COBIT® 5 FUNDAMENTOS

UN MARCO DE NEGOCIO PARA EL GOBIERNO

Y LA GESTIÓN DE LAS TI DE LA EMPRESA

Bogotá, Marzo de 2016

Información de Uso Restringido

Capítulo 2: Principios de
COBIT® 5

Información de uso restringido

 ¿Principios?
3

Un principio es una ley o

regla que se cumple o debe
seguirse con cierto propósito,
como consecuencia necesaria
de algo o con el fin de lograr
un propósito.
Es como un reflejo de las
características esenciales de
un sistema y sin los cual no
es posible trabajar,
comprender o usar dicho
sistema.

Información de Uso Restringido

 Principios de COBIT® 5
4

Información de Uso Restringido

Principio 1: Satisfacer las
necesidades de las partes
interesadas

Información de Uso Restringido

 El objetivo de gobierno: Creación
6
de valor
Las empresas existen para crear valor para sus accionistas. En
consecuencia, cualquier empresa, comercial o no, tendrá la creación
de valor como un objetivo de Gobierno.

Información de Uso Restringido

 Cascada de Metas de COBIT® 5
7

Motivos de las Partes Interesadas

(Medio Ambiente, Evolución Tecnológica, …)

La cascada de metas Influencian

es el mecanismo
Necesidades de las Partes Interesadas
para traducir las Realización Optimización Optimización
necesidades de las de Beneficios de Riesgos de Recursos

partes interesadas en Pasan a

metas corporativas,
Metas de la Organización
metas relacionadas
con las TI y metas Pasan a

catalizadoras
específicas, útiles y a Metas Relacionadas con TI
medida.
Pasan a

Metas Habilitadoras

Información de Uso Restringido

 Cascada de Metas de COBIT® 5
8

Las necesidades de las partes interesadas están influenciadas por diferentes motivos, por ejemplo, cambios de
estrategia, un negocio y entorno regulatorio cambiantes y las nuevas tecnologías.

Las necesidades de las partes interesadas pueden estar Estas metas corporativas han sido desarrolladas
relacionadas con un conjunto de metas empresariales genéricas.
(Anexo 5) utilizando las dimensiones del BSC (17 metas en Fig 5)

El logro de metas empresariales requiere un número de resultados relacionados con las TI, que están
representados por las metas relacionadas con la TI. (17 metas en Fig 6)

Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de varios catalizadores. Los catalizadores
incluyen procesos, estructuras organizativas e información, y para cada catalizador puede definirse un conjunto de metas
relevantes en apoyo de las metas relacionadas con la TI. (Apéndice C)

Información de Uso Restringido

Principio 2: Cubrir la Empresa
Extremo-a-Extremo

Información de Uso Restringido

 Cubrir la Empresa Extremo-a-
10
Extremo

Organización Extremo –a– Extremo

Integra el gobierno de TI en el Cubre todas las funciones y

gobierno corporativo. Es decir, el procesos necesarios para
sistema de gobierno para la gobernar y gestionar la
empresa TI propuesto por COBIT información corporativa y las
5 se integra sin problemas en tecnologías relacionadas donde
cualquier sistema de gobierno. quiera que esa información
pueda ser procesada.

Información de Uso Restringido

 Enfoque de Gobierno -
11
Componentes claves

El gobierno
Recursos
puede ser
organizativos
aplicado a toda
para el
la empresa, a una
gobierno, tales
entidad, a un
como marcos de
activo tangible o
referencia,
intangible, etc. El
principios,
alcance de COBIT
estructuras,
5 es la empresa –
procesos y
pero en esencia,
prácticas, a
COBIT 5 puede
través de los que
tratar con
los objetivos
cualquiera de las
pueden
diferentes
ser alcanzados.
vistas.

Información de Uso Restringido

 Enfoque de Gobierno – Roles,
12
actividades y relaciones
Definen quién está involucrado en el gobierno, como se involucran, lo
que hacen y cómo interactúan, dentro del alcance de cualquier
sistema de gobierno. En COBIT 5, se hace una clara diferenciación
entre las actividades de gobierno y de gestión en los dominios de
gobierno y gestión, así como en la interconexión entre ellos y los
actores implicados.

Información de Uso Restringido

Principio 3: Aplicar un marco
de referencia único integrado

Información de Uso Restringido

 Marco único integrado
14

Información de Uso Restringido

 COBIT® 5 y otros marcos de
15
trabajo
• Si bien COBIT 5 hace mención general de controles sobre
ISO la calidad documental, con ISO 9001 se puede reforzar
este punto. En su caso se pueden implementar de forma
9001 independiente. COBIT 5 mantiene un proceso de Gestión
de Calidad que es transversal a todos los procesos.

• COBIT 5 contiene una serie de controles de seguridad de

ISO la información que se pueden cumplir aplicando el
estándar ISO 27001. COBIT 5 separa la seguridad de la
27001 información en dos procesos: Gestionar la Seguridad y
Gestionar la Seguridad de los Servicios de Seguridad.

ISO • La norma ISO 38500 esta diseñada para cumplir con

requerimientos de Gobierno de TI Empresarial y esto se
38500 puede conseguir apoyándose en el marco de trabajo
COBIT.

Información de Uso Restringido

 COBIT® 5 y otros marcos de
16
16
trabajo
• COBIT 5 se puede complementar con TOGAF para
TOGAF desarrollar una arquitectura empresarial y de forma
estratégica de unir una arquitectura que represente la
visión de TI alineada al futuro del negocio.

ISO • COBIT 5 incluye objetivos de control de riesgos y para

tener control sobre los riesgos se puede integrar COBIT 5
31000 con ISO 31000 así como el Risk IT, esto permitirá gestionar
de forma eficiente y efectiva los riesgos de TI.

• COBIT 5 define controles para el desarrollo y/o

adquisición de software y CMMI, a través de sus procesos,
CMMI cumple con dichos controles; por lo tanto se complementan
y en conjunto abarcan desde el desarrollo de software
hasta la gestión de entrega y mantenimiento del mismo.

Información de Uso Restringido

 COBIT® 5 e ITIL®
17

COBIT 5 se encuentra a un Como marco de trabajo

nivel más alto que ITIL ya tanto COBIT5 como ITIL
que se relaciona tienen una estructura
directamente con el basada en procesos.
gobierno empresarial.

En una implementación se integran

de forma natural ya que COBIT 5
COBIT 5 esta más establece las prácticas que se
enfocado en el “qué” deben cumplir para la
mientras que ITIL se enfoca información y tecnología
en el “cómo. relacionada e ITIL hace que se
pongan en funcionamiento dichas
prácticas a través de sus procesos.

Información de Uso Restringido

 COBIT® 5 e ITIL®
18

Más del 50% de los En la práctica primero se

procesos de ITIL están implementa ITIL en las
incluidos dentro de COBIT. organizaciones y
posteriormente COBIT 5.

En caso de que una Ambos marcos de trabajo

empresa haya tiene su campo de acción
implementado controles de específico, no se
COBIT 4.1 puede hacer contraponen en una
los ajustes fácilmente para implementación sino más
alinearse con COBIT 5. bien hacen sinergia.
Información de Uso Restringido
 Procesos ITIL® no considerados
19
en COBIT® 5
ESTRATEGIA DEL SERVICIO
• Gestión de la Demanda
DISEÑO DEL SERVICIO
• Coordinación del Diseño
• Gestión de Catálogo de Servicios
TRANSICIÓN DEL SERVICIO
• Gestión del Conocimiento
OPERACIÓN DEL SERVICIO
• Gestión de Eventos
• Gestión de Accesos
MEJORA CONTINUA DEL SERVICIO
• Mejora en siete pasos

Información de Uso Restringido

Principio 4: Habilitar un
enfoque holístico

Información de Uso Restringido

 ¿Qué es un habilitador?
21

Los habilitadores son todos

esos elementos tangibles e
intangibles que hacen
exista la Gobernabilidad y
la Gestión de TI.

Son guiados por la cascada

de metas, es decir, objetivos
de alto nivel relacionados
con TI definen lo que los
diferentes habilitadores
deberían conseguir.

Información de Uso Restringido

 Habilitadores de COBIT® 5
22

Información de Uso Restringido

 Habilitadores de COBIT® 5
23

1. Principios, • Son los vehículos para traducir el comportamiento deseado

Políticas y Marcos en una orientación práctica para la administración diaria.

• Describen una serie organizada de prácticas y actividades

2. Procesos
para lograr determinados objetivos y producir una serie de
resultados como apoyo al logro de las metas globales
relacionadas con la TI.

3. Estructuras • Constituyen las entidades claves para la toma de decisiones en

Organizacionales una organización.

• De los individuos así como de la organización; se subestima

4. Cultura, Ética y
Comportamiento frecuentemente como factor de éxito en las actividades de
gobierno y administración.

Información de Uso Restringido

 Habilitadores de COBIT® 5
24
24

• Se encuentra presente en todo el ambiente de cualquier

organización; o sea se trata de toda la información producida y
usada por la Organización. La información es requerida para
5. Información mantener la organización andando y bien gobernada, pero a nivel
operativo, la información frecuentemente es el producto clave de la
organización en si.

6. Servicios, • Incluyen la infraestructura, la tecnología y las aplicaciones que

Infraestructura proporcionan servicios y procesamiento de tecnología de la
y Aplicaciones información a la organización.

7. Personas, • Están vinculadas con las personas y son requeridas para

completar exitosamente todas las actividades y para tomar las
Habilidades y decisiones correctas, así como para llevar a cabo las acciones
Competencias correctivas.

Información de Uso Restringido

 Habilitadores interconectados
25
25

Cualquier empresa debe siempre

considerar un conjunto interconectado
de habilitadores. Es decir, cada
habilitador:
Necesita del resultado de otros
habilitadores para ser completamente
efectivo, por ejemplo, los procesos
necesitan información, las estructuras
organizativas necesitan habilidades y
comportamiento.
Proporciona una salida para beneficio
de otros habilitadores, por ejemplo,
los procesos proporcionan
información, habilidades y el
comportamiento hace los procesos
eficientes.
Información de Uso Restringido
 Dimensiones de los habilitadores
26
26

Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie
de dimensiones comunes:
Proporciona una manera común, sencilla y estructurada para tratar los habilitadores
Permite a una entidad manejar sus interacciones complejas
Facilita resultados exitosos de los habilitadores

Información de Uso Restringido

Principio 5: Separar el
gobierno de la gestión

Información de Uso Restringido

 ¿Gobierno vs Gestión?
28

El marco de COBIT 5 plasma una distinción muy clara entre el

Gobierno y la Gestión.
Dichas dos disciplinas:
Comprenden diferentes tipos de actividades
Requieren diferentes estructuras organizacionales
Cumplen diferentes propósitos

Gobierno Gestión
• Normas y herramientas (proceso y • Todas las acciones necesarias para
estructura) por las cuales se rige llevar a cabo un propósito. Incluye
una empresa. desde la planeación hasta el
seguimiento.

Información de Uso Restringido

 ¿Gobierno vs Gestión?
29

Gobierno Gestión
• Asegura que se evalúan las • La gestión planifica, construye,
necesidades, condiciones y opciones ejecuta y controla actividades
de las partes interesadas para alineadas con la dirección
determinar que se alcanzan las establecida por el cuerpo de
metas corporativas equilibradas y gobierno para alcanzar las metas
acordadas. empresariales.
• Establece la dirección a través de la • La gestión es responsabilidad de la
priorización y la toma de decisiones. Gerencia ejecutiva bajo la dirección
• Mide el rendimiento y el del CEO.
cumplimiento respecto a la dirección
y metas acordadas.
• Es responsabilidad de la Junta
directiva bajo el liderazgo de su
presidente.

Información de Uso Restringido

 Gobierno vs Gestión
30

COBIT no es obligatorio, pero propone que las organizaciones implementen

los procesos de gobierno y gestión de tal manera que las áreas claves
queden cubiertas, tal como se muestra a continuación:

Información de Uso Restringido

 Modelo de Referencia de Procesos
31
de COBIT® 5

El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4).

Los procesos constituyen una de esas categorías.

Una compañía puede organizar sus procesos como estime conveniente,

siempre y cuando queden cubiertos todos los objetivos necesarios de
gobierno y administración. Las compañías más pequeñas podrán tener menos
procesos, las compañías más grandes y más complejas podrán tener muchos
procesos, todos para cubrir los mismos objetivos.
COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en
inglés), que define y describe en detalle un número de procesos de
administración y de gobierno. Los detalles de dicho modelo habilitador
específico pueden encontrarse en el Volumen de COBIT 5: Procesos
Habilitadores.

Información de Uso Restringido

 Modelo de Referencia de Procesos
32
de COBIT® 5

Información de Uso Restringido

 Modelo de Referencia de Procesos
33
de COBIT® 5
COBIT® 5: Procesos Habilitadores complementa COBIT® 5 y
contiene una guía detallada de referencias a los procesos definidos en
el Modelo de Referencia de Procesos de COBIT® 5:
En el Capítulo 2 se recapitula las metas en cascada de COBIT® 5 y
se complementa con una serie de métricas ejemplo para las metas
corporativas y las metas relacionadas con la TI.
En el Capítulo 3 se explica el Modelo de Procesos de COBIT® 5 y se
definen sus componentes.
En el Capítulo 4 se muestra el diagrama de dicho Modelo de
Referencias de Procesos.
El Capítulo 5 contiene la información detallada de procesos para
todos los 37 procesos de COBIT® 5 en el Modelo de Referencias de
Procesos.

Información de Uso Restringido

 Procesos
34

Para cada uno de los 37

procesos, se definen:
Identificación del proceso
Descripción del proceso
Propósito del proceso
Información metas en
cascada
Metas y métricas del proceso
RACI
Descripción detallada del
proceso
Guias relacionadas
Información de Uso Restringido