Material de Apoyo

Parte III

www.auditool.org
 Curso Modelo COBIT Parte III

Estructura Modelo COBIT 5

El siguiente diagrama representa el modelo COBIT que involucra los recursos de

Tecnología de información, que se implementan a lo largo de los procesos del negocio
y apoyo, que facilitan la definición de los criterios o indicadores de gestión de los
procesos.

PROCESOS DEL NEGOCIO: Requerimientos del negocio

CRITERIOS: Eficiencia, efectividad, confidencialidad, integridad,
disponibilidad, confiabilidad, cumplimiento

Metas de TI y procesos de TI

Recursos de Tecnología de Infomación:

Datos, sistemas, tecnología, instalaciones y
personal
Información

Así mismo, la estructura esencial de COBIT es:

Proceso
s
Objetivos de control
detallados

Entradas y salidas, matriz RACI

Metas y métricas

Modelos de madurez

1 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
GOBIERNO CORPORATIVO DE TI
Evaluar, dirigir y monitorear
Objetivos de
Procesos Descripción Actividades
Control
Evaluar el uso actual y
Definir, establecer y futuro de TI.
alinear el marco de Preparación de planes
1. Asegurar que gobierno de TI, y políticas para
se fija el teniendo en cuenta el garantizar que el uso
Marco de entorno de control y de TI cumple con los
Definir un marco
Gobierno y Gobierno corporativo. objetivos del negocio.
de gobierno de TI.
su Este marco debe
mantenimien asegurar el Monitorear la
to. cumplimiento de las conformidad de las
leyes y regulaciones políticas y el
relacionadas. desempeño de los
planes.
Optimización del
valor de las
inversiones en TI,
La administración de estableciendo un
los programas de marco de buen
inversión en TI debe gobierno,
2. Asegurar la
asegurar el mayor monitoreo y Administración del
entrega de
valor para apoyar la control, dirección valor de TI.
valor.
estrategia y los estratégica para
objetivos las inversiones, y
empresariales. definir las
características de
la cartera de
inversiones.
Un trabajo en conjunto Desarrollar marco
con el consejo específico de gestión
directivo, debe de riesgos de TI.
permitir la definición Riesgo Tolerancia de riesgo de
3. Asegurar la del riesgo aceptable corporativo y TI.
optimización por la empresa, y marco de Alinear la política de
de los garantizar que las referencia de riesgos de TI.
riesgos. prácticas de control interno de Promover cultura del
administración de TI. riesgo.
riesgos de TI son Promover una
apropiadas. comunicación efectiva
de los riesgos de TI.
Revisar inversión, uso Optimizar el Disminuir errores
4. Asegurar la
y asignación de los entorno de TI, manuales.
optimización
activos de TI por con una Responder a
de los
medio de evaluaciones infraestructura actualizaciones y
recursos.
periódicas de las fácil de usar y cambios constantes.

2 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
GOBIERNO CORPORATIVO DE TI
Evaluar, dirigir y monitorear
Objetivos de
Procesos Descripción Actividades
Control
iniciativas y actualizar.
operaciones de TI para
asegurar recursos y
Inversión en TI,
alineamiento
buscando una ventaja
apropiados con los
competitiva.
objetivos estratégicos
del negocio, actuales y
futuros.
Revelar de forma
clara, precisa y
completa y en un
grado razonable y
5. Asegurar la
suficiente la
transparenci
información sobre
a a las partes
políticas, decisiones y
interesadas.
actividades de las que
es responsable,
incluyendo impactos y
consecuencias.

3 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
En la empresa debe Establecer estructura
existir una organizacional de TI,
Administración de
organización incluyendo comités y
integridad.
apropiada de TI, la ligas a los interesados
cual se establece y proveedores.
teniendo en cuenta Diseñar marco de
Estándares
los requerimientos del trabajo para el proceso
tecnológicos.
personal, funciones, de TI.
rendición de cuentas, Ambientes de
Identificar dueños de
autoridad, roles, políticas y de
sistemas.
responsabilidades y control.
supervisión. El comité Administración de Identificar dueños de
estratégico debe políticas para TI. datos.
verificar y vigilar los Implementación
6. Administrar
procesos del consejo de políticas de TI.
el Marco de
directivo de TI,
Administraci
determinando así las
ón de TI.
prioridades de los
recursos de TI. De la
misma manera, se
Establecer e
deben implementar
implementar roles y
procesos, políticas de
responsabilidades de
administración y Comunicación de TI, incluida la
procedimientos para los objetivos y la supervisión segregación
todas las funciones de dirección de TI. de funciones.
la empresa,
garantizando así el
aseguramiento de la
calidad,
administración de
riesgos y la seguridad
de la información.
La planeación Alineación de TI Relacionar las metas
estratégica gestiona y con el negocio. del negocio con las de
dirige todos los TI.
recursos de TI en Evaluación del Identificar
línea con la estrategia desempeño y dependencias críticas y
y prioridades de la capacidad actual. desempeño actual.
7. Administrar
empresa; y permite Plan estratégico Construir un plan
la estrategia.
que las partes de TI estratégico para TI.
interesadas Planes tácticos de
comprendan las TI
oportunidades y Construir planes
Planeación de la
limitaciones de la TI, tácticos para TI.
dirección
evalúa el desempeño tecnológica.

4 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
actual, identifica la Planeación de la
capacidad y infraestructura
requerimientos de los tecnológica.
recursos humanos, y
clarifica los objetivos,
planes de acción y
tareas.
Modelo de Crear y mantener
Creación y
arquitectura de modelo de información
actualización continua
información corporativo /
de un modelo de
empresarial. empresarial.
información del
Diccionario de Crear y mantener
negocio, y definición
datos corporativo diccionario de datos
de los sistemas
y reglas de corporativo.
apropiados para
sintaxis para los
optimizar el uso de la
datos.
información. Este
Esquema de Establecer y mantener
proceso mejora la
clasificación de esquema de
8. Administrar calidad de la toma de
datos. clasificación de datos.
la decisiones,
Brindar a los dueños
arquitectura asegurando
procedimientos y
corporativa. información confiable
herramientas para
y segura, a través de
clasificar los sistemas
la responsabilidad
de información.
sobre la integridad y
Usar el modelo de
seguridad de los Consejo de
información, el
datos, efectividad y arquitectura de TI
diccionario de datos y
control de la
el esquema de
información
clasificación para
compartida por medio
planear los sistemas
de las aplicaciones y
optimizados de
entidades.
negocio.
Establecer un proceso
para monitorear las Monitorear la evolución
tendencias tecnológica.
ambientales del
sector, tecnológicas,
Monitorear las
9. Administrar de infraestructura,
tendencias y
la legales y regulatorias;
regulaciones del
innovación. con el fin de analizar Definir el uso futuro
futuro.
las consecuencias de estratégico de la nueva
estas tendencias en el tecnología.
desarrollo del plan de
infraestructura
tecnológica de TI.

5 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
Administración activa
del portafolio de
programas de
inversión de TI, de tal
manera que se pueda
garantizar la
consecución de los
objetivos de negocio
estratégicos
Analizar portafolios de
10. Administrar específicos. Este
Administración del programas y portafolios
el proceso incluye
portafolio de TI. de servicios y
portafolio. entender el alcance
proyectos.
del esfuerzo requerido
para lograr los
resultados, definir
rendición de cuentas,
definir proyectos
dentro del programa,
asignar recursos y
financiamiento y
delegar autoridad.
Marco de trabajo Dar mantenimiento al
para la portafolio de
administración programas de
financiera. inversión.
Prioridades dentro Dar mantenimiento al
11. Administrar Determinar un marco del presupuesto portafolio de proyectos.
el de trabajo para de TI.
presupuest administrar los Proceso Dar mantenimiento al
o y los programas de presupuestal. portafolio de servicios.
costos. inversión en TI que
incluya costos, Administración de Establecer y mantener
beneficios, prioridades costos de TI. proceso presupuestal
dentro del de TI.
presupuesto, proceso
presupuestal, y Administración de
administración. beneficios.
Definición de
servicios.
Identificar, comunicar y
Contabilización de
monitorear la inversión,
TI.
costo y valor de TI para
Modelación de
la empresa.
costos y cargos.
Mantenimiento del
modelo de costos.

6 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
Adquirir, mantener y Reclutamiento y Identificar las
motivar un ambiente retención del habilidades de TI,
de trabajo para la personal. benchmarks sobre
creación y entrega de descripciones de
servicios de TI puesto, rango de
para el negocio, a salarios y desempeño
través de buenas del personal.
prácticas en la Competencias del Ejecutar las políticas y
contratación, personal. procedimientos
capacitación, Asignación de relevantes de Recursos
evaluación del roles. Humanos para TI,
desempeño, Entrenamiento del contratar, investigar,
promoción y personal de TI. compensar, entrenar,
terminación. Este Dependencia evaluar, promover y
proceso es vital, sobre los terminar.
debido a que la individuos.
12. Administrar competencia y Procedimientos de
el recurso motivación del investigación de
humano. personal influyen en personal.
el ambiente de Evaluación del
gobierno y control desempeño del
interno en la personal.
empresa. Cambios y
terminación de
trabajo.
Identificación de
necesidades de
entrenamiento y
educación.
Impartición de
entrenamiento y
educación.
Evaluación del
entrenamiento
recibido.
Organización de TI Marco de trabajo Definición de u marco
teniendo en cuenta de procesos de TI de trabajo de procesos
los requerimientos de de TI.
personal, funciones, Comité Establecimiento de un
13. Administrar
rendición de cuentas, estratégico de TI cuerpo y una estructura
las
autoridades, roles y organizacional
relaciones.
responsabilidades. apropiada.
Además, debe Comité directivo Definición de roles y
envolver la de TI responsabilidades.
transparencia y Ubicación
7 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
control de los altos organizacional de
ejecutivos. Se debe la función de TI
establecer una Estructura
estructura óptima de organizacional.
enlace, comunicación Establecimiento
y coordinación entre de roles y
la función de TI y responsabilidades.
otros interesados. Responsabilidades
de aseguramiento
de calidad de TI,
Quality
Assurance.
Responsabilidad
sobre el riesgo,
seguridad y el
cumplimiento.
Propiedad de
datos y de
sistemas.
Supervisión
Segregación de
funciones
Personal de
tecnología de
información.
Personal clave de
tecnología de
información.
Políticas y
procedimientos
para el personal
contratado.
Relaciones entre
partes interesadas
con la función de
tecnología de
información.
Definición Marco de trabajo Crear un marco de
documentada y de la trabajo para los
14. Administrar
acuerdo de servicios administración de servicios de TI.
los
de TI y niveles de los niveles de
contratos
servicio, para una servicio.
de
comunicación efectiva Definición de Construir un catálogo
servicios.
entre la gerencia de servicios. de servicios de TI.
TI y los clientes del Acuerdos de Definir los convenios de
8 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
negocio; garantizando niveles de niveles de servicio para
la alineación entre los servicios. los servicios críticos de
servicios de TI y los TI.
requerimientos del Definir los convenios de
Acuerdos de
negocio. niveles de operación
niveles de
para soportar los
operación.
niveles de servicio.
Monitoreo y Monitorear y reportar el
reporte del desempeño del servicio
cumplimiento de de punta a punta.
los niveles de
servicio.
Revisar los niveles de
servicio y los contratos
Revisión de los
de apoyo.
acuerdos de
Revisar y actualizar el
niveles de servicio
catálogo de servicios de
y de los
Ti.
contratos.
Crear un plan de
mejora de servicios.
Administración de Identificar y categorizar
contratos con las relaciones de los
proveedores. servicios de terceros.
Administración Definir y documentar
efectiva de los Selección de los procesos de
servicios provistos por proveedores. administración del
terceros, por medio proveedor.
de la definición de Establecer políticas y
Identificación de
roles, procedimientos de
todas las
responsabilidades y evaluación y
relaciones con
expectativas, en suspensión de
terceros.
15. Administrar relación a los proveedores.
los acuerdos con Gestión de Identificar, valorar y
proveedores. terceros. Además, es relaciones con mitigar los riesgos del
importante la revisión proveedores. proveedor.
y monitoreo de la Monitorear la
Administración de
efectividad y prestación del servicio
riesgos del
cumplimiento de los del proveedor.
proveedor.
acuerdos
establecidos, Evaluar las metas de
minimizando así los largo plazo de la
riesgos relacionados. Monitoreo del
relación del servicio
desempeño del
para todos los
proveedor.
interesados.

9 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
Se debe desarrollar Sistemas de Definir un sistema de
un sistema de administración de administración de
administración de calidad. calidad.
calidad, que incluya Estándares y Establecer y mantener
procesos y estándares prácticas de un sistema de
de desarrollo y calidad. administración de
adquisición; a través calidad.
de requerimientos, Estándares de Crear y comunicar
16. Administrar procedimientos y desarrollo y de estándares de calidad a
la calidad. políticas claras de adquisición. toda la organización.
calidad, manifestados Enfoque en el Crear y administrar el
con indicadores cliente de TI. plan de calidad para la
cuantificables y mejora continua.
alcanzables. Además, Mejora continua. Medir, monitorear y
es necesario un Medición, revisar el cumplimiento
constante monitoreo, monitoreo y de las metas de
corrección de revisión de la calidad.
desviaciones, y calidad.
comunicación
oportuna de
resultados; generando
valor al negocio,
mejora continua y
transparencia.
Determinar la
Marco de trabajo
alineación de la
de administración
administración de
de riesgos.
Marco de trabajo de riesgos.
administración de Establecimiento Entender los objetivos
riesgos, que del contexto del de negocio estratégicos
determine un nivel riesgo. relevantes.
común y acordado de Entender los objetivos
Identificación de
riesgos de TI, de los procesos de
eventos.
estrategias de negocio relevantes.
17. Administrar
mitigación y riesgos Identificar los objetivos
los riesgos.
residuales. El marco Evaluación de internos de TI y
de trabajo, también riesgos de TI. establecer el contexto
debe permitir del riesgo.
identificar, analizar y Identificar eventos
Respuesta a los
evaluar cualquier asociados con
riesgos.
impacto potencial que objetivos.
se presente. Mantenimiento y Asesorar el riesgo con
monitoreo de un los eventos.
plan de acción de Evaluar y seleccionar
riesgos. respuestas a riesgos.

10 www.auditool.org
 ESTRUCTURA DEL MODELO COBIT
ADMINISTRACIÓN DE TI
Alinear, planear y organizar
Objetivos de
Procesos Descripción Actividades
Control
Priorizar y planear
actividades de control.

Aprobar y asegurar
fondos para planes de
acción de riesgos.
Mantener y monitorear
un plan de acción de
riesgos.
Es importante Administración de Definir y mantener un
establecer un proceso la seguridad de plan de seguridad de
de administración de TI. TI.
la seguridad, que Definir, establecer y
garantice la integridad operar un proceso de
de la información y la administración de
protección de los identidad.
activos de TI. Este Monitorear incidentes
proceso incluye de seguridad.
18. Administrar establecimiento de
la roles y
seguridad. responsabilidades de
seguridad, políticas, Plan de seguridad
estándares y de TI.
procedimientos de TI.
Realizar evaluaciones
De la misma manera,
de vulnerabilidad
se deben realizar
periódicamente.
acciones monitoreo y
pruebas de seguridad,
acciones correctivas
sobre las debilidades
o incidentes
detectados.

11 www.auditool.org