Capitulo3 HABILITADORES

COBIT® 5 FUNDAMENTOS
UN MARCO DE NEGOCIO PARA EL GOBIERNO

Y LA GESTIÓN DE LAS TI DE LA EMPRESA
Bogotá, Marzo de 2016
Información de Uso Restringido

Capítulo 3: Habilitadores de
COBIT® 5
Información de uso restringido

¿Qué es un habilitador?
3
Los habilitadores son todos

esos elementos tangibles e
intangibles que hacen
exista la Gobernabilidad y
la Gestión de TI.
Son guiados por la cascada

de metas, es decir, objetivos
de alto nivel relacionados
con TI definen lo que los
diferentes habilitadores
deberían conseguir.

Habilitadores de COBIT® 5
4

5
1. Principios, • Son los vehículos para traducir el comportamiento deseado

Políticas y Marcos en una orientación práctica para la administración diaria.
• Describen una serie organizada de prácticas y actividades

2. Procesos
para lograr determinados objetivos y producir una serie de
resultados como apoyo al logro de las metas globales
relacionadas con la TI.
3. Estructuras • Constituyen las entidades claves para la toma de decisiones en

Organizacionales una organización.
• De los individuos así como de la organización; se subestima

4. Cultura, Ética y
Comportamiento frecuentemente como factor de éxito en las actividades de
gobierno y administración.

6
• Se encuentra presente en todo el ambiente de cualquier

organización; o sea se trata de toda la información producida y
usada por la Organización. La información es requerida para
5. Información mantener la organización andando y bien gobernada, pero a nivel
operativo, la información frecuentemente es el producto clave de la
organización en si.
6. Servicios, • Incluyen la infraestructura, la tecnología y las aplicaciones que

Infraestructura proporcionan servicios y procesamiento de tecnología de la
y Aplicaciones información a la organización.
7. Personas, • Están vinculadas con las personas y son requeridas para

completar exitosamente todas las actividades y para tomar las
Habilidades y decisiones correctas, así como para llevar a cabo las acciones
Competencias correctivas.

Dimensiones de los habilitadores
7

Partes interesadas
8
 Participantes que juegan un papel

activo y/o tienen un interés en el
mismo.
 Las partes interesadas pueden ser
internas o externas a la empresa,
cada una de ellas teniendo, en
determinadas ocasiones, intereses
y necesidades en conflicto.
 Las necesidades de las partes
interesadas se traducen en metas
para la empresa, las cuáles se
traducen, a su vez, en metas TI
para ésta.

Partes interesadas
9
Partes interesadas internas Partes interesadas externas

• Consejo de Administración • Aliados del negocio
• Director general ejecutivo (CEO) • Proveedores
• Director financiero (CFO) • Accionistas
• Director de sistemas de información (CIO) • Reguladores/gobierno
• Responsable de riesgos • Usuarios externos
• Ejecutivos del negocio • Clientes
• Propietarios de los procesos del negocio • Organizaciones de estandarización
• Responsables del negocio • Auditores externos
• Responsables de riesgos • Consultores
• Responsables de seguridad
• Responsables del servicio
• Responsables de recursos humanos
• Auditoría interna
• Responsables de privacidad
• Usuarios de TI
• Gerentes de TI

Metas
10
10
Los habilitadores proporcionan valor mediante la consecución de dichas

metas. Las metas se pueden definir en términos de:
 Resultados esperados del catalizador
 Aplicación u operativa del propio catalizador
Las metas se pueden dividir aún más en diferentes categorías tales como:
 Calidad Intrínseca—Medida en la que los catalizadores trabajan
de forma precisa, objetiva y proporcionan unos resultados precisos,
objetivos y de confianza.
 Calidad Contextual—Medida en la que los catalizadores y sus
resultados, en el contexto en el que operan, se ajustan a un
propósito.
 Accesibilidad y Seguridad—Medida en la que los catalizadores y
sus resultados son accesibles y están protegidos.

Ciclo de vida
11
11
Cada habilitador tiene un ciclo de vida, desde su comienzo

pasando por su operación/vida útil hasta su retirada. Esto aplica a
la información, a las estructuras, a los procesos, a las políticas, etc.
Las fases del ciclo de vida consisten en:
• Planificación (que incluye el desarrollo y selección de conceptos)

• Diseño
• Construcción/adquisición/creación/implementación
• Uso/operación
• Evaluación/supervisión
• Actualización/retirada

Buenas prácticas
12
12
 Se pueden definir buenas

prácticas para cada uno de los
habilitadores.
 Las buenas prácticas soportan la
consecución de las metas de los
habilitadores.
 Las buenas prácticas proporcionan
ejemplos o sugerencias respecto a
la mejor manera de implementar
el habilitador, y qué productos de
trabajo o entradas y salidas se
requieren.
Gestión del rendimiento de los
13
habilitadores
En la gestión del rendimiento de los habilitadores, se
tienen que formular las siguientes preguntas y
posteriormente ser respondidas regularmente – basándose
en métricas:
 Resultado actual del habilitador
 ¿Se atienden las necesidades de las partes interesadas?

 ¿Se alcanzan las metas del catalizador?
 Funcionamiento actual del habilitador
 ¿Se gestiona el ciclo de vida del catalizador?
 ¿Se aplican buenas prácticas?

14
Habilitadores al detalle:
Principios, políticas y marcos
de referencia

1. Principios, políticas y marcos de
15
15
referencia

16
referencia
• En los principios y políticas, las partes interesadas pueden ser
internas o externas a la empresa.
Partes • Éstas incluyen el Consejo y el comité ejecutivo de dirección,
interesadas directores de cumplimiento, gerentes de riesgos, auditores internos
y externos, proveedores del servicio, clientes y agencias
reguladoras.
• Los principios, políticas y marcos de referencia son los instrumentos para comunicar las
reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los
define el Consejo y el comité ejecutivo de dirección.
• Los principios han de ser:
Metas y • Limitados en número

• Redactados en un lenguaje sencillo
métricas • Unas buenas políticas son:
• Efectivas: Logran el propósito establecido.
• Eficientes: Garantizan que los principios se implementan de la forma más eficiente
posible.
• No intrusivas: Parecen lógicas para quiénes han de cumplir con ellas, es decir, no generan
resistencia innecesaria.

17
referencia
• Las políticas tienen un ciclo de vida que ha de apoyar la

Ciclo de consecución de las metas definidas. Los marcos de
vida referencias son clave porque proporcionan la estructura
para definir una directriz coherente.
• Las políticas necesitan ser revalidadas y/o actualizadas a intervalos

regulares.
• Las políticas deberían estar alineadas con el umbral de riesgo de la
empresa.
Buenas • Como parte del marco de políticas, se han de describir los siguientes
elementos:
prácticas • El alcance y la validez
• Las consecuencias por no cumplir con la política
• El significado de la gestión de las excepciones
• La forma con la que se ha de comprobar y medir el cumplimiento con la
política

Relación con otros catalizadores
18
Cultura, ética y Procesos Estructura Información

comportamiento organizacional
Los principios, Las políticas

políticas y también son
marcos de La práctica de Pueden definir información,
referencia los procesos y e implementar por lo tanto
deberían las actividades políticas en su todas las
reflejar la son el vehículo ámbito de buenas
cultura y valores
más importante control; sus prácticas que
éticos de la actividades
empresa y éstos para la también están aplican a la
deberían ejecución de definidas por información
fomentar el las políticas políticas. aplican
comportamiento también a las
deseado políticas

Procesos

2. Procesos
20

2. Procesos
21
21
• Los procesos tienen partes interesadas internas y externas, cada

una con sus propios roles; las partes interesadas y sus niveles de
Partes responsabilidad están documentadas en las matrices RACI.
interesadas • Entre las partes interesadas externas se incluyen a los clientes,
socios comerciales, accionistas y reguladores. Entre las internas se
incluyen el Consejo, la dirección, empleados y voluntarios.
• Las metas de los procesos se pueden categorizar como:

• Metas intrínsecas: ¿El proceso dispone de calidad intrínseca? ¿Es
preciso y está alineado con las buenas prácticas? ¿Cumple con las
Metas y reglas externas e internas?
• Metas contextuales: ¿El proceso se particulariza y se adapta a la
métricas situación específica de la empresa? ¿Es relevante, comprensible y
fácil de aplicar?
• Seguridad y Acceso: El proceso se mantiene confidencial y, cuando
se requiere, está a disposición de quién tiene la necesidad.

2. Procesos
22
22
• Un proceso se define, crea, opera, supervisa y se

adapta/actualiza o retira.
Ciclo de • Las prácticas generales sobre procesos, como las que se
definen en el modelo de evaluación de procesos de COBIT
vida basadas en ISO/IEC 15504, pueden ayudar en la
definición, ejecución, supervisión y optimización de los
procesos.
• COBIT 5: Procesos Catalizadores contiene un modelo de

Buenas referencia para los procesos, en el que se describen
buenas prácticas internas sobre procesos en niveles de
prácticas detalle crecientes: prácticas, actividades y actividades
detalladas.

23
Principios,
Cultura, ética y políticas y Estructura Información
comportamiento marcos de organizacional
trabajo
Los procesos Los procesos

proporcionan, Los procesos necesitan
Aspectos necesitan información
culturales y o necesitan, (como un tipo
políticas y estructuras
relativos al organizativas y de entrada) y
comportamiento procedimientos pueden
determinan lo para asegurar roles para
una operar, tal y producir
bien que se información
ejecutan los implementación como se
procesos. y ejecución muestra en las (como producto
matrices RACI de
Consistentes. trabajo).

Estructuras organizacionales

3. Estructuras organizacionales
25

26
• Incluye a los miembros individuales de la estructura,

otras estructuras, entidades organizativas, clientes,
Partes proveedores y reguladores.
interesadas • Sus roles varían e incluyen la toma de decisiones,
influenciar y asesorar.
• Las metas para el habilitador de las estructuras

Metas y organizativas, deberían incluir en sí mismo un
métricas mandato adecuado, principios operativos bien
definidos y la aplicación de otras buenas prácticas.

27
Ciclo de • Es creada, existe y es ajustada y, finalmente, puede ser

disuelta. Durante su creación, se debe definir un mandato –
vida una razón y un propósito para su existencia.
• Se pueden distinguir varias buenas prácticas para las

estructuras organizativas como:
• Principios operativos
Buenas • Composición
prácticas • Ámbito de control
• Niveles de autorización/derechos de decisión
• Delegación de autoridad
• Procedimiento de escalado

28
Principios, Personas,
Cultura, ética y políticas y Procesos habilidades,
comportamiento marcos de competencias
trabajo
La composición
Las matrices de las
Determinan El mandato y estructuras
la eficiencia los principios RACI vinculan organizativas
operativos de actividades de
y efectividad procesos con deberían tener
de las las estructuras en cuenta y
organizativas estructuras requerir el
estructuras son guiados organizaciones
organizativas y/o roles conjunto
por el marco apropiado de
y de sus de políticas individuales en competencias
decisiones. implementado. la empresa. de sus
miembros.

Cultura, ética y
comportamiento

4. Cultura, ética y comportamiento
30

31
Partes • Las partes interesadas internas incluyen a la

empresa entera, mientras que las partes interesadas
interesadas externas incluyen a reguladores.
• Las metas para el catalizador de cultura, ética y

Metas y comportamiento, se relacionan con: Ética
métricas organizativa, éticas individuales, comportamientos
individuales.

32
32
Ciclo de • Es creada, existe y es ajustada y, finalmente, puede ser

disuelta. Durante su creación, se debe definir un mandato –
vida una razón y un propósito para su existencia.
• Se pueden distinguir varias buenas prácticas para las

estructuras organizativas como:
• Principios operativos
Buenas • Composición
prácticas • Ámbito de control
• Niveles de autorización/derechos de decisión
• Delegación de autoridad
• Procedimiento de escalado

33
33
trabajo
La composición
Las matrices de las
Determinan El mandato y estructuras
la eficiencia los principios RACI vinculan organizativas
operativos de actividades de
y efectividad procesos con deberían tener
de las las estructuras en cuenta y
organizativas estructuras requerir el
estructuras son guiados organizaciones
organizativas y/o roles conjunto
por el marco apropiado de
y de sus de políticas individuales en competencias
decisiones. implementado. la empresa. de sus
miembros.

Cultura, ética y
comportamiento

35

36
36
Partes • Las partes interesadas internas incluyen a la

empresa entera, mientras que las partes interesadas
interesadas externas incluyen a reguladores.
• Las metas para el catalizador de cultura, ética y

Metas y comportamiento, se relacionan con: Ética
métricas organizativa, éticas individuales, comportamientos
individuales.

37
37
• Una cultura organizativa, una postura ética y los

comportamientos individuales, etc., todos tienen sus ciclos
Ciclo de de vida. Comenzando desde una cultura existente, una
vida empresa puede identificar cambios necesarios y trabajar
orientada hacia su implementación. Se pueden utilizar para
ello varias herramientas –descritas en las buenas prácticas.
• Incluyen:
• Comunicación
Buenas • Conciencia de los comportamientos
prácticas • Incentivos para fomentar y elementos disuasivos para hacer
cumplir los comportamientos deseados.
• Reglas y normas

38
trabajo
Los procesos
pueden ser
son mecanismos diseñados de
Determinan la de manera Es necesario
eficiencia y comunicación perfecta, pero tener en cuenta
efectividad de muy si las partes y requerir el
la cultura, ética importantes de interesadas de conjunto
y los valores un proceso no apropiado de
comportamiento corporativos y desean ejecutar competencias
y de sus el las actividades de sus
decisiones. comportamient del proceso miembros.
o deseado. como se no se
alcanzarán los
resultados.

Información

5. Información
40

Ciclo de la información
41
MODELO DE
INFORMACIÓN

5. Información
42
• Productor de información: responsable de la

creación de la información.
Partes • Custodio de información: responsable de almacenar
interesadas y mantener la información.
• Consumidor de información: responsable de utilizar
la información.
• Calidad intrínseca: El grado en que los valores de

los datos están en conformidad con los valores
reales o verdaderos.
Metas y • Calidad intrínseca: El grado en que los valores de
métricas los datos están en conformidad con los valores
reales o verdaderos.
• Accesibilidad y seguridad: El grado en que la
información está disponible o que puede obtenerse
5. Información
43
• Se tiene que considerar el ciclo de vida de la información

completo:
Ciclo de • Planificar
vida • Diseñar
• Construir/Adquirir
• Usar/Operar
• El concepto de información es entendido de forma

diferente en distintas disciplinas tales como economía,
teoría de la comunicación, ciencias de la información,
Buenas gestión del conocimiento y sistemas de información; por lo
prácticas tanto, no hay una definición universalmente consensuada
considerando lo qué es la información. La naturaleza de la
información puede, sin embargo, ser clarificada a través
de la definición y descripción de sus propiedades.

Servicios, infraestructura y
aplicaciones

6. Servicios, infraestructura y
45
aplicaciones

46
46
aplicaciones
• Los servicios pueden ser entregados por las partes
internas o externas, departamentos de TI internos,
gerentes de operaciones, proveedores de
Partes outsourcing.
interesadas • Los usuarios de los servicios también pueden ser
internos, los usuarios del negocio y externos a la
empresa socios empresariales, clientes, proveedores.
• Las metas de la capacidad de nivel de servicio se

expresan en términos de servicio y de niveles de
servicio, teniendo en cuenta que los servicios y
Metas y niveles de servicio son más económicos para la
métricas empresa. Una vez más, las metas se refieren a los
servicios y la forma en que se proporcionan, así
como sus resultados, es decir, la contribución a los
procesos de negocio apoyado con éxito.

47
aplicaciones
• Las capacidades de servicios tienen un ciclo de vida. Las
capacidades de servicio en el futuro o en proyecto se
Ciclo de describen normalmente mediante una arquitectura objetivo.
Dicha arquitectura cubre los bloques constituyentes, tales
vida como futuras aplicaciones y el modelo de infraestructura
objetivo y también describe los vínculos y las relaciones
entre estos bloques de construcción.
• Las buenas prácticas de las capacidades de servicio

incluyen:
• Definición de los principios de arquitectura
Buenas • La definición empresarial de los puntos de vista de la
arquitectura más adecuados para satisfacer las
prácticas necesidades de los diferentes interesados.
• Repositorio de arquitectura
• Niveles de servicio que deben ser definidos y alcanzados
por los proveedores de servicio
48
Cultura, ética y Principios, Procesos e

comportamiento políticas y información
marcos de trabajo
La información es una
Los aspectos Son mecanismos de de las capacidades
culturales y de comunicación muy de servicio y las
comportamiento son importantes de los capacidades de
relevantes cuando se valores corporativos servicio se apalancan
tiene que construir y el a través de procesos
una cultura comportamiento para la entrega de
orientada al servicio. deseado. servicios internos y
externos.

Personas, habilidades y
competencias

7. Personas, habilidades y
50
competencias

51
competencias
• Diferentes interesados asumen diferentes roles,
directivos empresariales, gerentes de proyecto,
Partes socios, competidores, formadores, reclutadores,
interesadas desarrolladores, técnicos especialistas en IT, etc.
• Cada papel requiere un conjunto de habilidades
diferentes.
• Las metas de habilidades y competencias se

relacionan con los niveles de educación y
Metas y capacitación, habilidades técnicas, niveles de
experiencia, conocimientos y habilidades de
métricas comportamiento necesarios para proporcionar y
llevar a cabo con éxito las actividades del proceso,
las funciones de organización, etc.

52
competencias
• Las habilidades y competencias tienen un ciclo de

Ciclo de vida: Una empresa tiene que saber cuál es su base
vida de conocimientos actual y planificar lo que tiene que
ser.
• Las buenas prácticas de habilidades y competencias

incluyen la definición de la necesidad de requisitos de
formación objetivos para cada papel desempeñado por
Buenas las distintas partes interesadas.
prácticas • Hay fuentes externas de buenas prácticas, tales como el
Marco de Competencias para la Era de la Información
(SFIA-Skills Framework for the Information Age), que
establece las definiciones generales de habilidad.

53
Cultura, ética y Información Procesos Estructura

comportamiento organizacional
La definición
de Habilidades y
Impulsan el capacidades competencias
comportamiento también es Algunos necesarias
individual y información, procesos tienen para realizar
están influidas para la cual como objetivo las actividades
por la ética deben ser apoyar el ciclo del proceso y
individual y la consideradas de vida de las tomar
ética de la las mejores habilidades y decisiones en
competencias.
organización. prácticas del las estructuras
catalizador de organizativas.
información.

Capitulo3 HABILITADORES

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capitulo3 HABILITADORES

Cargado por

Copyright:

Formatos disponibles

COBIT® 5 FUNDAMENTOS

UN MARCO DE NEGOCIO PARA EL GOBIERNO

Bogotá, Marzo de 2016

Información de Uso Restringido

Información de uso restringido

Los habilitadores son todos

Son guiados por la cascada

Información de Uso Restringido

Información de Uso Restringido

1. Principios, • Son los vehículos para traducir el comportamiento deseado

• Describen una serie organizada de prácticas y actividades

3. Estructuras • Constituyen las entidades claves para la toma de decisiones en

• De los individuos así como de la organización; se subestima

Información de Uso Restringido

• Se encuentra presente en todo el ambiente de cualquier

6. Servicios, • Incluyen la infraestructura, la tecnología y las aplicaciones que

7. Personas, • Están vinculadas con las personas y son requeridas para

Información de Uso Restringido

Información de Uso Restringido

 Participantes que juegan un papel

Información de Uso Restringido

Partes interesadas internas Partes interesadas externas

Información de Uso Restringido

Los habilitadores proporcionan valor mediante la consecución de dichas

Información de Uso Restringido

Cada habilitador tiene un ciclo de vida, desde su comienzo

Las fases del ciclo de vida consisten en:

• Planificación (que incluye el desarrollo y selección de conceptos)

Información de Uso Restringido

 Se pueden definir buenas

 ¿Se atienden las necesidades de las partes interesadas?

Información de Uso Restringido

Información de Uso Restringido

Información de Uso Restringido

Metas y • Limitados en número

Información de Uso Restringido

• Las políticas tienen un ciclo de vida que ha de apoyar la

• Las políticas necesitan ser revalidadas y/o actualizadas a intervalos

Información de Uso Restringido

Cultura, ética y Procesos Estructura Información

Los principios, Las políticas

Información de Uso Restringido

Información de Uso Restringido

Información de Uso Restringido

• Los procesos tienen partes interesadas internas y externas, cada

• Las metas de los procesos se pueden categorizar como:

Información de Uso Restringido

• Un proceso se define, crea, opera, supervisa y se

• COBIT 5: Procesos Catalizadores contiene un modelo de

Información de Uso Restringido

Los procesos Los procesos

Información de Uso Restringido

Información de Uso Restringido

Información de Uso Restringido

• Incluye a los miembros individuales de la estructura,

• Las metas para el habilitador de las estructuras

Información de Uso Restringido

Ciclo de • Es creada, existe y es ajustada y, finalmente, puede ser

• Se pueden distinguir varias buenas prácticas para las

Información de Uso Restringido

Información de Uso Restringido

Información de Uso Restringido

Información de Uso Restringido