Está en la página 1de 52

Guía del Evaluador:

Usando COBIT® 5
Guía del Evaluador: Usando COBIT® 5

ISACA®
Con más de 100,000 asociados en 180 países, ISACA (www.isaca.org) es un líder global proveedor de conocimiento, certificaciones,
comunidad, apoyo y educación en los sistemas de información (SSII), asesoría y seguridad, gobierno empresarial y gestión de TI
y riesgo relacionado con TI y cumplimiento. Fundada en 1969, ISACA, independiente y sin ánimo de lucro, celebra conferencias
internacionales, publica el ISACA® Journal y desarrolla estándares internacionales de control y auditoria de SSII, que ayudan a
sus miembros a asegurar la confianza en, y aportar valor desde, los sistemas de información. También avanza y avala habilidades
y conocimientos de TI mediante los globalmente reconocidos certificados (CISA®) Certified Information Systems Auditor®,
(CISM®) Certified Information Security Manager®, (CGEIT®) Certified in the Governance of Enterprise IT® y (CRISCTM)
Certified in Risk and Information Systems ControlTM.

ISACA actualiza continuamente el COBIT®, el cual ayuda a los profesionales de TI y líderes de las organizaciones a llevar a cabo
sus responsabilidades en la gestión y gobierno de TI, particularmente en las áreas de aseguramiento, seguridad, riesgo y control, y
proporcionar valor al negocio.

Renuncia
ISACA ha diseñado y creado esta publicación COBIT® Assessor Guide: Using COBIT® 5 (el ‘Trabajo’) principalmente como
una guía de evaluación. ISACA no afirma que el uso de cualquier parte del Trabajo garantice un resultado exitoso. No debe
considerarse que el Trabajo incluya toda la información, procedimientos y pruebas correctas, ni que excluya otro tipo de información,
procedimientos y pruebas razonablemente dirigidos a obtener los mismos resultados. Al determinar la conveniencia de cualquier
información, procedimiento o prueba, el lector debe aplicar su propio juicio profesional a las circunstancias presentados por los
sistemas particulares o ámbito de TI.

Copyright
© 2013 ISACA. Todos los derechos reservados. Para pautas de uso, ver www.isaca.org/COBITuse.

Nota de Calidad:
El capítulo de ISACA® Barcelona ha traducido este trabajo desde el documento original en inglés COBIT® Assessor Guide: Using
COBIT® 5 con el permiso de ISACA®. El capítulo de ISACA® Barcelona asume toda la responsabilidad por la exactitud y fidelidad
de la traducción

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: info@isaca.org
Página Web: www.isaca.org

Comentarios: www.isaca.org/cobit
Participar en el Centro de Conocimientos de ISACA: www.isaca.org/knowledge-center
Sigue a ISACA en Twitter: https://twitter.com/ISACANews
Únete a la conversación COBIT en Twitter: #COBIT
Únete a ISACA en LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial
Me gusta ISACA en Facebook: www.facebook.com/ISACAHQ

Disclaimer:
ISACA has designed and created COBIT® Assessor Guide: Using COBIT® 5 (the ‘Work’) primarily as an assessor guide. ISACA
makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of
all proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed
to obtaining the same results. In determining the propriety of any specific information, procedure or test, assessors should apply
their own professional judgement to the specific circumstances presented by the particular systems or information technology
environment.

Copyright
© 2013 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.

Quality Statement:
This Work is translated into Spanish from the English language version of COBIT® Assessor Guide: Using COBIT® 5 by the
ISACA® Barcelona Chapter with the permission of ISACA®. The ISACA® Barcelona Chapter assumes sole responsibility for the
accuracy and faithfulness of the translation.

COBIT® Guía del Evaluador: Usando COBIT® 5


ISBN 978-1-60420-351-6
2
Reconocimientos

Reconocimientos
ISACA desea reconocer la labor de:
Equipo de desarrollo
Gary Allan Bannister, CGEIT, CGMA, FCMA, Austria
Barry Lewis, CISM, CGEIT, CRISC, CISSP, Cerberus ISC Inc., Canadá

Consejo de Administración de ISACA


Gregory T. Grocholski, CISA, The Dow Chemical Co., EE.UU., Presidente Internacional
Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, GB, Vice Presidente
Juan Luis Carselle, CISA, CGEIT, CRISC, Wal-Mart, México, Vice Presidente
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Vice Presidente
Ramses Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, 6 Sigma, Quest Software, España, Vice Presidente
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice Presidente
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management Inc., EE.UU., Vice Presidente
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica, Vice Presidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), EE.UU., ex Presidente Internacional
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., (retired), EE.UU., ex Presidente Internacional
John Ho Chi, CISA, CISM, CRISC,CBCP, CFE, Ernst & Young LLP, Singapur, Director
Krysten McCabe, CISA, The Home Depot, EE.UU., Director
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Director

Junta de expertos
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica, Chairman
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb, CGEIT, CRISC, Betfair, GB
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, EE.UU.
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU.
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, GB
Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP, México

Comisión del Marco


Steven A. Babb, CGEIT, CRISC, Betfair, GB, Chairman
Charles Betz, Enterprise Management Associates, EE.UU.
David Cau, ISO, ITIL, MSP, Prince2, Francia
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Frank J. Cindrich, CGEIT, CIPP, CIPP/G, Deloitte & Touche LLP, EE.UU.
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria
Anthony P. Noble, CISA, Viacom, EE.UU.
Andre Pitkowski, CGEIT, CRISC, APIT Informatica, Brasil
Paras Kesharichand Shah, CISA, CGEIT, CRISC, CA, Australia

Afiliados y Patrocinadores de ISACA e Instituto para el Gobierno de TI® (ITGI®)


Information Security Forum
Institute of Management Accountants Inc.
Capítulos de ISACA
ITGI Francia
ITGI Japón
Norwich University
Socitum Performance Management Group
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School

ASI System Integration


Hewlett-Packard
IBM
Symantec Corp.

3
Guía del Evaluador: Usando COBIT® 5

Página dejada en blanco intencionadamente

4
Índice

Índice
1.0 Resumen................................................................................................................................................................................. 7
1.1 Introducción...................................................................................................................................................................... 7
1.2 Programa de Evaluación de COBIT - Propósito............................................................................................................... 7
1.3 Elementos clave................................................................................................................................................................ 7
1.4 Factores Críticos de Éxito................................................................................................................................................. 8
1.5 Público objetivo................................................................................................................................................................ 8
1.6 Informe del Programa de Evaluación de COBIT.............................................................................................................. 9

2.0 Modelo de Evaluación de Procesos.................................................................................................................................... 11


2.1 Introducción.................................................................................................................................................................... 11
2.2 El modelo de referencia de procesos.............................................................................................................................. 11
2.2.1 Estructura de procesos COBIT.............................................................................................................................. 11
2.2.2 Propósito de Procesos, Resultados, Prácticas Base y Productos de trabajo........................................................... 12
2.3 El Marco de Medición.................................................................................................................................................... 14
2.3.1 Niveles de Aptitud de Proceso............................................................................................................................... 14
2.3.2 Atributos de Proceso.............................................................................................................................................. 14
2.3.3 Indicadores de Evaluación..................................................................................................................................... 15
2.3.4 Escala de Clasificación.......................................................................................................................................... 18
2.3.5 Determinación del Nivel de Aptitud...................................................................................................................... 19

3.0 Funciones y responsabilidades........................................................................................................................................... 21


3.1 El Equipo de Evaluación................................................................................................................................................. 21
3.2 Una Evaluación Independiente....................................................................................................................................... 21
3.3 Funciones y Responsabilidades Clave............................................................................................................................ 21
3.4 Otros Participantes.......................................................................................................................................................... 22
3.5 Competencia de los Evaluadores.................................................................................................................................... 22

4.0 Realizando una evaluación de Procesos ........................................................................................................................... 23


4.1 Iniciación........................................................................................................................................................................ 24
4.1.1 Visión general......................................................................................................................................................... 24
4.1.2 Aspectos clave . ..................................................................................................................................................... 24
4.1.3 Pasos Recomendados ............................................................................................................................................ 27
4.1.4 Herramientas.......................................................................................................................................................... 27
4.2 Planificación.................................................................................................................................................................... 27
4.2.1 Visión general......................................................................................................................................................... 27
4.2.2 Puntos claves.......................................................................................................................................................... 27
4.2.3 Pasos Recomendados ............................................................................................................................................ 28
4.2.4 Herramientas.......................................................................................................................................................... 28
4.3. Sesión de información.................................................................................................................................................... 28
4.3.1. Visión de conjunto................................................................................................................................................ 28
4.3.2. Cuestiones clave.................................................................................................................................................... 29
4.3.3. Pasos recomendados............................................................................................................................................. 29
4.3.4. Herramientas......................................................................................................................................................... 29
4.4. Recolección de datos...................................................................................................................................................... 29
4.4.1. Visión de conjunto................................................................................................................................................ 29
4.4.2. Cuestiones clave.................................................................................................................................................... 29
4.4.3. Pasos recomendados............................................................................................................................................. 30
4.4.4. Herramientas......................................................................................................................................................... 30
4.5 Validación de Datos........................................................................................................................................................ 30
4.5.1 Resumen................................................................................................................................................................. 30
4.5.2 Puntos clave........................................................................................................................................................... 30
4.5.3 Pasos recomendados.............................................................................................................................................. 31
4.5.4 Herramientas.......................................................................................................................................................... 31
4.6 Calificación de los Atributos de Proceso........................................................................................................................ 31
4.6.1 Resumen................................................................................................................................................................. 31
4.6.2 Puntos clave........................................................................................................................................................... 31
4.6.3 Pasos recomendados.............................................................................................................................................. 32
4.6.4 Herramientas.......................................................................................................................................................... 32

5
Guía del Evaluador: Usando COBIT® 5

4.7 Informes de Evaluación.................................................................................................................................................. 32


4.7.1 Visión general......................................................................................................................................................... 32
4.7.2 Cuestiones clave..................................................................................................................................................... 33
4.7.3 Pasos recomendados.............................................................................................................................................. 34
4.7.4 Herramientas.......................................................................................................................................................... 34

Apéndice A. Términos y Definiciones (iso/iec-15504-1 2003) ............................................................................................... 35

Apéndice B. Acrónimos............................................................................................................................................................. 39

Apéndice C. Lecturas................................................................................................................................................................ 41

Apéndice D. Herramientas....................................................................................................................................................... 43

6
1.0 Resumen

1.0 Resumen
1.1 Introducción
COBIT Assessor Guide: Using COBIT 5 (Guía del Asesor de COBIT) es un compañero del COBIT Process Assessment
Model (PAM): utilizando COBIT 5 (Modelo de evaluación de procesos de COBIT). Esta guía proporciona detalles de
cómo acometer una evaluación, mientras que el Modelo de Evaluación de Procesos de COBIT proporciona detalles
para fijar la base de la evaluación.

1.2 Programa de Evaluación de COBIT - Propósito


El propósito principal de esta guía es ofrecer una orientación a los asesores de cómo llevar a cabo una evaluación. Está
diseñada para ofrecer a las empresas una metodología entendible, lógica, repetible, fiable y robusta para la evaluación de la
capacidad de sus procesos de TI, basados en el Modelo de Referencia de Procesos de COBIT 5 (PRM). Dicha evaluación
puede ser utilizada como informe interno para la dirección ejecutiva de la empresa o el comité ejecutivo sobre la capacidad
de sus procesos de TI, a fin de establecer un objetivo para la mejora en base a los requerimientos de negocio.

El programa de evaluación de COBIT es un enfoque estándar para la evaluación de la capacidad de procesos,


produciendo resultados que facilitan la priorización, planificación y mejora de los procesos. La estandarización conlleva
la reducción, hasta cierto punto, de la subjetividad de la actividad de la evaluación, pero aún así el juicio profesional
sigue siendo parte de los resultados de evaluación. Por lo tanto, un asesor competente es esencial para dicho trabajo.

Una guía más sencilla que COBIT Self-assessment Guide : Using COBIT 5 (Guía de Autoevaluación de COBIT:
Usando COBIT) – una alternativa a la completa evaluación del cumplimiento de la ISO / IEC 15504-2 destacada en esta
guía – está disponible también en ISACA. Dicha guía puede ser usada por las empresas para realizar una evaluación
menos rigurosa de la capacidad de sus procesos. Está basada en el Modelo de Evaluación de Procesos de COBIT
(PAM), pero no incluye el mismo nivel de requerimientos de prueba que el enfoque dependiente de ISO / IEC.

1.3 Elementos clave


El programa de evaluación de COBIT incorpora COBIT 5 como el Modelo de Referencia de Procesos (PRM) de COBIT
y el enfoque ISO/IEC 15504 como base del marco de medida (ISO / IEC 15504 parte 2) y el proceso de evaluación (ISO /
IEC 15504 parte 3). Esto significa que:
• Las especificaciones de los procesos utilizados en la evaluación están basados en COBIT 5, el marco de negocio para
el gobierno y la gestión de las TI corporativas.
• La capacidad para cada proceso evaluado se expresa en términos de una escala de 0 a 5 como se muestra en la figura
1, en base a la ISO / IEC 15504

Figura 1 – Escala de Medición de la ISO / IEC

Optimizado Nivel 5: Optimizado


El proceso está mejorando de forma contínua para PA 5.1 Innovación del Proceso
cumplir las metas de negocio actuales y futuras. PA 5.2 Optimización del Proceso

Nivel 4: Predecible
Predecible PA 4.1 Medición del Proceso
El proceso se ejecuta de forma consistente dentro PA 4.2 Control del Proceso
de los límites definidos.
Nivel 3: Establecido
PA 3.1 Definición del Proceso
Establecido
PA 3.2 Despliegue del Proceso
Un proceso estándar está definido
y usado dentro de la empresa. Nivel 2: Gestionado
Gestionado
PA 2.1 Gestión de la Ejecución
PA 2.2 Gestión del Producto de Trabajo El proceso está gestionado y los resultados
son específicos, controlados y mantenidos.
Nivel 1: Ejecutado
Ejecutado
PA 1.1 Ejecución del Proceso El proceso se ejecuta y alcanza su propósito.
Incompleto
Nivel 0: Incompleto
El proceso no está implementado o falla en
el cumplimiento de su propósito.

Fuente: Esta figura está reproducida en la ISO/IEC 15504-2, con el permiso de ISO/IEC en www.iso.org. El copyright permanece en ISO/IEC..

7
Guía del Evaluador: Usando COBIT® 5

El proceso de evaluación requiere determinar si los atributos de los procesos específicos (del PA 1.1 a PA 5.2 según se
muestra) son alcanzados. El criterio de evaluación y evidencia requeridos están especificados en el Modelo de Evaluación
de Procesos de COBIT (PAM).

1.4 Factores Críticos de Éxito


Hay un número de factores que son críticos para el éxito de la evaluación y el plan de mejora de procesos. Están alineados
dentro de la metodología de la evaluación de la capacidad de COBIT, como se muestra a continuación:

1. Patrocinio: Debe existir un patrocinador de la iniciativa con la autoridad de tomar decisiones y apoyar el proceso de
evaluación. Un patrocinador claro es crucial para cualquier proceso de evaluación, con la autoridad necesaria para
involucrar a un equipo de evaluación y garantizar que los recursos y competencias adecuados están disponibles para
realizar la evaluación adecuada.
El patrocinador juega un rol importante para garantizar que el alcance y el propósito de la evaluación ha sido
comprendido así como asegurar que los resultados y las implicaciones son comunicadas a la dirección de la empresa.
2. Definición clara del propósito, alcance y restricciones. Debe haber un claro entendimiento del alcance de la
evaluación. Mientras COBIT proporciona una estructura de procesos que dirige todos los aspectos de TI, las empresas
tienen prioridades y necesidades diferentes. Una empresa podría considerar que la entrega de un nuevo servicio es
una prioridad clave. Otras podrían estar centradas en la eficiencia de la entrega de servicio. Asociado con las metas en
cascada de COBIT existen un número de correspondencias entre metas específicas de negocio y procesos de TI. La guía
del asesor proporciona orientación de cómo usar tales correspondencias para centrarse en la evaluación de los procesos
de TI más importantes para la empresa.
3. Selección del tipo de evaluación apropiada. Adoptar el tipo de evaluación más apropiada para la empresa en el
momento de la evaluación. El enfoque del programa de evaluación de COBIT define tres tipos de evaluación, cada
una con diferentes propósitos y niveles de precisión. El nivel de rigurosidad (y por tanto el coste de la evaluación)
incrementa desde el tipo tres al tipo uno.

Tipo Uno Utilizado para compararse con otras empresas


Tipo Dos Utilizado para proporcionar una evaluación fiable para informes internos. Normalmente sería utilizado para ofrecer una base para
una evaluación inicial al comienzo de un programa de mejora
Tipo Tres Utilizado para evaluar y entender los procesos de TI y los posibles beneficios de una mejora de TI. La evaluación es adecuada para
monitorizar los procesos en curso de un programa de mejora o identificar los asuntos clave para una posterior evaluación de tipo
uno o dos.

Las evaluaciones de tipo uno y dos son evaluaciones independientes y deberían involucrar asesores externos a la
empresa (para el tipo uno) o la unidad de la empresa evaluada (para el tipo dos). Los tres tipos requieren asesores y
evidencias competentes.
4. Liderazgo del proyecto: La evaluación del proyecto debería estar encabezada por un asesor competente con las
habilidades, conocimiento y experiencia apropiadas. Mientras Modelo de Evaluación de Procesos de COBIT (PAM)
y esta guía ofrecen apoyo para el proceso de evaluación, la efectividad de la evaluación depende de las habilidades y
el juicio de los asesores, y en particular, del asesor jefe, quien debe tener un conocimiento tanto de la evaluación de
procesos como de COBIT. La ISO /IEC 15504 requiere que el patrocinador garantice que la evaluación está liderada por
un asesor competente. ISACA ha desarrollado un programa de formación y certificación para apoyar este requerimiento
y ofrecer evidencia de la competencia del asesor.
5. Compromiso de los participantes requeridos: La empresa necesita reconocer que aquellos involucrados en cada
proceso, tales como propietarios de los procesos, participantes de los procesos y usuarios de sus resultados, son la
principal fuente de conocimiento y experiencia sobre los procesos y que están en una buena posición para identificar
debilidades potenciales de la capacidad de procesos. El apoyo de la dirección para la evaluación necesita ser evidente
para motivar a los participantes a ser abiertos y constructivos. Debe quedar claro que las evaluaciones de procesos se
centran en los procesos, no en el desempeño del personal de la empresa involucrados en ellos. La intención es hacer más
eficiente la ejecución de los procesos como apoyo a los metas de negocio definidas, no para culpar a los empleados de
los malos resultados.
6. Aplicación consistente de la metodología de evaluación: La base para una evaluación repetible, fiable y robusta es la
aplicación consistente del enfoque de evaluación apoyado por las evidencias recogidas como base para determinar la
puntuación de la capacidad. Es responsabilidad del asesor jefe asegurar que esto ocurra.

8
1.0 Resumen

1.5 Público objetivo


La guía está dirigida principalmente a apoyar a aquellos que quieren llevar a cabo un proceso de evaluación para el
cumplimiento de la ISO / IEC 15504 utilizando el Modelo de Evaluación de Procesos de COBIT (PAM). Puede ser
utilizado por miembros del equipo implicados en la evaluación del proceso para entender que pasos necesitan realizarse, y
cómo estos pasos trabajan de forma conjunta. Puede ser utilizado también por auditores internos para mejorar su enfoque
de auditoría en relación con la evaluación de la capacidad de los procesos. Es una valiosa referencia para la dirección y las
partes interesadas, porque les ofrece un entendimiento completo de las expectativas, resultados y pasos involucrados en
este tipo de evaluación.

1.6 Informe del Programa de Evaluación de COBIT


El resultado preliminar de una evaluación es un informe para el patrocinador de la empresa que describe la capacidad
de los procesos seleccionados (definidos en el modelo de referencia de procesos de COBIT (PRM)) contra la escala de
capacidad (definida en la ISO/IEC 15504-2) según lo documentado en el Modelo de Evaluación de Procesos de COBIT
(PAM).

El informe no es una declaración o informe de cumplimiento de la efectividad de los procesos o de sus controles internos.
Se entiende como un informe interno que ofrece información de uso únicamente para la dirección de la empresa, y no
debería ser confiada a otros. Su propósito es proporcionar información sobre la capacidad de los procesos de la empresa y
ofrecer a la dirección algunas indicaciones de los procesos que necesitan mejora.

Si los resultados son comparados con o resultados de otras entidades dentro de la empresa o con resultados de otras
empresa, debe tenerse cuidado a la hora de interpretar la información y las conclusiones porque la capacidad de los
procesos es solo un aspecto del rendimiento de la empresa y el cumplimiento de objetivos.

9
Guía del Evaluador: Usando COBIT® 5

Página dejada en blanco intencionadamente

10
2.0 Modelo de Evaluación de Proceso

2.0 Modelo de Evaluación de Procesos


2.1 Introducción
Un componente crucial del programa de evaluación de COBIT es el COBIT PAM, en la figura 2. COBIT PAM
proporciona las bases para:
• El PRM (por sus siglas en inglés, Modelo de Referencia de Procesos), el cual define el primer nivel sobre los que
desarrollar los requerimientos.
• Determinar los niveles de capacidad (el marco de medición).

Figura 2 — COBIT PAM y la Guia de Evaluación

Capítulo 2 G
Modelo de referencia Marco de medición
del Proceso
U
• Niveles de capacidad
• Atributos del proceso
Í
• Dominio y alcance Modelo de evaluación
• Propósito del proceso
del Proceso
• Escala de valoración A
• Resultados del proceso
• Alcance
• Indicadores D
• Mapeo
• Traducción E
L
Capitulo 4
ENTRADA INICIAL SALIDAS A
• Propósito PROCESOS DE EVALUACIÓN • Fecha
• Evaluación de entrada
S
• Alcance • Planificación
• Restricciones • Recogida de datos • Identificación de la E
• Identidades • Validación de datos evidencia
• Enfoque • Clasificación de los atributos • Evaluación del proceso S
• Criterios evaluación del proceso utilizado
de competencias. • Informes • Perfiles del proceso O
• Información adicional • Información adicional
R
Roles y responsabilidades
• Sponsor P
• Evaluador competente
• Evaluadores A
M
Capítulo 3

Fuente: Esta figura de ISO/IEC 15504-2 se ha reproducido con permiso de ISO/IEC en www.iso.org. El Copyright sigue siendo de ISO/IEC

2.2 El modelo de referencia de procesos


El PRM es parte de COBIT 5, el cual proporciona definiciones de procesos en un ciclo de vida junto con una arquitectura
que describe las relaciones entre los procesos. El objeto del proceso y los resultados se derivan de COBIT

2.2.1 Estructura de procesos COBIT


COBIT 5 es un marco de negocio para el gobierno y gestión de la empresa de TI que consta de 37 procesos como se
muestra en la figura 3.

11
Guía del Evaluador: Usando COBIT® 5

Figura 3 — COBIT 5 Modelo de Referencia de Procesos

Procesos para el Gobierno de Empresas de TI


Evaluar, Dirigir y monitorizar

EDM01 Asegurar la
configuración y el EDM02 Asegurar EDM03 Asegurar EDM04 Asegurar EDM05 Asegurar
mantenimiento del la entrega de la optimización la optimización la transparencia a
marco de Gobierno. beneficios. de riesgos. de recursos. los grupos de interés.

Alinear, planificar y organizar Monitorizar,


evaluar
APO01 Gestionar APO02 Gestionar APO03 Gestionar
APO04 Gestionar APO05 Gestionar APO06 Gestionar APO07 Gestionar y valorar
el marco la estrategia la arquitectura el presupuesto los Recursos
de gestión de TI de la empresa la innovación la cartera
y los costes Humanos
MEA01 Monitorizar,
Evaluar y valorar
APO09 Gestionar el rendimiento
APO08 Gestionar APO10 Gestionar APO11 Gestionar APO12 Gestionar APO13 Gestionar y conformidad
los acuerdos el riesgo la seguridad
las relaciones de servicio los proveedores la calidad

Desarrollar, adquirir e implementar


BAI03 Gestionar BAI04 Gestionar BAI05 Gestionar BAI07 Gestionar
BAI01 Gestionar BAI02 Gestionar la identificación la gestión la aceptación
los programas la toma la disponibilidad BAI06 Gestionar
de soluciones y la capacidad del cambio cambios del cambio MEA02 Monitorizar,
y proyectos de requerimientos y el desarrollo y transición Evaluar y valorar
el sistema
de control Interno

BAI08 Gestionar BAI09 Gestionar BAI10 Gestionar


el conocimiento activos la configuración

Entrega, Servicio y soporte


MEA03 Monitorizar,
DSS02 Gestionar DSS05 Gestionar DSS06 Gestionar Evaluar y valorar el
DSS01 Gestionar DSS03 Gestionar DSS04 Gestionar cumplimiento con los
Operaciones Peticiones de Servicio Servicios Controles de los
e incidencias Problemas Continuidad de seguridad procesos de negocio requerimientos externos.

Procesos para la gestión de las empresas de TI

Fuente: COBIT 5, figura 3

El marco de COBIT 5 puede ser obtenido como un PDF gratuito en www.isaca.org/cobit. COBIT® 5:Habilitación de
procesos puede ser obtenido de la librería de ISACA (y como PDF gratuito para los miembros de ISIACA desde www.
isaca.org/cobit).

Tenga en cuenta que no se espera que los procesos de una empresa se alineen exactamente con los procesos de COBIT.
También, COBIT anima a las empresas a modificar su terminología para ajustarse a la que la empresa utiliza. El marco debe
adaptarse con éxito a la cultura de la empresa. En una fase temprana de la evaluación podría involucrar la correlación de los
procesos de la organización y su terminología con los procesos de COBIT para ser utilizada como base de dicha evaluación.
Como parte del alcance de la evaluación, la empresa debería elegir que procesos de TI desea evaluar. La elección
debería ser realizada a través de la identificación de objetivos de negocio en los cuales la empresa decide focalizarse y
posteriormente utilizando el mapeo de los objetivos de COBIT para identificar los potenciales procesos para la evaluación.

Tenga en cuenta que todos los aspectos de COBIT (cascada de objetivos, principios, los otros seis facilitadores) afectan a
los procesos de COBIT de alguna forma, dependiendo del contexto. Por lo tanto, la guía general de COBIT debe tenerse en
consideración cuando desarrolle evaluaciones de procesos de COBIT.

2.2.2 Propósito de Procesos, Resultados, Prácticas Base y Productos de trabajo


Figura 4 muestra como cada uno de los 37 procesos de COBIT 5 se encuentran descritos en el COBIT PAM. La
descripción para cada proceso incluye:
• ID del proceso —Define el dominio de COBIT con el que se asocia el proceso así como un único número de proceso.
• Nombre del proceso —El nombre del proceso en COBIT 5.
• Descripción del proceso —De COBIT 5: Facilitadores del proceso.
• Declaración del propósito del proceso —Objetivos medibles de alto nivel sobre el rendimiento del proceso y los
posibles resultados de una implementación efectiva del proceso (de COBIT 5: Facilitadores del proceso).
• Practicas base (BPs)
• Productos de trabajo (WPs) —Entrada y salidas
• Matriz RACI –Muestra quién es responsable de hacer, responsable de que se haga, consultado o informado.
• Prácticas, entradas/salidas y actividades —Practicas y actividades que, cuando son desarrolladas de forma consistente,
contribuyen a alcanzar los propósitos de un proceso especifico y sus correspondientes entradas y salidas esperadas.

12
2.0 Modelo de Evaluación de Proceso

Figura 4—COBIT PAM DSS03 Gestionar Problemas

ID del proceso DSS03


Nombre del proceso Gestionar problemas
Descripción del Identificar y clasificar problemas y su causa raíz proveyendo una resolución a tiempo para prevenir incidentes recurrentes.
proceso Proveer recomendaciones para mejoras.
Declaración del Aumentar la disponibilidad, mejorar los niveles de servicio, reducir el coste, y mejorar la comodidad y satisfacción del cliente a
propósito del proceso través de la reducción del número de incidentes operacionales.
Resultados
Número Descripción
DSS03-O1 TI – Problemas relacionados son resueltos por lo que no vuelven a ocurrir.
Prácticas base
Número Descripción Soportes
DSS03-BP1 Identificar y clasificar problemas. DSS03-O1
Definir e implementar criterios y procedimientos para reportar problemas identificados, incluyendo
una clasificación de problemas, categorización y priorización.
DSS03-BP2 Investigar y diagnosticar problemas. DSS03-O1
Investigar y diagnosticar problemas utilizando expertos relevantes en la materia de gestión para
evaluar y analizar la causa raíz.
DSS03-BP3 Elevar los errores conocidos.
Tan pronto como se identifiquen las causas raíz de los problemas, crear registros de errores
conocidos y su solución provisional apropiada, e identificar soluciones potenciales.
DSS03-BP4 Resolver y cerrar problemas. DSS03-O1
Identificar e iniciar soluciones sostenibles que aborden la causa raíz, elevando las solicitudes de
cambio a través del proceso de gestión de cambios establecido en caso que sea necesario para
resolver errores. Asegurar que el personal afectado está informado de las acciones realizadas y los
planes desarrollados para prevenir futuros incidentes que se produzcan.
DSS03-BP5 Desarrollar una gestión de problemas proactiva. Recoger y analizar información de operación
(especialmente registros de incidencias y cambios) para identificar tendencias emergentes que
pueda indicar un problema. Mantener registros de problemas para permitir la evaluación.
Productos de trabajo
Entradas
Número Descripción Soportes
APO12-WP16 Causas raíz relacionadas con riesgo. DSS03-BP1
DSS03-O1
DSS02-WP3 Criterios para el registro del problema.
DSS02-WP9 Registro de problema.
DSS02-WP10 Resolución del incidente. DSS03-BP4
DSS03-O1
DSS02-WP11 Peticiones de servicio e incidentes cerrados.
Salidas
Número Descripción Entrada a Soportes
DSS03-WP1 Esquema de clasificación de Problemas. DSS02.01 DSS03-BP1
DSS03-O1
DSS03-WP2 Informes de estado de los problemas. DSS02.07
DSS03-WP3 Registro del problema. Interno
DSS03-WP4 Causa raíz de problemas Interno DSS03-BP2
DSS03-O1
DSS03-WP5 Informes de resolución de problemas. DSS02.07
DSS03-WP6 Registro de errores conocidos. DSS02.05 DSS03-BP3
DSS03-O1
DSS03-WP7 Soluciones propuestas a errores conocidos. BAI06.01
DSS03-WP8 Registro de problemas cerrados. DSS02.06 DSS03-BP4
DSS03-O1
DSS03-WP9 Comunicación de lecciones aprendidas. APO08.04
DSS02.05
DSS03-WP10 Informes de monitorización de resolución de problemas. DSS02.07 DSS03-BP5
DSS03-O1
DSS03-WP11 Identificar soluciones sostenibles. BAI06.0

Fuente: COBIT Process Assessment Model (PAM): Using COBIT 5

La descripción del proceso y sus componentes serán utilizados en la evaluación del primer nivel de capacidad (rendimiento
del proceso) para el proceso, es decir, que el proceso consigue su propósito previsto.

13
Guía del Evaluador: Usando COBIT® 5

2.3 El Marco de Medición


El proceso de evaluación implica el establecimiento de una calificación de aptitud definida por ISO para cada proceso.
Se trata de utilizar la escala de calificación estándar para evaluar los atributos de proceso (basado en los indicadores de
atributos) que se aplican a cada uno de los seis niveles de aptitud (todos los cuales se definen en la norma ISO / IEC
15504-2).

2.3.1 Niveles de Aptitud de Proceso


La aptitud de cada proceso evaluado se expresa como un nivel de aptitud de 0 a 5, y cada nivel de aptitud de proceso está
alineado con una situación del proceso como se muestra en la figura 5.

Figura 5-Niveles de Aptitud de Proceso

Nivel 5: Optimizado

6 Niveles Nivel 4: Predecible

de Aptitud
de Proceso Nivel 3: Establecido

Nivel 2: Gestionado

Nivel 1: Realizado

Nivel 0: Incompleto

Nivel 0: Proceso incompleto El proceso no está implementado o no consigue su propósito. En este nivel, hay poca o ninguna evidencia de
cualquier logro de la finalidad del proceso.
Nivel 1: Proceso realizado El proceso implementado consigue su propósito.
Nivel 2: Proceso gestionado El proceso realizado está implementado de una manera gestionada (planeada, monitoreada y ajustada) y sus
productos están adecuadamente, establecidos, controlados y mantenidos.
Nivel 3: Proceso establecido El proceso gestionado está implementado como un proceso definido que es capaz de lograr sus resultados.
Nivel 4: Proceso predecible El proceso establecido opera dentro de los límites definidos para lograr sus resultados, como un proceso medido
y controlado.
Nivel 5: Proceso optimizado El proceso predecible se mejora continuamente para satisfacer los objetivos de negocio relevantes, actuales
y proyectados, incorporando innovación de proceso y optimización.

Como parte de la evaluación de alcance, la empresa debe elegir el nivel de aptitud que requiere, en función de los objetivos
de negocio, beneficios, necesidades de los interesados, los riesgos y las consideraciones de dotación de recursos. La
determinación del alcance también puede restringir el nivel de una evaluación para reducir la complejidad, el esfuerzo y el
costo de la evaluación.

Tener en cuenta que el nivel 2: Proceso Gestionado es un nivel definido en la ISO / IEC 15504 y no es plenamente
compatible con el concepto de gestión de COBIT (planificar, construir, ejecutar, supervisar).

2.3.2 Atributos de Proceso


Dentro de COBIT PAM, la medida de la aptitud se basa en los nueve atributos de proceso (con el prefijo PA) definidos en
la norma ISO / IEC 15504-2, como se muestra en la figura 6. Cada atributo se aplica a una aptitud de proceso específico.
Los atributos de proceso se utilizan para determinar si un proceso ha alcanzado una aptitud dada.

14
2.0 Modelo de Evaluación de Proceso

Figura 6-Atributos de Proceso

Nivel 5: Optimizado
PA 5.1 Innovación de Proceso
PA 5.2 Optimización del Proceso

6 Niveles Nivel 4: Predecible


PA 4.1 Medición del Proceso
de Aptitud PA 4.2 Control de Proceso
de Proceso Nivel 3: Establecido
PA 3.1 Definición de Proceso
PA 3.2 Despliegue de Proceso

Nivel 2: Gestionado
PA 2.1 Gestión del Desempeño
PA 2.2 Gestión del Resultado del Trabajo

Nivel 1: Realizado 9 Atributos


PA 1.1 Desempeño del Proceso de Proceso
Nivel 0: Incompleto

El nivel 0 de aptitud de proceso no tiene atributo. El nivel 0 refleja un proceso no aplicado o un proceso que no logra
alcanzar al menos parcialmente sus resultados.

2.3.3 Indicadores de Evaluación


Los indicadores de evaluación del COBIT PAM proporcionan la base para determinar si los atributos de proceso se han
logrado.

NIVEL DE APTITUD 1
Los indicadores de nivel de aptitud 1 son específicos para cada proceso para evaluar si el siguiente atributo se ha logrado:
El proceso implementado logra su propósito.

La publicación COBIT PAM proporciona información para cada proceso, como se muestra en la figura 7, en forma de:
• Una descripción del proceso y una declaración de su propósito
• Un conjunto de los resultados del proceso
• Una serie de prácticas de procesos y productos de trabajo (entradas y salidas) asociadas con cada resultado del
proceso

Tenga en cuenta que la guía detallada del marco COBIT 5 sobre las prácticas y las propiedades del trabajo es ilustrativa.
Pueden existir prácticas y/o productos del trabajo alternativos para lograr el propósito definido. Estos casos deben estar
claramente documentados en la recopilación de evidencias.

15
Guía del Evaluador: Usando COBIT® 5

Figura 7-COBIT PAM DSS03 Gestión de Problemas


Identificación
¿Existe un proceso del Proceso DSS03
con este objetivo? Nombre del Proceso Gestión de Problemas
Descripción Identificar y clasificar los problemas y sus causas origen y proporcionar una solución oportuna para prevenir incidentes
del Proceso recurrentes. Proporcionar recomendaciones de mejora.
Declaración de Pro- Incrementar disponibilidad, mejorar niveles de servicio, reducir costes, y mejorar la comodidad y satisfacción del cliente
pósito del Proceso reduciendo el número de problemas operacionales.
Resultados (Os)
Número Descripción
DSS03-O1 Los problemes relacionados con IT están resueltos de modo que no se vuelven a producir.
¿Se han logrado Prácticas de Base (BPs)
estos resultados? Número Descripción Soportes
DSS03-BP1 Identificar y clasificar los problemas DSS03-O1
Definir e implementar criterios y procedimientos para reportar los problemas identificados,
incluyendo la clasificación, categorización y priorización del problema.
DSS03-BP2 Investigar y diagnosticar problemas. DSS03-O1
Investigar y diagnosticar problemas utilizando expertos en gestión de temes relevantes para evaluar
y analizar las causas origen.

¿Hay evidencia de que DSS03-BP3 Difundir los errors conocidos.


Tan pronto como se identifiquen las causes origen de los problemas, crear registros de errores
se están acometiendo conocidos y una apropiada manera de evitarlos, e identificar soluciones potenciales.
las prácticas DSS03-BP4 Resolver y cerrar los problemas. DSS03-O1
de base apropiadas? Identificar e iniciar soluciones sostenibles dirigidas a la causa origen, enviando peticiones de cambio
por medio de los procesos de gestión de cambio establecidos si es necesario para resolver los errores.
Asegurar que el personal afectado es consciente de las acciones emprendidas y de los planes
desarrollados para prevenir que ocurran futuros incidentes.
DSS03-BP5 Realizar una gestión de problemas proactiva. Recopilar y analizar datos de operación (especialmente
registros de incidentes y cambios) para identificar tendencias emergentes que puedan indicar
problemas. Guardar los registros de problemas para permitir una evaluación.
Productos del Trabajo (WPs)
Entradas
Número Descripción Soportes

¿Hay evidencia de que APO12-WP16 Causas origen relacionadas con el riesgo DSS03-BP1
DSS03-O1
esos productos del DSS02-WP3 Criterios para registro de problemas
trabajo (o equivalentes) DSS02-WP9 Registro del Problema
están siendo DSS02-WP10 Resolución del incidente DSS03-BP4
procesados? DSS02-WP11 Peticiones de servicio e incidentes cerrados
DSS03-O1

Salidas
Número Descripción Entrada a Apoyos
DSS03-WP1 Esquema de clasificación de Problemas DSS02.01 DSS03-BP1
DSS03-O1
DSS03-WP2 Informes de estado de Problemas DSS02.07
DSS03-WP3 Registro de problemas Interno
DSS03-WP4 Causas origen de los problemas Internas DSS03-BP2
DSS03-O1
DSS03-WP5 Informes de solución de Problemas DSS02.07
DSS03-WP6 Registro de errores conocidos DSS02.05 DSS03-BP3
DSS03-O1
DSS03-WP7 Soluciones propuestas para errores conocidos BAI06.01
DSS03-WP8 Registro de problemas cerrados DSS02.06 DSS03-BP4
DSS03-O1
DSS03-WP9 Comunicación de conocimientos aprendidos. APO08.04
DSS02.05
DSS03-WP10 Informes de seguimiento de resolución de problemas DSS02.07 DSS03-BP5
DSS03-O1
DSS03-WP11 Soluciones sostenibles identificadas BAI06.0

Fuente: COBIT Modelo de Evaluación de Proceso (PAM): Usando COBIT 5

Como parte de la evaluación para determinar si se está logrando el nivel de aptitud 1, los evaluadores deben determinar si
se está logrando el objetivo del proceso. Un proceso logra su propósito si se están realizando las prácticas definidas y se
están entregando los productos / resultados (o alternativas establecidas).

Ver una exposición más detallada de los niveles de aptitud en la sección 4.6 Clasificación de los Atributos de Proceso.

NIVELES DE APTITUD 2 A 5
En contraste con el nivel de aptitud 1, las evaluaciones de los niveles de aptitud de 2 a 5 se basan en indicadores de
desempeño de proceso genérico. Éstos son llamados genéricos porque se aplican en todos los procesos en cada nivel de
aptitud a nivel global, independientemente del propósito del proceso, tipo de empresa, tamaño o línea de negocio.

Generalmente, se entiende que cuanto mayor es el nivel de aptitud de proceso alcanzado, menor es el riesgo de que el proceso
no cumpla su finalidad prevista. También se entiende generalmente que cuanto mayor es la aptitud, más costoso el proceso es
para operar.

16
2.0 Modelo de Evaluación de Proceso

El COBIT PAM proporciona una descripción para cada atributo de proceso, como se muestra en el ejemplo del atributo PA
3.1 en la figura 8. Esto está definido y requerido por la norma ISO / IEC 15504-2 y se compone de:
• El número de atributo (con el prefijo PA)
• Nombre del atributo
• Breve propósito del atributo
• Lista de resultados esperados que demuestren el logro del atributo

Figura 8-COBIT PAM Nivel 3 Atributo de Proceso PA 3.1

Número de Nivel
Nivel 3-Proceso establecido

El Proceso Gestionado está implementado usando un proceso definido que es capaz


de lograr sus objetivos. Nombre de Atributo

PA 3.1 Definición de Proceso—Una medida del alcance con el que se mantiene un


proceso estándar para apoyar el despliegue del proceso definido. Como resultado
de la consecución completa de este atributo:
Objetivo del Atributo
a) Se define un proceso estándar, incluyendo guías de adaptación apropiadas, que
describe los elementos fundamentales que deben ser incorporados en un proceso
definido. Lista de Resultados
b) Se determina la secuencia e interacción del proceso estándar con otros esperados de la
procesos. consecución completa
c) Se identifican las competencias y roles necesarios para llevar a cabo un proceso, del Atributo
como parte del proceso estándar.
d) Se identifican la infraestructura y el entorno de Trabajo necesarios para realizar
un proceso, como parte del proceso estándar.
e) Se determinan los métodos adecuados para el seguimiento de la eficacia y la
adecuación del proceso.

Nota: Un proceso estándar puede ser usado a la hora de implementar un proceso


definido, en cuyo caso no serían necesarias guías de adaptación.

Es importante hacer hincapié en que los atributos marco de medición y de proceso se derivan de la norma ISO / IEC
15504-2. Para cada uno de los atributos, el COBIT PAM describe dos tipos de indicadores de desempeño:
• La práctica genérica
• El indicador genérico de producto de trabajo

Como se observa en COBIT® Modelo de Evaluación de Proceso (PAM): Usando COBIT® 5, los productos de trabajo
para algunos procesos proporcionan mayores requisitos de aptitud para otros procesos. Esto dará como resultado una
aplicación progresiva de los procesos. El enfoque inicial en cualquier evaluación de procesos es el núcleo de procesos
(a veces llamados primarios), que son principalmente parte de los dominios BAI y DSS. Se requieren procesos de los
dominios APO y MEA para apoyar la mejora de la aptitud de estos procesos básicos más allá del nivel 1. Un ejemplo es
APO01 Administrar el marco de gestión de TI, que se requiere como parte para establecer el marco de procesos de TI para
documentar las funciones y responsabilidades requeridas por los procesos a nivel de aptitud 2.

Un ejemplo de ello se muestra en la figura 9.

17
Guía del Evaluador: Usando COBIT® 5

Figura 9-PA 3.1 Definición de Proceso

Lista de Resultados
PA 3.1 Definición de Proceso Esperados
Resultado de la Plena Consecución del Atributo Prácticas Genéricas (GPs) Productos de Trabajo Genérico (GWPs)
a. Se define un proceso estándar, incluyendo guías GP 3.1.1 Definir el proceso estándar que dé soporte GWP 5.0 Políticas y estándares deberían suministrar
de adaptación adecuadas, que describe los al desarrollo del proceso definido. Se define un proceso detalles de los objetivos organizativos para el proceso,
elementos fundamentales que deben ser estándar que identifica los elementos fundamentales estándares mínimos de rendimiento, procedimientos
incorporados en un proceso definido. del proceso y provee las guías y procedimientos para estándar, y requerimientos de control y reporte de
dar soporte a la implantación y guía de cómo debe ser información. El requerimiento de evidencias en este
adaptadas en cuanto sea necesario. nivel no es únicamente que las políticas y estándares
existan sino que se apliquen a lo largo de la organización.
Prácticas Genéricas
b. Se determinan la secuencia e interacción del proceso GP 3.1.2 Determinar la secuencia e interacción GWP 5.0 Políticas y estándares deberían suministrar
estándar con otros procesos. entre procesos que deben trabajar como un sistema un mapa de los procesos con detalles de los procesos
integrado de procesos. La secuencia estándar de estándar, su interacción y las secuencias esperadas.
procesos y la interacción entre ellos se determinan El requerimiento de evidencias en este nivel no es
y mantienen cuando un proceso se implanta en únicamente que las políticas y estándares existan sino
diferentes partes de la organización. que se apliquen a lo largo de la organización.

c. Se identifican las competencias y roles necesarios GP 3.1.3 Identificar las responsabilidades GWP 5.0 Políticas y estándares deberían suministrar
para llevar a cabo un proceso, como parte del proceso y competencias para realizar el proceso estándar. detalles de las responsabilidades y competencias para
estándar. el funcionamiento. El requerimiento de evidencias en
este nivel no es únicamente que las políticas y estándares
existan sino que se apliquen a lo largo de la organización.

d. Se identifican la infraestructura necesaria y el entorno GP 3.1.4 Identificar la infraestructura requerida GWP 5.0 Políticas y estándares deberían identificar
de trabajo para realizar un proceso, como parte del y el entorno de trabajo para llevar a cabo el proceso los requisitos mínimos de infraestructura y entorno de
proceso estándar. estándar. Se identifican la infraestructura (instalaciones, trabajo para llevar a cabo de procesos. El requerimiento Productos del Trabajo
herramientas, métodos, etc.) y el entorno de trabajo
para la puesta en marcha del proceso estándar.
de evidencias en este nivel no es únicamente que las
políticas y estándares existan sino que se apliquen a lo
Genéricos
largo de la organización.

Generalmente, el evaluador comprueba primero si existe la práctica genérica y si ésta consigue el atributo propuesto
para el proceso y los resultados. La existencia de productos de trabajo genéricos proporcionará evidencia para apoyar la
conclusión de que se han aplicado prácticas.

Ver una exposición más detallada de los niveles de aptitud en la sección 4.6 Clasificación de los Atributos de Proceso.

2.3.4 Escala de Clasificación


Cada atributo se clasifica usando una escala de clasificación estándar definida en la norma ISO / IEC 15504. Estas
clasificaciones consisten en:
• N—No alcanzado. Hay poca o ninguna evidencia del logro del atributo definido en el proceso evaluado.
• P—Parcialmente alcanzado. Existe alguna evidencia de un enfoque, y de algún logro, del atributo definido en el
proceso evaluado. Algunos aspectos de la consecución del atributo pueden ser impredecibles.
• L—Ampliamente alcanzado. Hay evidencia de un enfoque sistemático, y de un logro significativo, del atributo
definido en el proceso evaluado. Algunas debilidades relacionadas con ese atributo pueden existir en el proceso
evaluado.
• F—Completamente alcanzado. Hay evidencia de un enfoque completo y sistemático, y de la plena consecución,
del atributo definido en el proceso evaluado. No existen debilidades importantes relacionadas con este atributo en el
proceso evaluado.

Es necesario garantizar un nivel consistente de interpretación al decidir la calificación a asignar. La tabla de la figura 10
describe la clasificación tanto en términos de la escala original de calificación (definida anteriormente) como de aquéllas
calificaciones traducidas a una escala de porcentaje mostrando el grado de consecución.

Figura 10-Nivel de Clasificación


N No alcanzado 0 hasta 15% de consecución
P Parcialmente alcanzado >15% hasta 50% de consecución
L Ampliamente alcanzado <50% hasta 85% de consecución
F Completamente alcanzado >85% hasta 100% de consecución
Fuente: Esta figura de ISO/IEC 15504-2:2003 se ha reproducido con permiso de ISO/IEC en www.iso.org. El Copyright sigue siendo de ISO/IEC

El evaluador usa esta escala para determinar el nivel de aptitud alcanzado. Aplicados sistemáticamente, estos criterios
permiten que cada evaluación se base en un grado estructurado de formalidad y posibilitan la comparación de las
evaluaciones dentro de una empresa o incluso entre diferentes empresas. Téngase en cuenta que un cierto grado de criterio
debe ser aplicado en la determinación del nivel de logro.

18
2.0 Modelo de Evaluación de Proceso

2.3.5 Determinación del Nivel de Aptitud


El nivel de aptitud de un proceso depende de si los atributos del proceso para ese nivel han sido amplia y plenamente
conseguidos o si los atributos de proceso para los niveles más bajos se han alcanzado plenamente. La tabla de la figura 11
describe cada nivel y las calificaciones necesarias que cada uno debe alcanzar.

Figura 11-Niveles y Clasificaciones Necesarias


Escala Atributos de Proceso Clasificación
Nivel 1 Desempeño del Proceso Ampliamente o Completamente
Nivel 2 Desempeño del Proceso Completamente
Gestión del Desempeño Ampliamente o Completamente
Gestión del Resultado del Trabajo Ampliamente o Completamente
Nivel 3 Desempeño del Proceso Completamente
Gestión del Desempeño Completamente
Gestión del Resultado del Trabajo Completamente
Definición del Proceso Ampliamente o Completamente
Despliegue del Proceso Ampliamente o Completamente
Nivel 4 Desempeño del Proceso Completamente
Gestión del Desempeño Completamente
Gestión del Resultado del Trabajo Completamente
Definición del Proceso Completamente
Despliegue del Proceso Completamente
Medición del Proceso Ampliamente o Completamente
Control del Proceso Ampliamente o Completamente
Nivel 5 Desempeño del Proceso Completamente
Gestión del Desempeño Completamente
Gestión del Resultado del Trabajo Completamente
Definición del Proceso Completamente
Despliegue del Proceso Completamente
Medición del Proceso Completamente
Control del Proceso Completamente
Innovación del Proceso Ampliamente o Completamente
Optimización del Proceso Ampliamente o Completamente
Fuente: Esta figura de ISO/IEC 15504-2 se ha reproducido con permiso de ISO/IEC en www.iso.org. El Copyright sigue siendo de ISO/IEC

Tenga en cuenta que un proceso puede ser clasificado en un nivel con un atributo único “ampliamente logrado”. Sin
embargo, tendrá que ser alcanzado plenamente para ser clasificado en el siguiente nivel del atributo.

19
Guía del Evaluador: Usando COBIT® 5

Página dejada en blanco intencionadamente

20
3.0 Funciones y responsabilidades

3.0 Funciones y responsabilidades


Este capítulo trata sobre las funciones y responsabilidades involucradas en la realización de una evaluación de proceso,
como se muestra en la figura 12.

Figura 12— Funciones y responsabilidades

Capítulo 4
ENTRADAS INICIALES SALIDAS
• Propósito PROCESO DE EVALUACION • Fecha
• Alcance • Planificación • Evaluación de la entrada
• Restricciones • Recolección de Datos • Identificación de
• Identidades • Validación de Datos las evidencias
• Enfoque • Calificación de los atributos • Evaluación de procesos
• Criterios del evaluador del Proceso utilizados
de la competencia • Informes • Perfiles de procesos
• Información adicional • Información adicional

Funciones y Responsabilidades
• Patrocinador
• Evaluador Competente
• Evaluadores

Capítulo 3
Fuente: Esta figura está reproducida de ISO/IEC 15504-2, con la autorización de ISO/IEC en www.iso.org. El Copyright pertenece a ISO/IEC.

3.1 El Equipo de Evaluación


Cada evaluación debe ser realizada por un equipo con el conocimiento adecuado del enfoque de programa de evaluación
de COBIT y los procesos COBIT 5 que están siendo evaluados. Las dimensiones y la constitución del equipo dependerán
del alcance de la evaluación, el número de unidades empresariales evaluadas y los casos que se examinan.

3.2 Una Evaluación Independiente


Para una evaluación independiente, los evaluadores deben ser independientes de la empresa (para una evaluación de clase
uno) o de la unidad de la empresa que se está evaluando (para una evaluación de clase dos).

3.3 Funciones y Responsabilidades Clave


Hay una serie de funciones que intervienen en la evaluación de proceso, como se muestra en la figura 13. Cada función
tendrá un conjunto determinado de responsabilidades de acuerdo con la norma ISO / IEC 15504 y el enfoque de programa
de evaluación de COBIT para asegurar la conformidad con el proceso de evaluación

Figura 13— Funciones y responsabilidades clave en una evaluación basada en COBIT


Funciones Responsabilidades
Patrocinador Verificar que el evaluador líder es un asesor competente. Una indicación es qué sea un asesor certificado, si la certificación
adecuada está disponible.
Garantizar que se ponen a disposición los recursos para llevar a cabo la evaluación.
Garantizar que el equipo de evaluación tenga acceso a los recursos pertinentes.
Aprobar el ámbito de evaluación.
Aceptar los resultados de la evaluación en nombre de la organización.

21
Guía del Evaluador: Usando COBIT® 5

Figura 13— Funciones y responsabilidades clave en una evaluación basada en COBIT (cont.)
Funciones Responsabilidades
Evaluador líder Confirmar el compromiso del Patrocinador para proceder con la evaluación.
Garantizar que la evaluación se lleva a cabo de acuerdo con los requisitos del programa de evaluación de COBIT.
Garantizar que los participantes en la evaluación están informados sobre la finalidad, alcance y enfoque de la evaluación.
Garantizar que todos los miembros del equipo de evaluación tienen el conocimiento y las habilidades adecuadas a sus funciones.
Garantizar que todos los miembros del equipo de evaluación tienen acceso a la guía documentada sobre la manera de realizar las
actividades de evaluación definidas.
Garantizar que el equipo de evaluación tiene las competencias para utilizar las herramientas elegidas para apoyar la evaluación.
Confirmar la recepción de los resultados de evaluación entregables por parte del patrocinador.
A la finalización de la evaluación, verificar y documentar el grado de conformidad de la evaluación con respecto el programa
de evaluación de COBIT e ISO / IEC 15504.
Evaluador Garantizar que la evaluación se lleva a cabo de acuerdo con los requisitos del programa de evaluación de COBIT.
Calificar los atributos necesarios del proceso para completar el perfil del proceso.
Llevar a cabo las actividades asignadas asociadas con la evaluación (planificación detallada, recopilación de datos, validación
de datos y presentación de informes) y garantizar que son compatibles con la evidencia adecuada.
Coordinador Garantizar que el equipo de evaluación tiene una interacción adecuada con los responsables organizativos necesarios para
completar la evaluación.
Asegurar la disponibilidad de los recursos en el momento oportuno para cumplir con el programa de evaluación.
Servir como interlocutor de las cuestiones logísticas para garantizar que se cubren de manera adecuada tanto las necesidades
de la empresa como las necesidades de la evaluación.

3.4 Otros Participantes


Una evaluación de proceso implicará otros participantes, algunos de los cuales no formarán parte necesariamente del
equipo de evaluación. En concreto, la información sobre los procesos estará a cargo de los responsables del proceso
evaluado y / o de aquellos que estén involucrados, incluyendo el propietario del proceso en la empresa (si existe esa
función). Las funciones y responsabilidades de cada participante deben ser identificadas como parte de la planificación
de la evaluación y la gestión de la empresa debe motivar a los participantes para apoyar eficazmente los trabajos de
evaluación.

3.5 Competencia de los Evaluadores


La clave del éxito de la evaluación es la competencia de los evaluadores y, en particular, el evaluador líder.
El evaluador líder debe tener tanto el conocimiento del proceso de evaluación como las habilidades y experiencia en
evaluaciones TI, evaluaciones basadas en 15504 ISO / IEC, COBIT 5 y las áreas de actividad bajo revisión para llevar a
cabo la evaluación eficazmente.

ISACA ha desarrollado un programa continuo de capacitación y certificación para mantener y proporcionar evidencia de la
competencia del asesor.

Los factores clave a tener en cuenta en la determinación de la competencia de los evaluadores son los siguientes:
1. Habilidades en la aplicación del COBIT PAM y cómo aplicarlo a la evaluación de los procesos TI dentro de una
empresa, que incluye la metodología de evaluación, y las herramientas de COBIT PAM y los procesos de calificación.
Considere si los evaluadores han recibido formación específica y cuentan con la certificación de COBIT 5.
2. Conocimiento de COBIT 5 y cómo aplicarla a los procesos en evaluación. Hay que tener en consideración si
los evaluadores han asistido al Curso Fundación COBIT 5 y otras sesiones de formación de COBIT y obtenido
certificaciones.
3. Conocimiento y experiencia en relación con las actividades que se evalúan.
4. Los atributos personales que contribuyen al desempeño eficaz del proyecto. Estos incluyen, por ejemplo, las
habilidades de comunicación y de gestión de proyecto.

Los evaluadores líderes deberían haber realizado al menos dos evaluaciones como parte de un equipo.

22
4.0 Realizando una evaluación de Procesos

4.0 Realizando una evaluación de Procesos


Este capítulo trata sobre los aspectos de la realización de una evaluación de procesos, como se muestra en la figura 14.

Figura 14—Aspectos de la Realización de una Evaluación de Procesos

Modelo de Referencia
Capítulo 2 Marco de Medida
G
de Proceso U
• Niveles de Capacidad
• Dominio y Alcance • Atributos de Proceso Í
Modelo de Evaluación
• Finalidad del Proceso
• Resultados del Proceso del Proceso
• Escala de Medida
A
• Alcance
• Indicadores D
• Mapeo
• Traducción E
L
Capítulo 4
INPUT INICIAL OUTPUT
A
• Finalidad
• Alcance
PROCESO de EVALUACION
• Planificación
• Fecha
• Input Evaluación
S
• Restricciones • Recogida de Datos
• Validación de Datos
• Identificación de Evidencia
• Proceso de Evaluación
E
• Identidades
• Aproximación • Medición de Atributos de Proceso Usado S
• Criterios de Competencia • Reporting • Perfiles del proceso
del Evaluador • Información adicional O
• Información Adicional
R
Roles y responsabilidades
• Sponsor
• Evaluador competente
P
• Evaluadores A
M
Capítulo 3

Fuente: Esta figura de ISO/IEC 15504-2 se ha reproducido con permiso de ISO/IEC en www.iso.org. El Copyright sigue siendo de ISO/IEC

Las tareas primarias incluidas en el programa de evaluación COBIT consisten en siete pasos clave, como se muestra en la
figura 15.

Figura 15—Evaluar Pasos de Proyecto

Para cada proceso

Recogida
de Datos
E
V
I
D Informes
Inicio Planificación Instrucciones Validación
E de Datos de Evaluación
N
C
I
A Medición
Atributos
de Proceso

23
Guía del Evaluador: Usando COBIT® 5

4.1 Iniciación
4.1.1 Visión general
La etapa de iniciación consiste en confirmar el patrocinador y asegurar que hay acuerdo sobre el objeto y alcance
de la evaluación. Este paso también implicará la identificación de cualquier limitación, realizar la planificación inicial de
la evaluación (incluyendo cualquier información adicional que precise ser recogida), la elección de los participantes en la
evaluación y el equipo completo de evaluación, y la definición de los roles de los miembros del equipo.

4.1.2 Aspectos clave


La siguiente son aspectos clave para la evaluación.

SPONSOR
El promotor de la evaluación debe tener la autoridad para contratar a un equipo de evaluación y para que los recursos
y competencias adecuadas estén disponibles para llevar a cabo una evaluación adecuada.

EVALUADOR LÍDER
Durante el inicio, el promotor debe asegurarse de que el evaluador líder tiene las competencias para desempeñar la función.
Debería considerarse la posibilidad de utilizar un evaluador certificado con experiencia de COBIT 5 como evaluador líder.

SELECCIÓN DE PARTICIPANTES (EVALUADOS)


La clave del éxito de la evaluación es la participación de las personas con conocimientos sobre los procesos evaluados para
proporcionar una visión precisa de la capacidad del proceso. Los procesos a evaluar deben relacionarse con las unidades
empresariales que llevan a cabo el proceso o el uso de sus productos, de tal manera que se puedan establecer los acuerdos
iniciales para tener una representación adecuada en la evaluación.

CUESTIONARIO DE PRE-EVALUACIÓN
Este punto es de importancia, ya que permite al evaluador o al equipo obtener una comprensión de las unidades
empresariales y las expectativas de la dirección. Normalmente incluirá preguntas sobre:
• La unidad de la empresa que se evalúa.
• Productos y servicios.
• Cualquier problema o áreas problemáticas.
• Alcance de las herramientas y proceso que se utilizará.
• Tipo de evaluación solicitada, es decir, la clase uno, dos o tres.
• Conocimiento de COBIT 5.
• Conocimiento de lo que está involucrado en un proceso de evaluación.
• Conocimiento de la duración y compromiso de los recursos necesarios para lograr los objetivos deseados.

ALCANCE DE LA EVALUACIÓN
El objetivo de determinar el alcance de la evaluación como parte del inicio es enfocar la evaluación de las necesidades
del negocio de la empresa. Esto reduce el esfuerzo general involucrado en la evaluación.

PROCESOS PARA DETERMINAR EL ALCANCE


Los pasos del proceso para determinar el alcance son:
1. Identificar los drivers relevantes del negocio y las necesidades de los interesados para la evaluación de los procesos de
TI. Sobre la base de estos drivers de negocio, definir el objetivo de la evaluación. La priorización y la selección de uno
o más procesos de COBIT 5 para incluir en el proceso de evaluación debe basarse en los drivers del negocio para la
evaluación. Los siguientes son ejemplos de drivers de negocio para evaluar los procesos de TI:
• Fortalezas y oportunidades de mejora de los procesos de TI y la instrumentación de uno o más objetivos empresariales
clave.
• Iniciativas de mejora priorizadas relacionadas con la consecución de uno o más objetivos de TI.
• Oportunidades para mejorar la gobernanza, la gestión de la información y la tecnología de los activos de la empresa.
2. Identificar y priorizar los procesos de TI de la empresas que deben incluirse en el alcance de la evaluación. Utilizar
los drivers de negocio y los objetivos de evaluación previamente identificados, junto con, en su caso, los mapeos de
procesos COBIT 5 contenidos en el kit de herramientas de alcance. COBIT 5 no es prescriptivo, pero proporciona
una guía. Por ejemplo, si el objetivo de la evaluación es ayudar a la gestión de TI en la identificación y priorización de
iniciativas de mejora relacionadas con uno objetivos identificados, los mapeos de procesos COBIT pueden ser útiles
para identificar los procesos más estrechamente relacionados con los objetivos de TI.
3. Basándose en la priorización anterior, realizar una selección preliminar del alcance de los procesos objetivo para su
inclusión en la evaluación. Asegurar que van a satisfarán los drivers de negocio identificados y cumplirán con los
objetivos de la evaluación.

24
4.0 Realizando una evaluación de Procesos

4. Confirmar la selección preliminar de los procesos de COBIT objetivo con el patrocinador del proyecto y los interesados
clave en la evaluación del proceso.
5. Finalizar los procesos de COBIT para incluir en la evaluación.
6. Documentar la metodología de determinación del alcance en las actas de evaluación.

MAPEO INICIAL DE LOS PROCESOS EMPRESARIALES A COBIT


Es posible que la estructura y la terminología de los procesos utilizados en la empresa no se alinearán exactamente con los
procesos de COBIT 5. Esto debe considerase en la etapa inicial para que los procesos propios y la terminología se pueden
mapear con los procesos COBIT 5 a evaluar.

USO DE MAPEOS COBIT 5


Uno de los beneficios del uso de COBIT 5 como PRM es que dispone de numerosos mapeos de los objetivos
empresariales y relacionados con TI a los objetivos TI. (Ver COBIT® 5, Apéndices B y C, www.isaca.org/COBIT) Estos
están disponibles en el kit de herramientas para facilitar la consulta.

MAPEOS DISPONIBLES
Los mapeos de COBIT 5 publicados por ISACA pueden utilizarse para determinar los procesos a evaluar. Ejemplos
de mapeos COBIT 5 incluyen:
• Vinculación de objetivos de negocio a Objetivos relacionados con TI.
• Vinculación de Objetivos relacionados con TI a Procesos TI.

ESTABLECIENDO LOS NIVELES DE CAPACIDAD OBJECTIVO


Al establecer los niveles de capacidad objetivo, debe considerarse el impacto en los objetivos de negocio de la empresa
si no se alcanza un nivel determinado de capacidad. Lo primero a considerar es el impacto en la empresa si el proceso no
existe o no funciona con eficacia o eficiencia.

La segunda consideración se refiere a las consecuencias adicionales de la operación eficaz y eficiente de los procesos a
varios niveles de capacidad, como se muestra en la figura 16 de la norma ISO / IEC 15504-4.

Figura 16—Consecuencias adicionales de la operación efectiva y eficiente de los procesos


Nivel de Atributo del Proceso Consecuencias
Capacidad donde ocurre el GAP potenciales
1 PA 1.1 Rendimiento del Proceso • Falta de productos del trabajo; proceso no logra resultados
2 PA 2.1 Gestión del Proceso • Exceso en tiempo o coste; uso ineficiente de los recursos; responsabilidades poco claras
• Decisiones no controladas; incertidumbre sobre si se cumplirán los objetivos de tiempo
y coste
PA 2.2 Gestión Productos Trabajo • Calidad e integridad impredecible del producto impredecible e integridad; versiones no
controladas; aumento de los costos de soporte; problemas de integración; aumento de los
costos de retrabajo
3 PA 3.1 Definición de Procesos • Las mejores prácticas y lecciones aprendidas de proyectos anteriores no se definen,
publican y no están disponibles en la organización
• No hay base para la mejora de procesos de toda la organización
PA 3.2 Despliegue de Procesos • Los procesos implementados no incorporaran las mejores prácticas y lecciones aprendidas
de proyectos anteriores; rendimiento inconsistente de los procesos en toda la organización
• Pérdida de oportunidades para entender el proceso e identificar mejoras
4 PA 4.1 Medida de Procesos • Sin comprensión cuantitativa del nivel de consecución de los objetivos de rendimiento
del proceso y de los objetivos de negocio definidos
• Sin capacidad cuantitativa para detectar precozmente problemas de rendimiento
PA 4.2 Control de Procesos • Proceso no capacitado y/o estable (predecible) dentro de límites definidos
• No se cumplen los objetivos de desempeño cuantitativos y los objetivos de negocio
5 PA 5.1 Innovación de Procesos • Indefinición de objetivos de mejora de procesos
• Las oportunidades de mejora no claramente identificadas
PA 5.2 Optimización de Procesos • Incapacidad para cambiar de forma efectiva el proceso para alcanzar los objetivos
relevantes de mejora de procesos
• Incapacidad para evaluar la eficacia de los cambios en procesos
Fuente: Esta figura se reproduce de ISO/IEC 15504-4, con el permiso de ISO/IEC en www.iso.org. Copyright se mantiene con ISO/IEC.

TIPO DE EVALUACIÓN
Durante el inicio de la evaluación, es preciso decidir el tipo de evaluación ya que tendrá impacto sobre el nivel de
evidencia requerido. Dependiendo del tipo de evaluación (clase uno, dos o tres), puede ser necesario considerar la
independencia respecto a la empresa del líder del equipo certificado.
25
Guía del Evaluador: Usando COBIT® 5

ISO / IEC 15504 define tres clases de evaluación, cada una con diferentes propósitos y nivel de precisión. La Figura 17
relaciona cada clase y el propósito, las habilidades generales y los requisitos de evidencia.

Figura 17—Tipo de Finalidad, Habilidades I Requisitos de Evidencia


Tópico Evaluación Clase Uno Evaluación Clase Dos Evaluación Clase Tres
Finalidad • Proporcionar un nivel de confianza • Proporcionar un nivel de confianza en • Generar resultados de la evaluación
en los resultados de la evaluación, los resultados de la evaluación que de capacidades que puedan indicar
de tal manera que los resultados son pueda indicar la capacidad general de oportunidades de mejora.
adecuados para comparaciones entre los procesos clave seleccionados de • Ser adecuado para la monitorización
las diferentes organizaciones. la unidad organizativa, los cuales son de avances de un programa de mejora
• Habilitar conclusiones de evaluación adecuados para comparar la capacidad o para identificar temas clave que
suscitadas como la fuerza relativa en un ámbito de organización o línea de apoyarían un tipo de evaluación uno o
y debilidad de las organizaciones productos. dos del proceso en cuestión.
comparadas. • Habilitar conclusiones de evaluación que
• Los ejemplos incluyen proporcionar se elaborarán sobre las oportunidades
una base sólida y sustentada para la de mejora.
mejora de procesos y determinación de • Proporcionar la base para la evaluación
la capacidad. inicial al comienzo de un programa de
mejora.
Requisitos • Por lo menos dos miembros, incluido el • Por lo menos dos miembros, • Al menos un miembro. Se puede
Evaluador evaluador líder. El evaluador certificado preferentemente incluyendo un realizar internamente o por un
será independiente de la unidad evaluador certificado. Se puede realizar evaluador independiente.
organizativa a evaluar. internamente o por un evaluador
independiente.
Requisitos • Se identificarán un mínimo de cuatro • Se definirá un mínimo de dos instancias • No existe un mínimo de instancias
Evidencia instancias para cada proceso incluido de proceso para cada proceso dentro del proceso indicado.
en el alcance de la evaluación. Para del alcance de la evaluación. Si en la
cada atributo de proceso del conjunto organización hay menos instancias
de instancias, se recogerá evidencia disponibles que las necesarias, se
objetiva extraída tanto de la evaluación seleccionarán todas las instancias de
de los productos del trabajo, como proceso.
de los testimonios de los actores del
proceso.
• Para cada proceso dentro del alcance
de la evaluación, y de instancias
de proceso, se obtendrán pruebas
objetivas extraídas tanto de la
evaluación de los productos, como de
los actores del proceso.

El tipo de evaluación a seguir debe ser determinada y acordada con el patrocinador al inicio del proyecto de evaluación.
El evaluador debe asegurar que el patrocinador comprende las diferencias entre las evaluaciones y sus implicaciones, por
ejemplo, reunir menos pruebas aumenta el riesgo de un resultado inexacto de la evaluación.

La evaluación tipo tres puede usarse para un análisis de gaps y como preparación para los tipos de evaluación uno y dos,
más rigurosos. Muchas empresas realizan una evaluación de tipo dos, lo que les permite extraer conclusiones sobre el
rendimiento de su capacidad y las oportunidades de mejora. Si se dispone de resultados comparables, un enfoque tipo uno
es útil para las empresas que deseen realizar comparaciones entre unidades organizativas u otras empresas. Se requiere
precaución al interpretar estas comparaciones.

Las evaluaciones de tipo uno y dos requieren asesores independientes utilizando recursos externos, mientras que las
evaluaciones tipo tres pueden realizarse por recursos independientes o por el personal de la empresa. Los tres tipos
requieren evaluadores certificados.

Según la definición de la norma ISO / IEC, una autoevaluación COBIT no es una evaluación tipo tres. ISACA ofrece
una guía de autoevaluación; esto no requiere evidencia o evaluadores certificados, competentes e independientes, y lo
realiza una empresa para evaluar la capacidad de su propio proceso. Esta evaluación es sólo para uso interno y no debe ser
utilizada como una referencia externa de ningún tipo. Puede utilizarse como una previa para una evaluación más formal.

Evaluaciones de tipo uno o dos deben ser realizadas por un equipo de evaluación, cuyos miembros sean independientes
de la unidad organizativa que se está evaluando. Una evaluación independiente puede ser realizada, por ejemplo, por una
empresa en su propio nombre como una verificación de que su programa de evaluación está funcionando correctamente.
El patrocinador de la evaluación pertenecerá a la misma empresa, pero no necesariamente a la parte de la empresa que se
está evaluando. Pues, pueden realizarse más fácilmente por evaluadores externos certificados de otras empresas.

26
4.0 Realizando una evaluación de Procesos

4.1.3 Pasos Recomendados


1. Confirmar la identidad del sponsor de la evaluación.
2. Seleccionar el líder del equipo de evaluación, el cual liderará el equipo de evaluación y asegurará que las personas nominadas disponen de las
competencias y habilidades necesarias.
3. Definir el objetivo de la evaluación, incluyendo una alineación con los objetivos empresariales (cuando sea apropiado)
4. Confirmar que se utilizará el Modelo de Proceso de Evaluación (PAM) COBIT
5. Identificar la necesidad de y aprobar los acuerdos de confidencialidad (cuando sea necesario), especialmente si se emplean consultores
externos.
6. Determinar/Seleccionar el coordinador local de evaluación (LAC), el cual gestionará la logística de la evaluación e interactuará con las diferentes
unidades de la empresa.
7. Enviar los cuestionarios de pre-evaluación (PAQs) al coordinador local de la evaluación. Los PAQs ayudaran a estructurar las entrevistas
presenciales recopilando información sobre la unidad empresarial y las actividades que realiza.
8. Establecer el equipo de evaluación y asignar los roles. Normalmente, el equipo debe consistir de al menos dos evaluadores (dependiendo de la
disponibilidad de recursos, coste y procesos a evaluar). El equipo de evaluación asegura un conjunto equilibrado de las habilidades necesarias para
realizar la evaluación. El líder del equipo ha de ser un evaluador competente.
9. Definir el contexto. Identificar los factores en la unidad empresarial que afectan el proceso de evaluación. Estos factores incluyen como mínimo:
• Tamaño de la unidad empresarial
• Aplicación de los productos o servicios de la unidad
• Tamaño, criticidad y complexidad de los productos o servicios
• Características de calidad de los productos
10. Definir el alcance la evaluación, incluyendo los procesos a investigar en la unidad empresarial, y la que despliega estos procesos. El alcance de la
evaluación puede renegociarse durante su realización.
11. Especificar las restricciones sobre la realización de la evaluación, lo cual puede incluir:
• Disponibilidad de recursos clave
• Tiempo máximo de duración de la evaluación
• Procesos específicos o unidades de la empresa a excluir de la evaluación
• Tamaño máximo, mínimo o específico de la muestra o cobertura deseada de la evaluación
• Propiedad de los resultados de la evaluación y restricciones sobre su uso
• Control de la información resultante de un acuerdo de confidencialidad
12. Mapear los procesos empresariales al PAM COBIT (Modelo de Proceso de Evaluación). Establecer una correspondencia entre los procesos de
las unidades empresariales especificados en el alcance y los procesos en el PAM COBIT. Identificar la terminología que pueda ser confusa entre la
unidad empresarial y el PAM COBIT.
13. Seleccionar los participantes de la evaluación entre los miembros de la unidad empresarial. Los participantes deben representar
significativamente los procesos establecidos en el alcance de la evaluación.
14. Definir responsabilidades de todos los participantes en la evaluación, incluyendo el sponsor, el evaluador líder, evaluadores, coordinador de
evaluación local y otros participantes.
15. Identificar la propiedad de los registros de evaluación. Esta persona será también la responsable de la aprobación de los logs de evaluación o el
registro de su historia de evaluación.
16. Identificar el formato de los resultados de la evaluación, incluyendo cualquier información adicional que el sponsor requiera que se recoja
durante la evaluación.
17. Revisar toda la información de entrada.
18. Obtener del sponsor la aprobación de las entradas.
Fuente: ISO/IEC 15504-3 Anexo A1

4.1.4 Herramientas
Para asistir a la evaluación pueden usarse las secciones siguientes del apéndice D:
• D.2 Ejemplo de Ejercicio de Aproximación al Alcance.
• D.4 Ejemplo de Checklist Inicial.

4.2 Planificación
4.2.1 Visión general
Planificar la evaluación incorpora el desarrollo de un plan que describe todas las actividades realizadas para recoger
evidencia y guiar la evaluación.

4.2.2 Puntos claves


GESTIÓN DE PROYECTO
Una evaluación exitosa se realiza como un pequeño proyecto con una planificación apropiada, monitorización de progreso,
ajustes de la planificación cuando sea apropiado e informando al sponsor del proyecto. En este momento, se debe
desarrollar y aprobar una planificación de las tareas de evaluación.

27
Guía del Evaluador: Usando COBIT® 5

NIVEL DE ESFUERZO
Los puntos clave necesarios para determinar el nivel de esfuerzo en la evaluación, son:
• Alcance de la evaluación (número de procesos a evaluar).
• Tipo de evaluación, esta determina los requisitos del nivel de evidencia a recoger.
• Nivel de competencia en el cual se ha de situar la evaluación.

HERRAMIENTAS DE EVALUACIÓN
En esta fase debe decidirse respecto a las herramientas que se utilizaran como soporte a la evaluación. Estas se precisan
para facilitar la recopilación de la evidencia usada por el evaluador en la asignación de ratios de proceso para cada uno de
los evaluados y en su registro como el conjunto de perfiles de proceso.

Hay dos tipos básicos de herramientas: basadas en papel y automatizadas. La adecuación de una herramienta depende
sobre cómo se utilizará y la metodología de evaluación. Para asegurar unos resultados efectivos y eficientes, las
herramientas deben seleccionarse o diseñarse con ajuste a las necesidades de la empresa y del proceso de evaluación.

ESTRATEGIA DE RECOGIDA DE DATOS


Según la ISO/IEC 15504, para que una evaluación sea conforme, ‘Las entradas de la evaluación deben definirse antes de
la fase recogida de datos y aprobadas por el sponsor de la evaluación o por una autoridad delegada’. La estrategia debe
asegurar que se recoge el nivel apropiado de evidencia y se registra en línea con los requerimientos de categoría y alcance
de la evaluación.

En las empresas en las que se utiliza COBIT, la comprensión de la finalidad y resultado de los procesos será relativamente
clara. Cuando no es el caso, probablemente se requerirá más trabajo para aproximar el alcance y planificar la evaluación.

4.2.3 Pasos Recomendados


1. Determinar las actividades de evaluación—Las actividades de evaluación incluirán todas las actividades descritas en este proceso documentado
de evaluación, pero pueden ajustarse según necesidades. Esto incluye las actividades de recogida de datos (detección) a realizar, tal como
entrevistas, sesiones de trabajo, recogida de evidencia y monitorización.
2. Determinar los recursos necesarios para la evaluación y la agenda—Desde la perspectiva del alcance, identificar la duración y recursos necesarios
para realizar la evaluación. Los recursos incluyen acceso a logs, el uso de equipos y posiblemente, herramientas de monitorización de procesos.
3. Definir cómo se recogerán, registrarán, almacenarán, analizarán y se presentaran los datos de evaluación. (con referencia a la herramienta de
evaluación)— Esto ha de incluir la definición y agenda del método de recogida de datos (sesiones de detección) tal como entrevistas uno a uno, sesiones
de trabajo, recogida de evidencia y observación.
4. Definir los productos previstos de la evaluación. —Se identifican y describen los productos deseados por el sponsor en adición a aquellos
requeridos como parte del registro de evaluación.
5. Verificar adecuación a los requerimientos—Detallar como la evaluación se ajustará a todos los requerimientos del estándar.
6. Gestionar riesgos de la evaluación. —Los riesgos potenciales y estrategia de mitigación, se documentan, priorizan y registran a través de la
planificación de la evaluación. Todos los riesgos identificados se monitorizarán durante la evaluación. Los riesgos potenciales pueden incluir cambios
del equipo, organizativos, objetivos/alcance, falta de recursos, confidencialidad, prioridad de los datos, prácticas base, criticidad de indicadores y
disponibilidad de productos clave como documentos.
7. Coordinar la logística de la evaluación con el coordinador local.—Asegurar la compatibilidad y disponibilidad del equipo técnico y confirmar que
se dispondrá del espacio de trabajo y requisitos de agenda.
8. Agenda para os participantes. —Crear agendas parra las sesiones de detección (entrevistas, sesiones de trabajo, discusiones, etc…) y enviar las
invitaciones. Considerar el número de participantes para cada proceso y si las sesiones pueden ser agregadas en sesiones conjuntas o sesiones de trabajo.
9. Facilitar a los participantes borradores de trabajo—Requisitos o conocimiento tal como documentación y reports deben reunirse antes de la
sesiones de detección.
10. Revisar y obtener aceptación del plan—Los sponsors identifican quien aprobará el plan de evaluación. Se revisa y aprueba el plan, incluyendo la
agenda de evaluación y la logística de las visitas.
11. Confirmar el compromiso del sponsor para proceder con la evaluación.
Fuente: ISO/IEC 15504-3 Anexo A2

4.2.4 Herramientas
La siguiente sección del apéndice D se puede utilizar en la evaluación:
• D.1 Ejemplo de Plan de Evaluación

4.3. Sesión de información


4.3.1. Visión de conjunto
El líder del equipo de evaluación se tiene que asegurar, antes que tenga lugar la recolección de datos, que el equipo de
evaluación entiende tanto el proceso de evaluación como sus motivaciones y resultados. Así mismo, también se tendría que
informar a las personas de la empresa que se deberían consultar durante la evaluación, sobre cómo se llevará a cabo dicha
evaluación..

28
4.0 Realizando una evaluación de Procesos

4.3.2. Cuestiones clave


APOYO DE LA GERENCIA
El apoyo de la gerencia en la gestión de evaluación debe ser evidente para motivar que los participantes se desarrollen de
forma abierta y constructiva. Debe quedar claro que los procedimientos de evaluación se focalizan sobre los procesos, en
lugar de hacerlo en el desempeño de los miembros de la unidad de la empresa que implementa el proceso. La intención es
mejorar en la eficiencia de los procesos de acuerdo con los objetivos de negocio definidos.

La empresa tiene que entender que los participantes representan la principal fuente de conocimiento y experiencia sobre el
proceso y son quién se encuentra en la mejor posición para identificar potenciales debilidades en el proceso.

En la sesión de información se debe subrayar que el respeto de la confidencialidad de las fuentes de información y de la
documentación recopilada durante la evaluación es esencial para asegurar esta información. Cuando se empleen entrevistas
o discusiones, se debería poner atención para asegurar que los participantes no se sienten amenazados o no tienen alguna
inquietud respecto a la confidencialidad. Parte de la información proporcionada puede ser propiedad de la empresa.
Por lo tanto, es importante que se establezcan acuerdos/convenios de confidencialidad adecuados para manejar dicha
información, así como gestionar su uso en el proceso de evaluación.

ENTRENAMIENTO
Los evaluadores y los otros participantes deben ser apropiadamente entrenados y consolidar la experiencia necesaria.
Además de la competencia en el uso de las herramientas, el entrenamiento y/o la experiencia les debe proporcionar un
buen nivel de comprensión teórico de los principios subyacentes relacionados con COBIT PAM, los indicadores y la
calificación.

4.3.3. Pasos recomendados


1. Informe al equipo de evaluación —Asegure que el equipo comprende el enfoque definido en el proceso documentado, el contexto, alcance, clase,
motivos y resultados de la evaluación, y que es competente en el uso de las herramientas de trabajo asignadas.
2. Informe a la unidad organizativa —Explique el propósito de la evaluación, el alcance, las restricciones y el modelo. Subrayar la política de
confidencialidad y los beneficios de los resultados de la evaluación. Presente el calendario de la evaluación. Asegure que los miembros del personal
entienden lo que se está llevando a cabo y su rol en el proceso. Responda cualquier cuestión o preocupación que le puedan plantear. Los potenciales
participantes y todo aquél que quiera ver la presentación de los resultados finales debería estar presente en la sesión de información.
3. Proporcione los requisitos previos —Asegure que los participantes de las sesiones de la evaluación tienen y aportan los requisitos de los que se
requiere, tales como por ejemplo, información de los productos del trabajo.
Fuente: ISO/IEC 15504-3 Anexo A3

4.3.4. Herramientas
Se ha proporcionado un PowerPoint® de inicio de la actividad como parte del conjunto de herramientas para introducir a
los participantes en la evaluación y familiarizarlos con el enfoque definido.

4.4. Recolección de datos


4.4.1. Visión de conjunto
La recolección de datos consiste en la obtención de evidencias objetivas para soportar la evaluación de los procesos
seleccionados para la evaluación. La estrategia para la recolección se debería desarrollar y aprobar durante la etapa de
planificación de la evaluación. Note que el periodo de recolección de datos se debe tener en cuenta en tanto que puede
afectar a los resultados de la evaluación.

4.4.2. Cuestiones clave


ESTRATEGIA FORMAL DE RECOLECCIÓN DE DATOS
Los datos deberían ser recopilados de forma sistemática utilizando una estrategia explícitamente identificada y una técnica
fácilmente demostrable. Además, para cualquier evaluación particular que sea replicable, el enfoque de la recolección de
datos se debe documentar claramente y debe ser posible demostrar su seguimiento a través del material conservado. Todas
las evidencias recolectadas deberían ser fácilmente asociadas con cada uno de los procesos que integraron la evaluación y
ser suficientes para cumplir con el propósito y el alcance de la evaluación.

ACTIVIDADES QUE DESARROLLAN UN PROCESO


Una actividad en un proceso se define como un paso singular que es único y cuya información se puede recopilar de
manera recurrente. Lo que se clasifique como una actividad de proceso dependerá el proceso que vaya a ser evaluado. Por
ejemplo, bajo el estándar BAI02 de gestión de definición de requisitos, podría ser la ejecución de un informe de estudio de
factibilidad. Para BAI06 de gestión de cambios, podría ser una solicitud de cambio.

29
Guía del Evaluador: Usando COBIT® 5

Las actividades del proceso que se seleccionen deberían ser representativas de la conducta normal de la empresa
en relación con el proceso. Ello quiere decir que se tienen que tomar algunos casos concretos en la selección de las
actividades que se van a examinar. Es útil observar los resultados y productos del proceso para determinar los casos
apropiados. Cabe señalar que para algunos procesos en algunas empresas, sólo puede haber una o dos actividades del
proceso disponibles para su examen. Un ejemplo se puede encontrar en APO11 gestión de la calidad. En la planificación
de la recogida de datos, el jefe de la evaluación debe identificar estas situaciones y hacerles frente durante la estrategia de
evaluación.

REQUISITOS DE EVIDENCIAS
Los evaluadores deberían asegurar que existen suficientes evidencias para confiar en los resultados de la evaluación. Las
evidencias pueden tomar forma de evidencia física directa, como por ejemplo, un documento o el resultado de una prueba,
o indirecta, como por ejemplo, los planes para llegar a un resultado. En general, las principales fuentes de evidencias son
las entrevistas, las cuales deben ser confirmadas mediante revisión de los productos del trabajo y desde la perspectiva
de la satisfacción de los objetivos del proceso que se está evaluando a través de las prácticas básicas que se encuentran
operativas. En algunos casos ello puede implicar recorrer el proceso con el propósito de comprenderlo.

Para el nivel de capacitación 1, es importante que en la evaluación se determine que se ha obtenido un nivel general de
comprensión de la finalidad del proceso y de los resultados, así como de las prácticas básicas del proceso. Ello puede ser
confirmado a través de entrevistas o por medio de encuestas. Para los niveles superiores de las evaluaciones de capacidad
(niveles 2 a 5), el enfoque se debe basar en evidencias indirectas, tales como políticas, junto con un examen más detallado
para identificar evidencias del grado de implantación y de seguimiento de las políticas. El tipo de evidencias requeridas y
de los métodos de recolección dependerán de los procesos que van a ser revisados.

SREGISTRO SISTEMÁTICO
La recolección de datos es un elemento clave del proceso de evaluación. En función de los procesos que serán revisados existe
potencialmente un extenso volumen de datos a recolectar. Por lo tanto, es importante que se tome conciencia de las evidencias
que se requerirán y de los tipos de evidencias. El uso de formatos estándar de registro del material y de las evidencias de la
evaluación se tiene que identificar.

PREPARACIÓN
Existe un beneficio considerable en proporcionar ejemplos informativos de los tipos de evidencias requeridas a todos
aquellos que serán entrevistados o que estarán involucrados en los talleres de trabajo antes del inicio de la evaluación. Ello
les permite tener mayor seguridad que van a estar en disposición de las evidencias durante las entrevistas o juntas.

4.4.3. Pasos recomendados


1. Recopile evidencias del rendimiento del proceso —Reúna evidencias para proceso en el alcance. Las evidencias incluyen observaciones de
las tareas de trabajo y de sus características, el testimonio de los ejecutores del proceso, y la observación de la infraestructura establecida para el
funcionamiento del proceso.
2. Recopile evidencias de la capacidad de procesamiento de cada proceso —Reúna evidencias para proceso en el alcance. Las evidencias
de la capacidad del proceso pueden ser más abstractas que las evidencias de funcionamiento del proceso. En algunos casos, las evidencias de
funcionamiento del proceso (utilizadas en primer término en el 1r nivel de capacidad), también se pueden usar como evidencias de la capacidad.
3. Registre y mantenga las referencias de las evidencias —Esto soporta el juicio de la calificación de los atributos del evaluador del proceso.
4. Verifique que dispone de todos los datos —Asegure que se dispone de suficientes evidencias para cumplir con el propósito y el alcance de la
evaluación para cada proceso evaluado.
Fuente: ISO/IEC 15504-3 Anexo A4

4.4.4. Herramientas
Se puede utilizar la siguiente sección del apéndice D para asistir en la evaluación:
• D.6 Plantilla ejemplo de recolección de datos – para registrar evidencias y declaraciones de juicio.

4.5 Validación de Datos


4.5.1 Resumen
La validación de datos significa confirmar que las evidencias reunidas son objetivas y suficientes para cubrir el alcance y
propósito de la evaluación, y que los datos en su conjunto son consistentes.

30
4.0 Realizando una evaluación de Procesos

4.5.2 Puntos clave


VALIDACIÓN DURANTE LA RECOLECCIÓN
La validación puede comenzar en la recolección de datos. El evaluador, mientras recoge la información, debe asegurar que
la información obtenida de varias fuentes es consistente.

REVISIÓN DE LOS DATOS RECOGIDOS


El evaluador líder debe revisar los datos obtenidos y registrados en este punto para asegurar que son completos y
suficientes para realizar la evaluación. Esto es de particular importancia cuando hay varios subequipos realizando la
evaluación. Se debe considerar si es apropiado el número de casos de información de procesos que se han recogido y si las
evidencias son apropiadas y adecuadas para soportar las conclusiones.

Las conclusiones también deben ser validadas comparando los resultados con evaluaciones pasadas de capacidad
de procesos u otras evaluaciones de procesos, por ejemplo una auditoría. Los resultados también se pueden validar
manteniendo sesiones de retroalimentación con ambos, los propietarios de procesos y los usuarios de las salidas de los
procesos.

Las evidencias deben representar de forma precisa el proceso evaluado. La validación de estos datos también debe incluir
evaluar si el tamaño de la muestra escogida es apropiado para el proceso evaluado.

TRATANDO LAS DEFICIENCIAS


Cualquier deficiencia detectada en este punto debe abordarse. Si hay problemas significativos en la información
subyacente disponible, o la falta de disponibilidad, se deberá reportar al responsable del proyecto. Si fuese necesario, se
deberá preparar un plan revisado.

4.5.3 Pasos recomendados


1. Ensamblar y consolidar los datos —Para cada proceso, relacionar las evidencias con los indicadores de proceso definidos.
2. ValIdar los i datos —Asegurar que los datos recogidos son correctos y objetivos, y que los datos validados proporcionan una cobertura completa al
alcance de la evaluación.
Fuente: ISO/IEC 15504 Anexo 5

4.5.4 Tools
La siguiente sección del apéndice D puede usarse como ayuda en la evaluación:
• D.5 Ejemplo de Plantilla de Evaluación – Usada para validar evidencias y declaraciones de juicio.

4.6 Calificación de los Atributos de Proceso


4.6.1 Resumen
Para cada proceso evaluado, se asigna una calificación a cada atributo de proceso hasta como máximo el nivel de
capacidad más alto definido en el alcance de la evaluación. La calificación se basa en los datos validados en la actividad
previa.

Se debe mantener la trazabilidad entre las evidencias objetivas recogidas las calificaciones de atributos de proceso
asignadas.

Para cada atributo de proceso calificado, se debe registrar la relación entre los indicadores y las evidencias objetivas.

4.6.2 Puntos clave


NIVEL DE CAPACIDAD 1
Como parte de la evaluación para si se alcanza el nivel 1 de capacidad, los evaluadores necesitan determinar si se está
consiguiendo el propósito del proceso. La medición de un proceso y su consecución del propósito está determinada por la
consecución de los resultados definidos.

En este nivel, los procesos pueden no estar ni formalizados ni documentados. El evaluador deberá determinar a través de
entrevistas y examen de evidencias si existe un conocimiento del proceso aceptado de forma generalizada, de su propósito
y de los resultados esperados, que estén alineados con el proceso.

Las prácticas de base son las actividades o tareas requeridas para alcanzar los resultados esperados del proceso. Están
especificadas en el COBIT PAM a un nivel alto sin detallar como se llevan a cabo. Las evidencias de que se están
alcanzando a menudo estarán en forma de salidas (productos del trabajo). Es posible que no todas la prácticas de base
estén realmente realizadas y completamente efectivas.
31
Guía del Evaluador: Usando COBIT® 5

El evaluador deberá tener un sólido conocimiento del propósito de cada uno de los procesos de COBIT evaluados y de
los resultados esperados. También deberá tener un conocimiento suficiente de los proceso de COBIT para determinar si
son apropiados los productos de trabajo y prácticas para un proceso específico. Es importante considerar que el evaluador
necesitará hacer juicios como si el propósito del proceso y sus prácticas de base se alcanzan de forma generalizada.

Nótese que el nivel 1 de capacidad se satisface si PA 1.1 es mayoritariamente alcanzado, es decir, por encima del 50 por
ciento y hasta un 85 por ciento de consecución. También es importante darse cuenta que antes se puede evaluar el nivel
2 de capacidad, el nivel 1 de proceso debe aumentar hasta el alance completo, que es superior al 85 por ciento. El mismo
requisito debe alcanzarse para los siguientes niveles de capacidad, del 2 al 5.

NIVELES DE CAPACIDAD DEL 2 AL 5


Generalmente el evaluador primero comprueba si existen las prácticas genéricas y si éstas alcanzan el propósito y los
resultados de los atributos de proceso. La existencia de productos de trabajo genéricos proporcionará evidencias que las
prácticas de han aplicado.

Mientras que las prácticas son genéricas, las evidencias pueden cambiar de tipo a lo largo de varios procesos y deben ser
apropiadas para el proceso evaluado.

ESCALA DE CALIFICACIÓN
La escala de calificación descrita anteriormente en la sección 2.3.4 debe ser utilizada para calificar los atributos usando la
siguiente escala de calificación.

N No alcanzado de 0 a 15% de consecución


P Parcialmente alcanzado >15% a 50% de consecución
L Alcanzado en gran parte >50% a 85% de consecución
F Completamente alcanzado >85% a 100% de consecución
Fuente: Esta figura está reproducida de ISO/IEC 15504-2:2003, con el permiso de ISO/IEC en www.iso.org. El copyright permanece en ISO/IEC.

En la práctica, la aplicación de una escala de calificación requiere un juicio profesional por parte de los evaluadores. De
manera que los evaluadores deben asegurar que son consistentes en su uso de la escala, esto es importante para soportar
la confiabilidad y que los resultados de la evaluación sean congruentes independientemente de los evaluadores. Las
razones para calificar un proceso como no alcanzado completamente se deberá documentar de forma clara y se darán
recomendaciones de áreas en las que el proceso puede ser mejorado.

EL PROCESO DE TOMA DE DECISIONES


El enfoque utilizado en la toma de decisiones debe estar claramente documentado. Se deben incluir aspectos como
consenso del equipo de evaluación, participación combinada de equipos de la organización en la evaluación o votos de
desempate del líder del equipo de evaluadores. Si hay diferentes puntos de vista, éstos deben quedar relejados.

4.6.3 Pasos recomendados


1. Establecer y documentar el proceso de toma de decisiones utilizado – Documentar el proceso utilizado para alcanzar los acuerdos en las
calificaciones (por ejemplo, consenso del equipo de evaluación o mayoría de votos).
2. Para cada proceso evaluado, asignar una calificación a cada atributo del proceso – Utilizar el conjunto definido de indicadores de evaluación en
el COBIT PAM como soporte de los juicios en la evaluación.
3. Registrar el conjunto de las calificaciones de los atributos de proceso como perfil del proceso y calcular la calificación del nivel de
capacidad – Realizar esto para cada proceso utilizando el criterio de calificación de niveles de capacidad.
Fuente: ISO/IEC 15504-3 Anexo A6

4.6.4 Herramientas
La siguiente sección del apéndice D puede usarse como ayuda a la evaluación:
• D.5 Ejemplo de plantilla de evaluación – Usada para confirmar calificaciones y niveles de capacidad determinados.

4.7 Informes de Evaluación


4.7.1 Visión general
Los informes de evaluación son un paso muy importante. Durante esta fase, los resultados de la evaluación se analizan y
presentan al patrocinador (sponsor) y otras partes interesadas, según proceda. Como se indica en el primer paso del inicio
de la evaluación, es importante poner de relieve en el informe que se trata de:
32
4.0 Realizando una evaluación de Procesos

• Un informe de evaluación, basado en un proceso de evaluación de capacidad, realizado por un evaluador certificado/
competente y no un informe de certificación o garantía sobre la efectividad del control interno, la gestión del riesgo u
otros aspectos de rendimiento de la empresa.
• Destinado a un uso interno por parte de la Dirección con la finalidad de comprender el nivel de capacidad de proceso
de TI basado en el uso de COBIT PAM utilizando COBIT 5 y (si está en el alcance) para considerar sugerencias de
mejora de procesos basadas en los resultados de la evaluación.

4.7.2 Cuestiones clave


NATURALEZA DE LA AUDITORÍA
Sin importar el tipo de evaluación (clase uno, dos o tres), el informe de evaluación elaborado no es un informe de auditoría
de certificación o garantía sobre la efectividad de los controles internos de una empresa, similar a tipos de informe
SSAE 161, AT 1012 o Sarbanes-Oxley. Está destinado únicamente como informe interno para uso de la Dirección con la
finalidad de comprender el nivel de capacidad de proceso de TI basado en el uso de COBIT PAM utilizando COBIT 5 y
dar a la Dirección indicaciones de los procesos que pueden necesitar mejoras.

Los tres tipos de evaluaciones requieren un evaluador competente para llevarlos a cabo. En esta guía se ha definido un
evaluador competente como un evaluador capacitado y certificado.

Las funciones y responsabilidades descritas en el capítulo 3 no indican ninguna “relación de rendición de cuentas”
respecto a dar opiniones en los informes de certificación o garantía como se ha mencionado anteriormente.

Como se ha mencionado previamente, el informe de evaluación es sólo para uso interno de la empresa y no está destinado
a ser proporcionado a terceros a efectos de información o aseguramiento / dependencia.

En la plantilla de ejemplo de informe de la sección D.3 del apéndice D, se ha insertado un descargo de responsabilidad.

INFORMES
Los resultados de la evaluación deben ser reportados en un entregable y proporcionados al patrocinador (sponsor) de la
evaluación o a un representante delegado del mismo en el momento de finalización del trabajo de evaluación. Mientras
que a la Dirección se le puede proporcionar un resumen de alto nivel en forma de presentación, se requiere un informe
detallado como resultado para todas las evaluaciones. Los resultados de la evaluación son analizados y presentados en el
informe, que debería cubrir cuestiones clave como las debilidades observadas en la capacidad de proceso, junto con la
identificación de oportunidades de mejora de los procesos. El resultado final de la evaluación es un informe que contiene
la determinación del nivel actual de capacidad. En el apéndice D, sección D.3, el evaluador encontrará una plantilla de
ejemplo de informe.

CONTENIDO
Como mínimo, todos los informes de evaluación deberían contener:
• La fecha de la evaluación (inicio y final)
• La identidad del patrocinador (sponsor) y su relación con la unidad de la empresa que está siendo evaluada.
• El propósito de la evaluación.
• El alcance de la evaluación:
– Unidades de la empresa.
– Procesos y niveles de capacidad.
– Procesos revisados y la base de la selección.
• Las restricciones de la evaluación (disponibilidad de recursos clave, duración máxima de la evaluación, procesos
específicos o unidades de la empresa que serán excluidas de la evaluación, y la cantidad y tipo de pruebas objetivas
que serán examinadas en la evaluación).
• La identidad y los roles de los evaluadores, el personal del equipo de evaluación y personal de apoyo con
responsabilidades específicas en la evaluación.
• La identificación de las pruebas objetivas recogidas.
• La identificación del proceso de evaluación documentado.
• Cualquier información adicional recogida durante la evaluación para apoyar la mejora de procesos o determinar
la capacidad del proceso, por ejemplo, los datos específicos (o resultados de la medición) que son necesarios para
cuantificar la capacidad de la empresa para cumplir con un objetivo de negocio en particular.
• Un conjunto de calificaciones de atributos de procesos por cada proceso evaluado (denominado el perfil de proceso) y
el nivel de capacidad alcanzado por los mismos.

33
Guía del Evaluador: Usando COBIT® 5

CONSECUENCIAS DE LOS RESULTADOS DE LA EVALUACIÓN


Al presentar el informe a la empresa, se deben tener en cuenta las implicaciones para la misma de los procesos en
particular que no han alcanzado los niveles de capacidad exigidos. Hay una serie de aspectos de las implicaciones que
deben ser considerados:
• Fallo de un proceso para trabajar o ser eficaz.
• La importancia del proceso para la empresa, que deberá ser considerado en la definición del alcance de la evaluación.
• El riesgo asociado a los distintos niveles de capacidad de proceso.

PRESENTACIONES A LOS PARTICIPANTES


Antes de la presentación del informe a la Dirección de la empresa, es una buena idea presentarlo al equipo para obtener
un consenso fundamental y para asegurar que todas las entradas y los resultados se tratan adecuadamente de acuerdo a los
datos encontrados.

4.7.3 Pasos recomendados


1. Preparar el informe de evaluación. Resumir los resultados de la evaluación, destacando los resultados de la evaluación de capacidad de proceso,
las fortalezas y debilidades observadas, las implicaciones identificadas y las potenciales acciones de mejora (si se encuentran dentro del alcance de la
evaluación).
2. Presentar los resultados de la evaluación a los participantes. Centrando la presentación en la definición de la capacidad de los procesos evaluados.
3. Presentar los resultados de la evaluación al patrocinador. Los resultados de la evaluación también serán compartidos con otras partes (por ejemplo,
la Dirección de la unidad de organización y funciones de riesgo y cumplimiento) especificados por el patrocinador.
4. Finalizar el informe de evaluación. Distribuir a las partes pertinentes.
5. Reunir los registros de evaluación. Proporcionar los registros de evaluación al patrocinador (sponsor) para su retención y almacenamiento.
6. Preparar y aprobar registros de evaluaciones. El patrocinador (sponsor) o autoridad delegada debe aprobar los registros de cada evaluador que
demuestran su participación en la evaluación.
7. Proporcionar retroalimentación de la evaluación. Debe proporcionarse retroalimentación a los participantes como medio de mejora del proceso de
evaluación.
Fuente: ISO / IEC 15504-3 anexo A7.

4.7.4 Herramientas
La siguiente sección del apéndice D se puede utilizar como ayuda en la evaluación:
• D.3 Plantilla de ejemplo de informe.

34
Apéndice A. Términos y Definiciones (iso/iec-15504-1 2003)

Apéndice A. Términos y Definiciones (iso/iec-15504-1 2003)


Actividad —Las principales acciones adoptadas para cumplir con una práctica de gestión específica.

Capacidad evaluada —El resultado de una o más evaluaciones de procesos llevadas a cabo de acuerdo con lo dispuesto
en la norma ISO/IEC 15504.

Evaluación—Una amplia revisión de los diferentes aspectos de una compañía o función que incluye elementos no
cubiertos por una iniciativa de auditoría estructurada.
Nota: puede incluir oportunidades para reducir el coste de una mala calidad, para conocer la percepción de los empleados
en extremos relacionados con la calidad, propuestas a la alta dirección en relación con las políticas, los objetivos, etc.

Limitaciones de evaluación —Restricciones impuestas en el uso de los resultados de la evaluación y en la libertad de


elección del equipo de la evaluación en cuanto a la realización de la evaluación.

Indicador de evaluación —Fuente de evidencias subjetivas utilizadas para soportar el juicio del evaluador en el proceso
de valoración de los atributos, pe. productos del trabajo, prácticas o recursos.

Entradas de la evaluación —Información requerida antes del inicio de un proceso de evaluación.

Salidas de la evaluación—Todos los resultados tangibles de una evaluación (ver el registro de la evaluación).

Participante de la evaluación— Una persona individual que tiene responsabilidades dentro del alcance de la evaluación.
Nota: ejemplos de ello incluyen, sin el ánimo de limitarlos, el patrocinador de la evaluación, los evaluadores y los
miembros de las unidades de la empresa.

Proceso de evaluación—Uuna determinación de la medida en que los procesos estándar de la empresa contribuyen a
la consecución de los objetivos de negocio y ayudan al enfoque de la empresa en la necesidad de mejora continuada de
procesos.

Propósito de la evaluación—Una declaración, comprendida en las entradas de la evaluación, la cual define las razones
para llevar a cabo la evaluación.

Registro de la evaluación—Una colección ordenada y documentada de información que es pertinente para la evaluación
y que añade comprensión y verificación de los perfiles de los procesos generados para la evaluación.

Alcance de la evaluación—Una definición de los límites de la evaluación, comprendida en las entradas de la evaluación,,
abarcando los límites de la empresa en la evaluación, los procesos a ser incluidos, y el contexto dentro del cual los
procesos operan (ver contexto del proceso).

Patrocinador de la evaluación—El individuo o entidad, interna o externa de la unidad de la empresa que será evaluada,
que requiere la evaluación a ser realizada y que facilita recursos financieros u otros para su realización.

Equipo de la evaluación—Uno o más individuos que conjuntamente llevan a cabo un proceso de evaluación.

Evaluador—Un individuo que participa en la valoración de los atributos del proceso


Nota: un evaluador es alguien competente en todas las facetas de una evaluación y un asesor provisional es alguien que es
competente en facetas específicas de la evaluación.

Registro del evaluador—Un registro de participaciones conducidas para cumplir con el requisito establecido en la norma
ISO/IEC 15504.

Indicador de atributo—Evidencia de la evaluación que soporta el juicio del grado de consecución de una característica
específica del proceso.

Práctica base—Una actividad que cuando se realiza constantemente contribuye al logro de un fin determinado del
proceso.

Dimensión de capacidad—El conjunto de elementos de un modelo de evaluación de procesos explícitamente relacionado


con el Marco de Medicación de la Capacidad del Proceso.

35
Guía del Evaluador: Usando COBIT® 5

Indicador de capacidad—Indicador de la evaluación que apoya el juicio de la capacidad de proceso de un proceso


específico.

Evaluador competente—Alguien que ha demostrado la habilidad para conducir una evaluación y para vigilar y verificar
la conformidad de un proceso de evaluación.

Proceso definido—Una colección de actividades que son gestionadas (planificadas, vigiladas y ajustadas) y adaptadas al
conjunto estándar de procesos de la empresa de acuerdo con las guías de adaptación de la empresa
Nota: un proceso definido comprende una descripción actualizada del proceso y contribuye con productos de trabajo,
medidas y otras mejoras de información a los activos de los procesos de la empresa. El proyecto de un proceso definido
facilita la base para su planificación, ejecución y la mejora de las tareas y actividades del proyecto.

Unidad de la empresa—La unidad de la empresa es la unidad de negocio involucrada en la evaluación del proceso que:
• Implementa uno o más procesos que tienen un contexto coherente de procesamiento y operan dentro de un conjunto
coherente de objetivo de negocio.
• Es típicamente parte de una empresa más grande; en una empresa pequeña la unidad de la empresa puede representar la
totalidad de la empresa.
• Puede ser, por ejemplo, un proyecto específico o un conjunto de proyectos (relacionados); una unidad en una empresa
focalizada en una fase específica de la vida de un ciclo (o fases) tal como la adquisición, desarrollo, mantenimiento
o soporte; una parte de una empresa responsable de todos los aspectos de un producto particular o de un conjunto de
productos.

Práctica genérica (PG)—Una actividad que cuando se realiza constantemente contribuye a la consecución de los
atributos de un proceso específico.

Producto genérico de trabajo (PGT)—Un artefacto asociado con la ejecución de un proceso que se presenta de forma
habitual o de carácter general.

Coordinador local de la evaluación (CLE)—El enlace entre el equipo de la evaluación y la/las unidad/des de negocio
asignada/s para garantizar la logística y la interacción con la/s unidad/es de la empresa para una efectiva y eficiente
evaluación.

Indicadores de rendimiento—Un conjunto de métricas designadas para medir la extensión como están siendo logrados
los objetivos de rendimiento sobre la fase de la operación continuada
Nota: un indicador de rendimiento es un indicador de atributo para un proceso específico (ver ISO/IEC 15504-2).

Modelo de evaluación de proceso (MEP)—Un modelo adecuado para el propósito de determinación de la capacidad de
procesamiento, basado en uno o más modelos de referencia de procesos (MRP).

Atributo del proceso—Una característica medible de la capacidad aplicable a cualquier proceso.

Valoración del atributo del proceso—Un juicio del grado de consecución de una característica para el proceso de
evaluado.

Capacidad de procesamiento—Una caracterización de la habilidad del proceso para lograr los objetivos de negocio
corrientes o futuros.

Nivel de capacidad del proceso—Un punto en la escala ordinal de seis puntos (de la capacidad de procesamiento) que
representa la capacidad del proceso, cada nivel se basa en la capacidad del nivel inferior.

Determinación de la capacidad del proceso—Una evaluación y análisis sistemáticos de los procesos seleccionados
dentro de la empresa frente a una capacidad de destino, llevada a cabo con el ánimo de identificar las fortalezas, las
debilidades y los riesgos asociados con la implementación de los procesos para cumplir con un requisito específico en
particular.

Valoración del nivel de capacidad del proceso—Una representación del nivel de capacidad de procesamiento
conseguido derivado de los valores de capacidad de los atributos del proceso para un proceso evaluado.

Contexto del proceso—El conjunto de factores, documentados en las entradas de la evaluación, que influyen en el juicio,
comprensión y comparativa de los valores de los atributos del proceso.

36
Apéndice A. Términos y Definiciones (iso/iec-15504-1 2003)

Dimensión del proceso—El conjunto de elementos en un modelo de evaluación de procesos (MEP) explícitamente
relacionado con los procesos definidos en el modelo de referencia de procesos relevantes (MPR)
Nota: los procesos se pueden agrupar en base a diferentes criterios. Por ejemplo, en ISO/IEC 15504-5 se agrupan en
categorías de actividades relacionadas.

Mejora del proceso—Acciones adoptadas para cambiar procesos de una empresa para que cumplan con los objetivos de
negocio de la empresa de una forma más efectiva y/o eficiente.

Patrocinador de la mejora del proceso—El individuo o entidad, interno o externo a la unidad de la empresa que es
evaluada, que requiere la mejora del proceso y facilita recursos financieros u otros para realizarla.

Instancia del proceso—Un ejemplo único de un proceso que es identificable y sobre el cual se puede recopilar
información de una manera repetitiva. Un elemento de información que es típico de una clase o grupo; una ocurrencia que
es parte de algo.

Resultado del proceso—Un resultado observable de un proceso


Nota: un resultado es un artefacto, un cambio significativo de estado o la consecución de limitaciones específicas.

Propósito del proceso—Los objetivos de alto nivel medibles del rendimiento del proceso y los posibles resultados de la
efectiva implementación del proceso.

Modelo de referencia del proceso (MRP)—Un modelo que comprende definiciones de procesos en un ciclo de vida
descrito en términos de los propósitos y resultados de proceso, junto con una arquitectura descriptiva de las relaciones
entre los procesos (ISO/IEC 15504.1 3.48).

Capacidad objetivo—La capacidad de procesamiento determinada por el patrocinador de la determinación de


la capacidad del proceso, lo que representa un riesgo aceptable para la exitosa implementación de los requisitos
especificados.

Producto del trabajo (PT)—Un artefacto asociado con la ejecución de un proceso.

37
Guía del Evaluador: Usando COBIT® 5

Página dejada en blanco intencionadamente

38
Apéndice B. Acrónimos

Apéndice B. Acrónimos
APO Alinear , planificar e organizar (dominio COBIT)
BAI Construir, adquirir e implementar (dominio COBIT)
BP Practica base
CEO Director general ejecutivo
CFO Director general financiero
CIO Director de informática/sistemas
CTO Director de tecnología
DSS Entregar, dar servicio y soporte (dominio COBIT)
EDM Evaluar, orientar y supervisar (dominio COBIT)
IT Tecnología de la información
MEA Supervisar, evaluar y valorar (dominio COBIT)
SDLC Ciclo de vida del desarrollo
TCO Coste total de propiedad

39
Guía del Evaluador: Usando COBIT® 5

Página dejada en blanco intencionadamente

40
Apéndice C. Lecturas

Apéndice C. Lecturas
• ISACA, COBIT® 5, USA, 2012 (versión disponible en español)
• ISACA, COBIT® 5 Implementation, USA, 2012 (versión disponible en español)
• ISACA, COBIT® 5: Enabling Processes, USA, 2012 (versión disponible en español)
• ISACA, COBIT® Process Assessment Guide (PAM): Using COBIT® 5, USA, 2012
• ISACA, COBIT® Self-assessment Guide: Using COBIT® 5, USA, 2012
• ISO, ISO/IEC 15504-1 2004 Information technology—Process assessment—Part 1: Concepts and vocabulary,
Switzerland, 2004
• ISO, ISO/IEC 15504-2 2003 Performing an assessment, Switzerland, 2003
• ISO, ISO/IEC 15504-3 2004 Guidance on performing an assessment, Switzerland, 2004
• ISO, ISO/IEC 15504-4 2004 Guidance on use for process improvement and process capability determination,
Switzerland, 2004
• ISO, ISO/IEC 15504-5 2006 Information technology—Process assessment—Part 5: An exemplar Process Assessment
Model, Switzerland, 2006
• ISO, ISO/IEC 15504-7 2008 Assessment of organizational maturity, Switzerland, 2008

41
Guía del Evaluador: Usando COBIT® 5

Página dejada en blanco intencionadamente

42
Apéndice D. Herramientas

Apéndice D. Herramientas
D.1 Ejemplo de Plan de evaluación
Este plan puede ser utilizado por los evaluadores líderes y su equipo de evaluación, como aporte a la creación de un plan
de evaluación detallado de un proyecto de evaluación de COBIT. Utilice este plan para personalizar los pasos necesarios
para la evaluación, incluyendo los nombres, las áreas de la empresa y los equipos.

1. Identificar al patrocinador de la evaluación.


2. Seleccionar al jefe del equipo de evaluación, la persona que dirigirá el equipo de evaluación. Asegúrese de que los
miembros del equipo posean las competencias y las habilidades necesarias.
3. Definir el propósito de la evaluación, incluyendo la alineación con los objetivos de negocio (en caso necesario).
4. Identificar el programa específico de evaluación de COBIT o el alcance que se utilizará.
5. Identificar la necesidad y aprobar acuerdos de confidencialidad (en caso necesario), sobre todo si se emplean
consultores externos.
6. Seleccionar al coordinador de evaluación local (CEL) para gestionar la logística de evaluación y la interface con la unidad
empresarial.
7. Establecer el equipo de evaluación y asignar los roles del equipo. Normalmente, el equipo debe constar de dos asesores
(dependiendo en recursos y costos). Los miembros del equipo de evaluación deben garantizar un conjunto equilibrado
de habilidades necesarias para llevar a cabo la evaluación. El evaluador líder debe ser un evaluador competente.
8. Definir el propósito de la evaluación y el alcance, incluyendo los procesos para ser investigados dentro de la unidad
empresarial y la unidad empresarial que implementa estos procesos. El alcance de la evaluación puede ser re-
negociado durante la realización de la evaluación.
9. Definir el contexto. Identificar los factores de la unidad de la empresa que afectan el proceso de evaluación. Estos
factores incluyen, como mínimo, el:
• Tamaño de la unidad de la empresa.
• La aplicación de los productos o servicios de la unidad de la empresa.
• Tamaño, criticidad y complejidad de los productos o servicios.
• Características de calidad de los productos a evaluar.
10. Para cada proceso seleccionado (dentro del alcance), definir el mayor nivel de capacidad para ser investigado. Todas
las evaluaciones deben comenzar con el nivel 1 y no proceder al siguiente nivel hasta que el nivel 1 se lleve a cabo en
gran parte o totalmente.
11. Especifique las limitaciones en la realización de la evaluación. Estos pueden incluir lo siguiente:
• Disponibilidad de recursos clave.
• Cantidad máxima de tiempo que se utilizará para la evaluación.
• Procesos o unidades empresariales específicas que serán excluidos de la evaluación.
• Tamaño mínimo, máximo o específico de la muestra o la cobertura que se desea para la evaluación.
• La propiedad de los resultados de la evaluación y de cualquier restricción de su uso.
• Los controles del manejo de la información resultante de un acuerdo de confidencialidad.
12. Identificar los procesos unitarios de la empresa a COBIT MEP. Establecer una correspondencia entre la unidad
de procedimientos de la empresa citados en el ámbito de evaluación y los procesos en MEP. Identificar cualquier
terminología conflictiva entre la unidad de la empresa y COBIT MEP.
13. Seleccionar a los participantes a evaluar dentro de la unidad empresarial. Los participantes involucrados deben
representar los procesos adecuadamente dentro del alcance de la evaluación.
14. Definir las responsabilidades de todas las personas que participan en la evaluación, incluyendo el promotor, evaluador
líder, evaluadores, coordinador local de la evaluación (LAC) y los participantes.
15. Identificar la titularidad del registro de evaluación y la persona responsable de aprobar los registros del asesor.
16. Identificar cualquier información adicional que pudiera surgir de los patrocinadores que se reunieron durante la
evaluación.
17. Lanzamiento de la evaluación.
18. Realizar evaluaciones de proceso a través de entrevistas, recopilación de documentos y técnicas de recolección de datos.
19. Validar y analizar los datos.
20. Asignar atributo calificaciones según corresponda.
21. Verificar la entrada de datos y las evaluaciones dentro del equipo para determinar la calificación final de los atributos.
22. Producir un informe con los resultados de la evaluación.
23. Proporcionar el informe al patrocinador para hacer comentarios y retroalimentación.
24. Realice los cambios necesarios basados en la retroalimentación, incluyendo revisión de entradas y de datos, para emitir
el informe.
25. Obtener reconocimiento del informe por parte del patrocinador.
26. Completar la evaluación.

43
Guía del Evaluador: Usando COBIT® 5

D.2 Ejemplo de ejercicio de identificación del alcance


En este ejemplo se describe el uso del COBIT 5 dentro la empresa, para las metas y objetivos de procesos relacionadas con
TI (apéndices B y C en COBIT 5), con el fin de identificar que procesos deben ser considerados para su inclusión en la
definición del alcance de una evaluación al utilizar COBIT 5.

En este ejemplo, el enfoque de la empresa es identificar la relevancia de los procesos para apoyar el objetivo de la empresa
“ La continuidad del servicio de negocio y disponibilidad “(COBIT objetivo 7 de la empresa).

El cuadro indicativo de mapeo (COBIT 5, figura 22) indica que el logro de este objetivo de la empresa depende
principalmente de los siguientes objetivos relacionados con TI:
• 04 Manejo de riesgo de negocio relacionados con TI.
• 10 Seguridad de la información, infraestructura de procesamiento y aplicaciones.
• 14 Disponibilidad de información confiable y útil para la toma de decisiones.

El objetivo de la empresa es también en menor grado (secundario) dependiente del logro de los siguientes objetivos
relacionados con TI:
• 01 de alineación de las TI y la estrategia empresarial.
• 07 de entrega de servicios de TI en línea con los requerimientos del negocio.
• 08 uso adecuado de las aplicaciones, información y soluciones tecnológicas.

El cuadro indicativo de mapeo (COBIT 5, figura 23) indica que los objetivos relacionados con TI identificados
anteriormente están relacionados con los siguientes procesos de COBIT 5.

Objetivo de TI Procesos COBIT5 primarios


relacionado
04 EDM03; APO10, 12, 13; BAI01, 06; DSS01-06; MEA01-03
10 EDM03; APO12-13; BAI06; DSS05
14 APO09, 13; BAI04, 10; DSS03-04
01 EDM01-02; APO01-03, 05, 07-08; BAI01-02
07 EDM01-02, 05; APO02, 08-11; BAI02-04, 06; DSS01-04, 06; MEA01
08 APO04; BAI05, 07

Como se observa en la tabla anterior, el único objetivo de la empresa cuenta con procesos dependientes para su logro , por
lo que una decisión del alcance debe hacerse para determinar en qué procesos se podrá enfocar la evaluación . La decisión
se hará tomando como base la frecuencia de aparición (es decir como un indicador de la importancia), pero también debe
tener en cuenta el conocimiento sobre la pertinencia, la criticidad y el rendimiento de los procesos empleados localmente.

En este ejemplo, el patrocinador de la empresa razonablemente podría decidir centrarse en los procesos de seguridad y de
riesgo porque son las principales áreas de interés relacionadas con el logro de la meta “ continuidad y disponibilidad”.

Al tomar esta decisión, los procesos para ser evaluados serán:


• EDM03 Asegurar la optimización del riesgo.
• APO13 Administrar la seguridad.
• DSS05 Administrar los servicios de seguridad.

Objetivos de negocio a Objetivos relacionados con TI


Una medida útil para muchos asesores es la vinculación de los objetivos de la empresa a los objetivos de TI. El uso de
este mapeo, permite que el evaluador pueda asegurar que el objetivo de negocio sea apoyado con una referencia precisa y
relacionada a los objetivos de TI, procesos de TI, y con la evaluación de la capacidad de esos procesos. Un ejemplo de TI y
los objetivos empresariales relacionados se muestra en la figura 18.

44
Apéndice D. Herramientas

Figure 18—Relación entre Objetivo TI y Objetivos de Empresa


Objetivos de empresa

Optimización de los costes de prestación de servicios

optimización de los costes de procesos de negocio


Respuesta ágil a un entorno de negocio cambiante

Programas para la gestión de cambios de negocio


Portafolio de productos y servicios competitivos

Cumplimiento de regulaciones y leyes externas


Responsable del valor de inversión de negocio

Cultura de innovación de producto y negocio


Toma de decisiones basadas en Información
Continuidad y disponibilidad de negocio
Cultura de servicio orientado al cliente

Productividad operativa y del personal


optimización de procesos de negocio

Cumplimiento de políticas internas

Personal capacitado y motivado


Riesgo de negocio gestionado

Transparencia financiero
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Apren-
dizaje y
creci-
Objetivo IT Financiero Cliente Interno miento
01 Alineamiento de les estrategias TI y de
P P S P S P P S P S P S S
negocio
02 Cumplimiento de TI y apoyo para el
cumplimiento de los negocios con las S P P
leyes y regulaciones externas
03 Compromiso de la dirección ejecutiva para
Financiero

P S S S S S P S S
la toma de decisiones relacionadas con TI
04 Riesgos de negocio relacionados con TI
P S P S P S S S
gestionados
05 Beneficios materializados de la cartera de
P P S S S S P S S
inversiones y servicios habilitados por TI
06 Transparencia en los costos, beneficios y
S S P S P P
riesgos de TI
07 Prestación de servicios TI en línea con los
P P S S P S P S P S S S S
requerimientos de negocio
Cliente

08 Uso adecuado de aplicaciones,


S S S S S S S P S P S S
información y soluciones tecnológicas.
09 Agilidad de TI S P S S P P S S S P
10 Seguridad de la información, de las infraes-
P P P P
tructuras de procesamiento y aplicaciones
11 Optimización de activos, recursos y
P S S P S P S S S
capacidades de TI
12 Habilitación y el apoyo de los procesos
de negocio mediante la integración de las S P S S S S P S S S S
aplicaciones y la tecnología
Interno

13 Entrega de programas que proporcionen


beneficios, a tiempo, dentro del
P S S S S S P S
presupuesto, y cumpliendo los
requerimientos y estándares de calidad
14 Disponibilidad de información fiable y útil
S S S S P P S
para la toma de decisiones
15 Cumplimiento de TI de las políticas
S S P
internas
16 Personal de negocio y TI competente y
S S P S S P P S
Aprendizaje y
crecimiento

motivado
17 Conocimiento, experiencia e iniciativas
para la innovación del negocio S P S P S S S S P

Fuente: ISACA, COBIT 5: Procesos facilitadores, USA, 2012, figura 18

45
Guía del Evaluador: Usando COBIT® 5

La elección de uno o algunos de los objetivos de la empresa y su mapeo a los objetivos de TI proporciona un indicador que
puede ser utilizado en el ejercicio de evaluación de procesos para validar el estado actual de esos objetivos, determinar las
áreas de oportunidad y documentar el nivel de proceso.

Por otra parte, las empresas también pueden identificar los procesos de evaluación utilizando un enfoque basado en el
riesgo para la selección de los procesos (Ver el marco de TI de Riesgo, www.isaca.org/riskit).

D.3 Ejemplo de plantilla del reporte


El siguiente es un ejemplo del informe de evaluación de proceso para una compañía cualquiera, el cual se realizó
utilizando la metodología del programa de evaluación de COBIT.

COBIT Informe de Evaluación de la Capacidad del Proceso


Empresa / Ámbito / Proceso COBIT
Fecha

Se trata de un informe de evaluación de la capacidad del proceso basado en el modelo de evaluación de procesos (MEP)
del marco de COBIT y no una certificación o informe de verificación de la eficacia del proceso o de sus controles internos
relacionados. Se pretende que sea un informe interno para proporcionar información sólo para uso de la administración, y
no debe ser invocado por los demás. Su propósito es proporcionar información acerca de la capacidad de los procesos de
una empresa y dar a la gestión alguna indicación de que procesos necesita mejorar.

REVISIÓN HISTÓRICA
Versión Modificación Fecha Autor

TABLA DE CONTENIDOS
1.0 Resumen ejecutivo
2.0 Introducción
2.1 Propósito de la evaluación
2.2 Alcance de la evaluación
2.2.1 Unidad o unidades de la empresa
2.2.2 Procesos y evaluación de niveles de capacidad
2.2.3 Procesos revisados y base para la selección
2.2.4 Clase de evaluación
2.3 Restricciones de evaluación
2.4 Resumen del enfoque de la evaluación
2.5 Evaluación de los miembros del equipo
2.6 Fechas críticas
2.7 Horario de evaluación
2.8 Acuerdos de confidencialidad
3.0 Resumen de los resultados
3.1 Perfil del proceso de evaluación y alcance del proceso de capacidad
4.0 Conclusiones detalladas
5.0 Recomendaciones
Apéndices
Registros de la evaluación

46
Apéndice D. Herramientas

1.0 Resumen Ejecutivo


Describir el contexto y los objetivos en general. Incluir los beneficios previstos, el alcance, el resumen y su propósito,
enfoque de la evaluación, y el resumen de los resultados (para el nivel ejecutivo).
2.0 Introducción:
2.1 Propósito de la evaluación
El propósito de esta evaluación es determinar el nivel de capacidad de los procesos relacionados con TI en [la
empresa, negocio o unidad funcional a evaluar], y para identificar las buenas prácticas que puedan ser implementadas
para dar como resultado una mejora de los procesos de la empresa (si es parte del objetivo de la evaluación).
2.2 Alcance de la evaluación
Describa el alcance global - razones de negocio elegidas y los procesos de COBIT utilizados.
2.2.1 Unidad o unidades de la Empresa
Describir la unidad (es) de la empresa seleccionada(s), su tamaño y su ubicación en la empresa en general
(incluir un gráfico de la empresa, en su caso).
2.2.2 Proceso y evaluación de niveles de capacidad
El modelo de evaluación de proceso (MEP) que se utiliza para esta evaluación es el COBIT MEP.
Documentar los niveles de capacidad especificas para la evaluación de los procesos seleccionados.
2.2.3 Procesos revisados y base para la selección
Describir los procesos de COBIT revisados en la evaluación y la base para su selección. La descripción debe
consistir en una descripción general de los procesos seleccionados de los 37 procesos de COBIT 5, así como
la forma en la que son implementados y operados en el área (s) evaluada.
2.2.4 Clase de Evaluación
La clase de evaluación determinará el rigor necesario en virtud del cual la evaluación se va a realizar. Tener
en cuenta la clase de evaluación (uno, dos o tres) y su idoneidad como se muestra en la siguiente tabla.
Cuanto más alta la clase de evaluación, mayor es el riesgo de un resultado de la evaluación inexacta.

Clase Idoneidad
Uno Comparación con otras unidades de la empresa / empresas
Dos Evaluación interna fiable para informes internos
Tres Seguimiento de la evolución en curso de un programa de mejora

2.3 Restricciones de evaluacións


Una descripción de las limitaciones clave durante la evaluación:
• Disponibilidad de recursos.
• La actividad empresarial (plazos clave ocupados como el final del trimestre, fin de año).
• Procesos o unidad de negocio excluido.
• Recolección de pruebas (por ejemplo , entrevistas única vs. documento de recolección).
• La propiedad de las entregas (por ejemplo: el patrocinador de la evaluación posee y comunica todos los resultados).
2.4 Resumen del enfoque
Profundizar en el proceso de evaluación utilizado. Describir el proceso utilizado y los roles involucrados.
2.5 Evaluación de los miembros del Equipo
Describir los diferentes roles de los involucrados en una evaluación (descriptivo y / o basado en tablas) .
La siguiente tabla presenta las funciones y responsabilidades de esta evaluación.

Rol Nombre Empresa Posición en la empresa


Patrocinador
Coordinador
Asesor principal
Asesor
Etc.

2.6 Fechas críticas


Documentar las principales fechas críticas durante la evaluación:
• Evaluación de la fecha de inicio.
• Reunión de arranque.
• Fechas de la entrevista.
• Fecha de finalización programada ( si es diferente de la fecha de finalización real).
• Fecha de finalización real (incluir indicación de las razones de cualquier retraso).

47
Guía del Evaluador: Usando COBIT® 5

2.7 Horario de evaluación


Introduzca el programa de la entrevista real, incluyendo fechas, nombres, funciones, duración y procesos revisados.
Los resultados pueden ser listados si se prefiere, pero es mejor utilizar gráficas si es posible.

Hora-dia Nombre del entrevistado y función Duración Procesos discutidos

2.8 Acuerdos de confidencialidad


A los participantes en la evaluación se les asegurará absoluta confidencialidad sobre la información que proporcionen.
En su caso, un acuerdo de confidencialidad o de no divulgación (NDA) deberá ser firmado por el asesor y el equipo
evaluador, si apropiado.
3.0 Resumen de los resultados
Resultados consolidados se presentan en forma de gráfico utilizando los procesos revisados y niveles de capacidad
alcanzados. Añadir información sobre si los resultados se basan en entrevistas solamente (menos fiable) o en la
recolección y revisión de datos (más seguro). Puede valer la pena añadir una pequeña tabla que muestra los diferentes
niveles de capacidad del proceso evaluable, destacando los elegidos para esta tarea.
Considere incluir lo siguiente.
3.1 Perfil del proceso de evaluación y alcance del proceso de capacidad
Incluir un gráfico que muestre la capacidad alcanzada, como se muestra en la figura 19. Opcionalmente, incluir un
gráfico que muestra la capacidad de logros vs. objetivo.

Figura 19— Nivel de capacidad del proceso alcanzado


Resumen de resultados Nivel de capacidad conseguido
ID del Nombre del 1 2 3 4 5
Propósito del proceso
proceso proceso Realizado Gestionado Establecido Predecible Optimizado
APO02 Gestiona la Alinear los planes estratégicos de TI con
estrategia. los objetivos empresariales. Comunicar con
claridad los objetivos y las responsabilidades
asociadas de manera que sea entendido por F
todos, con las opciones estratégicas de TI
identificadas, estructuradas e integradas con
los planes de negocio.
APO04 Gestiona la Lograr una ventaja competitiva, la innovación
innovación. empresarial y la mejora de la eficacia y
F L
eficiencia operativa gracias a la explotación
de desarrollos de tecnología de información.
BAI06 Gestiona Habilitar la entrega rápida y fiable del cambio
los cambios. en el negocio y mitigación del riesgo de
L
un impacto negativo en la estabilidad o la
integridad del entorno cambiado.
BAI07 Gestiona la Implementar soluciones de forma segura y
aceptación en línea con las expectativas y los resultados
F F L
del cambio y acordados..
la transición.
BAI09 Gestiona Pedir cuentas por todos los activos de TI y
los activos. optimizar el valor proporcionado por esos L
activos.
F = Completamente logrado, L = logrado en gran medida

48
Apéndice D. Herramientas

4.0 Conclusiones detalladas


Describir los procesos analizados en detalle, incluyendo los resultados de las entrevistas o recolección de datos. Describa
cualquier resultado anterior a la evaluación de nivel de capacidad (si están disponibles) y las conclusiones relativas a la
mejora de los niveles (si la hay).

Considere la posibilidad de una sección o un párrafo para cada proceso con los resultados, los datos relacionados y
sugerencias de mejora (si fuese necesario en el ámbito de compromiso). El informe también muestra las principales
cuestiones planteadas durante la evaluación, tales como debilidades y fortalezas observadas dentro de las áreas, y sus
implicaciones para la empresa.

Esta sección deberá contener todos los datos descubiertos durante la asignación, con cuadros, gráficos y detalles incluidos,
mientras que también hace referencia a las pruebas reunidas.

Se observa el gráfico con las notas de cada proceso, el cual emplea las votaciones en la figura 20.

Figura 20—Calificación de procesos


Calificación Porcentaje Descripción
N = No conseguido 0% a 15% Hay poca o ninguna evidencia de logro del atributo definido en el proceso evaluado.
P = Parcialmente >15% a 50% Existe alguna evidencia de un enfoque y algunos logros del atributo definido en el proceso evaluado.
conseguido Algunos aspectos de los logros del atributo pueden ser impredecibles.
L = conseguido en >50% a 85% Hay evidencia de un enfoque sistemático y el logro significativo del atributo definido en el proceso
gran medida evaluado. Alguna debilidad relacionada con este atributo puede existir en el proceso evaluado.
F = Completamente >85% a 100% Hay evidencia de un enfoque completo y sistemático, y una plena consecución del atributo definido en
conseguido el proceso evaluado. No existen debilidades significativas relacionadas con este atributo en el proceso
evaluado.

El informe puede contener tablas para cada proceso en un apéndice.

Los requisitos de las pruebas se deben cumplir para que el informe para proporcione fiabilidad y repetitividad. La
existencia en el presente informe de las prácticas detalladas de base, productos de trabajo y las características del
producto de trabajo proporcionar evidencia de la actuación de los procesos asociados con ellos. Del mismo modo, la
existencia de indicadores de capacidad del proceso (un indicador de evaluación que apoya la sentencia de la capacidad
de proceso de un proceso específico) proporciona evidencia de la capacidad del proceso.
5.0 Recomendaciones
Proporcione las recomendaciones resultantes de la evaluación. Asegúrese de que cada recomendación puede rastrearse
al producto/proceso relacionado, atributo de capacidad y proceso de resultado / trabajo según corresponda. Indique
cualquier recomendación que se aplican a través de múltiples procesos en el ámbito de este programa de evaluación.
Considere el nivel de capacidad para los procesos dentro del alcance de esta evaluación durante el desarrollo de estas
recomendaciones y indicando el grado de consecución.

Apéndices

Registros de la evaluación
(Los ejemplos se proporcionan en el kit de herramientas).

49
Guía del Evaluador: Usando COBIT® 5

D.4 Ejemplo de Lista de verificación inicial


Figura 21—Lista de verificación inicial
LISTA DE VERIFICACIÓN INICIAL
TAREA DESCRIPCIÓN RESPONSABILIDAD FECHA
VENCIMIENTO
1 Identifique al patrocinador de la evaluación.
2 Seleccione al jefe del equipo de evaluación.
3 Defina el propósito de la evaluación, incluyendo el alineamiento con los objetivos de
negocio (en caso necesario).
4 Identifique el mapeo específico del programa de evaluación de COBIT o el alcance a ser
empleado.
5 Identifica la necesidad de acuerdos de confidencialidad y apruébelos.
6 Seleccione el coordinador de evaluación local (CEL) por cada unidad empresarial.
7 Envíe los cuestionarios de pre-evaluación a los coordinadores de evaluación locales (CEL).
8 Establezca el equipo de evaluación y asigne roles de equipo.
9 Defina el contexto. Identifique factores de la unidad de negocio que afecte al proceso
de evaluación (tamaño, criticidad, complejidad, etc.).
10 Defina el alcance y capacidad de la evaluación.
11 Especifique las limitaciones (disponibilidad, plazos temporales, tamaño de la muestra, etc.)
12 Mapee la unidad de negocio al modelo de evaluación de procesos (MEP).
13 Seleccione a los participantes en la evaluación.
14 Defina responsabilidades.
15 Identifique la propiedad sobre el registro de la evaluación y la persona responsable
de aprobar los registros tomados por el evaluador.
16 Identifique cualquier información adicional que el sponsor solicita que se recoja durante la
evaluación.
17 Revise todos los registros obtenidos.
18 Obtenga la aprobación del patrocinador de los registros obtenidos.

50
Apéndice D. Herramientas

D.5 Plantilla ejemplo de evaluación


Este es sólo un ejemplo, la plantilla completa se ha proporcionado en el kit de herramientas.

Figura 22— Plantilla ejemplo de evaluación


Resultados de la evaluación del proceso
ID del
proceso Nombre del proceso A evaluar Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4
Procesos para la gobernanza de TI de la empresa – Evalúa, Dirige y monitora
EDM01 Asegura la definición y mantenimiento de un marco de gobernanza F L
EDM02 Asegura la entrega de beneficios
EDM03 Asegura la optimización del riesgo
EDM04 Asegura la optimización de recursos
EDM05 Asegura la transparencia frente las partes interesadas
Alinea, planifica y organiza
APO01 Gestiona el marco de gestión de TI
APO02 Gestiona la estrategia
APO03 Gestiona la arquitectura de empresa
APO04 Gestiona la innovación
APO05 Gestiona el portafolio
APO06 Gestiona presupuestos y costes
APO07 Gestiona los recursos humanos
APO08 Gestiona las relaciones

51
Guía del Evaluador: Usando COBIT® 5

D.6 Plantilla ejemplo de recolección de datos


Figura 23—Plantilla ejemplo de recolección de datos
Nombre de la compañía
APO02 Gestiona la estrategia
Propósito Satisfacer los requerimientos de negocio para atraer personas competentes y motivadas para la creación y entrega de servicios de TI.
Criterio No Parcial- conseguido en Comple-
Evaluar si los
alcanzado conseguido mente gran medida tamente
siguientes resultados Criterio Comentario
S/N (0-15%) conseguido (>50-85%) conseguido
se obtienen.
APO02 (>15-50%) (>85-100%)
Nivel 0 El propósito no está En este nivel hay poca
Incompleto implementado o no logra o ninguna evidencia de
alcanzar el propósito del ningún logro del propósito
proceso. del proceso..
Nivel 1 PA1.1 El proceso Los siguientes resultados
Realizado implementado logra del proceso son logrados.
su propósito. APO02-01 Todos los
aspectos de la estrategia
de TI están alineados con
la estrategia de negocio.
APO02-02 La estrategia
de TI es efectiva en
costes, apropiada,
realista, alcanzable,
equilibrada y enfocada
a negocio.
APO02-03 Objetivos
a corto plazo claros y
concreto pueden ser
derivados y trazados
desde iniciativas a largo
plazo y pueden ser
trasladados a planes
operativos.
APO02-04 El TI es un
Impulsor del valor para la
empresa.
APO02-05
Hay conciencia de la
estrategia de TI y una
clara asignación de
responsabilidades para la
entrega.

52

También podría gustarte