Modulo 3 - Modelo Central de COBIT Objetivos de Gobierno y Administracion de TI

1.
Curso Virtual
Modelo de Gobierno Empresarial para la
Información y Tecnología - COBIT 2019
www.auditool.org
CONTENIDO DEL CURSO
01 Modelo COBIT 2019
02 Estructura modelo COBIT 2019
Modelo central de COBIT 2019

03 objetivos de gobierno y
administración de TI
Modelo de gestión de desempeño

04 de COBIT 2019 - CPM
Diseño de una solución de

05 gobierno de TI
Implementación de una
06 solución de gobierno de TI
www.auditool.org 1
Modelo central de COBIT 2019 Objetivos de Gobierno y Administración de TI
Introducción
Cada empresa debe definir sus procesos de acuerdo con sus características y estructura,
contemplando todas las metas de Gobierno y Administración de TI. En este punto, COBIT
2019 presenta un Modelo Central que contempla 40 Objetivos de Gobierno y
Administración, que se relacionan con cada uno de los procesos que una empresa
desarrolla relacionados a la Tecnología e Información, y que sirve como guía para ser
adecuado a cada empresa, según su situación específica.
Objetivos
Los objetivos del presente módulo son:
✓ Conocer el Modelo Central de COBIT e identificar los 40 objetivos de Gobierno y

Administración de TI.
✓ Identificar los dominios en los que se agrupan los objetivos de Gobierno y
Administración.
✓ Entender la estructura de cada objetivo de Gobierno y Administración.
• Dominios
El Modelo de Referencia de Procesos de COBIT 5 establecía 2 dominios principales, el de
Gobierno y el de Administración. COBIT 2019 define 5 dominios, que agrupan los objetivos
de gobierno y administración, y que por medio de acciones claves expresan el propósito y
las áreas de actividad de cada objetivo.
Dominios de COBIT 2019
El organismo de gobierno evalúa las opciones

Evaluar, Objetivos de
estratégicas, proporcionando dirección a la TI
EDM Orientar y Gobierno
y supervisando el logro de la estrategia y sus
Supervisar Junta Directiva
resultados.
www.auditool.org 2
Aborda la organización general, estrategia y
actividades de apoyo para TI. Envuelve las
técnicas y tácticas para identificar la manera
Alinear, Objetivos de
en que la TI puede contribuir al logro de los
APO planear y Gestión
objetivos de la organización. De la misma
organizar Gerencia
manera, comprende la implementación de una
estructura organizacional y una estructura
tecnológica apropiada.
Identificación, desarrollo, adquisición e
implementación de soluciones de TI y su
Construir, integración en los procesos del negocio. Objetivos de
BAI adquirir e Incluye el cambio y mantenimiento de los Gestión
implementar sistemas existes, cuando sea necesario, para Gerencia
garantizar que las soluciones cumplan con los
objetivos del negocio.
Entrega de los servicios requeridos, Objetivos de
incluyendo la prestación del servicio, Gestión
Entregar,
administración de la seguridad y de la Gerencia
DSS servir y dar
continuidad, soporte de servicio a los usuarios,
soporte
administración de los datos y de las
instalaciones operativas.
Evaluación regular en cuanto a calidad y
Monitorear, cumplimiento de los requerimientos de control. Objetivos de
MEA evaluar y Incluye administración del desempeño, Gestión
valorar monitoreo del control interno, cumplimiento Gerencia
regulatorio y aplicación del gobierno.
• Objetivos de Gobierno y Administración

Como mencionábamos anteriormente, los objetivos de gobierno y administración se
agrupan en 5 dominios, y cada objetivo está estructurado teniendo en cuenta su nombre,
propósito, cascada de metas, componentes del Sistema de Gobierno de TI, áreas
prioritarias, guías de referencia, entre otros elementos.
www.auditool.org 3
A continuación, se presenta el listado de los 40 objetivos de gobierno y administración de
COBIT 2019.
Objetivos de Gobierno
Dominio
EDM - Evaluación, Orientación y Supervisión
EDM01: Asegurar el establecimiento y mantenimiento del Marco de Gobierno de TI
EDM02: Asegurar la obtención de beneficios
EDM03: Asegurar la optimización del riesgo
EDM04: Asegurar la optimización de los recursos
EDM05: Asegurar el compromiso de las partes interesadas
Objetivos de Administración
Dominio
APO - Alinear, Planificar y Organizar
APO01: Administrar el Marco de Administración de TI
APO02: Administrar la estrategia
APO03: Administrar la Arquitectura Empresarial
APO04: Administrar la innovación
APO05: Administrar portafolio
APO06: Administrar el presupuesto y los costos
APO07: Administrar los Recursos Humanos
APO08: Administrar las relaciones
APO09: Administrar los acuerdos de servicios
APO010: Administrar los proveedores
APO011: Administrar la calidad
APO012: Administrar el riesgo
APO013: Administrar la seguridad
APO014: Administrar los datos
www.auditool.org 4
BAI - Construir, Adquirir e Implementar
BAI01: Administrar los programas
BAI02: Administrar la definición de requisitos
BAI03: Administrar la identificación y construcción de soluciones
BAI04: Administrar la disponibilidad y capacidad
BAI05: Administrar el cambio organizativo
BAI06: Administrar los cambios de TI
BAI07: Administrar la aceptación y la transición de los cambios de TI
BAI08: Administrar el conocimiento
BAI09: Administrar los activos
BAI010: Administrar la configuración
BAI011: Administrar los proyectos
DSS - Entregar, Dar servicio y Soporte
DSS01: Administrar las operaciones
DSS02: Administrar las peticiones y los incidentes del servicio
DSS03: Administrar los problemas
DSS04: Administrar la continuidad
DSS05: Administrar los servicios de seguridad
DSS06: Administrar los controles de los procesos del negocio
Supervisar, Evaluar y Valorar – MEA
MEA01: Administrar la supervisión del desempeño y la conformidad
MEA02: Administrar el Sistema de Control Interno
MEA03: Administrar el cumplimiento de los requisitos externos
MEA04: Administrar el aseguramiento
• Estructura de los Objetivos de Gobierno y Administración de COBIT 2019

Cada objetivo de Gobierno y Administración contempla los componentes de gobierno, y
diferentes elementos, según sea el caso, como se presentan a continuación:
ÁREA Modelo Central de

DOMINIO Según sea el caso
PRIORITARIA: COBIT 2019
OBJETIVO Objetivo de Gobierno o Administración
DESCRIPCIÓN Expone lo que hace el proceso y cómo cumple con su propósito.
PROPÓSITO
METAS EMPRESARIALES METAS DE ALINEAMIENTO
Referencia EG Referencia AG
www.auditool.org 5
MÉTRICAS MODELO PARA METAS MÉTRICAS MODELO PARA METAS
EMPRESARIALES EMPRESARIALES
EG Métricas AG Métricas
Luego del encabezado de cada objetivo, se despliega cada uno de los componentes del
Sistema de Gobierno de TI, como se presenta a continuación:
 Procesos
Cada objetivo de gobierno y administración incluye varias prácticas de proceso, cada
proceso incluye una o más actividades. Para medir el logro de la práctica y su contribución
al alcance del objetivo se definen unas métricas. Para cada práctica, se asigna un Nivel
de Capacidad, para lo cual COBIT 2019 retoma el Modelo de Madurez de la Capacidad –
(CMMI, siglas en inglés), que se basa en un esquema de capacidad de los procesos que
va de 0 a 5, según la medida en la que un proceso se ha implementado y funciona
adecuadamente. La documentación relacionada hace referencia a estándares, marcos,
requisitos de cumplimiento relevantes para el proceso.
En el complemento 4 podemos encontrar el listado de todos los estándares, marcos o

normas con los que se relaciona cada objetivo de gobierno y administración de TI en COBIT
2019.
COMPONENTE: PROCESO
PRÁCTICA MÉTRICA MODELO
ACTIVIDADES NIVEL DE CAPACIDAD

Modelo de Madurez de la Capacidad –
CMMI
0–1–2–3–4–5
DOCUMENTACIÓN RELACIONADA REFERENCIA ESPECÍFICA
Estándares, marcos, requisitos de
cumplimiento
Gráfico 1. Estructura del componente
 Estructuras Organizativas
Presenta los niveles de responsabilidad y rendición de cuentas para las prácticas de los
procesos. En el Complemento 2 encontramos la matriz RACI con las estructuras
organizativas y roles sugeridos por COBIT 2019.
www.auditool.org 6
COMPONENTE: ESTRUCTURAS ORGANIZATIVAS
ESTRUCTURA ESTRUCTURA
PRÁCTICA
ORGANIZATIVA 1 ORGANIZATIVA 2

cumplimiento
 Información
Cada práctica incluye entradas y salidas con indicadores de origen y destino. Las salidas
de información, por lo general, tienen como destino otros procesos de COBIT, que a su vez
se convierten en entradas para dichos procesos.
COMPONENTE: FLUJOS Y ELEMENTOS DE INFORMACIÓN

ENTRADAS SALIDAS
PRÁCTICA
DE DESCRIPCIÓN DESCRIPCIÓN A

cumplimiento
 Personas, habilidades y competencias

Identifica los recursos humanos y las habilidades requeridas para alcanzar el objetivo de
gobierno o administración. COBIT 2019 se basa en los siguientes marcos del Instituto de
Auditores Internos:
✓ Skills Framework for the Information Age – SFIA-v6 - (Marco de habilidades para
la era de la información – SFIA-V6-9.
✓ e-Competence Framework for ICT professionals in all industry sectors – Part
1 (e-CF) -
✓ Framework and core principles for the professional practice of Internal
Auditing - (Marco y principios básicos para la práctica profesional de auditoría
interna)
www.auditool.org 7
COMPONENTE: PERSONAS, HABILIDADES Y COMPETENCIAS
HABILIDAD DOCUMENTACIÓN RELACIONADA REF. ESPECÍFICA
SFIA 2015 Código SFIA
 Principios, Políticas y Marcos

Presenta una guía detallada de las políticas y procedimientos relevantes para el objetivo de
gobierno o administración, junto a las referencias relevantes.
COMPONENTE: POLÍTICAS Y PROCEDIMIENTOS

POLÍTICA DOCUMENTACIÓN REFERENCIA
DESCRIPCIÓN
RELEVANTE RELACIONADA ESPECÍFICA
 Cultura, ética y comportamiento

Presenta una guía detallada de los elementos culturales deseados dentro de la empresa
que respaldan la consecución del objetivo de gobierno o administración.
COMPONENTE: CULTURA, ÉTICA Y COMPORTAMIENTO

DOCUMENTACIÓN REFERENCIA
ELEMENTOS CULTURALES CLAVE
RELACIONADA ESPECÍFICA
 Servicios, infraestructura y aplicaciones

Presenta una guía detallada de los servicios, tipos de infraestructura y categorías de
aplicaciones de terceros que puedan utilizarse para respaldar la consecución del objetivo
de gobierno o administración.
COMPONENTE: SERVICIOS, INFRAESTRUCTURA Y APLICACIONES

CATEGORÍA DE SERVICIOS, INFRAESTRUCTURA O APLICACIONES
www.auditool.org 8
• Objetivos de Gobierno de TI
A continuación, se presentan cada uno de los objetivos de Gobierno de TI con su dominio,

descripción, propósito, metas empresariales, metas de alineamiento y prácticas, como una
visión general de cada objetivo. En el documento publicado por ISACA, COBIT 2019 Marco
de referencia. Objetivos de gobierno y administración, se encuentra cada uno de los
objetivos con toda su información y actividades de cada práctica.
Dominio EDM: Evaluar – Orientar - Supervisar
EDM01: Asegurar el establecimiento y mantenimiento del Marco de Gobierno de TI
EDM02: Asegurar la entrega de beneficios
EDM03: Asegurar la optimización del riesgo
EDM04: Asegurar la optimización de los recursos
EDM05: Asegurar el compromiso de las partes interesadas

DOMINIO EDM
EDM01: Asegurar el establecimiento y mantenimiento del Marco de
OBJETIVO
Gobierno de TI.
Dentro del Marco de Gobierno de TI es necesario analizar y articular
los requerimientos para el Gobierno de TI, y establecer y mantener
DESCRIPCIÓN componentes de gobierno claros en relación con las
responsabilidades y autoridad para alcanzar la misión, metas y
objetivos de la empresa.
Proporcionar un enfoque consistente, integrado y alineado con el
gobierno de la empresa, con el fin de asegurar que las decisiones
PROPÓSITO relacionadas a TI sean tomadas de acuerdo con las estrategias y
objetivos de la empresa. Para esto es necesario supervisar los
procesos de TI de manera efectiva y transparente, cumplir con los
www.auditool.org 9
requerimientos legales y regulatorios, y con los requisitos de gobierno
para los miembros de la Junta Directiva.
EG03 – EG08 – EG12 AG01 – AG03
COMPONENTE: PROCESO
PRÁCTICA DE GOBIERNO
✓ EDM01.01 Evaluar el Sistema de Gobierno de TI
✓ EDM01.02 Orientar el Sistema de Gobierno de TI
✓ EDM01.03 Supervisar el Sistema de Gobierno de TI

DOMINIO EDM
OBJETIVO EDM02: Asegurar la entrega de beneficios.
Optimizar la contribución de valor al negocio de las inversiones en los
DESCRIPCIÓN
procesos, los servicios y activos de TI.
Asegurar un valor óptimo desde las iniciativas, servicios y activos
habilitados para TI; la entrega rentable de soluciones y servicios; y
PROPÓSITO una imagen fiable y exacta de los costos y probables beneficios para
que las necesidades del negocio sean soportadas efectiva y
eficientemente.
EG08 – EG12 AG03
COMPONENTE: PROCESO
PRÁCTICA
✓ EDM02.01 Establecer el objetivo de la mezcla de inversión
✓ EDM02.02 Evaluar la optimización del valor
✓ EDM02.03 Orientar la optimización del valor
✓ EDM02.04 Supervisar la optimización de valor

DOMINIO EDM
OBJETIVO EDM03: Asegurar la optimización del riesgo.
Asegurar que el apetito y la tolerancia al riesgo de la empresa sean
entendidos, articulados y comunicados, y que el riesgo para el valor
DESCRIPCIÓN
de la empresa relacionado con el uso de las TI sea identificado y
gestionado.
www.auditool.org 10
Asegurar que los riesgos relacionados con la TI de la empresa no
excedan ni el apetito ni la toleración al riesgo, que el impacto de los
PROPÓSITO
riesgos de TI en el valor de la empresa sea identificado y gestionado,
y que el potencial de fallas en el cumplimiento se reduzca al mínimo.
EG02 – EG06 AG02 – AG07
COMPONENTE: PROCESO
✓ EDM03.01 Evaluar la gestión de riesgos
✓ EDM03.02 Orientar la gestión de riesgos
✓ EDM03.03 Supervisar la gestión de riesgos

DOMINIO EDM
OBJETIVO EDM04: Asegurar la optimización de los recursos.
Asegurar que se dispone de recursos adecuados y suficientes
relacionados con TI (personas, procesos y tecnologías) y con el
DESCRIPCIÓN
negocio para soportar eficazmente los objetivos de la empresa a un
costo óptimo.
Asegurar que las necesidades de recursos de la empresa sean
cubiertas de un modo óptimo, que el costo de TI sea optimizado y que
PROPÓSITO
con ello se incremente la probabilidad de la obtención de beneficios y
la preparación para cambios futuros.
EG01 – EG08 – EG12 AG09
COMPONENTE: PROCESO
✓ EDM04.01 Evaluar la gestión de recursos
✓ EDM04.02 Orientar la gestión de recursos
✓ EDM04.03 Supervisar la gestión de recursos

DOMINIO EDM
OBJETIVO EDM05: Asegurar el compromiso de las partes interesadas.
www.auditool.org 11
Asegurar que la medición y la elaboración de informes en cuanto a
conformidad y desempeño de TI de la empresa sean transparentes
DESCRIPCIÓN
con aprobación por parte de las partes interesadas de las metas, las
métricas y las acciones correctivas necesarias.
Asegurar que las partes interesadas apoyen la estrategia y la hoja de
ruta de TI, que la comunicación con las partes interesadas sea eficaz
y oportuna, y que se establezcan las bases para los informes con el
PROPÓSITO
fin de aumentar el rendimiento. Identificar las áreas de mejora y
confirmar que los objetivos y estrategias relacionados con TI se
ajusten a la estrategia de la empresa.
EG04 – EG07 AG010
COMPONENTE: PROCESO
✓ EDM05.01 Evaluar los requisitos de elaboración de informes de las partes
interesadas
✓ EDM05.02 Orientar la comunicación con las partes interesadas y la elaboración de
informes
✓ EDM05.03 Supervisar la comunicación con las partes interesadas
www.auditool.org 12
• Objetivos de Administración de TI
A continuación, se presentan cada uno de los objetivos de administración de TI con su

dominio, descripción, propósito, metas empresariales, metas de alineamiento y prácticas,
como una visión general de cada objetivo. En el documento publicado por ISACA, COBIT
2019 Marco de referencia. Objetivos de gobierno y administración, se encuentra cada uno
de los objetivos con toda su información y actividades de cada práctica.
Dominio APO: Alinear – Planificar - Organizar
APO01: Administrar el
APO05: Administrar el APO09: Administrar los
Marco de
portafolio acuerdos de servicio
Administración de TI
APO02: Administrar la APO06: Administrar el APO10: Administrar los

estrategia presupuesto y los costos proveedores
APO03: Administrar la
APO07: Administrar los APO11: Administrar la APO13: Administrar la
Arquitectura
recursos humanos calidad seguridad
Empresarial
APO04: Administrar la APO08: Administrar las APO12: Administrar el APO14: Administrar los
innovación relaciones riesgo datos

DOMINIO APO
OBJETIVO APO01: Administrar el Marco de Administración de TI
Diseñar el sistema de gestión para la TI de la empresa basándose en
las metas empresariales y otros factores de diseño. De acuerdo con
DESCRIPCIÓN
este diseño, implementar todos los componentes necesarios del
Sistema de Administración.
Proporcionar un enfoque de gestión consistente que permita cumplir
PROPÓSITO
los requisitos de Gobierno Corporativo e incluya procesos de gestión,
www.auditool.org 13
los componentes, estructuras, roles y responsabilidades
organizativas, actividades fiables y reproducibles, y habilidades y
competencias.
EG03 – EG08 – EG11 - EG12 AG03 – AG11
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO01.01 Diseñar el sistema de administración de TI de la empresa
✓ APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas
✓ APO01.03 Gestionar la implementación de procesos
✓ APO01.04 Definir e implementar las estructuras organizativas
✓ APO01.05 Establecer roles y responsabilidades
✓ APO01.06 Optimizar la ubicación de la función de TI
✓ APO01.07 Definir la propiedad de la información y del sistema de información
✓ APO01.08 Definir las habilidades y competencias objetivo
✓ APO01.09 Definir y comunicar políticas y procedimientos
✓ APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones para
respaldar el sistema de gobierno y administración
✓ APO01.11 Gestionar la mejora continua del sistema de administración de TI

DOMINIO APO
OBJETIVO APO02: Administrar la estrategia
Proporcionar una visión holística del negocio actual y del entorno de
TI, la dirección futura y las iniciativas necesarias para migrar al
entorno deseado. Garantizar que el nivel de digitalización deseado
sea integral en la dirección y la estrategia de TI. Evaluar la madurez
digital actual de la empresa y desarrollar una hoja de ruta para
DESCRIPCIÓN
implementar las mejoras. Aprovechar los bloques y componentes de
la estructura empresarial, los componentes del sistema de gobierno
de TI, incluyendo los servicios externalizados y las capacidades
relacionadas que permitan una respuesta ágil, confiable y eficiente a
los objetivos estratégicos.
PROPÓSITO • Apoyar la estrategia de transformación digital de la empresa.
www.auditool.org 14
• Usar un enfoque holístico en cuanto a TI, asegurando que
cada iniciativa esté claramente conectada con una estrategia
global.
• Alinear los planes estratégicos de TI con los objetivos del
negocio.
• Habilitar el cambio en todos los diversos aspectos de la
organización, desde los canales y procesos a los datos,
cultura, habilidades, modelo operativo e incentivos.
EG01 – EG05 - EG08 – EG12 AG08
COMPONENTE: PROCESO
✓ APO02.01 Comprender el contexto y la dirección de la empresa
✓ APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la
empresa
✓ APO02.03 Definir las capacidades digitales objetivo
✓ APO02.04 Realizar un análisis de diferencias
✓ APO02.05 Definir el plan estratégico y la hoja de ruta
✓ APO02.06 Comunicar la estrategia y la dirección de TI

DOMINIO APO
OBJETIVO APO03: Administrar la Arquitectura Empresarial
Establecer una arquitectura común compuesta por los procesos de
negocio, la información, los datos, las aplicaciones y las capas de la
arquitectura tecnológica.
Crear modelos y prácticas clave que describan las líneas de partida y
las arquitecturas objetivo.
Definir los requisitos para la taxonomía, las normas, las directrices,
DESCRIPCIÓN los procedimientos, las plantillas y las herramientas, y proporcionar un
vínculo para estos componentes.
Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la
información y
Generar ahorros de costos potenciales mediante iniciativas tales
como la reutilización de bloques de componentes para los procesos
de construcción.
www.auditool.org 15
Representar a los diferentes módulos que componen la empresa y
sus interrelaciones, así como los principios rectores de su diseño y
PROPÓSITO
evolución en el tiempo, permitiendo una entrega estándar, sensible y
eficiente de los objetivos operativos y estratégicos.
EG01 – EG05 - EG08 – EG12 AG06 – AG08
COMPONENTE: PROCESO
✓ APO03.01 Desarrollar la visión de la arquitectura de la empresa
✓ APO03.02 Definir la arquitectura de referencia
✓ APO03.03 Seleccionar las oportunidades y las soluciones
✓ APO03.04 Definir la implementación de la arquitectura
✓ APO03.05 Proveer los servicios de arquitectura empresarial

DOMINIO APO
OBJETIVO APO04: Administrar la innovación
Mantener un conocimiento de la tecnología de la información y las
tendencias relacionadas con el servicio, identificar las oportunidades y
planificar la manera de beneficiarse de la innovación en relación con
las necesidades del negocio.
Analizar cuáles son las oportunidades para la innovación empresarial
DESCRIPCIÓN o qué mejora puede crearse con las nuevas tecnologías, servicios o
innovaciones empresariales facilitadas por la TI, así como a través de
las tecnologías ya existentes, y por la innovación en procesos
empresariales y de TI.
Influir en la planificación estratégica y en las decisiones de la
arquitectura de la empresa.
Lograr ventaja competitiva, innovación empresarial, una mejor
experiencia del cliente, y eficacia y eficiencia operativa mejorada
PROPÓSITO
mediante el aprovechamiento de los desarrollos tecnológicos y
tecnologías emergentes.
EG01 – EG13 AG06 – AG13
COMPONENTE: PROCESO
www.auditool.org 16
✓ APO04.01 Crear un entorno favorable para la innovación
✓ APO04.02 Mantener un entendimiento del entorno de la empresa
✓ APO04.03 Supervisar y explorar el entorno tecnológico
✓ APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas
innovadoras
✓ APO04.05 Recomendar iniciativas apropiadas adicionales
✓ APO04.06 Supervisar la implementación y el uso de la innovación

DOMINIO APO
OBJETIVO APO05: Administrar el portafolio
Ejecutar el conjunto de direcciones estratégicas para la inversión
alineada con la visión de la arquitectura empresarial, las
DESCRIPCIÓN características deseadas de inversión, los portafolios de servicios
relacionados, las diferentes categorías de inversión y recursos, y las
restricciones de financiación.
Optimizar el rendimiento del portafolio global en respuesta al
PROPÓSITO rendimiento de programas y servicios, y a las cambiantes prioridades
y demandas corporativas.
EG01 – EG08 – EG12 AG03 – AG05
COMPONENTE: PROCESO
✓ APO05.01 Determinar la disponibilidad y fuente de fondos
✓ APO05.02 Evaluar y seleccionar los programas a financiar
✓ APO05.03 Supervisar, optimizar e informar sobre el rendimiento del portafolio de
inversiones
✓ APO05.04 Mantener los portafolios
✓ APO05.05 Gestionar la consecución de beneficios

DOMINIO APO
OBJETIVO APO06: Administrar el presupuesto y los costos
Gestionar las actividades financieras relacionadas con las TI tanto en
DESCRIPCIÓN
el negocio como en las funciones de TI, abarcando presupuesto,
www.auditool.org 17
costo y gestión del beneficio; y la priorización del gasto mediante el
uso de prácticas presupuestarias formales; y un sistema justo y
equitativo de reparto de costos a la empresa.
Fomentar la colaboración entre TI y las partes interesadas de la
empresa para catalizar el uso eficaz y eficiente de los recursos
relacionados con las TI; brindar transparencia y responsabilidad sobre
PROPÓSITO
el costo y valor de negocio de soluciones y servicios; permitir a la
empresa tomar decisiones informadas con respecto a la utilización de
soluciones y servicios de TI.
EG01 – EG04 - EG07 - EG08 – EG09 - AG04 – AG09
EG12
COMPONENTE: PROCESO
✓ APO06.01 Gestionar las finanzas y la contabilidad
✓ APO06.02 Priorizar la asignación de recursos
✓ APO06.03 Crear y mantener presupuestos
✓ APO06.04 Modelar y asignar costos
✓ APO06.05 Gestionar costos

DOMINIO APO
OBJETIVO APO07: Administrar los Recursos Humanos
Proporcionar un enfoque estructurado para garantizar una óptima
DESCRIPCIÓN contratación, planificación, evaluación y desarrollo de los Recursos
Humanos.
Optimizar las capacidades de Recursos Humanos para cumplir los
PROPÓSITO
objetivos de la empresa.
EG01 – EG10 – EG13 AG12 – AG13
COMPONENTE: PROCESO
✓ APO07.01 Mantener la dotación de personal suficiente y adecuada
✓ APO07.02 Identificar personal clave de TI
✓ APO07.03 Mantener las habilidades y competencias del personal
✓ APO07.04 Evaluar y reconocer el desempeño laboral de los empleados
www.auditool.org 18
✓ APO07.05 Planificar y realizar un seguimiento del uso de recursos humanos de TI y
del negocio
✓ APO07.06 Gestionar el personal contratado

DOMINIO APO
OBJETIVO APO08: Administrar las relaciones
Gestionar las relaciones con las partes interesadas de una manera
formal y transparente que asegure una confianza mutua y el logro de
las metas estratégicas, dentro de las limitaciones de los presupuestos
DESCRIPCIÓN
y la tolerancia al riesgo. Basar la relación en la confianza mutua,
usando términos entendibles, lenguaje común y voluntad de asumir la
propiedad y responsabilidad en las decisiones claves.
Facilitar el conocimiento, habilidades y comportamientos correctos
PROPÓSITO para crear mejores resultados, mayor confianza en la tecnología y
conseguir el uso efectivo de los recursos.
EG01 – EG08 – EG10 - EG13 AG05 – AG06 – AG12 – AG13
COMPONENTE: PROCESO
✓ APO08.01 Entender las expectativas del negocio
✓ APO08.02 Alinear la estrategia de TI con las expectativas empresariales e identificar
oportunidades, riesgos y limitaciones de TI para mejorar el negocio
✓ APO08.03 Gestionar las relaciones con el negocio
✓ APO08.04 Coordinar y comunicar
✓ APO08.05 Proveer datos e información para la mejora continua de los servicios

DOMINIO APO
OBJETIVO APO09: Administrar los acuerdos de servicios
Alinear los servicios basados en TI, y los niveles de servicio con las
necesidades y expectativas de la empresa, incluyendo identificación,
DESCRIPCIÓN
especificación, diseño, publicación, acuerdo y supervisión de los
servicios de TI e indicadores de rendimiento.
Asegurar que los productos, servicios y los niveles de servicio de TI
PROPÓSITO
cubran las necesidades presentes y futuras de la empresa.
www.auditool.org 19
EG0 – EG08 AG05
COMPONENTE: PROCESO
✓ APO09.01 Identificar servicios de TI
✓ APO09.02 Catalogar servicios habilitados por TI
✓ APO09.03 Definir y preparar acuerdos de servicio
✓ APO09.04 Supervisar e informar sobre los niveles de servicio
✓ APO09.05 Revisar acuerdos y contratos de servicio

DOMINIO APO
OBJETIVO APO10: Administrar los proveedores
Administrar todos los productos y servicios de TI prestados por todo
tipo de proveedores para satisfacer las necesidades del negocio,
DESCRIPCIÓN incluyendo la selección de los proveedores, la gestión de las
relaciones, la gestión de los contratos, y la revisión y supervisión del
desempeño para una eficacia y cumplimiento adecuados.
Minimizar el riesgo de proveedores que no rindan, y asegurar precios
PROPÓSITO competitivos. Optimizar las capacidades de TI disponibles para
apoyar la estrategia y la hoja de ruta de TI.
EG01 – EG08 AG05
COMPONENTE: PROCESO
✓ APO10.01 Identificar y evaluar las relaciones y contratos con proveedores
✓ APO10.02 Seleccionar proveedores
✓ APO10.03 Gestionar contratos y relaciones con proveedores
✓ APO10.04 Gestionar los riesgos de los proveedores
✓ APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor

DOMINIO APO
OBJETIVO APO011: Administrar la calidad
Definir y comunicar los requisitos de calidad en todos los procesos,
DESCRIPCIÓN
procedimientos y resultados relacionados de la organización,
www.auditool.org 20
incluyendo controles, vigilancia constante y el uso de prácticas
probadas, y estándares de mejora continua y esfuerzos de eficiencia.
Asegurar la entrega consistente de soluciones y servicios que
PROPÓSITO cumplan con los requisitos de la organización y que satisfagan las
necesidades de las partes interesadas.
EG01 – EG04 – EG07 - EG08 – EG12 AG09 – AG10
COMPONENTE: PROCESO
✓ APO11.01 Establecer un Sistema de Gestión de Calidad – SGC
✓ APO11.02 Enfocar la gestión de la calidad en los clientes
✓ APO11.03 Definir y gestionar los estándares, prácticas y procedimientos de calidad,
e integrar la gestión de la calidad en los procesos y soluciones clave
✓ APO11.04 Supervisar y hacer controles y revisiones de calidad
✓ APO11.05 Mantener una mejora continua

DOMINIO APO
OBJETIVO APO12: Administrar el Riesgo
Identificar, evaluar y reducir los riesgos relacionados con TI de forma
DESCRIPCIÓN continua, dentro de niveles de tolerancia establecidos por la dirección
ejecutiva de la empresa.
Integrar la gestión de riesgos empresariales relacionados con TI con
PROPÓSITO la gestión de riesgos empresarial (ERM) y equilibrar los costos y
beneficios de gestionar riesgos empresariales relacionados con TI.
EG02 – EG06 AG02 – AG0
COMPONENTE: PROCESO
✓ APO12.01 Recopilar datos
✓ APO12.02 Analizar el riesgo
✓ APO12.03 Mantener un perfil de riesgo
✓ APO12.04 Articular el riesgo
✓ APO12.05 Definir un portafolio de acciones para la gestión de riesgos
✓ APO12.06 Responder al riesgo
www.auditool.org 21
DOMINIO APO
OBJETIVO APO13: Administrar la seguridad
Definir, operar y supervisar un Sistema para la Gestión de la
DESCRIPCIÓN
Seguridad de la Información – SGSI.
Mantener el impacto y la ocurrencia de los incidentes de la seguridad
PROPÓSITO de la información dentro de los niveles de apetito de riesgo de la
empresa.
EG02– EG06 AG07
COMPONENTE: PROCESO
✓ APO13.01 Establecer y mantener un SGSI
✓ APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la
información
✓ APO13.03 Supervisar y revisar el SGSI

DOMINIO APO
OBJETIVO APO14: Administrar los datos
Lograr y mantener la gestión eficaz de los activos de datos de la
DESCRIPCIÓN empresa durante todo su ciclo de vida, desde la creación hasta su
entrega, mantenimiento y archivo.
Garantizar el uso eficaz de activos de datos críticos para lograr las
PROPÓSITO
metas y objetivos empresariales.
EG04 – EG07 AG10
COMPONENTE: PROCESO
✓ APO14.01 Definir y comunicar la estrategia, y los roles y responsabilidades de la
gestión de datos de la organización
✓ APO14.02 Definir y mantener un glosario empresarial consistente
✓ APO14.03 Establecer los procesos y la infraestructura para la gestión de
metadatos
✓ APO14.04 Definir una estrategia de calidad de los datos
✓ APO14.05 Establecer las metodologías, procesos y herramientas para la
creación de perfiles de datos
www.auditool.org 22
✓ APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos
✓ APO14.07 Definir la estrategia de depuración de datos
✓ APO14.08 Gestionar el ciclo de vida de los activos de datos
✓ APO14.09 Soportar el archivo y retención de datos
✓ APO14.10 Gestionar los acuerdos de toma de copias de seguridad y
restauración de datos
Dominio BAI: Construir – Adquirir - Implementar
BAI01 - Administrar los programas

BAI02 - Administrar la definición de requisitos
BAI03 - Administrar la identificación y construcción de soluciones
BAI04 - Administrar la disponibilidad y capacidad
BAI05 - Administrar la introduccion de cambios organizativos
BAI06 - Administrar los cambios de TI
BAI07 - Administrar la aceptación y transición de los cambios de TI
BAI08 - Administrar el conocimiento
BAI09 - Administrar los activos
BAI10 - Administrar la configuración
BAI11 - Administrar los proyectos

DOMINIO BAI
OBJETIVO BAI01: Administrar los programas
Gestionar todos los programas del portafolio de inversiones de forma
coordinada y en línea con la estrategia corporativa. Iniciar, planificar,
DESCRIPCIÓN
controlar y ejecutar programas, y supervisar el valor esperado del
mismo.
Alcanzar los beneficios de negocio, reducir el riesgo de retrasos,
costos inesperados, y el deterioro del valor. Esto mediante la mejora
de las comunicaciones, teniendo en cuenta a los usuarios finales y de
PROPÓSITO
negocio, asegurando el valor y la calidad de los entregables del
proyecto y maximizando su contribución al portafolio de servicios e
inversiones.
www.auditool.org 23
EG01 – EG08 – EG12 AG03 - AG09
COMPONENTE: PROCESO
✓ BAI01.01 Mantener un enfoque estándar para la gestión de programas
✓ BAI01.02 Iniciar un programa
✓ BAI01.03 Gestionar el compromiso de las partes interesadas
✓ BAI01.04 Desarrollar y mantener el plan de programa
✓ BAI01.05 Lanzar y ejecutar el programa
✓ BAI01.06 Supervisar, controlar e informar los resultados del programa
✓ BAI01.07 Gestionar la calidad de los programas
✓ BAI01.08 Gestionar el riesgo de los programas
✓ BAI01.09 Cerrar un programa

DOMINIO BAI
OBJETIVO BAI02: Administrar la definición de requisitos
Identificar soluciones y analizar requerimientos antes de la
adquisición o creación para asegurar que estén en línea con los
requerimientos estratégicos de la organización y que cubren los
procesos de negocio, aplicaciones, información, datos, infraestructura
DESCRIPCIÓN
y servicios. Coordinar con las partes interesadas afectadas la revisión
de las opciones viables, incluyendo costos y beneficios relacionados,
análisis de riesgo, aprobación de los requerimientos y soluciones
propuestas.
Crear soluciones viables y óptimas que cumplan con las necesidades
PROPÓSITO
de la organización mientras minimizan el riesgo.
EG01 – EG08 – EG12 AG05 – AG06 – AG09
COMPONENTE: PROCESO
✓ BAI02.01 Definir y mantener los requerimientos técnicos y funcionales de
negocio
✓ BAI02.02 Realizar un estudio de factibilidad y proponer soluciones alternativas
✓ BAI02.03 Gestionar los riesgos de los requerimientos
✓ BAI02.04 Obtener la aprobación de los requerimientos y soluciones
www.auditool.org 24
DOMINIO BAI
OBJETIVO BAI03: Administrar la identificación y construcción de soluciones
Establecer y mantener soluciones identificadas en línea con los
requerimientos de la empresa que abarcan el diseño, desarrollo,
compras, contratación y asociación con proveedores y fabricantes.
DESCRIPCIÓN
Gestionar la configuración, preparación y realización de pruebas,
gestión de requerimientos y mantenimiento de procesos de negocio,
aplicaciones, datos, información, infraestructura y servicios.
Garantizar una prestación ágil y escalable de productos y servicios
PROPÓSITO digitales. Establecer soluciones puntuales y rentables capaces de
soportar la estrategia de negocio y objetivos operacionales.
EG01 – EG08 – EG12 AG05 – AG06 – AG09
COMPONENTE: PROCESO
✓ BAI03.01 Diseñar soluciones de alto nivel
✓ BAI03.02 Diseñar los componentes detallados de la solución
✓ BAI03.03 Desarrollar los componentes de la solución
✓ BAI03.04 Obtener los componentes de la solución
✓ BAI03.05 Construir soluciones
✓ BAI03.06 Realizar el aseguramiento de la calidad - QA
✓ BAI03.07 Preparar pruebas de la solución
✓ BAI03.08 Ejecutar pruebas de la solución
✓ BAI03.09 Gestionar cambios a los requerimientos
✓ BAI03.10 Mantener las soluciones
✓ BAI03.11 Definir los productos y servicios de TI, y mantener el catálogo de
servicios
✓ BAI03.12 Diseñar soluciones conforme a la metodología de desarrollo definida

DOMINIO BAI
OBJETIVO BAI04: Administrar la disponibilidad y capacidad
Equilibrar las necesidades actuales y futuras de disponibilidad,
DESCRIPCIÓN
rendimiento y capacidad con la prestación de servicios rentables.
www.auditool.org 25
Incluye la evaluación de las capacidades actuales, la previsión de
necesidades futuras basadas en los requerimientos del negocio, el
análisis del impacto en el negocio y la evaluación del riesgo para
planificar e implementar acciones que permitan alcanzar los
requerimientos identificados.
Mantener la disponibilidad del servicio, la gestión eficiente de
recursos y la optimización del rendimiento de los sistemas mediante
PROPÓSITO
la predicción del rendimiento futuro y de los requerimientos de
capacidad.
EG01 – EG08 AG05
COMPONENTE: PROCESO
✓ BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual, y crear una
línea de referencia
✓ BAI04.02 Evaluar el impacto en el negocio
✓ BAI04.03 Planificar requisitos de servicio nuevos o modificados
✓ BAI04.04 Supervisar y revisar la disponibilidad y la capacidad
✓ BAI04.05 Investigar y abordar problemas de disponibilidad, rendimiento y
capacidad

DOMINIO BAI
OBJETIVO BAI05: Administrar los cambios organizativos
Maximizar la probabilidad de la implementación exitosa en toda la
empresa del cambio organizativo de forma rápida y con riesgo
DESCRIPCIÓN
reducido, cubriendo completamente el ciclo de vida del cambio y
todas las partes interesadas del negocio y de TI.
Preparar y comprometer a las partes interesadas en el cambio del
PROPÓSITO
negocio y reducir el riesgo de fracaso.
EG01 – EG05 - EG08 – EG12 AG03 – AG08 – AG09
COMPONENTE: PROCESO
✓ BAI05.01 Establecer el deseo de cambiar
✓ BAI05.02 Formar un equipo de implementación efectivo
www.auditool.org 26
✓ BAI05.03 Comunicar la visión deseada
✓ BAI05.04 Facultar a los que juegan algún papel e identificar ganancias en el
corto plazo
✓ BAI05.05 Facilitar la operación y el uso
✓ BAI05.06 Integrar nuevos enfoques
✓ BAI05.07 Mantener los cambios

DOMINIO BAI
OBJETIVO BAI06: Administrar los cambios de TI
Gestionar todos los cambios de una forma controlada, incluyendo
cambios estándar y de mantenimiento de emergencia en relación con
los procesos de negocio, aplicaciones e infraestructura.
DESCRIPCIÓN
Esto incluye estándares y procedimientos de cambio, análisis de
impacto, priorización y autorización, cambios de emergencia,
seguimiento, reporte, cierre y documentación.
Posibilitar una entrega de los cambios rápida y fiable para el negocio,
PROPÓSITO a la vez que se mitiga cualquier riesgo que impacte negativamente en
la estabilidad e integridad del entorno en donde se aplica el cambio.
EG01 AG06
COMPONENTE: PROCESO
✓ BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio
✓ BAI06.02 Gestionar cambios de emergencia
✓ BAI06.03 Hacer seguimiento e informar de cambios de estado
✓ BAI06.04 Cerrar y documentar los cambios

DOMINIO BAI
OBJETIVO BAI07: Administrar la aceptación y la transición de los cambios de TI
Aceptar formalmente y hacer operativas las nuevas soluciones,
incluyendo la planificación de la implementación, la conversión de los
DESCRIPCIÓN
datos y los sistemas, las pruebas de aceptación, la comunicación, la
preparación del lanzamiento, el paso a producción de procesos de
www.auditool.org 27
negocio o servicios de TI nuevos o modificados, el soporte temprano
en producción y una revisión post-implementación.
Implementar soluciones de forma segura en línea con las
PROPÓSITO
expectativas y resultados acordados.
EG01 AG06
COMPONENTE: PROCESO
✓ BAI07.01 Establecer un plan de implementación
✓ BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos
✓ BAI07.03 Planificar pruebas de aceptación
✓ BAI07.04 Establecer un entorno de pruebas
✓ BAI07.05 Ejecutar pruebas de aceptación
✓ BAI07.06 Pasar a producción y gestionar los lanzamientos
✓ BAI07.07 Proporcionar soporte en producción oportunamente
✓ BAI07.08 Ejecutar una revisión post-implementación

DOMINIO BAI
OBJETIVO BAI08: Administrar el conocimiento
Mantener la disponibilidad de conocimiento relevante, actual, validado
y fiable para dar soporte a todas las actividades de los procesos y
DESCRIPCIÓN
facilitar la toma de decisiones. Planificar la identificación, recopilación,
organización, mantenimiento, uso y retirada de conocimiento.
Proporcionar el conocimiento necesario para dar soporte a todo el
PROPÓSITO personal en el gobierno y la administración de TI de la empresa, para
facilitar la toma de decisiones bien fundamentadas.
EG01 – EG10 - EG13 AG12 - AG13
COMPONENTE: PROCESO
✓ BAI08.01 Identificar y clasificar las fuentes de información
✓ BAI08.02 Organizar y contextualizar la información en conocimiento
✓ BAI08.03 Utilizar y compartir el conocimiento
✓ BAI08.04 Evaluar y actualizar o retirar la información
www.auditool.org 28
DOMINIO BAI
OBJETIVO BAI09: Administrar los activos
Gestionar los activos de TI a través de su ciclo de vida para asegurar
que su uso aporta valor a un costo óptimo, que se mantienen en
funcionamiento (acorde a los objetivos), que están justificados y
DESCRIPCIÓN protegidos físicamente.
Administrar las licencias de software para asegurar que se adquiere el
número óptimo, se mantienen y despliegan en relación con el uso
necesario para el negocio.
Contabilización de todos los activos de TI y optimización del valor
PROPÓSITO
proporcionado por estos activos.
EG04 – EG07 - EG09 AG04
COMPONENTE: PROCESO
✓ BAI09.01 Identificar y registrar activos actuales
✓ BAI09.02 Gestionar activos críticos
✓ BAI09.03 Gestionar el ciclo de vida de los activos
✓ BAI09.04 Optimizar el costo de los activos
✓ BAI09.05 Administrar licencias

DOMINIO BAI
OBJETIVO BAI10: Administrar la configuración
Definir y mantener las definiciones y relaciones entre los principales
recursos y capacidades necesarias para la prestación de los servicios
proporcionados por TI, incluyendo la recopilación de información de
DESCRIPCIÓN
configuración, el establecimiento de líneas de referencia, la
verificación y auditoría de la información de configuración, y la
actualización del repositorio de configuración.
Proporcionar suficiente información sobre los activos del servicio para
PROPÓSITO que este sea gestionado con eficacia, se pueda evaluar el impacto de
los cambios y hacer frente a los incidentes del servicio.
EG02 – EG06 AG07
www.auditool.org 29
COMPONENTE: PROCESO
✓ BAI10.01 Establecer y mantener un modelo de configuración
✓ BAI10.02 Establecer y mantener un repositorio de configuración y una línea de
referencia
✓ BAI10.03 Mantener y controlar los elementos de configuración
✓ BAI10.04 Generar informes de estado y configuración
✓ BAI10.05 Verificar y revisar la integridad del repositorio de configuración

DOMINIO BAI
OBJETIVO BAI11: Administrar los proyectos
Gestionar todos los proyectos de la empresa de acuerdo con una
estrategia de gestión de proyectos estándar. Iniciar, planificar,
DESCRIPCIÓN
controlar y ejecutar proyectos, y concluir con una revisión post-
implementación.
Lograr los resultados definidos en el proyecto y reducir el riesgo de
retrasos inesperados, costes y erosión del valor mediante la mejora
de las comunicaciones y la participación del negocio y de los usuarios
PROPÓSITO
finales. Garantizar el valor y la calidad de los entregables del
proyecto, y maximizar su contribución a los programas definidos y al
portafolio de inversiones.
EG01 – EG08 – EG12 AG03 – AG06 – AG09
COMPONENTE: PROCESO
✓ BAI11.01 Mantener un enfoque estándar en la gestión de proyectos.
✓ BAI11.02 Establecer e iniciar un proyecto
✓ BAI11.03 Gestionar la participación de las partes interesadas
✓ BAI11.04 Desarrollar y mantener el plan del proyecto
✓ BAI11.05 Gestionar la calidad del proyecto
✓ BAI11.06 Gestionar el riesgo del proyecto
✓ BAI11.07 Supervisar y controlar los proyectos
✓ BAI11.08 Gestionar los recursos del proyecto y los paquetes de trabajo
✓ BAI11.09 Cerrar un proyecto o iteración
www.auditool.org 30
Dominio DSS: Entregar – Dar servicio y Soporte
DSS02: Administrar
DSS01: Administrar las peticiones y los DSS03: Administrar
las operaciones incidentes de los problemas
servicio
DSS05: Administrar DSS06: Administrar

DSS04: Administrar
los servicios de los controles de los
la continuidad
seguridad procesos de negocio

DOMINIO DSS
OBJETIVO DSS01: Administrar las operaciones
Coordinar y ejecutar las actividades y los procedimientos operativos
requeridos para entregar servicios de TI tanto internos como
DESCRIPCIÓN
externalizados, incluyendo la ejecución de procedimientos operativos
estándar predefinidos y las actividades de monitorización requeridas.
Entregar los resultados del servicio operativo de TI, según lo
PROPÓSITO
planificado.
EG01 – EG08 AG05
COMPONENTE: PROCESO
✓ DSS01.01 Ejecutar procedimientos operativos
✓ DSS01.02 Gestionar servicios externalizados de TI
✓ DSS01.03 Supervisar la infraestructura de TI
✓ DSS01.04 Gestionar el entorno
✓ DSS01.05 Gestionar las instalaciones
www.auditool.org 31
DOMINIO DSS
OBJETIVO DSS02: Administrar las peticiones y los incidentes de servicio
Proveer una respuesta oportuna y efectiva a las peticiones de usuario
y la resolución de todo tipo de incidentes. Recuperar el servicio
DESCRIPCIÓN
normal; registrar y completar las peticiones de usuario; y registrar,
investigar, diagnosticar, escalar y resolver incidentes.
Lograr una mayor productividad y minimizar las interrupciones
mediante la rápida resolución de consultas de usuario e incidentes.
PROPÓSITO
Resolver las solicitudes de los usuarios y restaurar el servicio como
respuesta ante incidentes.
EG01 – EG08 AG05
COMPONENTE: PROCESO
✓ DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de
servicio
✓ DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes
✓ DSS02.03 Verificar, aprobar y resolver peticiones de servicio
✓ DSS02.04 Investigar, diagnosticar y asignar incidentes
✓ DSS02.05 Resolver y recuperarse de incidentes
✓ DSS02.06 Cerrar peticiones de servicio e incidentes
✓ DSS02.07 Seguir el estado y emitir informes

DOMINIO DSS
OBJETIVO DSS03: Administrar los problemas
Identificar y clasificar problemas y sus causas raíz, y proporcionar
DESCRIPCIÓN resolución en tiempo para prevenir incidentes recurrentes.
Proporcionar recomendaciones de mejora.
Incrementar la disponibilidad, mejorar los niveles de servicio, reducir
PROPÓSITO costos, y mejorar la comodidad y satisfacción del cliente reduciendo el
número de problemas operativos.
EG01 – EG08 AG05
COMPONENTE: PROCESO
www.auditool.org 32
✓ DSS03.01 Identificar y clasificar problemas
✓ DSS03.02 Investigar y diagnosticar problemas
✓ DSS03.03 Presentar los errores conocidos
✓ DSS03.04 Resolver y cerrar problemas
✓ DSS03.05 Realizar una gestión de problemas de manera proactiva

DOMINIO DSS
OBJETIVO DSS04: Administrar la continuidad
Establecer un plan para permitir al negocio y a TI responder a
incidentes e interrupciones de servicio para la operación continua de
DESCRIPCIÓN los procesos críticos para el negocio y los servicios de TI requeridos,
y mantener la disponibilidad de la información a un nivel aceptable
para la empresa.
Adaptarse rápidamente, continuar las operaciones críticas para el
negocio y mantener la disponibilidad de la información a un nivel
PROPÓSITO
aceptable para la empresa ante el evento de una interrupción
significativa.
EG01 – EG08 - EG06 - EG08 AG05 - AG07
COMPONENTE: PROCESO
✓ DSS04.01 Definir la política de continuidad del negocio, objetivos y alcance
✓ DSS04.02 Mantener la resiliencia del negocio
✓ DSS04.03 Desarrollar e implementar una respuesta a la continuidad del negocio
✓ DSS04.04 Ejercitar, probar y revisar el plan de continuidad del negocio (BCP) y
el plan de respuesta ante desastres (DRP)
✓ DSS04.05 Revisar, mantener y mejorar el plan de continuidad
✓ DSS04.06 Proporcionar formación en el plan de continuidad
✓ DSS04.07 Administrar acuerdos de respaldo
✓ DSS04.08 Ejecutar revisiones post – reanudación
www.auditool.org 33
DOMINIO DSS
OBJETIVO DSS05: Administrar los servicios de seguridad
Proteger la información de la empresa para mantener aceptable el
nivel de riesgo de seguridad de la información de acuerdo con la
DESCRIPCIÓN política de seguridad. Establecer y mantener los roles de seguridad y
privilegios de acceso de la información, y realizar la supervisión de la
seguridad.
Minimizar el impacto en el negocio de las vulnerabilidades e
PROPÓSITO
incidentes operativos de seguridad en la información.
EG02 – EG06 AG02 - AG07
COMPONENTE: PROCESO
✓ DSS05.01 Proteger contra software malicioso (malware)
✓ DSS05.02 Gestionar la seguridad de la red y las conexiones
✓ DSS05.03 Gestionar la seguridad de los puestos de usuario final - endpoint
✓ DSS05.04 Gestionar la identidad del usuario y el acceso lógico
✓ DSS05.05 Gestionar el acceso físico a los activos de TI
✓ DSS05.06 Gestionar documentos sensibles y dispositivos de salida
✓ DSS05.07 Gestionar las vulnerabilidades y supervisar la infraestructura para
detectar eventos relacionados con la seguridad

DOMINIO DSS
OBJETIVO DSS06: Administrar los controles de los procesos de negocio
Definir y mantener controles apropiados de proceso de negocio para
asegurar que la información relacionada y procesada dentro de la
organización, o de forma externa, satisface todos los requerimientos
DESCRIPCIÓN relevantes para el control de la información. Identificar los requisitos
de control de la información y gestionar los controles adecuados para
asegurar que la información y su procesamiento satisfacen estos
requerimientos.
Mantener la integridad de la información y la seguridad de los activos
PROPÓSITO de información manejados en los procesos de negocio dentro de la
empresa o externalizados.
www.auditool.org 34
EG01 – EG05 - EG08 – EG12 AG08
COMPONENTE: PROCESO
✓ DSS06.01 Alinear las actividades de control integradas en los procesos de
negocio con los objetivos corporativos
✓ DSS06.02 Controlar el procesamiento de la información
✓ DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de
autorización
✓ DSS06.04 Gestionar errores y excepciones
✓ DSS06.05 Asegurar la trazabilidad de los eventos y responsabilidades de
información
✓ DSS06.06 Asegurar los activos de información
Dominio MEA: Supervisar – Evaluar - Valorar
MEA01: MEA03:
MEA02:
Administrar la Administrar el MEA04:
Administrar el cumplimiento Administrar el
supervisión
Sitema de de los aseguramient
del
Control requerimient o
rendimiento y
Interno os externos
conformidad

DOMINIO MEA
OBJETIVO MEA01: Administrar la supervisión del rendimiento y la conformidad
Recolectar, validar y evaluar métricas y objetivos de negocio de TI y
de procesos. Supervisar que los procesos se están realizando acorde
DESCRIPCIÓN
al rendimiento acordado y conforme a los objetivos y métricas, y se
proporcionan informes de forma sistemática y planificada.
Proporcionar transparencia de rendimiento y conformidad, y
PROPÓSITO
conducción hacia la obtención de los objetivos.
EG01 – EG05 - EG08 – EG12 AG08
COMPONENTE: PROCESO
www.auditool.org 35
✓ MEA01.01 Establecer un enfoque de la supervisión
✓ MEA01.02 Establecer los objetivos de cumplimiento y rendimiento
✓ MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimiento
✓ MEA01.04 Analizar e informar sobre el rendimiento
✓ MEA01.05 Asegurar la implementación de medidas correctivas

DOMINIO MEA
OBJETIVO MEA02: Administrar el Sistema de Control Interno
Supervisar y evaluar de forma continua el entorno de control,
incluyendo tanto autoevaluaciones como revisiones externas
independientes. Facilitar a la Dirección la identificación de deficiencias
DESCRIPCIÓN
e ineficiencias en el control y en el inicio de acciones de mejora.
Planificar, organizar y mantener normas para la evaluación del control
interno y las actividades de aseguramiento.
Ofrecer transparencia a las partes interesadas claves respecto de la
adecuación del Sistema de Control Interno para generar confianza en
PROPÓSITO
las operaciones, en el logro de los objetivos de la compañía y un
entendimiento adecuado del riesgo residual.
EG03 – EG11 AG11
COMPONENTE: PROCESO
✓ MEA02.01 Supervisar el control interno
✓ MEA02.02 Revisar la efectividad de los controles sobre los procesos del negocio
✓ MEA02.03 Realizar autoevaluaciones de control
✓ MEA02.04 Identificar y comunicar las deficiencias de control
www.auditool.org 36
DOMINIO MEA
OBJETIVO MEA03: Administrar el cumplimiento de los requerimientos externos
Evaluar el cumplimiento de requisitos regulatorios y contractuales,
tanto en los procesos de TI como en los procesos de negocio
DESCRIPCIÓN dependientes de las tecnologías de la información. Obtener garantías
de que se ha cumplido, identificado e integrado el cumplimiento de TI
en la empresa general.
Asegurar que la empresa cumple con todos los requisitos externos
PROPÓSITO
que le sean aplicables.
EG03 AG01
COMPONENTE: PROCESO
✓ MEA03.01 Identificar requisitos externos de cumplimiento
✓ MEA03.02 Optimizar la respuesta a requisitos externos
✓ MEA03.03 Confirmar el cumplimiento de requisitos externos
✓ MEA03.04 Obtener garantía de cumplimiento de requisitos externos

DOMINIO MEA
OBJETIVO MEA04: Administrar el aseguramiento
Planificar, delimitar y ejecutar iniciativas de aseguramiento para
cumplir con requisitos internos, leyes, regulaciones y objetivos
DESCRIPCIÓN estratégicos. Permitir que la dirección ofrezca una garantía adecuada
y sostenible en la empresa, con la realización de revisiones y
actividades de aseguramiento independiente.
Facilitar a la organización el diseño y desarrollo de iniciativas de
aseguramiento eficaces y eficientes proporcionando una guía sobre la
PROPÓSITO planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de
aseguramiento ampliamente aceptadas.
EG03 – EG11 AG11
COMPONENTE: PROCESO
www.auditool.org 37
✓ MEA04.01 Asegurar que los proveedores de aseguramiento sean
independientes y estén cualificados.
✓ MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada
en los riesgos.
✓ MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento.
✓ MEA04.04 Definir el alcance de la iniciativa de aseguramiento.
✓ MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento.
✓ MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la
efectividad del diseño.
✓ MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia
operativa.
✓ MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento.
✓ MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones.
Resumen
En el presente módulo se describe cada uno de los objetivos de gobierno y administración
de TI, presentando su dominio, descripción, propósitos, metas, y prácticas.
www.auditool.org 38

Modulo 3 - Modelo Central de COBIT Objetivos de Gobierno y Administracion de TI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo 3 - Modelo Central de COBIT Objetivos de Gobierno y Administracion de TI

Cargado por

Copyright:

Formatos disponibles

1.

01 Modelo COBIT 2019

02 Estructura modelo COBIT 2019

Modelo central de COBIT 2019

Modelo de gestión de desempeño

Diseño de una solución de

✓ Conocer el Modelo Central de COBIT e identificar los 40 objetivos de Gobierno y

Dominios de COBIT 2019

El organismo de gobierno evalúa las opciones

• Objetivos de Gobierno y Administración

• Estructura de los Objetivos de Gobierno y Administración de COBIT 2019

ÁREA Modelo Central de

En el complemento 4 podemos encontrar el listado de todos los estándares, marcos o

ACTIVIDADES NIVEL DE CAPACIDAD

DOCUMENTACIÓN RELACIONADA REFERENCIA ESPECÍFICA

COMPONENTE: FLUJOS Y ELEMENTOS DE INFORMACIÓN

DOCUMENTACIÓN RELACIONADA REFERENCIA ESPECÍFICA

 Personas, habilidades y competencias

 Principios, Políticas y Marcos

COMPONENTE: POLÍTICAS Y PROCEDIMIENTOS

Gráfico 5. Estructura del componente

 Cultura, ética y comportamiento

COMPONENTE: CULTURA, ÉTICA Y COMPORTAMIENTO

Gráfico 6. Estructura del componente

 Servicios, infraestructura y aplicaciones

COMPONENTE: SERVICIOS, INFRAESTRUCTURA Y APLICACIONES

Gráfico 7. Estructura del componente

A continuación, se presentan cada uno de los objetivos de Gobierno de TI con su dominio,

Dominio EDM: Evaluar – Orientar - Supervisar

EDM01: Asegurar el establecimiento y mantenimiento del Marco de Gobierno de TI

EDM02: Asegurar la entrega de beneficios

EDM03: Asegurar la optimización del riesgo

EDM04: Asegurar la optimización de los recursos

EDM05: Asegurar el compromiso de las partes interesadas

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

A continuación, se presentan cada uno de los objetivos de administración de TI con su

Dominio APO: Alinear – Planificar - Organizar

APO02: Administrar la APO06: Administrar el APO10: Administrar los

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

Dominio BAI: Construir – Adquirir - Implementar

BAI01 - Administrar los programas

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de

ÁREA Modelo Central de