desarrollar cada uno de los procesos actuales basándose en COBIT 4.1.
Durante esta etapa la(s) persona(s) involucrada(s) en la implementación de COBIT se darán cuenta la utilidad
de la guía, ya que si esta es seguida como se ha planteado, se facilitará el entendimiento y el desarrollo de la
metodología, y lo más importante, se estará desarrollando COBIT en el área de TI sin necesidad de ser un
experto en el tema, y con la certeza de que se está haciendo de una forma efectiva y conveniente para el
área. Para esto, la guía proporciona todas las herramientas necesarias para lograr lo dicho anteriormente; ya
sean gráficas, plantillas o formatos necesarios para el caso. En esta fase debe usarse la herramienta de
apoyo de esta guía.
 Brindarle a la(s) persona(s) involucrada(s) en la implementación de COBIT las herramientas e

información necesaria para el entendimiento de esta metodología.
 Mapear por completo la información del área de TI obtenida con COBIT 4.1.
 Obtener la madurez de los procesos actuales del área de TI basados en COBIT 4.1.
 Desarrollar COBIT en el área de TI de la organización.
4.1 Introducción a las metas de negocio de TI y metas de TI de COBIT
COBIT se basa en el siguiente principio: Para proporcionar la información que la empresa requiere para lograr
sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto
estructurado de procesos que provean los servicios que entregan la información empresarial requerida. Como
lo muestra la siguiente figura.
Página 41
Ilustración 5. Principio Básico de COBIT
Para cumplir con este principio COBIT ofrece herramientas que garantizan la alineación con los
requerimientos del negocio.
4.1.1 CRITERIOS DE INFORMACIÓN DE COBIT
Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de
control, los cuales son referidos en COBIT como requerimientos de información del negocio. Para esto
se definieron los siguientes siete criterios de información:
CRITERIOS DE INFORMACIÓN
Tiene que ver con que la información sea relevante y pertinente a los procesos
Efectividad del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
Consiste en que la información sea generada con el óptimo (más productivo y
Eficiencia
económico) uso de los recursos.
Se refiere a la protección de información sensitiva contra revelación no
Confidencialidad
autorizada.
Está relacionada con la precisión y completitud de la información, así como con
Integridad
su validez de acuerdo a los valores y expectativas del negocio.
Se refiere a que la información esté disponible cuando sea requerida por los
Disponibilidad procesos del negocio en cualquier momento. También concierne a la protección
de los recursos y las capacidades necesarias asociadas.
Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales
a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios
Cumplimiento
impuestos externamente, así como políticas internas.
Se refiere a proporcionar la información apropiada para que la gerencia

Confiabilidad administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
Tabla 13. Criterios de Información
Página 42
4.1.2 METAS DE NEGOCIO Y DE TI
Mientras que los criterios de información proporcionan un método genérico para definir los
requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece
una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de
negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. Toda
empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas como metas del
negocio para TI.
Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia de la
empresa, debe existir una propiedad y una dirección clara de los requerimientos por parte del negocio
(el cliente) y un claro entendimiento para TI, de cómo y qué debe entregar (el proveedor). La Ilustración
6 muestra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos
relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI). Estos objetivos a su vez,
deben conducir a una clara definición de los propios objetivos de TI (las metas de TI), y luego éstas a
su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) requeridos para
ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial. Para que el
cliente entienda las metas y los scorecard de TI, todos estos objetivos y sus métricas asociadas se
deben expresar en términos de negocio significativos para el cliente, y esto, combinado con una
alineación efectiva de la jerarquía de objetivos, asegurará que el negocio pueda confirmar que TI
puede, con alta probabilidad, dar soporte a las metas del negocio.
Una vez que han sido definidas las metas alineadas, estás requieren ser monitoreadas para garantizar
que la entrega cumple con las expectativas. Esto se logra con métricas derivadas de las metas y
capturadas en el scorecard de TI.
Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos objetivos y
métricas asociadas deben expresarse en términos de negocio significativos para el cliente. Esto,
combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio puede
confirmar que es probable que TI soporte los objetivos de la empresa.
Página 43
Ilustración 6. Metas de TI y arquitectura empresarial para TI
4.1.3 RECURSOS DE TI
La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos
con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnología para ejecutar
aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del
negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI, como
se muestra en la Ilustración 6.
Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los
recursos requeridos para crear una capacidad técnica adecuada (Ej., un sistema de planeación de
recursos empresariales [ERP]) para dar soporte a la capacidad del negocio (Ej., implementando una
cadena de suministro) que genere el resultado deseado (Ej., mayores ventas y beneficios financieros).
Página 44
Los recursos de TI identificados en COBIT se pueden definir como sigue:
RECURSOS DE TI
Incluyen tanto sistemas de usuario automatizados como procedimientos
Aplicaciones
manuales que procesan información.
Los datos en todas sus formas, de entrada, procesados y generados por los
Información sistemas de información, en
cualquier forma en que sean utilizados por el negocio.
Tecnología y las instalaciones (hardware, sistemas operativos, sistemas de

administración de base de datos, redes, multimedia, etc., así como el sitio donde
Infraestructura
se encuentran y el ambiente que los soporta) que permiten el procesamiento de
las aplicaciones.
Personal requerido para planear, organizar, adquirir, implementar, entregar,

soportar, monitorear y evaluar los sistemas y los servicios de información. Estas
Personas
pueden ser internas, por outsourcing o contratadas, de acuerdo a como se
requieran.
Tabla 14. Recursos de TI
4.2 Mapear la información de TI obtenida
En esta etapa se deben tomar como guía las plantillas resultantes de las fase 2 y 3 (Ver Sección 2.2 y
Entregables), y la plantilla de Metas de TI proporcionada por COBIT 4.1. Para esta parte de la guía se
usara la plantilla llamada Enlace metas TI a procesos TI (Ver Ilustración 13) la cual contiene los siguientes
campos:
 Metas de TI: Corresponden a las metas de TI que son planteadas por COBIT.
 Procesos: Son los ID’s de los procesos planteados por COBIT.
 Criterios de información: Ver Criterios de información. En este campo, algunos de estos
criterios contienen la letra P o S, las cuales son referencias primarias y secundarias que se basan
en un agregado de los criterios para cada proceso de TI y en una evaluación subjetiva de qué es
primario y qué es secundario para la meta de TI., debido a que algunos procesos tienen mayor
impacto en la meta de TI que otros. Estos son simples indicativos propuestos por COBIT.
La(s) persona(s) responsable(s) de la implementación de COBIT deben seguir el siguiente procedimiento:
1) En la plantilla de Enlace metas TI a procesos TI (Ver Ilustración 13) se deben poner en azul
aquella metas que aparecen en SI en la Plantilla de relación de Metas de TI, las cuales se deben
seleccionar (filtrar por color), con el fin de obtener solo aquellas que se están cumpliendo
actualmente en el área.
2) Tomar cada uno de los procesos correspondientes a las metas seleccionadas, y revisar si en
procesos cumplidos aparecen con NO, en caso de ser así, estos deben ponerse en rojo en la
Página 45
Plantilla de relación de procesos. Con esto se busca determinar aquellos procesos que
probablemente se están cumpliendo en el área, pero no se tienen presentes.
Con esto se busca reflejar la actualidad a nivel organizacional del área de TI, es decir, determinar la
cantidad de metas que se tienen, si son las esperadas, si son las deseadas, y además cuales están
faltando. Adicional a esto, ya se puede ver y entender el área de TI en términos de COBIT, lo cual es
fundamental para la correcta implementación de esta metodología.
4.3 Directrices gerenciales
4.3.1 Introducción a las directrices gerenciales
Estas directrices lo que buscan es que exista un mejor control y una mejor administración de los procesos,
además que estos sean fáciles de entender tanto para la persona directamente responsable como para las
personas interesadas en medir el desempeño del área. Estas directrices, se dividen en:
4.3.1.1 Entradas y salidas de proceso

Los dueños de procesos deben entender qué entradas requieren de otros procesos y qué requieren otros
de sus procesos. COBIT brinda ejemplos genéricos de las entradas y salidas clave para cada proceso
incluyendo los requerimientos externos de TI. Existen algunas salidas que son entradas a todos los demás
procesos, marcadas como "TODOS" en las tablas de salidas, pero no se mencionan como entradas en
todos los procesos.
4.3.1.2 Matriz RACI

El entendimiento de los roles y responsabilidades para cada proceso es clave para un gobierno efectivo.
COBIT proporciona una matriz RACI (quién es responsable, quién rinde cuentas, quién es consultado y
quien informado) para cada proceso. Rendir cuentas significa la responsabilidad termina aquí‘—ésta es la
persona que provee autorización y direccionamiento a una actividad. Responsabilidad se refiere a la
persona que realiza la actividad. Los otros dos roles (consultado e informado) garantizan que todas las
personas que son requeridas están involucradas y dan soporte al proceso.
Los roles en la matriz RACI están clasificados para todos los procesos como sigue:
 Director ejecutivo (CEO)

 Director financiero (CFO)
 Ejecutivos del negocio
 Director de Informática (CIO)
 Dueño del proceso de negocio
 Jefe de operaciones
 Arquitecto en jefe
 Jefe de desarrollo
 Jefe de administración de TI (para empresas grandes, el jefe de funciones como recursos humanos,
presupuestos y control interno)
 La oficina o función de administración de proyectos (PMO)
 Cumplimiento, auditoría, riesgo y seguridad (grupos con responsabilidades de control que no tienen
responsabilidades operativas de TI)
Página 46
4.3.1.3 Metas y métricas

Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué
nivel de administración y control debe proporcionar. Para decidir el nivel correcto, la gerencia debe
preguntarse: ¿Hasta dónde debemos ir?, y ¿está el costo justificado por el beneficio?
La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué
se debe medir y cómo? Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e
implementar un juego de herramientas gerenciales para monitorear esta mejora. Dos de las maneras en
que COBIT desarrolla estos temas son:
 Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos
satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los
procesos internos basados en los principios de un marcador de puntuación balanceado (balanced
scorecard).
 Metas de actividades para facilitar el desempeño efectivo de los procesos.
Medición del desempeño
Las métricas y las metas se definen en COBIT a tres niveles:
 Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría
para medir a TI).
 Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar
soporte a los objetivos de TI (cómo sería medido el dueño del proceso de TI)
 Métricas de desempeño de los procesos (miden qué tan bien se desempeña el proceso para
indicar si es probable alcanzar las metas).
Las metas están definidas de arriba hacia abajo por lo que una meta de negocio determinará varias metas
de TI que la soporten. Una meta de TI se logra por un proceso o la interacción de varios procesos. Por lo
tanto, las metas de TI ayudan a definir las diferentes metas de proceso. A su vez, cada meta de proceso
requiere varias actividades, estableciendo así las metas de actividad. La siguiente figura proporciona un
ejemplo de las relaciones de las metas de negocio, TI, procesos y actividades.
Página 47
Ilustración 7.Ejemplo Relación entre metas
Existen dos tipos de métricas:
 Medidas de resultado: Indican cuando las metas se han conseguido. Estas pueden medirse sólo
después el hecho y, por eso, se llaman ‘indicadores pasados’.
 Indicadores de Desempeño: Indican si es probable conseguir la meta. Se pueden medir antes de
que el resultado sea claro y, por eso, se llaman ‘indicadores futuros’.
Las medidas de resultado de el nivel mas bajo se convierten en indicadores de desempeño para las de
nivel mas alto.
Los indicadores de resultado definen mediciones que informan a gerencia—después del hecho—cuando
una función, proceso o actividad de TI ha alcanzado sus metas. Los indicadores de resultados de las
funciones de TI a menudo se expresan en términos de criterios de la información:
 Disponibilidad de información necesaria para dar soporte a las necesidades del negocio
 Ausencia de riesgos de integridad y de confidencialidad
 Eficiencia en costos de procesos y operaciones
 Confirmación de confiabilidad, efectividad y cumplimiento
Los indicadores de desempeño definen las medidas que determinan lo bien que el negocio, la función de
TI o los procesos de TI se están realizando para que se consigan las metas. Son indicadores futuros de
que las metas serán probablemente conseguidas, impulsando así a las metas de nivel más alto. A menudo
miden la disponibilidad de capacidades, prácticas y habilidades apropiadas, y el resultado de las
actividades subyacentes. Por ejemplo, un servicio entregado por TI es una meta para TI pero es un
indicador de desempeño y una capacidad para el negocio. Esto es debido a que los indicadores de
desempeño se refieren a veces como impulsores de desempeño, particularmente en el balanced
scorecards.
Ilustración 8. Ejemplo Impulsores de Desempeño
Página 48
Por lo tanto, las métricas provistas son tanto medidas de resultado de la función de TI, proceso de TI o
meta de la actividad que miden, como un indicador de desempeño que impulsa las metas de más alto
nivel del negocio, función de TI o proceso de TI.
La siguiente figura ilustra la relación entre las metas de negocio, de TI, de proceso y de las actividades, y
las diferentes métricas. La cascada de metas es ilustrada desde arriba a la izquierda hasta arriba a la
derecha. Debajo de la meta está su medida de resultado. La flecha indica que la misma métrica es un
indicador de desempeño para la meta de más alto nivel.
Ilustración 9. Relación entre procesos, metas y métricas
COBIT proporciona métricas sólo para los resultados de las metas de TI marcadas por la línea punteada.
Mientras que también son indicadores de desempeño para las metas de negocio para TI, COBIT no
proporciona medidas de resultado para las metas de negocio.
Las métricas se han desarrollado con las siguientes características:
 Un alto ratio de visión a esfuerzo (Ej., visión del desempeño y logro de las metas comparado con el
esfuerzo de capturarlas)
 Comparable internamente (Ej. Porcentaje contra una base o números en el tiempo)
 Comparable externamente sin tener en cuenta el tamaño de la empresa o industria.
 Mejor tener pocas métricas buenas (puede incluso ser una muy buena que puede ser influenciadas
por diferentes significados) que una lista más larga de métricas de poca calidad.
 Fácil de medir, no confundir con los objetivos.
Página 49
Para cada proceso de TI en COBIT, las metas y métricas se presentan, como se indica en la siguiente
figura:
Ilustración 10. Presentación de metas y métricas
4.4 Revisar las directrices gerenciales
En esta etapa se deben revisar las directrices gerenciales de cada uno de los procesos seleccionados,
con el fin de conocer mejor lo que COBIT establece para cada uno de estos, y comenzar a aplicarlo en los
procesos del área.
4.5 Modelo de madurez
4.5.1 Introducción a modelo de madurez
Los Modelos de madurez facilitan la evaluación por medio de benchmarking y la identificación de las
mejoras necesarias en la capacidad.
En el área de TI el dueño del proceso se debe poder evaluar de forma progresiva, contra los objetivos de
control. Esto responde a tres necesidades:
1) Una medición relativa de dónde se encuentra la empresa.
Página 50
2) Una manera de decidir hacia dónde ir de forma eficiente.

3) Una herramienta para medir el avance contra la meta.
El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de

evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-
existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el
Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software.
Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el
sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin
es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito
no es avaluar el nivel de adherencia a los objetivos de control.
Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería
como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un
modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las
condiciones del nivel inferior. Con los modelos de madurez de COBIT, a diferencia de la aproximación del
CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un
nivel se ha conseguido con exactitud. Una evaluación de la madurez de COBIT resultara en un perfil
donde las condiciones relevantes a diferentes niveles de madurez se han conseguido, como se muestra
en el siguiente ejemplo gráfico:
70.00%
60.00%
50.00%
40.00%
30.00%
20.00%
10.00%
0.00%
MM Nivel 1 MM Nivel 2 MM Nivel 3 MM Nivel 4 MM Nivel 5
Ilustración 11. Posible nivel de madurez de un Proceso de TI
Esto se debe a que cuando se emplea la evaluación de la madurez con los modelos de COBIT, a menudo
algunas implementaciones estarán en diferentes niveles aunque no esté completa o suficiente. Estas
fortalezas pueden apalancarse para seguir mejorando la madurez. Por ejemplo, algunas partes del
proceso pueden estar bien definidas, y, aún cuando esté incompleto, sería erróneo decir que no está
definido del todo.
Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la
gerencia podrá identificar:
Página 51
 El desempeño real de la empresa—Dónde se encuentra la empresa hoy

 El estatus actual de la industria—La comparación
 El objetivo de mejora de la empresa—Dónde desea estar la empresa
 El crecimiento requerido entre “como es” y “como será”
Para hacer que los resultados sean utilizables con facilidad en resúmenes gerenciales, donde se
presentarán como un medio para dar soporte al caso de negocio para planes futuros, se requiere contar
con un buen método gráfico de presentación.
Ilustración 12. Representación gráfica Modelo Madurez
El desarrollo se basó en las descripciones del modelo de madurez genérico descritas en la tabla siguiente:
MODELO GENERICO DE MADUREZ
0 No Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera

existente que existe un problema a resolver.
Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser
resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc
1 Inicial
que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la
administración es desorganizado.
Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares
2 Repetible
en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación
Página 52
formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un

alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son
muy probables.
Los procedimientos se han estandarizado y documentado, y se han difundido a través de

entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es
3 Definido
poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados
pero formalizan las prácticas existentes.
Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas

4 cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo
Administrado constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas
de una manera limitada o fragmentada.
Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de
mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma
5 Optimizado integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se
adapte de manera rápida.
Tabla 15. Modelo genérico de madurez
La ventaja de un modelo de madurez es que es relativamente fácil para la dirección ubicarse a sí misma en la
escala y evaluar qué se debe hacer si se requiere desarrollar una mejora. La escala incluye al 0 ya que es
muy posible que no existan procesos en lo absoluto. La escala del 0-5 se basa en una escala de madurez
simple que muestra como un proceso evoluciona desde una capacidad no existente hasta una capacidad
optimizada.
Sin embargo, la capacidad administrativa de un proceso no es lo mismo que el desempeño. La capacidad

requerida, como se determina en el negocio y en las metas de TI, puede no requerir aplicarse al mismo nivel
en todo el ambiente de TI, es decir, de forma inconsistente o sólo a un número limitado de sistemas o
unidades. La medición del desempeño es esencial para determinar cuál es el desempeño real de la empresa
en sus procesos de TI.
El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos,
esto es, qué tan capaces son en realidad. Qué tan bien desarrollados o capaces deberían ser, principalmente
dependen de las metas de TI y en las necesidades del negocio subyacentes a las cuales sirven de base.
Cuánta de esa capacidad es realmente utilizada actualmente para retornar la inversión deseada en una
empresa. Por ejemplo, habrá procesos y sistemas críticos que requieren de una mayor administración de la
seguridad que otros que son menos críticos. Por otro lado, el grado y sofisticación de los controles que se
requiere aplicar en un proceso están más definidos por el apetito de riesgo de una empresa y por los
requerimientos aplicables.
Las escalas del modelo de madurez ayudarán a los profesionales a explicarle a la gerencia dónde se
encuentran los defectos en la administración de procesos de TI y a establecer objetivos donde se requieran.
El nivel de madurez correcto estará influenciado por los objetivos de negocio de una empresa, por el ambiente
operativo y por las prácticas de la industria. Específicamente, el nivel de madurez en la administración se
Página 53
basará en la dependencia que tenga la empresa en TI, en su sofisticación tecnológica y, lo más importante, en
el valor de su información.
Un punto de referencia estratégico para una empresa que ayuda a mejorar la administración y el control de los
procesos de TI se puede encontrar observando los estándares internacionales y las mejores prácticas. Las
prácticas emergentes de hoy en día se pueden convertir en el nivel esperado de desempeño del mañana y por
lo tanto son útiles para planear dónde desea estar la empresa en un lapso de tiempo.
Los modelos de madurez se desarrollan empezando con el modelo genérico cualitativo (ver Tabla 15. Modelo
genérico de madurezModelo genérico de madurez) al cual se añaden, en forma creciente, algunos principios
contenidos en los siguientes atributos, a través de niveles:
 Conciencia y comunicación
 Políticas, estándares y procedimientos
 Herramientas y automatización
 Habilidades y experiencia
 Responsabilidad y rendición de cuentas
 Establecimiento y medición de metas
En resumen, los modelos de madurez brindan un perfil genérico de las etapas a través de las cuales
evolucionan las empresas para la administración y el control de los procesos de TI, estos son:
 Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de
madurez.
 Una escala donde la diferencia se puede medir de forma sencilla.
 Una escala que se presta a sí misma para una comparación práctica.
 La base para establecer el estado actual y el estado deseado.
 Soporte para un análisis de brechas para determinar qué se requiere hacer para alcanzar el nivel
seleccionado.
 Tomado en conjunto, una vista de cómo se administra TI en la empresa.
Los modelos de madurez COBIT se enfocan en la capacidad, y no necesariamente en el desempeño. No son

un número al cual hay que llegar, ni están diseñados para ser una base formal de certificación con niveles
discretos que formen umbrales difíciles de atravesar.
Sin embargo, se diseñaron para ser aplicables siempre, con niveles que brindan una descripción que una
empresa pueda reconocer como la mejor para sus procesos. El nivel correcto está determinado por el tipo de
empresa, por su medio ambiente y por la estrategia.
El desempeño, o la manera en que la capacidad se usa y se implanta, es una decisión de rentabilidad. Por
ejemplo, un alto nivel de administración de la seguridad quizá se tenga que enfocar sólo en los sistemas
empresariales más críticos.
Para finalizar, mientras los niveles de madurez más altos aumentan el control del proceso, la empresa aún
necesita analizar, con base en los impulsores de riesgo y de valor, cuáles mecanismos de control debe
aplicar. Las metas genéricas de negocio y de TI, como se definen en este marco de trabajo, ayudarán a
realizar este análisis. Los objetivos de control de COBIT guían los mecanismos de control y éstos se enfocan
Página 54
en qué se hace en el proceso; los modelos de madurez se enfocan principalmente en qué tan bien se
administra un proceso.
Un ambiente de control implantado de forma adecuada, se logra cuando se han conseguido los tres aspectos
de madurez (capacidad, desempeño y control). El incremento en la madurez reduce el riesgo y mejora la
eficiencia, generando menos errores, más procesos predecibles y un uso rentable de los recursos.
4.5.2 Determinar la madurez de cada proceso
En esta etapa se busca determinar la madurez de los procesos que se tienen en el área de TI actualmente.
La(s) persona(s) responsable(s) de la implementación de COBIT debe seguir el siguiente procedimiento:
1) En la plantilla de Enlace Metas TI a Procesos TI se debe seleccionar (hacer click) cada uno de los
procesos, e ir a la sección de modelo de madurez (ver Ilustración 14. Navegación en COBIT). Allí se
mostrarán cada una de los niveles de madurez del proceso junto con sus descripciones
correspondientes (ver Ilustración 21)
2) Por cada uno de los procesos se debe determinar cuáles de estas descripciones se cumplen, y se
debe poner en azul (el tono se muestra en la hoja) cada una de las que son realizadas en el área.
Cabe aclarar que estas descripciones no son excluyente de un nivel a otro, ni tampoco es
necesario que se estén realizando completamente, tal y como se describe en la sección anterior.
3) Cuando se haya completado el chequeo de cada una de las descripciones del proceso, se debe
hacer click sobre el nombre de este, lo cual mostrará una tabla (ver Ilustración 22) con la gráfica de
la madurez del proceso.
4.6 Entregables
Los entregables finales de esta fase se encuentran en la herramienta de apoyo en la sección llamada fase
4. Los cuales se muestran a continuación:
Página 55
Ilustración 13. Enlace Metas TI a Procesos TI
Ilustración 14. Navegación en COBIT
Página 56
Ilustración 15. Descripción del proceso
Página 57
Ilustración 16. Objetivos de Control
Ilustración 17. Descripción Objetivo de Control
Página 58
Ilustración 18. Entradas y Salidas
Ilustración 19. Matriz RACI
Página 59
Ilustración 20. Metas y Métricas
Página 60
Ilustración 21. Modelo de Madurez
Página 61
Ilustración 22. Gráfica nivel de madurez del proceso
Página 62
Etapa 2
En esta etapa se hace el análisis y la retroalimentación de los resultados obtenidos en la etapa anterior; y la
validación de la utilidad y efectividad de esta guía. Para esto se deben cumplir las siguientes dos fases:
5 ANALISIS DE COBIT
Esta es la fase final de la guía, se determinará como esta el área de TI a nivel general, y que mejoras quedan
por hacer basándose en la información obtenida en las cuatro fases anteriores. Esta etapa se puede dividir en
2 sub-fases; en la primera, se hace el análisis completo de los resultados obtenidos, lo cual es, determinar en
que nivel de madurez se encuentra la organización desde el punto de vista de TI, como está actualmente el
área de TI, establecer que tan alineada esta la estrategia de TI con la estrategia del negocio, y además
enfatizar en aquellas mejoras que se deben realizar para alcanzar el estado deseado por los encargados del
área; en la segunda, se determina a qué punto debo volver, para continuar con la implementación de COBIT
en el área de TI.
Los objetivos de esta fase son:
 Determinar qué medidas son necesarias para mejorar el área de TI.
5.1 Análisis del área de TI
En esta etapa se deben tomar cada una de las tablas de madurez de los procesos desarrollados y
determinar cuántos procesos hay en MM nivel 0, nivel 1 hasta nivel 5, y basándose en estos resultados
completar la tabla Madurez Empresa. Al completar esta tabla, se mostrará automáticamente una grafica con
el estado actual del área de TI de la organización.
Basados en esta gráfica, las gráficas individuales de los procesos, y la demás información obtenida
durante el desarrollo de esta guía; la(s) persona(s) involucrada(s) deben determinar cuál es el siguiente
paso a seguir por parte de ellos, con el fin de comenzar a realizar las mejoras necesarias en el área
basándose en la información ofrecida en esta guía y su herramienta de apoyo.
En esta etapa se aconseja que se tomen aquellos procesos que están en un nivel de madurez por debajo
del requerido (si este es el caso), y se apliquen aquellas medidas establecidas por COBIT 4.1 ofrecidas
en la herramienta de apoyo de este documento.
5.2 Siguiente iteración de COBIT
A partir del análisis realizado en el paso anterior se debe volver a un punto determinado de esta guía y
seguir nuevamente el procedimiento establecido, esto con el fin de llegar a tener en algún momento el área
de TI gobernada por COBIT en un 100%.
Página 63
Ilustración 23. Madurez Empresa
Página 64
6 RESULTADOS DEL DESARROLLO DE LA GUIA
En esta etapa simplemente se listan los puntos importantes que se obtuvieron con esta guía.
 El resultado principal de esta guía es haber desarrollado COBIT 4.1 en el área de TI, y esto se ve
reflejado en la documentación obtenida con esta guía.
 Hay un resultado intangible, el cual es, facilitar el entendimiento y manejo de la metodología COBIT
sin ser un experto en la materia.
 Se logro sintetizar la información relevante del área de TI, de su estado actual, y adicionalmente,
indica que se debe hacer para mejorar las distintas debilidades y deficiencias encontradas durante el
desarrollo de esta guía (Archivo COBIT 4.1)
Página 65
GLOSARIO
Actividad- Las medidas principales tomadas para operar un proceso.
Arquitectura de la Información- Ver arquitectura de TI.
Arquitectura de TI- Un marco integrado para evolucionar o dar mantenimiento a TI existente y adquirir nueva
TI para alcanzar las metas estratégicas y de negocio de la empresa.
Arquitectura empresarial para TI- Respuesta en la entrega de TI, provista por procesos claramente definidos
usando sus recursos (aplicaciones, información, infraestructura y personas).
Arquitectura empresarial- Mapa de rutas tecnológicas orientada al negocio para el logro de las metas y
objetivos de negocio.
Balanced Scorecard— Un método para medir las actividades de una empresa en términos de su visión y
estrategias, proporcionando una vista rápida e integral del desempeño del negocio a la gerencia. Es una
herramienta administrativa cuyo fin es medir un negocio desde las siguientes perspectivas: financiera, del
cliente, del negocio y del aprendizaje (Robert S. Kaplan y David Norton, 1992).
Benchmarking- Un proceso utilizado en administración, en particular en la administración estratégica, en el

cual las compañías evalúan varios aspectos de sus procesos de negocio con respecto a las mejores prácticas,
por lo general dentro de su propia industria.
Capacidad- Contar con los atributos necesarios para realizar o lograr.
Cliente- Una persona o entidad externa o interna que recibe los servicios empresariales de TI.
COBIT- Los Objetivos de Control para la Información y la Tecnología relacionada.
Control- Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar
una garantía razonable de que los objetivos del negocio se alcanzaran y los eventos no deseados serán
prevenidos o detectados.
Domino- Agrupación de objetivos de control en etapas lógicas en el ciclo de vida de inversión en TI.
Empresa— Un grupo de individuos que trabajan juntos para un fin común, por lo general dentro del contexto
de una forma organizacional, como una corporación agencia pública, entidad de caridad o fondo.
Estándar- Una práctica de negocio o producto tecnológico que es una práctica aceptada, avalada por la
empresa o por el equipo gerencial de TI. Los estándares se pueden Implementar para dar soporte a una
política o a un proceso, o como respuesta a una necesidad operativa. Así como las políticas, los estándares
deben incluir una descripción de la forma en que se detectará el incumplimiento.
Gobierno- El método por medio del cual una organización es dirigida, administrada o controlada.
Madurez- Indica el grado de confiabilidad o dependencia que el negocio puede tener en un proceso, al
alcanzar las metas y objetivos deseados.
Página 66
Métrica- Un estándar para medir el desempeño contra la meta.
Objetivo de control- Una declaración del resultado o propósito que se desea alcanzar al Implementar
procedimientos de control en un proceso en particular.
Política- Por lo general, un documento que ofrece un principio de alto nivel o una estrategia a seguir. El
propósito de una política es influenciar y guiar la toma de decisiones presente y futura, haciendo que estén de
acuerdo a la filosofía, objetivos y planes estratégicos establecidos por los equipos gerenciales de la empresa.
Además del contenido de la política, esta debe describir las consecuencias de la falta de cumplimiento de la
misma, el mecanismo para manejo de excepciones y la manera en que se verificará y medirá el cumplimiento
de la política.
Procedimiento- Una descripción de una manera particular de lograr algo; una forma establecida de hacer las
cosas; una serie de pasos que se siguen en un orden regular definido, garantizando un enfoque consistente y
repetitivo hacia las actividades.
Proceso- Por lo general, un conjunto de procedimientos influenciados por las políticas y estándares de la
organización, que toma las entradas provenientes de un número de fuentes, incluyendo otros procesos,
manipula las entradas, y genera salidas, incluyendo a otros procesos, para los clientes de los procesos. Los
procesos tienen razones claras de negocio para existir, dueños responsables, roles claros y responsabilidades
alrededor de la ejecución del proceso, así como los medios para medir el desempeño.
Riesgo- El potencial de que una amenaza específica explote las debilidades de un activo o grupo de activos
para ocasionar pérdida
y/o daño a los activos. Por lo general se mide por medio de una combinación del impacto y la probabilidad de
ocurrencia.
TI- Tecnología de información.
Página 67

Las Fases Usadas en La Investigación de Operaciones

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Las Fases Usadas en La Investigación de Operaciones

Cargado por

Copyright:

Formatos disponibles

GUÍA METODOLÓGICA COBIT 4.

GUÍA METODOLOGICA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.

4.1 Introducción a las metas de negocio de TI y metas de TI de COBIT ........................................................ 41

ILUSTRACIÓN 1. FASES DE LAS GUÍA ......................................................................................................................................................... 6

GUÍA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.

Ilustración 1. Fases de las guía.

1. Identificación y evaluación de la organización. En esta fase se hará un conocimiento más

2. Identificación y evaluación del área de TI. En esta fase se conocerá el área de TI de la

USO RECOMENDADO DE LA GUÍA

1. IDENTIFICACIÓN Y EVALUACIÓN DE LA ORGANIZACIÓN

La identificación y evaluación de la organización busca que la(s) persona(s) interesadas en realizar la

Los objetivos de esta fase son los siguientes:

 Obtener la información corporativa necesaria para brindarle a la(s) persona(s) involucradas en la

1.1 Conocer la organización

Core del negocio

2. IDENTIFICACIÓN Y EVALUACIÓN DEL ÁREA DE TI.

Los objetivos de esta fase son los siguientes:

 Obtener la información necesaria para brindarle a la(s) persona(s) encargada(s) de implementar

2.1 Conocer el área

 Objetivo principal: Determinar cuál es el objetivo principal del área de TI.

(Cuales son los puntos •

3. IDENTIFICACIÓN Y EVALUACIÓN DE LOS PROCESOS DEL ÁREA DE TI

Los objetivos de esta fase son:

3.1 Conocer los procesos de TI

 Nombre del proceso

3.2 Introducción a los procesos COBIT

El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común

Ilustración 2.Los 4 dominios interrelacionados de COBIT

PLANEAR Y ORGANIZAR (PO)

ADQUIRIR E IMPLEMENTAR (AI)

ENTREGAR Y DAR SOPORTE (DS)

MONITOREAR Y EVALUAR (ME)

3.3 Introducción a controles

3.3.1 Los procesos requieren controles

COBIT se basa en el siguiente modelo de control estándar:

Ilustración 3. Modelo de Control COBIT

Definir las actividades clave y entregables finales del proceso. Asignar y

procedimientos dirigen los procesos de TI están documentados, revisados, mantenidos,

Identificar un conjunto de métricas que proporcionen visión de las salidas y el

Tabla 4. Controles Procesos

3.3.2 Controles del negocio y de TI

El sistema de control interno de la empresa impacta en TI a tres niveles:

 Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se

riesgo (por accidente o de forma deliberada) la confiabilidad de los chequeos automáticos de

3.3.3 Controles generales de TI y controles de aplicación

 La empresa es responsable de:

La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones:

Establecer que la entrada de datos se realice en forma oportuna por

Integridad y Mantener la integridad y validación de los datos a través del ciclo de

3.4 Documentación de procesos

La navegación en COBIT de un proceso es un formato que proporciona esta metodología para

Ilustración 4. Navegación en COBIT

3.4.2 Introducción a los componentes esenciales de COBIT

Sección 2 Los objetivos de control detallados para este proceso.

Lo que el dueño del

3.7 Introducción de objetivos de Control

Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a

 Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo.

La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control:

 Seleccionando aquellos aplicables.

3.8 Relacionar los objetivos de control de COBIT con el área de TI

3.9 Responder preguntas gerenciales

Los entregables propuestos son:

Tabla 8. Plantilla de Actividades