Introducción

Los modelos COBIT 4.1, RISK IT y Val IT adoptaban un Modelo de Madurez de Procesos para
medir los resultados de los procesos de gobernanza y de gestión de TI de una organización.
Por otro lado, en COBIT 5 se vale de un Modelo de Capacidad de Procesos para medir los
resultados y el desempeño de los procesos de TI.
Este capítulo tiene como propósito:

 Revisar los conceptos fundamentales del Modelo de Madurez de Procesos de COBIT 4.1;

 Profundizar el conocimiento sobre el Modelo de Capacidad de Procesos;

 Realizar una comparativa entre los modelos de madurez y de capacidad;

 Realizar un estudio de caso práctico usando el Modelo de Capacidad.

Modelo de Madurez de Procesos

Principales objetivos del Modelo de Madurez de Procesos de COBIT 4.1
Medir la madurez actual o el estado en que se encuentran los procesos de TI de la organización
Definir el estado de madurez deseado y entendido como meta para su organización
Determinar la diferencia entre los dos estados (actual y deseado)
Mejorar el proceso para alcanzar el nivel de madurez deseado
Tabla 12: Principales objetivos del Modelo de Madurez de Procesos de COBIT 4.1
Como puede observarse, los niveles de madurez varían entre “Inexistente” (Nivel 0) a
“Optimizado” (Nivel 5). Cuanto más alto es el nivel, más estructurada será la madurez (resultado)
del proceso.Además, en esta figura tenemos que el Modelo de Madurez de Procesos está compuesto
por seis atributos denominados “Concienciación y Comunicación”, “Políticas, Planes y
Procedimientos”, “Herramientas y Automatización”, “Habilidades y Expertise”, “Responsabilidad
y rendición de cuencas” y “Definición de metas y medición”. El modelo de COBIT 4.1 se usa para:

 Evaluar de la mejoría del proceso;

 Evaluar la madurez del proceso;

 Definir el nivel de madurez deseado para un determinado proceso;

 Identificar las fallas de un proceso para confirmar si los objetivos de control del proceso
fueron alcanzados;

 Obtener el perfil de madurez del proceso.

1
Figura 22: Atributos genéricos del Modelo de Madurez de COBIT 4.1

El modelo de madurez genérico tiene seis atributos distintos aplicables a cada proceso y que apoyan
a la organización a obtener una visión más detallada del nivel de madurez de los procesos.

Ejercicio de fijación 1
Mencione los seis niveles de madurez del proceso adoptado por COBIT 4.1.

1. “Inexistente” (Nivel 0)
2. “Inicial/ Ad hoc” (Nivel 1)
3. “Repetible” (Nivel 2)
4. “Proceso Definido” (Nivel 3)
5. “Administrado y medible” (Nivel 4)
6. “Optimizado” (Nivel 5)

Evaluación de Capacidad de Procesos

En COBIT 5, ya no se usa el término madurez como instrumento de medición de los procesos, sino
el término “capacidad”. Los modelos de capacidad y de madurez son distintos, pero existe una
relación entre ellos como veremos en este capítulo.
El modelo de evaluación de Procesos sistematizado por PAM abarca los otros 6 habilitadores del
modelo COBIT 5 (capítulo 2), y no únicamente “Procesos”, como sucedía con el modelo de
madurez de COBIT 4.1.
Así que aunque el PAM ofrezca información importante sobre el estado actual de los procesos de
TI, estos, en la práctica, representan solamente uno de los siete habilitadores de gobernanza y
gestión.
Basados en COBIT 5, las evaluaciones de los procesos no representan el cuadro completo del
estado de gobernanza y de gestión de una empresa, una vez que los demás habilitadores también
deben ser analizados en el contexto de gobernanza y gestión corporativa en una organización.
Modelo de Evaluación de Capacidad de Procesos (PAM): Atributos y niveles
La evaluación de Capacidad de Procesos de COBIT está basada en la ISO/IEC 15504, que es una
norma reconocida mundialmente. Este modelo de capacidad se basa en la norma de Evaluación de
Procesos de Ingeniería de Software.
La evaluación de capacidad del modelo basado en la ISO/IEC 15504 proporcionará medios para
medir el desempeño de cualquiera de los procesos de gobernanza (Dominio EDM) o de gestión
(Dominio PBRM). El modelo de evaluación basado en la ISO/IEC 15504 permite la identificación
de las áreas y procesos que necesitan ser mejorados.
La figura 6.2 presenta los niveles y atributos genéricos de Evaluación de Capacidad de Procesos de
COBIT basado en la ISO/IEC 15504.

Figura 23: Atributos de Capacidad de Procesos de COBIT 5

Como puede observarse, los Niveles de Capacidad de Procesos varían desde Inexistente, Ejecutado,
Gestionado, Establecido, Predecible hasta Optimizado. Cada nivel está compuesto por atributos
mínimos que deben estar presentes para determinar el nivel de capacidad a atribuirse a un proceso
evaluado.
El proceso de Evaluación de COBIT 5 mide hasta cuánto un determinado proceso alcanza atributos
específicos relativos a este proceso, siendo denominado “Atributos del proceso”. Este proceso de
evaluación contempla nueve atributos de proceso basados en la ISO/IEC 15504-2:

 PA1.1: desempeño (ejecución) del proceso;

 PA2.1: gestión de ejecución;

 PA2.2: gestión del resultado del trabajo;

 PA3.1: definición del proceso;

 PA3.2: implementación del proceso;

 PA4.1: gestión del proceso;

 PA4.2: control del proceso;

 PA5.1: innovación del proceso;

 PA5.2: optimización del proceso.

Niveles de Evaluación de Capacidad de Procesos

Un determinado proceso puede alcanzar seis niveles de capacidad, de acuerdo con su estado de
implementación, variando desde “Inexistente” hasta el nivel de “Optimizado” de acuerdo a lo
descrito en la siguiente tabla.

Nivel de Capacidad Descripción del proceso

0: Proceso Inexistente El proceso no ha sido implementado o no alcanzó su objetivo. Hay
poca o ninguna evidencia de cualquier avance sistemático en el
objetivo del proceso
1: Proceso El proceso implementado alcanza su objetivo
Ejecutado (un
atributo)
2: Proceso El proceso está implementado de forma planificada,
Gestionado (dos monitoreada y ajustada, y sus productos del trabajo han sido
atributos) adecuadamente establecidos, controlados y mantenidos
3: Proceso El proceso está implementado utilizando un proceso definido, capaz de
Establecido (dos alcanzar sus resultados.
atributos)
4: Proceso El proceso opera dentro de los límites definidos para producir
Predecible (dos sus resultados esperados.
atributos)
5: Proceso El proceso es continuamente mejorado, buscando la consecución de
Optimizado (dos los objetivos corporativos pertinentes, actuales o previstos.
atributos)
Tabla 13: Niveles de Capacidad de Procesos
Como podemos observar, niveles de capacidad más altos, requieren la incorporación de diferentes
atributos.
 Para pensar
Existe una diferencia significativa entre la capacidad de procesos de nivel 1 y los niveles de
capacidad más elevados.

Ejercicio de fijación 2
¿Cuál es la principal diferencia entre los niveles de capacidad 0 y 1 de COBIT?

Nivel 0 - Inexistente
En el nivel 0 de madurez no hay nada. No existen iniciativas de gestión del cambio. Los responsables
del proyecto o de la iniciativa no lo consideran necesario y lo ven como un mero trámite a cumplir.
Nivel 1 - Inicial / ad hoc
En el nivel 1 de madurez, las salvaguardas existen, pero no se gestionan. El éxito depende de buena
suerte. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de respuesta.
El éxito del nivel 1 depende de tener personal de la alta calidad.

Ejercicio de fijación 3
¿Cómo podemos garantizar que el proceso de Gestión de Cambios en una organización esté en el
nivel 5?

Cuando ya todo el personal de la organización, desde la dirección hasta el operativo, tiene en cuenta
las herramientas de gestión del cambio y las utilizan en su día a día.
También utilizan métricas para medir el proceso de transformación en cuento a aspectos más “soft”
como puede ser: compromiso, participación, comunicación, entre otros
Ya que el nivel 5 de madurez se centra en la mejora continua de los procesos con mejoras tecnológicas
incrementales e innovadoras. 

Niveles de Capacidad de Procesos en la práctica

Para alcanzar las capacidades de proceso de nivel 1, existe el requerimiento de que el atributo de
desempeño del proceso sea ampliamente cumplido, esto es, que el proceso sea realizado con éxito y
los resultados esperados sean obtenidos por la empresa.
El alcanzar la capacidad de nivel 1 debe ser considerado un importante hito para la empresa, aunque
representa un nivel bajo de capacidad para el proceso.
Cada empresa definirá su meta o nivel deseado. En la práctica, las empresas tendrán dificultades
para implementar niveles de capacidad más elevados.
Un determinado nivel de capacidad solamente puede ser alcanzado cuando el nivel anterior ha sido
plenamente alcanzado.
Por ejemplo, una capacidad de proceso de nivel 3 (proceso establecido) exige que la definición del
proceso y de los atributos de implementación sean ampliamente alcanzados además de que se haya
alcanzado la consecución plena de los atributos de una capacidad de proceso nivel 2 (proceso
gestionado).