Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGÚN COBIT 5
Toda organización que pretenda optimizar sus recursos tecnológicos, y por lo tanto, ser más
competitiva, requiere comprender el estado de los Procesos que Gestionan sus Sistemas de
Tecnología de Información y Comunicaciones (TIC), con la finalidad de establecer el nivel de
administración y control adecuado que debe proporcionar a sus Sistemas.
Para decidir el nivel adecuado, la Gerencia TIC debe realizar un estudio detallado donde se
indique la realidad de su Gestión actual, y su posición frente a la competencia, con esto como
base podrá plantear a la Alta Gerencia las prioridades de atención, para que estos últimos
puedan alinear estas necesidades con la estra
tegia de la empresa, y conjuntamente con la Gerencia TIC, establecer un Plan de Acción que
garantice beneficios para la organización.
Ahora bien, es conocido que el desempeño de las actividades diarias de la Gerencia TIC, suele
ofuscar una visión objetiva del estado de sus procesos, y por ende medir la eficiencia de su
Gestión. Por esto, muchas veces, las organizaciones requieren los servicios de una empresa
externa, quien pueda tasar de forma imparcial el estado de sus procesos de Gestión TIC,
identificar donde se requieren mejoras, y proponer hacia donde deben ir.
Está práctica, se traduce, sin lugar a dudas, en beneficio para la organización puesto que en la
actualidad es imperativo lograr evolucionar las TIC para adecuarse a la estrategia de la empresa,
funcionando entonces como optimizador de recursos y por ende las TIC ́s agregaran valor a las
actividades operacionales y de gestión empresarial en general, permitiendo a la organización
obtener ventajas competitivas, permanecer en el mercado y centrarse en su negocio.
Para lograrlo, solemos basarnos en el marco de referencia CobIT (actualmente versión 5), quien
sugiere medir la madurez de los procesos a través del “Process Capability Model”, el cual está
basado en el estándar “ISO/IEC 15504 Software Engineering – Process Assessment Standard”.
Esta evaluación es muy exigente respecto a lo que debe cumplir cada proceso para ascender de
nivel, y permite, entre otras cosas, lo siguiente:
Antes de continuar comentando sobre este tipo de evaluación, debemos establecer una serie
de conceptos que nos permitirán entender el resto del artículo. Estos conceptos claves son:
Calidad: Para las necesidades de este tipo de evaluación, tomaremos el enfoque de la CMMI
que establece que la calidad de un producto o servicio está altamente influenciada por el
proceso que se utiliza. Para el establecimiento o medición del nivel de implantación de las
prácticas descritas en el modelo se utilizan dos enfoques, que permiten alcanzar los mismos
resultados pero utilizando estrategias diferentes.
Nivel de madurez: Cuando se habla de un nivel de madurez se debe entender como un conjunto
de prácticas, preestablecidas por el modelo, que se deben garantizar por la Organización en su
conjunto. Es decir, o se cumplen todas o no se tiene el nivel de madurez. En términos del modelo
son las áreas de proceso que se consideran en cada nivel de madurez y que van evolucionando.
Entonces, para concluir, debemos entender de estos conceptos, que en la medida que se
evoluciona en los niveles de madurez, o capacidad la Organización posee elementos para
ofrecer una mayor calidad en el producto o servicio.
Ahora bien, entendido esto, pasamos a explicar que el proceso de evaluación propuesto por
CobIT, el Modelo de Evaluación de Procesos (PAM), este modelo ofrece una base para la
evaluación de los procesos de una empresa de forma fiable, consistente y repetible, basada en
la evidencia para evaluar la capacidad de los procesos TIC. Este modelo se basa en dos
dimensiones, donde se integran las Capacidades que evalúa la ISO 15504 y los Procesos
propuestos por CobIT:
Niveles de Capacidad
Lo que deseamos con este tipo de evaluación, es conocer la capacidad de los procesos
implementados por una organización, lo que se traduce en determinar la información y los
datos que los caracterizan, y el grado en el cual estos logran el propósito para el cual fueron
desarrollados. Este grado será medido de acuerdo a un conjunto de Atributos de Procesos (PA),
donde cada uno de estos mide un aspecto particular de su capacidad.
Atributos de Proceso
Para concluir con el análisis de Madurez, es importante destacar que la decisión de una
organización de invertir en la mejora de los procesos TIC debe estar basada en la comprensión
de la importancia estratégica para cada uno de sus objetivos. El resultado de esta evaluación
permitirá diseñar un plan de Acción para la optimización de los procesos y recursos de la gestión
TIC.
Para ello se debe desarrollar una lista de prioridades de los objetivos que requieren mayor
atención, y a través de las buenas prácticas aplicables en el dominio de interés optimizar su
Gestión. Luego se puede alinear esta lista con la estrategia de la Empresa, lo que permitirá
comenzar a recorrer el camino a la mejora Organizacional.
COBIT, una metodología que genera valor en las
empresas
Jonathan Hernández Hernández
Universidad Piloto de Colombia
jonathanhernandezhe@gmail.com
Bogotá D.C.
Fig. 1. Principios de COBIT. Fuente: COBIT® 5, Figura 2. © 2012 5. Separar el Gobierno de la Administración: COBIT 5
ISACA® distingue con claridad los ámbitos del gobierno de TI y la
gestión de TI. Se entiende por gobierno de TI las funciones
relacionadas con la evaluación, la dirección y el monitoreo de
las TI. El gobierno busca asegurar el logro de los objetivos
A. Principios de COBIT empresariales y también evalúa las necesidades de los
COBIT está conformado por principios y habilitadores, accionistas, así como las condiciones y las opciones
los mismos que pueden ser utilizados por organizaciones de existentes. La dirección se concreta mediante la priorización
cualquier tamaño, sin especificar la industria a la que y la toma efectiva de decisiones. Y el monitoreo abarca el
pertenecen bien sean comerciales, sin fines de lucro o en el desempeño, el cumplimiento y el progreso en función con los
sector público [7]. objetivos acordados. La gestión está más relacionada con la
Los principios que debe seguir una organización para planificación, la construcción, la ejecución y el monitoreo de
adoptar la gestión de TI se ilustran en la figura 2 [8]. las actividades alineadas con la dirección establecida por el
organismo de gobierno para el logro de los objetivos
empresariales.
Define objetivos y metas relevantes y tangibles a Contribución al Negocio: Indica el valor creado desde TI para
varios niveles de responsabilidad el negocio.
Filtra la base de conocimiento de COBIT 5, sobre la
base de las metas corporativas, para extraer las guías
relevantes a incluir en proyectos específicos de
implementación, mejora o aseguramiento.
Identifica claramente y comunica cómo (algunas veces
de forma muy operativa) los catalizadores son
importantes para alcanzar metas de la empresa.
Este permite ver la organización desde cuatro perspectivas, Cada una de estas perspectivas deben de ser trasladadas a
resumidas en la figura 6, ayudando a organizar los objetivos unas determinadas métricas que midan la situación actual, con
estratégicos y aglutinarlos en función de aquellos elementos el objetivo de repetir periódicamente para confrontar con las
sobre los que se fija una meta. Por lo tanto, las perspectivas metas fijadas con anterioridad, de esa forma se determina si
son áreas de actuación del CMI enfocadas a un determinado los objetivos propuestos se alcanzan o en qué grado se
ámbito de la organización. desvían. Un cuadro de mando integral de TI necesita dos tipos
de medidas, de resultado y de desempeño.
Las métricas de resultado sin métricas de desempeño no
indican como los resultados pueden ser alcanzados. Las
métricas de desempeño sin métricas de resultado pueden
inducir a inversiones sin saber si la estrategia es efectiva.
El aumento del interés por la Gobernabilidad TI se debe a las - Estrategia: objetivos y líneas de actuación que garanticen el
nuevas obligaciones para las empresas, que han surgido alineamiento y la consecución de los objetivos del negocio
debido a aspectos regulatorios como también a que actuales y a futuro.
frecuentemente los proyectos TI se van fuera de control y
afectan profundamente los resultados de las organizaciones. - Procesos: estructuración de los procesos TI para planificar,
ejecutar, controlar y corregir los servicios que se prestan.
Un aspecto fundamental que tiene que ver con la
Gobernabilidad TI es que los sistemas de información ya no - Organización: disponer los profesionales adecuados,
pueden ser considerados como cajas negras. Hoy tanto los internos y externos, que garanticen la provisión de los
directores de las empresas, como sus ejecutivos y personal servicios según los acuerdos de nivel de servicio establecidos
deben tener un conocimiento respecto a cuales son sus con el negocio.
funciones y como generan la información. Por otra parte las
nuevas regulaciones hacen responsables tanto a los directores - Tecnología: arquitectura, infraestructuras y sistemas de
como a los gerentes de las compañías [17]. información que garanticen el soporte adecuado al negocio y
posibiliten la evolución que se precise.
La disciplina de la Gobernabilidad TI deriva de la
Gobernabilidad Corporativa, y trata principalmente de la - Gestión de recursos: administración óptima de los costes e
relación entre el negocio y la gestión informática de una inversiones para maximizar la eficiencia en la producción y la
organización. Resalta la importación de las materias operación.
concernientes a TI en las organizaciones modernas y
recomienda que las decisiones estratégicas de TI deban ser - Gestión de riesgos: control de los recursos para poder
tomadas por el gobierno en vez de la administración en garantizar la continuidad de los servicios TI, la fiabilidad de
cabeza del CEO u otros ejecutivos del área de TI. los sistemas, su seguridad y su adecuado funcionamiento
según los acuerdos de nivel de servicio.
Los objetivos principales de la Gobernabilidad TI son [18]:
- Medición: monitorizar, medir e informar al negocio de la
1. Asegurar que las inversiones en TI generen valor implementación de la estrategia, fundamentalmente a través
comercial. de los objetivos que se definan y de los acuerdos de nivel de
2. Mitigar los riesgos asociados a las TI. Esto puede lograrse servicio que se establezcan con el negocio.
por medio de la implementación de una estructura
organizacional con los roles, muy bien definidos, para las
funciones de información, procesos de negocios, aplicaciones,
infraestructura, etc.
IV. CREACIÓN DE VALOR, EN EL CONTEXTO DE COBIT como marco de gobierno puede ser aplicado en
COBIT diferentes frentes de TI buscando estar alineado al gobierno y
objetivos del negocio como creador de valor organizacional,
uno de estos frentes o apartados tiene un enfoque en la
Teniendo en cuenta el estándar determinado por COBIT 5, la protección de la información, considerando la seguridad de la
creación de valor es un objetivo del Gobierno de las TI, tal y información como disciplina transversal y necesaria en toda
como se muestra en la figura 9, estableciendo un marco de organización.
trabajo integral que ayuda a las empresas a crear el valor
óptimo desde TI, ayudando a mantener el equilibrio entre la COBIT y la seguridad de la información
generación de beneficios, la optimización de los niveles de Partiendo de un enfoque general, la seguridad de TI tiene
riesgo y el uso de recursos. Esto permite que las TI y como pilar fundamental la seguridad de la información, la
relacionadas se gobiernen y administren de una manera cual genera diversos lineamientos basados en los riesgos
holística a nivel de toda la organización. identificados que influyen directamente en la ejecución de
cambios de configuración en los activos de TI.
Mejor comprensión de la información en toda la Fig. 10. Integración de COBIT con otras metodologías
organización.
Proporciona orientación específica relacionada con los COBIT ofrece un marco para regular la toma de decisiones
habilitadores. basadas en el control sobre TI, enfocado en validar que se
están generando cadenas de valor en la organización, teniendo
En este escenario toma relevancia la información, un recurso en cuenta todas las necesidades y las expectativas de las
clave desde el momento en el que es creada hasta su partes interesadas que pueden afectar dicha toma de
destrucción, de manera que sea posible evadir las amenazas decisiones con respecto a la evaluación de riesgos, el manejo
que pudieran afectarla. de recursos y los beneficios.
A través de COBIT se pretende alinear la seguridad de la
Tomando como punto central la seguridad de la información información con los objetivos de la empresa, empleando
como una disciplina transversal, por considerar aspectos de prácticas de gobierno y gestión completamente enfocadas en
protección de datos en cada actividad y proceso la seguridad.
desempeñado, COBIT ofrece algunos procesos que brindan
una guía básica para definir, operar y monitorear un sistema
para gestión de la seguridad, como son: V. CONCLUSIONES
COBIT 5 reúne los cinco principios que permiten a la
APO13 Gestión de la seguridad (treceavo proceso del organización construir un marco efectivo de Gobierno y
dominio Alineación, Planeación y Organización). Administración basado en una serie holística de siete
habilitadores, que optimizan la inversión en tecnología e
DSS04 Gestión de la continuidad (cuarto proceso del información, así como su uso en beneficio de las partes
dominio Entrega, Soporte y Servicio) interesadas.
Por ejemplo, el proceso DSS05 Gestión de servicios de La implantación de estándares y el seguimiento del
seguridad, tiene como meta minimizar el impacto a la método COBIT se convierten en una herramienta para
organización debido a vulnerabilidades e incidencias de optimizar la gestión de tecnología, y representa sólo un
seguridad de la información. Dentro de las prácticas de conjunto de buenas practicas para el manejo de recursos y
requerimientos que permitan la Generación de Valor a la [20]. ISACA. COBIT5: Un marco de negocio para el gobierno y la gestión de
las TI de la empresa. USA. 2012.
organización.
[21]. Krajewski, J, R, M, M. Administración de operaciones "Procesos y
Cadenas de Valor". 2014.
COBIT, como framework de seguridad de la información [22]. Herrera, T. F. La Innovación para la Generación de Valor en los
complementa los procesos y procedimientos con las mejores Procesos de Calidad. INGENIARE, pp. 14. 2016
[23]. Duque, J. L. Los procesos de cambio organizacional y la generación de
prácticas, metas, métricas y prácticas de gobierno y gestión, valor. Estudios Gerenciales, pp. 30, 131, 162-171. 2014
buscando que sean adoptadas y adaptadas a las [24]. Anzola, P. B.-S.-M. La generación de valor a partir de innovaciones
características y necesidades de cada organización que organizativas: Efectos directos y moderadores*/Value generation
busca proteger su información y lograr la misión y los through organizational innovation: Direct and moderating effects. (46).
Universia Business Review, pp. 70. 2015.
objetivos estratégicos de negocio. [25]. Boscán, M. &. Gestión del capital intelectual en las empresas
manufactureras del sector plástico zuliano. Revista Arbitrada
COBIT ayuda a las empresas a crear el valor óptimo Formación Gerencial, pp. 14, 1. 2016.
desde TI manteniendo el equilibrio entre la generación de [26]. Salas, J. M. Del dominio del control financiero a una perspectiva
cualitativa del control de gestión. Revista Facultad de Ciencias
beneficios y la optimización de los niveles de riesgo y el uso Económicas: Investigación y Reflexión, pp. 24(1), 5-11. 2016.
de recursos. [27]. ISACA. COBIT 5 for Information Security. 2012
REFERENCIAS
[1] ISACF, Information systems Audit and control fundation. COBIT,
resumen ejecutivo. ISACF, CISA. 2da edición. Rolling Meadows,
USA. 1998.
[2] Salazar, A., & Informático, I. Modelo de implantación de Gestión del
Conocimiento y Tecnologías de Información para la Generación de
Ventajas Competitivas. Gestión del Conocimiento, pp. 1-16. 2000.
[3] ISACF, Information systems Audit and control fundation. COBIT,
Marco Referencial. ISACF, CISA. 2da edición. Rolling Meadows,
USA, pp. 6. 1998.
[4]. ISACF, Information systems Audit and control fundation. COBIT,
Marco Referencial. ISACF, CISA. 2da edición. Rolling Meadows,
USA, pp. 6. 1998.
[5]. ISACF, Information systems Audit and control fundation. COBIT,
Resumen Ejecutivo. ISACF, CISA. 2da edición. Rolling Meadows,
USA, pp. 3. 1998.
[6]. ISACF, Information systems Audit and control fundation. COBIT,
Marco Referencial. ISACF, CISA. 2da edición. Rolling Meadows,
USA. 1998.
[7] Bakry, S. H., & Alfantookh, A. IT governance practices: COBIT.
Applied Computing and Informatics, (5)2. 53-61. 2006.
[8]. Saavedra J., & Torres, A. Modelo de Gobierno de TI como apoyo al
proceso de transformación digital en empresas de la industria editorial.
pp 28-30. Universidad ICESI, Colombia. 2012.
[9]. Quintín, Martín. La informática como elemento dinamizador de las
nuevas tecnologías en la empresa, en Esic Market. Núm. 88. Abril-
Junio. Madrid. ISSN: 0212-1867. 1995.
[10]. Hornos, M., Araque F., & Abad, M. La gestión de la información como
clave para adquirir ventaja competitiva: los MIS, en Alta Dirección.
Número 199. Mayo. Barcelona. ISSN: 0002-6549. 1998.
[11]. ISACA. COBIT 5, Figura 12. 2012.
[12]. Monfort, Roberto. COBIT 5 y el cuadro de mando integral como
herramientas de gobierno de TI. Universitat Politecnica de Valencia,
pp. 14. 2015.
[13]. Olson, M. H., and Chervany, N. L."The Relationship between
Organizational Characteristics and the Structure of the Information
Services Function," MIS Quarterly (4:2), pp. 57-68. 1980.
[14]. Zmud, R. W., Boynton, A. C., and Jacobs, G. C. "The Information
Economy: A New Perspective for Effective Information Systems
Management," ACM SIGMIS Database (18:1), pp. 17-23. 1986.
[15]. Brown, C. V. "Examining the Emergence of Hybrid IS Governance
Solutions: Evidence from a Single Case Site," Information systems
research (8:1), pp. 69-94. 1997.
[16]. Sambamurthy, V., and Zmud, R. W. "Research Commentary: The
Organizing Logic for an Enterprise's IT Activities in the Digital Era—a
Prognosis of Practice and a Call for Research,"Information systems
research (11:2), pp. 105-114. 2000.
[17]. Nolan, R. and F. W. McFarlan (2005). “Information Technology and
the Board of Directors.” Harvard Business Review.2005.
[18]. GERRARD, M. IT Governance: Key Initiative Overview. Gartner.
http://www.gartner.com/it/initiatives/pdf/KeyInitiativeOverview_ITGov
ernance.pdf. 2010.
[19]. NATIONAL COMPUTING CENTRE. IT Governance Developing a
successful governance strategy. ISACA.
Acreditación Institucional de Alta Calidad
Resumen
Este artículo está diseñado para medir el nivel de capacidad en las empresas de acuerdo
Artículo de con el marco de trabajo de COBIT 5. En este sentido, se realizan una serie de pasos para
reflexión llegar a conocer el estado en que se encuentra la empresa. En primer lugar, se empieza con
la revisión de los objetivos a nivel de tecnología que se encuentren alineados con los de la
Fecha de recepción: empresa. En segundo lugar, el nivel de capacidad será medido de acuerdo con los controles
11-04-2018 que la empresa ha determinado para mitigar los riesgos que se presentan. Finalmente, la
Fecha de aceptación: empresa conocerá el nivel de capacidad con la que se cuenta por cada uno de sus procesos,
13-11-2019 y se podrá saber que se debe realizar para mejorar.
Palabras clave: COBIT 5, framework, gobierno de TI, nivel de capacidad, procesos.
ISSN: 2344-8288
Vol. 7 No. 1 Abstract
Enero - Junio 2019 This article is designed to measure the level of capacity in companies in accordance with the
Bogotá-Colombia COBIT 5 framework. In this sense, a series of steps are taken to get to know the state of the
company. First, it begins with the revision of the objectives at the technology level that are
aligned with those of the company. Second, the level of capacity will be measured according
https://revistas.udistrital.edu.co/index.php/tia/issue/archive
to the controls that the company has determined to mitigate the risks that arise. Finally, the
company will know the level of capacity available for each of its processes, and it will be
possible to know what must be done to improve.
Keywords: COBIT 5, capacity level, enterprise IT, framework, process.
1
Ingeniero de Sistemas, Universidad Distrital Francisco José de Caldas, Colombia. Correo electrónico: chrcastillo@gmail.com
2
Ingeniero de Sistemas, Universidad Distrital Francisco José de Caldas, Colombia. Correo electrónico: andre9_90@hotmail.com
3
Ingeniero de Sistemas, Universidad Distrital Francisco José de Caldas, Colombia. Correo electrónico: ocaferos@gmail.com
Actualmente la tecnología es un apoyo para las Los riesgos son las probabilidades de que las
organizaciones en cuanto que es un activo valioso amenazas exploten los puntos débiles generando
para el desarrollo de los procesos internos y de pérdidas o daños en los activos que impactan los
la información que esta genera y almacena. Por objetivos de la organización. Estos representan para
lo tanto, esta tecnología con el pasar del tiempo la empresa perdidas sustanciales de reputación y
va evolucionando y con ella los procesos van marca empresarial, y creciente competencia por lo
cambiando y actualizando, para esto COBIT da un que se perderían clientes y a su vez dinero.
panorama de soporte y aplicación de procesos de La ecuación de riesgo para cualquier empresa
manera más eficaz. se expresa de la siguiente forma:
Muchas de las empresas que existen en
Colombia desean aplicar marcos de trabajo o RIESGO = ACTIVO + VULNERABILIDAD+
frameworks a sus empresas por varias razones ya AMENAZA + POSIBILIDAD + IMPACTO.
que permite determinar en qué estado se encuentra
la empresa actualmente, saber que se debe realizar Es por esto que la empresa debe determinar
para mejorar en el día a día los procesos internos qué riesgos son los que se encuentran presentes
de acuerdo con el framework, reconocer los y qué afecta directamente al incumplimiento de
beneficios en la tecnología de la información para los objetivos de TI para generar los controles que
impulsar el valor de sus interesados, etc. mitiguen el impacto o la posibilidad con que se
presentan.
¿QUÉ ES COBIT?
CONTROLES DE LA EMPRESA
Es un marco de trabajo integral que ayuda a las
empresas a alcanzar sus objetivos para el gobierno Los controles son disposiciones establecidas por
y la gestión de las Tecnologías de la Información la organización para mitigar la probabilidad de
(TI) corporativas. Dicho de una manera sencilla, existencia de riesgos que afectan los activos de
COBIT ayuda a las empresas a crear el valor información. Estos pueden ser tipo administrativo,
óptimo desde TI manteniendo el equilibrio entre la técnico o físico dependiendo de la protección que
Nivel de capacidad en las empresas de acuerdo con COBIT
17
ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
Estos controles tienen una forma de ejecución de ningún logro sistemático del propósito del
ya sea manual, automático, semiautomático o proceso.
manual por su naturaleza, y un tipo de control de • 1 proceso ejecutado (un atributo): El proceso
tipo preventivo, correctivo, detectivo, disuasivo, implementado alcanza su propósito.
de monitoreo, etc., por lo tanto, es indispensable • 2 proceso gestionado (dos atributos): El proceso
que la empresa, que es la que conoce el negocio, ejecutado descrito anteriormente está ya
realice un análisis sobre qué realizar para mitigar implementado de forma gestionada (planificado,
el riesgo, lo cual es posible mediante COBIT 5 ya supervisado y ajustado) y los resultados de su
que se podrá establecer el nivel de capacidad con ejecución están establecidos, controlados y
el que cuenta la empresa. mantenidos apropiadamente.
• 3 proceso establecido (dos atributos): El proceso
gestionado descrito anteriormente está ahora
NIVEL DE CAPACIDAD DE COBIT implementado usando un proceso definido que
es capaz de alcanzar sus resultados de proceso.
COBIT define en su versión quinta (5) seis • 4 proceso predecible (dos atributos): El proceso
niveles de capacidad que son alcanzados establecido descrito anteriormente ahora se
independientemente de cada proceso enmarcado ejecuta dentro de límites definidos para alcanzar
en la empresa. Estos son listados a continuación: sus resultados de proceso.
• 5 proceso optimizado (dos atributos): El proceso
• 0 proceso incompleto: El proceso no está predecible descrito anteriormente es mejorado
implementado o no alcanza su propósito. A de forma continua para cumplir con las metas
este nivel hay muy poca o ninguna evidencia empresariales presentes y futuros.
Nivel de capacidad en las empresas de acuerdo con COBIT
Castillo, C., Castillo, H., y Fernández, O.
18
ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
Estos procesos en su calificación son con consiguiendo su objetivo y que está entregando
enfoque de la norma ISO/IEC 15504 en donde los resultados esperados.
se afirma que un nivel solo puede alcanzar el • Confiabilidad y repetitividad mejorada de las
siguiente nivel si cumple totalmente el nivel actividades y valoraciones de la evaluación
inferior, ejemplo: de la capacidad de los procesos reduciendo
“Un nivel 3 de capacidad de proceso discusiones y falta de acuerdo entre las partes
(establecido) requiere que los atributos de interesadas sobre los resultados de la evaluación.
definición y despliegue del proceso se hayan • Incremento de la utilidad de los resultados de la
alcanzado ampliamente, sobre la consecución evaluación de la capacidad de los procesos ya
completa de los atributos del nivel 2 de capacidad que el nuevo modelo establece una base para
de procesos (proceso gestionado)” COBIT 5. que se lleven a cabo evaluaciones más formales
Esto quiere decir que si el proceso gestionado y rigurosas, tanto para propósitos internos como
no se encuentra planificado, supervisado y externos.
ajustado de tal manera que brinde resultados con • Cumplimiento con un estándar de evaluación de
base en una correcta ejecución del proceso no se procesos generalmente aceptado y de esta forma
podría encontrar en un nivel establecido porque con un fuerte soporte al enfoque de evaluación
este define la existencia de un documento formal de procesos por el mercado.
de la correcta implementación para la obtención
de resultados. En la Figura 2, se muestra la categoría de
Esto es verificado en la aplicación de cada uno habilidades que pueden tener el campo de acción
de los procesos internos de la organización para los procesos de COBIT 5.
dar un claro status o evaluación en general de la
organización específica por áreas de los procesos
internos que realiza la empresa. De acuerdo EVALUACIONES DE CAPACIDAD
con la evaluación específica se dan enfoques o
recomendaciones en la mejora y/o corrección de Estas evaluaciones pueden ser utilizadas por varios
procesos en ejecución para conseguir el objetivo factores y con diferentes grados de rigor. Uno de
establecido por la Gestión de Tecnología (GT) estos es el interno, que es con el fin de comparar
dentro de la empresa. las distintas áreas de la empresa o para la mejora
Estas recomendaciones están alineadas en los de los mismos procesos para beneficio propio
Nivel de capacidad en las empresas de acuerdo con COBIT
procesos de COBIT 5 donde si son requeridos de la empresa. Otro factor es el externo que son
en el gobierno participa el EDM (Evaluar, enfocados en las evaluaciones formales, informes
Orientar y Supervisar) y si son enfocados en y certificaciones.
la gestión realizada en los procesos internos
Castillo, C., Castillo, H., y Fernández, O.
19
ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
20
ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
CONCLUSIONES REFERENCIAS
• El nivel de capacidad que ofrece este marco de [1] ISACA, Un marco de negocio para el gobierno y la
trabajo (COBIT 5) va enmarcado en un proyecto gestión de las TI de la empresa. COBIT 5. Rolling
con inicio y fin, el cual se establece para medir el Meadows, Illinois: ISACA, 2012.
nivel en el que se encuentra la organización de [2] A. Almanza, La aplicación de Cobit en las organiza-
acuerdo con los controles que ya se han definido ciones ¿vale la pena el esfuerzo?, 2012. [En línea].
para mitigar los riesgos. Disponible en: http://repository.unimilitar.edu.co/
• De la revisión del nivel de capacidad en una bitstream/10654/6537/2/AlmanzaGomezAlvaroI-
empresa se pueden establecer recomendaciones van2012.pdf
para mejorar o generar controles suplementarios [3] C. Francavilla, Como aporta COBIT 5 y gobernanza
para el cumplimiento del proceso en el que está de TI a la gobernanza empresarial, 2014. [En línea].
alineado. Disponible en: https://www.isaca.org/chapters8/
• COBIT al ser un marco de trabajo brinda un Montevideo/cigras/Documents/CIGRAS2014-CO-
panorama de la gestión de TI empresarial, por BIT%20y%20Gobernanza%20de%20TI.pdf
lo que cada empresa de acuerdo con su modelo [4] M. de la Torre, L. Giraldo, C. Villalta, Diagnóstico
de negocio puede que no aplique a uno o varios para la implantación de COBIT en una empresa
procesos que COBIT dispone. de Producción. Área Piloto: Departamento de Sis-
temas, 2012. [En línea]. Disponible en: https://ds-
pace.ups.edu.ec/bitstream/123456789/2695/13/
RECOMENDACIONES UPS-GT000307.pdf
[5] Universidad EAFIT, COBIT: Modelo para auditoría
Como trabajo complementario a este se puede y control de sistemas de información, 2007. [En
pensar en las evaluaciones que se realizan con línea]. Disponible en: http://www.eafit.edu.co/es-
respecto a este marco de trabajo pensando en las cuelas/administracion/consultorio-contable/Docu-
certificaciones externas para las empresas que ments/boletines/auditoria-control/b13.pdf
desean obtenerlo. [6] R. Quintero, TI y la entrega de valor en la empre-
sa, 2013. [En línea]. Disponible en: https://www.
auditool.org/blog/auditoria-de-ti/603-ti-y-la-entre-
AGRADECIMIENTOS ga-de-valor-en-la-empres
Nivel de capacidad en las empresas de acuerdo con COBIT
21