Mi Amor por COBIT 5

José Ángel Peña Ibarra, CGEIT CRISC,

COBIT 5 Accredited Trainer
japi@ccisa.com.mx
ISACA Monterrey
 Agenda

1. Las razones de mi amor por COBIT 5

2. Principios de COBIT 5
3. Familia de productos
4. Modelo de Referencia de Procesos COBIT 5
5. Implementación de COBIT 5
6. COBIT 5 for Risk
José Ángel Peña Ibarra, CGEIT, CRISC,
COBIT 5 Accredited Trainer.
Ex Vicepresidente Internacional de ISACA y del IT
Governance Institute,(2007-2011).

Vice-Presidente de ISACA Capítulo Monterrey

(2015-2018).

Director de CCISA México desde 2002. Ex socio de

PricewaterhouseCoopers en México.

35+ años de experiencia en TI, incluyendo 11 años

en posiciones gerenciales de TI y alrededor de 25
años en consultoría, auditoría y entrenamiento,
trabajando en 20+ Países.

Ha dictado más de 40 cursos de COBIT 5

Fundamentos e Implementación, en español, inglés
y portugués. Y lo ha aplicado en proyectos de
implementación y de auditoría.
 1.

Razones de mi amor
por COBIT 5:
• Es una belleza interior y exterior
• Es confiable, pues se basa en
principios
• Tiene una buena familia
• Es inteligente, con muy buena
estructura mental
• Me ayuda en aspectos prácticos,
como el manejo de riesgos
• Es un reto constante
© 2012 ISACA® All rights reserved.c
2 Principios de COBIT 5

© 2012 ISACA® All rights reserved.c

Principio 1: Satisfacer las necesidades de
las partes interesadas

© 2012 ISACA® All rights reserved.c

3 Familia de productos COBIT 5

© 2012 ISACA® All rights reserved.c

 La cascada de metas
ayuda a poner en
práctica el principio 1.

© 2012 ISACA® All rights reserved.c

COBIT 5 Practical Guidance

 COBIT 5 for Business benefits realisation

 Vendor Management using COBIT 5

 IT Control Objectives for SOX using COBIT

5

 Controls and Assurance in the Cloud,

using COBIT 5.

© 2012 ISACA® All rights reserved.c

 COBIT 5 Practical Guidance

 Risk Scenarios using COBIT 5 for Risk

 Securingmobile devices using COBIT 5 for

Information

 Transforming Cybersecurity using COBIT 5

 Configuration Management using COBIT 5

© 2012 ISACA® All rights reserved.c

Programas de auditoría usando COBIT 5

 Evaluate, Direct and Monitor

 Align, Plan and Organize
 Build, Acquaire and Implement
 Deliver, Service and Support

© 2012 ISACA® All rights

reserved.c
COBIT 5 Assessment Program

 COBIT Assessment Program incluye:

 COBIT Process Assessment Model

(PAM) Using COBIT 5
 COBIT Assessor’s Guide – using
COBIT 5
 COBIT Self Assessment Guide –
Using COBIT 5

El “Process Capability Model” basado en ISO

15504 reemplaza el “Process Capability
Maturity Model” usado en vesriones
anteriores de COBIT.

© 2012 ISACA® All rights

reserved.c
 COBIT 5/CMMI Practices Pathway Tool
www.isaca.org/COBIT/Pages/Product-Family.aspx
 4 Marco de Referencia de procesos
COBIT 5

El marco de referencia de procesos de

COBIT 5, surge al aplicar el Principio 5,
Separar Gobierno de Gestión, al
catalizador procesos emanado del
Principio 4, Habilitar un Enfoque
Holistico,
Principio 4: Habilitar un Enfoque Holístico
Principio 5: Separar Gobierno de Gestión
 Modelo de
Referencia de
Procesos
Dominios del Modelo de Referencia de COBIT 5

 Evaluate Direct and Monitor, EDM

 Align,Plan and Organize, APO
 Build, Acquire and Implement, BAI
 Deliver, Service and Support, DSS
 Monitor, Evaluate and Assess, MEA
COBIT 5 Modelo de Referencia de Procesos
21

 37 procesos
agrupados
en 5
dominios

© 2012 ISACA Todos los derechos reservados.

21
  37 procesos
agrupados
en 5
dominios

© 2012 ISACA Todos los derechos reservados.

22
 PREGUNTA:

 En gestión de riesgos y control interno ¿Cuáles

son las 5 formas válidas de respuesta al riesgo?
1. Mitigar
2. Aceptar,
3. Eliminar,
4. Compartir/Transferir,
5. PERSEGUIR.
Mi Amor por COBIT 5
Segunda Parte
José Ángel Peña Ibarra, CGEIT CRISC,
COBIT 5 Accredited Trainer
japi@ccisa.com.mx
ISACA Monterrey
Hablando de amores

 ISACA es global.
 Join Us!

ISACA GLS 2016, Lisboa.

 5 Implementación de COBIT 5

• La Implementación de COBIT 5 representa grandes retos.

• Se recomienda ampliamente utilizar el ciclo de vida de

Implementación de un Sistema de Gobierno y Gestión de
TI, basado en COBIT 5

• Se deben considerar las Metas del Negocio, y la situación

actual de puntos débiles y eventos desencadenantes.
 Ciclo de Vida de Implementación

 Ciclo de Vida de
Vida de
Implementación
 Where Does COBIT Fit?
PERFORMANCE CONFORMANCE
Drivers Business Goals Basel, SOX, etc.

Enterprise Governance BSC COSO

IT Governance COBIT

Best ISO ISO ISO

Practice Standards 9001:2000 27002 20000

Processes and QA Security

Principles ITIL
Procedures Procedures
 COSO

ISO
COBIT
ISO
27002 9000
WHAT ITIL HOW

SCOPE OF COVERAGE

Source ISACA 2007

© 2012 ISACA. All rights reserved.
 Enfoque del Sistema de Gobierno de TI en Empresa AAA

Cascada de metas aplicada en Empresa AAA

Selección de Procesos Prioritarios

Análisis de procesos prioritarios con enfoque holístico

Aplicar ciclo de vida de implementación

Ejemplo Cascada de metas en Empresa AAA

Creación de valor
Obtener Optimizar Optimizar
Beneficios Recursos Riesgos

Objetivos Estratégicos de Empresa AAA

Objetivos Operativos de TI

Objetivos de los Procesos de TI

Inicio de la cascada de metas

Obtener Optimizar Optimizar

Beneficios Recursos Riesgos

Objetivos Estratégicos de Empresa AAA

1.Reducir costos de operación (I)

2. Incrementar el EBITDA (F)
3. Mantener una adecuada relación deuda vs. EBITDA (F)
4. Garantizar la satisfacción a nuestros clientes (C)
5. Incrementar la participación de mercado (F)
6. Desarrollar nuevos productos (A y C)
7. Fortalecer el desarrollo del talento humano (A y C)
34
 Fase 1 – Puntos Débiles Típicos
 Iniciativas fallidas de TI
 Aumento de los costos
 Percepción de que las
inversiones en TI proporcionan
un bajo valor para el negocio
 Incidentes significativos
relacionados con el riesgo de
las TI (p. ej. pérdida de datos)
 Problemas de entrega de
servicio
 Fallar al tratar de cumplir con
requerimientos reglamentarios
o contractuales
 Hallazgos de la auditoría
relativos a mal desempeño de
las TI o a bajos niveles de
servicio
 Gastos ocultos / sin justificación en
TI
 Desperdicio de recursos ante la
duplicación o superposición en las
iniciativas de TI
 Recursos de TI insuficientes
 Personal de TI agotado/insatisfecho
 Entregas tardías o sobrepasan los
presupuestos.
 Esfuerzos múltiples y complejos para
el aseguramiento de las TI
 Miembros del Consejo de
Adminstración o gerentes sénior que
son reacios a comprometerse con las
TI
Fases 1 y 2

TOP DOWN

Fase 1 Metas de Negocio

Fase 2 Metas de TI

Riesgos de TI Fase 2Procesos

Siguientes
identificados Seleccionados fases

Entender Pain
Fase 2
Points

Pain Points
Fase 1 genéricos
BOTTOM UP
 Selección de procesos de TI prioritarios

Procesos Procesos de TI objetivo

Seleccionados

Analizar con
enfoque
holístico
 Opciones para analizar los procesos críticos

A. Evaluar capacidades de proceso usando PAM

B. Hacer un Process Purpose Reality Check

38
6 PAM basado en COBIT 5

 El Programa de Evaluación COBIT incluye:

 Modelo de Evaluación de Procesos COBIT (PAM)
Usando COBIT 5
 Guía del Evaluador COBIT – usando COBIT 5.0
 Guía de Autoevaluación COBIT– Usando COBIT 5.0

 El nuevo Modelo de Capacidad de Proceso basado en

ISO 15504, reemplaza al Modelo de Madurez de
Capacidad de Proceso utilizado en versiones anteriores
de COBIT.
 Nivel 5 Proceso Optimizado
Optimización
PA.5.1 Atributo de Innovación del Proceso
El proceso se mejora continuamente para cumplir con los PA.5.2 Atributo de Optimización del Proceso
objetivos de negocio actuales y futuros pertinentes

Previsible Nivel 4 Proceso Previsible

El proceso es aprobado consistemente PA.4.1 Atributo de Medición del Proceso
dentro de límites definidos PA.4.2 Atributo de Control del Proceso

Establecido
Nivel 3 Proceso Establecido
Un proceso definido se utiliza sobre la
PA.3.1 Atributo de Definición del Proceso
base de un proceso estándar.
PA.3.2 Atributo de implementación del Proceso

Nivel 2 Proceso Gestionado Gestionado

PA.2.1 Atributo de Gestión del Rendimiento El proceso es gestionado y los
PA.2.2 Atributo de Gestión del Producto de Trabajo productos de trabajo son
establecidos, controlados y
Nivel 1 Proceso Realizado mantenidos
Realizado
PA.1.1 Atributo del Proceso Realizado El proceso se implementa y logra su
propósito de proceso

Incompleto
Nivel 0 Proceso Incompleto
El proceso no se ha implementado o no logra
su propósito
40
© 2012 ISACA® Todos los derechos reservados.
Process Purpose Reality Check
 Aplicar el ciclo de vida de implementación

• De acuerdo a las necesidades y contexto de Empresa AAA,

aplicar las 7 fases del ciclo de vida de implementación del
programa de gobierno de TI, según se muestra en la sección
siguiente.
• El ciclo deberá tener una iteración cada 6 meses.

43
 Ciclo de Vida de Implementación

 Ciclo de Vida de
Vida de
Implementación
La pregunta importante para implementar COBIT 5

¿Y porqué no?
 Muchas Gracias!
José Ángel Peña Ibarra, CGEIT CRISC,
COBIT 5 Accredited Trainer