ANÁLISIS DE MADUREZ Y CAPACIDAD DE PROCESOS

SEGÚN COBIT 5

Omar Jesús Orta Pedroza

@omarorta

Toda organización que pretenda optimizar sus recursos tecnológicos, y por lo tanto, ser más
competitiva, requiere comprender el estado de los Procesos que Gestionan sus Sistemas de
Tecnología de Información y Comunicaciones (TIC), con la finalidad de establecer el nivel de
administración y control adecuado que debe proporcionar a sus Sistemas.

Para decidir el nivel adecuado, la Gerencia TIC debe realizar un estudio detallado donde se
indique la realidad de su Gestión actual, y su posición frente a la competencia, con esto como
base podrá plantear a la Alta Gerencia las prioridades de atención, para que estos últimos
puedan alinear estas necesidades con la estra

tegia de la empresa, y conjuntamente con la Gerencia TIC, establecer un Plan de Acción que
garantice beneficios para la organización.

Ahora bien, es conocido que el desempeño de las actividades diarias de la Gerencia TIC, suele
ofuscar una visión objetiva del estado de sus procesos, y por ende medir la eficiencia de su
Gestión. Por esto, muchas veces, las organizaciones requieren los servicios de una empresa
externa, quien pueda tasar de forma imparcial el estado de sus procesos de Gestión TIC,
identificar donde se requieren mejoras, y proponer hacia donde deben ir.

Está práctica, se traduce, sin lugar a dudas, en beneficio para la organización puesto que en la
actualidad es imperativo lograr evolucionar las TIC para adecuarse a la estrategia de la empresa,
funcionando entonces como optimizador de recursos y por ende las TIC ́s agregaran valor a las
actividades operacionales y de gestión empresarial en general, permitiendo a la organización
obtener ventajas competitivas, permanecer en el mercado y centrarse en su negocio.
Para lograrlo, solemos basarnos en el marco de referencia CobIT (actualmente versión 5), quien
sugiere medir la madurez de los procesos a través del “Process Capability Model”, el cual está
basado en el estándar “ISO/IEC 15504 Software Engineering – Process Assessment Standard”.
Esta evaluación es muy exigente respecto a lo que debe cumplir cada proceso para ascender de
nivel, y permite, entre otras cosas, lo siguiente:

 Establecer un punto de referencia para la evaluación de la capacidad.

 Realizar revisiones sobre “el estado actual” y “el estado objetivo” para asistir al órgano
de Gobierno y de Gestión de la empresa en la toma de decisiones de inversiones para la mejora
de procesos.
 Realizar un análisis de carencias e información sobre la planificación de mejoras para
apoyar la definición de proyectos de mejora justificables.
 Proporcionar al órgano de Gobierno y de Gestión de la empresa los porcentajes de
evaluación para medir y monitorizar la capacidad actual.

Antes de continuar comentando sobre este tipo de evaluación, debemos establecer una serie
de conceptos que nos permitirán entender el resto del artículo. Estos conceptos claves son:

Calidad: Para las necesidades de este tipo de evaluación, tomaremos el enfoque de la CMMI
que establece que la calidad de un producto o servicio está altamente influenciada por el
proceso que se utiliza. Para el establecimiento o medición del nivel de implantación de las
prácticas descritas en el modelo se utilizan dos enfoques, que permiten alcanzar los mismos
resultados pero utilizando estrategias diferentes.

Nivel de madurez: Cuando se habla de un nivel de madurez se debe entender como un conjunto
de prácticas, preestablecidas por el modelo, que se deben garantizar por la Organización en su
conjunto. Es decir, o se cumplen todas o no se tiene el nivel de madurez. En términos del modelo
son las áreas de proceso que se consideran en cada nivel de madurez y que van evolucionando.

Nivel de capacidad: En el caso de los niveles de capacidad la comparación es más compleja

porque tendría que evaluarse por cada área de proceso el nivel que se tiene. Aquí el análisis
cambia en el sentido de que por cada área de proceso se evoluciona de generar los artefactos
o resultados del proceso, a gestionar la ejecución del proceso hasta tenerlo definido como
proceso estándar. Pero nuevamente es un análisis individual y no de conjunto. La idea es que
mejora la calidad de los productos propios del proceso y en su conjunto contribuyen a mejorar
la calidad del producto o servicio que se desarrolla.

Entonces, para concluir, debemos entender de estos conceptos, que en la medida que se
evoluciona en los niveles de madurez, o capacidad la Organización posee elementos para
ofrecer una mayor calidad en el producto o servicio.
Ahora bien, entendido esto, pasamos a explicar que el proceso de evaluación propuesto por
CobIT, el Modelo de Evaluación de Procesos (PAM), este modelo ofrece una base para la
evaluación de los procesos de una empresa de forma fiable, consistente y repetible, basada en
la evidencia para evaluar la capacidad de los procesos TIC. Este modelo se basa en dos
dimensiones, donde se integran las Capacidades que evalúa la ISO 15504 y los Procesos
propuestos por CobIT:

 Dimensión del proceso: en esta dimensión se definen un conjunto de procesos

característicos con declaraciones de propósitos y resultado de cada proceso.
 Dimensión de la capacidad del proceso: consiste en el marco de medición que abarca
los seis niveles de capacidad de proceso y sus atributos de proceso.

Niveles de Capacidad

Lo que deseamos con este tipo de evaluación, es conocer la capacidad de los procesos
implementados por una organización, lo que se traduce en determinar la información y los
datos que los caracterizan, y el grado en el cual estos logran el propósito para el cual fueron
desarrollados. Este grado será medido de acuerdo a un conjunto de Atributos de Procesos (PA),
donde cada uno de estos mide un aspecto particular de su capacidad.

Atributos de Proceso

Como ya hemos comentado anteriormente, el PAM de CobIT 5 se compone de un conjunto de

indicadores de desempeño y capacidad del proceso, los cuales se utilizan como base para
recopilar pruebas objetivas que permitan asignar calificaciones. Estas pruebas corresponde a
cada una de las dimensiones previamente indicada:

Para concluir con el análisis de Madurez, es importante destacar que la decisión de una
organización de invertir en la mejora de los procesos TIC debe estar basada en la comprensión
de la importancia estratégica para cada uno de sus objetivos. El resultado de esta evaluación
permitirá diseñar un plan de Acción para la optimización de los procesos y recursos de la gestión
TIC.

Para ello se debe desarrollar una lista de prioridades de los objetivos que requieren mayor
atención, y a través de las buenas prácticas aplicables en el dominio de interés optimizar su
Gestión. Luego se puede alinear esta lista con la estrategia de la Empresa, lo que permitirá
comenzar a recorrer el camino a la mejora Organizacional.
 COBIT, una metodología que genera valor en las
empresas
Jonathan Hernández Hernández
Universidad Piloto de Colombia
jonathanhernandezhe@gmail.com
Bogotá D.C.
Resumen- En muchas organizaciones, la tecnología de la
información (TI) se ha vuelto vital en el apoyo, la sostenibilidad
y el crecimiento del negocio. las TI se han posicionado como un
recurso cada vez más estratégico dentro de las organizaciones.
Este uso generalizado de la tecnología ha creado una
dependencia de TI que requiere un enfoque específico en el
Gobierno de TI que permita aprovechar y asegurar no solo los
recursos que posee, sino también mejorar la prestación de los
servicios de TI hacia las demás áreas usuarias de la información,
desde esta perspectiva el modelo COBIT se ha establecido como
herramienta clave en las organizaciones para apoyar la
aplicación y ejecución de todos sus procesos, a través del uso
adecuado de las tecnologías de la información y comunicación
como soporte para la consecución exitosa de los mismos.
Palabras Clave- COBIT, valor, tecnologías de la información
I. INTRODUCCIÓN
Las tecnologías de la información juegan un papel
importante en las organizaciones. A lo largo de los años,
estas han pasado de brindar soporte de transacciones a
permitir una ventaja competitiva para las organizaciones. Las
TI son fundamentales para que las organizaciones
proporcionen la agilidad necesaria para detectar y responder
a las fuerzas competitivas y del mercado.
El crecimiento en el uso de TI dentro y entre las
organizaciones ha requerido la necesidad de varias
estructuras y procesos de gobierno, por tal motivo COBIT
brinda un marco de trabajo integral, que ayuda a las
organizaciones a lograr sus objetivos en base a la
implementación de procesos de Gobierno y de Gestión de TI,
alineando los objetivos de TI con los objetivos del negocio,
creando valor y generando beneficios a los diferentes
interesados (stakeholders) en el uso de las TI dentro y fuera
de la organización, optimizando el riesgo (reduciéndolo a
niveles tolerables), midiendo el desempeño de las TI y
administrando adecuadamente los recursos disponibles.
Adicionalmente COBIT permite una gestión completa de las
TI, es decir involucra a la organización por completo,
permitiendo la interacción de todas las unidades funcionales
y considerando sus intereses relacionados con TI lo que
genera una cadena de valor por ser la herramienta que
permite a los gerentes comunicarse y salvar la brecha
existente entre los requerimientos de control, aspectos
técnicos y riesgos de negocio ya que habilita una política
clara y de buenas practicas de control de TI a nivel mundial
[1].
Con la finalidad del aseguramiento del valor provisto por
TI a la organización, es necesario, pasar de un paradigma de
TI como recolector y cumplidor de requerimientos de sus
grupos de interés, a un paradigma de TI como socio-
colaborador y facilitador clave de soluciones de negocio. El
establecimiento de un buen gobierno y gestión de TI es
fundamental para asegurar lo anterior [2].
II. ASPECTOS GENERALES
COBIT, tiene como objetivo administrar el despliegue de
TI en las organizaciones. Conocido por sus siglas en ingles
como Control Objetives for Information and related
Technology, ha sido diseñado para ser la herramienta de
gobierno de TI que ayuda a entender y administrar los riesgos
y beneficios asociados con la tecnología de información [3].
Se define como la herramienta que permite a los gerentes
comunicarse y salvar la brecha existente entre los
requerimientos de control, aspectos técnicos y riesgos de
negocio, ya que habilita una política clara y de buenas
practicas de control de TI a nivel mundial [4].
Una de las principales ventajas de COBIT es su
orientación de los negocios [5], al definir varios procesos en
un contexto de apoyo de los servicios de TI a los procesos
internos de la compañía e interrelacionarse entre sí.
Las empresas han encontrado en estándares como
COBIT, herramientas que les permiten llevar a cabo sus
esfuerzos y dar cumplimiento a los requerimientos de la
información y generación de valor alineados con los Planes
estratégicos, este modelo admite el desarrollo de las políticas
y buenas prácticas para el control de las tecnologías en toda
la organización y provee principios globalmente aceptados,
practicas, herramientas de análisis y modelos que ayudan a
incrementar la confianza y el valor de la información.
Desde su nacimiento, ha ido evolucionando desde su
propósito inicial de auditoría de TI, pasando por Control,
Gestión de TI, Gobierno de TI, hasta el enfoque holístico de
gobierno corporativo de TI en su versión actual, tal como se
aprecia en la figura 1, que tiene a la tecnología y a la
información como protagonistas en la creación de valor para
las empresas integrando un modelo de Negocios para la
Seguridad de la Información (BMIS, Business Model for
Information Security) y el Marco de Referencia para el
Aseguramiento de la Tecnología de la Información (ITAF,
Information Technology Assurance Framework) [6].

Fig. 1. Principios de COBIT. Fuente: COBIT® 5, Figura 2. © 2012
ISACA®
A. Principios de COBIT
COBIT está conformado por principios y habilitadores,
los mismos que pueden ser utilizados por organizaciones de
cualquier tamaño, sin especificar la industria a la que
pertenecen bien sean comerciales, sin fines de lucro o en el
sector público [7].
Los principios que debe seguir una organización para
adoptar la gestión de TI se ilustran en la figura 2 [8].
Fig. 2. Evolución de COBIT. Fuente: COBIT® 5, adaptado de ISACA
1. Satisfacer las necesidades de las partes interesadas: se
alinean las necesidades de los accionistas con los objetivos
empresariales específicos, objetivos de TI y objetivos
habilitadores. Se optimiza el uso de recursos cuando se
obtienen beneficios con un nivel aceptable de riesgo.
2. Cubrir la Organización de forma integral: el gobierno
de TI y la gestión de TI son asumidos desde una perspectiva
global, de tal modo que se cubren todas las necesidades
corporativas de TI. Esto se aplica desde una perspectiva "de
punta a punta" basada en los 7 habilitadores de COBIT.
3. Aplicar un solo marco integrado: COBIT 5 integra los
mejores marcos de Information Systems Audit and Control
Association (ISACA) como Val IT, que relaciona los
procesos de COBIT con los de la gerencia requeridos para
conseguir un buen valor de las inversiones en TI. También se
relaciona con Risk IT, lanzado por ISACA para ayudar a
organizaciones a equilibrar los riesgos con los beneficios.
4. Habilitar un enfoque holístico: los habilitadores de
COBIT 5 están identificados en siete categorías que abarcan
la empresa de punta a punta. Individual y colectivamente,
estos factores influyen para que el gobierno de TI y la gestión
de TI operen en función de las necesidades del negocio.
5. Separar el Gobierno de la Administración: COBIT 5
distingue con claridad los ámbitos del gobierno de TI y la
gestión de TI. Se entiende por gobierno de TI las funciones
relacionadas con la evaluación, la dirección y el monitoreo de
las TI. El gobierno busca asegurar el logro de los objetivos
empresariales y también evalúa las necesidades de los
accionistas, así como las condiciones y las opciones
existentes. La dirección se concreta mediante la priorización
y la toma efectiva de decisiones. Y el monitoreo abarca el
desempeño, el cumplimiento y el progreso en función con los
objetivos acordados. La gestión está más relacionada con la
planificación, la construcción, la ejecución y el monitoreo de
las actividades alineadas con la dirección establecida por el
organismo de gobierno para el logro de los objetivos
empresariales.
En la figura 3 se ilustra la separación entre Gobierno y
Gestión que realiza COBIT, donde se propone que las
organizaciones implementen los procesos de gobierno y
administración de tal forma que las áreas claves queden
protegidas.
Fig. 3. COBIT 5 Separación entre Gobierno y Gestión. Adaptado de ISACA
Partiendo del enfoque holístico y teniendo en cuenta que
los elementos que permiten que los procesos y políticas se
desarrollen de una manera más fácil dentro de las
organizaciones, y que en consecuencia se van a reflejar en su
rendimiento y alcance de objetivos, COBIT propone una
interacción partiendo del elemento que considera clave para
la adopción y personalización del Gobierno de TI en cada
organización como lo son los Principios, Políticas y Marcos
de trabajo como se aprecia en la figura 4.
 Fig. 4. Habilitadores de COBIT. Fuente: COBIT® 5, Figura 12. © 2012
ISACA®

Dichos principios, son los vehículos para traducir el

comportamiento deseado en una orientación práctica para la
administración diaria, que siguiendo diversos procesos
describen una serie organizada de prácticas y actividades
para lograr determinados objetivos y producir resultados
como apoyo al logro de las metas globales relacionadas con
la TI; si la empresa cuenta con una estructura organizacional
definida para la toma de decisiones, el habilitador que Fig. 5. Cascada de metas de COBIT 5. Fuente: ISACA, COBIT 5, USA,
coadyuva a mantener firme la estructura organizacional 2012.
estaría dado por la cultura, ética y comportamiento en las
Las cuatro fases que componen la cascada de metas están
actividades de gobierno y administración unido a las
interrelacionadas y dependen unas de otras. En primer lugar,
personas, habilidades y competencias requeridas para
es importante establecer las motivaciones de las partes
completar exitosamente todas las actividades y para tomar las
interesadas para determinar que necesidades se crean entorno
decisiones correctas, así como para llevar a cabo las acciones
a las metas corporativas, las cuales han sido desarrolladas
correctivas. Sin embargo, y partiendo del hecho de considerar
utilizando las dimensiones del cuadro de mando integral
la información como el producto clave de la organización, el
(CMI. En inglés: Balanced Scorecard, BSC) que representan
habilitador 5, información, se encuentra presente en todo el
una lista de objetivos comúnmente usados que una empresa
ambiente de cualquier organización, como el recurso que la
puede definir por sí misma, para continuar en el tercer paso
mantiene funcionando; la información no es sólo un recurso
con las metas relacionadas con las TI que se resumen en la
sino la esencia misma de la empresa [9].
tabla 1.
La información también produce rendimientos ya que tiene la
misión de informar, revelar alternativas, reduce
incertidumbres y desvela soluciones entre otras cosas [10].

B. Cascada de Metas de COBIT 5

Cada empresa opera en un contexto diferente determinado por

factores externos y factores internos que requiere un sistema
de gobierno y gestión personalizado. Las necesidades de las
partes interesadas deben transformarse en una estrategia
corporativa factible. La cascada de metas de COBIT 5
permite transformar las necesidades de las partes interesadas
en metas corporativas, que desencadenan en metas
relacionadas con las TI para anidarse en metas catalizadoras
específicas, útiles y a medida. Esto permite establecer metas
específicas en todos los niveles y en todas las áreas de la
empresa en apoyo de los objetivos generales y requisitos de Tabla 1. Metas relacionadas con TI. [11].
las partes interesadas y de esta forma, soportar la alineación
entre las necesidades de la empresa y las soluciones y
servicios de TI. Alcanzar metas relacionadas con las TI requiere la aplicación
Este proceso se puede apreciar en la figura 5. satisfactoria y el uso de varios catalizadores. Los
catalizadores incluyen procesos, estructuras organizativas e
información y para cada uno de ellos puede definirse un
conjunto de metas relevantes en apoyo de las metas
relacionadas con TI.
Los catalizadores son factores que individual y
colectivamente influyen sobre si algo funcionará. Los
catalizadores son guiados por la cascada de metas, es decir,
objetivos de alto nivel relacionados con TI definen lo que los
diferentes catalizadores deberían conseguir. [12].
La cascada de metas es importante porque permite la
definición de prioridades de implementación, mejora y
aseguramiento del gobierno de las TI de la organización, que
se basa en metas corporativas (estratégicas) de la empresa y el
riesgo relacionado. En la práctica, la cascada de metas:
 Define objetivos y metas relevantes y tangibles a
varios niveles de responsabilidad
 Filtra la base de conocimiento de COBIT 5, sobre la
base de las metas corporativas, para extraer las guías
relevantes a incluir en proyectos específicos de
implementación, mejora o aseguramiento.
 Identifica claramente y comunica cómo (algunas veces
de forma muy operativa) los catalizadores son
importantes para alcanzar metas de la empresa.
C. Cuadro de Mando Integral
Es un sistema de control de gestión introducido en el ámbito
empresarial en 1992, diseñado para permitir a las empresas
conducir y monitorizar sus estrategias; desarrollado
inicialmente por Robert Kaplan y David Norton.
Este permite ver la organización desde cuatro perspectivas,
resumidas en la figura 6, ayudando a organizar los objetivos
estratégicos y aglutinarlos en función de aquellos elementos
sobre los que se fija una meta. Por lo tanto, las perspectivas
son áreas de actuación del CMI enfocadas a un determinado
ámbito de la organización.
Fig. 6. Perspectivas del Cuadro de Mando Integral
La aplicación del Cuadro de Mando Integral al ámbito de las
TI se conoce como IT BSC (IT Balanced Scorecard), figura 7,
gracias a adaptaciones hechas por los autores Van
Grembergen y Timmerman.
El cuadro de mando para las TI cambia las cuatro
perspectivas clásicas del BSC, ya que las TI son parte de la
organización y participan aportando valor a la organización.
Orientación al Usuario: Representa la evaluación de las TI
desde la perspectiva de usuario tanto interno como externo.
Excelencia Operacional: Representa los procesos empleados
en la estrategia, diseño, transición, operación y mejora
continua de los servicios y aplicaciones de TI
Orientación Futura: Representa los recursos tecnológicos y
humanos necesarios para entregar los servicios y aplicaciones
de TI.
Contribución al Negocio: Indica el valor creado desde TI para
el negocio.
Fig. 7. Cuadro de Mando Integral BSC TI
Cada una de estas perspectivas deben de ser trasladadas a
unas determinadas métricas que midan la situación actual, con
el objetivo de repetir periódicamente para confrontar con las
metas fijadas con anterioridad, de esa forma se determina si
los objetivos propuestos se alcanzan o en qué grado se
desvían. Un cuadro de mando integral de TI necesita dos tipos
de medidas, de resultado y de desempeño.
Las métricas de resultado sin métricas de desempeño no
indican como los resultados pueden ser alcanzados. Las
métricas de desempeño sin métricas de resultado pueden
inducir a inversiones sin saber si la estrategia es efectiva.
Este tipo de herramientas ayudan a reconocer el valor tangible
e intangible de TI, permiten entender cómo las TI están
contribuyendo al negocio a alcanzar sus objetivos, y ayuda a
conseguir un mayor acople entre las TI y el negocio, por lo
que se consigue definir y priorizar los proyectos estratégicos
de TI, según las necesidades de la organización.
III. COBIT 5 Y LA GOBERNABILIDAD DE LAS TI
La investigación sobre el gobierno de TI ha evolucionado
durante muchos años. Estudios anteriores consideraron el
aspecto de la centralización versus la descentralización de TI
y su impacto en varias funciones de TI en una organización,
por tal motivo es recomendable realizar en primer lugar un
proceso de evaluación y diagnóstico del Gobierno TI de la
organización. El análisis del Gobierno TI, en el marco de una
reflexión estratégica de Tecnologías de la Información, va a
permitir identificar los aspectos claves en el aporte de valor y
optimización de la función TI dentro de las organizaciones
que quieran competir a nivel mundial.
 Un mayor desarrollo en el área requería la necesidad de
considerar paradigmas alternativos para administrar las
funciones de TI en una organización [13]; por lo que se logro
articular un mecanismo de gobierno modelado en torno al
papel del gobierno con la división de responsabilidades
entre la unidad central de TI y las unidades de negocios
[14]. Estudios posteriores introdujeron el concepto de
gobierno de SI por primera vez para describir el lugar de la
autoridad de toma de decisiones relacionada con TI en las
organizaciones [15].
Después de casi dos décadas de investigación sobre el
gobierno de TI por parte de varios investigadores,
Sambamurthy y Zmud, observan que aún existe una gran
discrepancia en la forma en que se organiza la TI en la
práctica a partir de lo que se describe en la investigación.
Proponen una lógica de plataforma para describir el gobierno
de TI mediante la organización que incluye participantes
internos y externos [16] que a través del tiempo han logrado
abarcar una mayor influencia e importancia en la visión de
gobierno de TI permitiendo que la gobernabilidad en las
empresas se establezca en una prioridad para todas las
organizaciones.
El aumento del interés por la Gobernabilidad TI se debe a las
nuevas obligaciones para las empresas, que han surgido
debido a aspectos regulatorios como también a que
frecuentemente los proyectos TI se van fuera de control y
afectan profundamente los resultados de las organizaciones.
Un aspecto fundamental que tiene que ver con la
Gobernabilidad TI es que los sistemas de información ya no
pueden ser considerados como cajas negras. Hoy tanto los
directores de las empresas, como sus ejecutivos y personal
deben tener un conocimiento respecto a cuales son sus
funciones y como generan la información. Por otra parte las
nuevas regulaciones hacen responsables tanto a los directores
como a los gerentes de las compañías [17].
La disciplina de la Gobernabilidad TI deriva de la
Gobernabilidad Corporativa, y trata principalmente de la
relación entre el negocio y la gestión informática de una
organización. Resalta la importación de las materias
concernientes a TI en las organizaciones modernas y
recomienda que las decisiones estratégicas de TI deban ser
tomadas por el gobierno en vez de la administración en
cabeza del CEO u otros ejecutivos del área de TI.
Los objetivos principales de la Gobernabilidad TI son [18]:
1. Asegurar que las inversiones en TI generen valor
comercial.
2. Mitigar los riesgos asociados a las TI. Esto puede lograrse
por medio de la implementación de una estructura
organizacional con los roles, muy bien definidos, para las
funciones de información, procesos de negocios, aplicaciones,
infraestructura, etc.
La Gobernabilidad TI es soportada por otras disciplinas como
son:
 Gestión del portafolio TI.
 Arquitectura Corporativa -Enterprise Architecture.
 Gestión de proyectos informáticos.
 Gestión de los servicios TI.
Es reconocido que las TI son esenciales para manejar las
transacciones, la información y el conocimiento necesario
para ejecutar y sostener actividades económicas y sociales.
Estas actividades cada vez son más globalizadas y requieren
de la colaboración entre distintas entidades para ser
satisfactorias. Por consiguiente, las TI son parte fundamental
para soportar, sustentar y hacer crecer las organizaciones.
Mientras muchas empresas están de acuerdo con los
beneficios potenciales que les pueden dar las TI, las empresas
exitosas son las que logran entender y gestionar los riesgos
asociados a la implementación de nuevas tecnologías [19].
Componentes del Gobierno TI
Para alcanzar estos objetivos se debe estructurar un Gobierno
TI, que en general establecerá una arquitectura conformada
por los siguientes componentes que se aprecian en la figura 8.
- Estrategia: objetivos y líneas de actuación que garanticen el
alineamiento y la consecución de los objetivos del negocio
actuales y a futuro.
- Procesos: estructuración de los procesos TI para planificar,
ejecutar, controlar y corregir los servicios que se prestan.
- Organización: disponer los profesionales adecuados,
internos y externos, que garanticen la provisión de los
servicios según los acuerdos de nivel de servicio establecidos
con el negocio.
- Tecnología: arquitectura, infraestructuras y sistemas de
información que garanticen el soporte adecuado al negocio y
posibiliten la evolución que se precise.
- Gestión de recursos: administración óptima de los costes e
inversiones para maximizar la eficiencia en la producción y la
operación.
- Gestión de riesgos: control de los recursos para poder
garantizar la continuidad de los servicios TI, la fiabilidad de
los sistemas, su seguridad y su adecuado funcionamiento
según los acuerdos de nivel de servicio.
- Medición: monitorizar, medir e informar al negocio de la
implementación de la estrategia, fundamentalmente a través
de los objetivos que se definan y de los acuerdos de nivel de
servicio que se establezcan con el negocio.

Fig. 8. Componentes gobierno TI
En COBIT 5 se establece que “El Gobierno TI asegura que se
evalúan las necesidades, condiciones y opciones de las partes
interesadas para determinar que se alcanzan las metas
corporativas equilibradas y acordadas; estableciendo la
dirección a través de la priorización y la toma de decisiones; y
midiendo el rendimiento y el cumplimiento respecto a la
dirección y metas acordadas” [20].
IV. CREACIÓN DE VALOR, EN EL CONTEXTO DE
COBIT
Teniendo en cuenta el estándar determinado por COBIT 5, la
creación de valor es un objetivo del Gobierno de las TI, tal y
como se muestra en la figura 9, estableciendo un marco de
trabajo integral que ayuda a las empresas a crear el valor
óptimo desde TI, ayudando a mantener el equilibrio entre la
generación de beneficios, la optimización de los niveles de
riesgo y el uso de recursos. Esto permite que las TI y
relacionadas se gobiernen y administren de una manera
holística a nivel de toda la organización.
Fig. 9. Objetivo de gobierno TI
Las empresas existen para generar valor para sus partes
interesadas. Crear valor se identifica con la realización de
beneficios, y no solo es bueno para los accionistas de una
organización sino también es óptimo para la economía y el
resto de stakeholders. Los procesos internos de una empresa
son sólo los componentes básicos: es necesario organizarlos
para que finalmente sean eficaces en un entorno competitivo.
La estrategia de operaciones de estos procesos se convierten
en el eje alrededor del cual giran estos procesos para formar
cadenas de valor que se extienden más allá de los muros de la
empresa y abarcan a proveedores y a clientes consiguiendo
satisfacer los requerimientos de los usuarios finales [21].
La generación de valor consiste en una acción transformadora
de profundo impacto en las organizaciones por lo cual se
establecen fases que guían este proceso tales como la
prefactibilidad, la viabilidad y la sostenibilidad [22].
En la prefactibilidad, se busca identificar cuáles son las
oportunidades que existen para hacer uso de la tecnología y
atender las necesidades, apoyando al logro de los objetivos,
[23] las cuales se deben de evaluar en términos de impacto,
esfuerzo, costos y tiempo [24].
Una vez determinada cuál es la alternativa más factible de ser
implementada, se debe tomar la iniciativa para la
implementación como generación de valor.
En la viabilidad, se busca hacer realidad la generación de
valor de la fase previa, es decir, asumir la iniciativa
gestionando los recursos humanos y financieros que sean
necesarios, así como los riesgos asociados de llevarlo a cabo,
[25]. Es necesario contar con características de liderazgo para
asegurarse que esta iniciativa salga adelante.
En la sostenibilidad, se debe lograr que las iniciativas
persistan y evolucionen ante cambios que se puedan presentar
en el círculo empresarial, en caso de ser necesario repetir el
ciclo para la generación continua de valor [26].
COBIT como marco de gobierno puede ser aplicado en
diferentes frentes de TI buscando estar alineado al gobierno y
objetivos del negocio como creador de valor organizacional,
uno de estos frentes o apartados tiene un enfoque en la
protección de la información, considerando la seguridad de la
información como disciplina transversal y necesaria en toda
organización.
COBIT y la seguridad de la información
Partiendo de un enfoque general, la seguridad de TI tiene
como pilar fundamental la seguridad de la información, la
cual genera diversos lineamientos basados en los riesgos
identificados que influyen directamente en la ejecución de
cambios de configuración en los activos de TI.
La seguridad de la información se puede definir como algo
que asegura que, dentro de la empresa, la información está
protegida contra la divulgación a usuarios no autorizados
(confidencialidad), modificación incorrecta (integridad) y
acceso denegado cuando sea necesario (disponibilidad) [27].
La confidencialidad significa preservar las restricciones
autorizadas de acceso y divulgación, incluidos los medios
para proteger la privacidad y la información de la
organización.
En referencia a la integridad se traduce como la protección
contra la modificación o destrucción inapropiada de la
información, e incluye garantizar Información de no repudio y
autenticidad.
La disponibilidad significa garantizar el acceso y uso
oportuno y confiable de la información.
La seguridad de la información asume toda la gestión y
análisis de riesgos de seguridad en la organización, con el fin
de establecer procedimientos para que el área de seguridad de
TI aplique los controles para el tratamiento del riesgo
asociado.
El propósito de la seguridad en todos sus ámbitos de
aplicación es reducir riesgos hasta un nivel que sea aceptable
para los interesados en mitigar amenazas latentes, por otro
lado, con el notable aumento de la necesidad de la protección
de la información, de manera general COBIT contempla
aspectos puntuales, como niveles de riesgo aceptables,
continuidad, disponibilidad, cumplimiento legal
(regulaciones) y políticas internas.
Dentro de las ventajas y beneficios que ofrece COBIT para la
seguridad de la información se encuentran las siguientes:
 Disminución de la complejidad y mayor rentabilidad
generando un crecimiento en la satisfacción del
usuario, permitiendo una mejor toma de decisiones
basado en la matriz de riesgo definida.
 Mejora de la prevención, detección y recuperación de
amenazas lo que traduce en una reducción del
impacto en los incidentes de seguridad.
 Mejor comprensión de la información en toda la
organización.
 Proporciona orientación específica relacionada con los
habilitadores.
En este escenario toma relevancia la información, un recurso
clave desde el momento en el que es creada hasta su
destrucción, de manera que sea posible evadir las amenazas
que pudieran afectarla.
Tomando como punto central la seguridad de la información
como una disciplina transversal, por considerar aspectos de
protección de datos en cada actividad y proceso
desempeñado, COBIT ofrece algunos procesos que brindan
una guía básica para definir, operar y monitorear un sistema
para gestión de la seguridad, como son:
 APO13 Gestión de la seguridad (treceavo proceso del
dominio Alineación, Planeación y Organización).
 DSS04 Gestión de la continuidad (cuarto proceso del
dominio Entrega, Soporte y Servicio)
 DSS05 Gestión de servicios de seguridad (quinto
proceso del mismo dominio)
COBIT como marco de seguridad establece un enfoque
holístico de una empresa, definiendo las responsabilidades y
elementos que permitirán el desarrollo de un gobierno y la
gestión de la seguridad que incluirá las estructuras adecuadas
o políticas requeridas.
Por ejemplo, el proceso DSS05 Gestión de servicios de
seguridad, tiene como meta minimizar el impacto a la
organización debido a vulnerabilidades e incidencias de
seguridad de la información. Dentro de las prácticas de
gestión, se encuentra la protección contra el malware
(DSS05.01), gestión de la seguridad en red y conectividad
(DSS05.02), gestión de la seguridad endpoint (DSS05.03) o
gestión del acceso físico a activos de TI (DSS05.05).
Con COBIT actuando como integrador de otras metodologías
como ISO 27001, ITIL, ISO 9000 y COSO, entre otras, tal
como lo muestra la figura 10; las organizaciones mejoran sus
prácticas de negocio, tienen una mejor alineación basada en el
enfoque del negocio y se amplía la visión comprensible de lo
que es TI para la administración.
Fig. 10. Integración de COBIT con otras metodologías
COBIT ofrece un marco para regular la toma de decisiones
basadas en el control sobre TI, enfocado en validar que se
están generando cadenas de valor en la organización, teniendo
en cuenta todas las necesidades y las expectativas de las
partes interesadas que pueden afectar dicha toma de
decisiones con respecto a la evaluación de riesgos, el manejo
de recursos y los beneficios.
A través de COBIT se pretende alinear la seguridad de la
información con los objetivos de la empresa, empleando
prácticas de gobierno y gestión completamente enfocadas en
la seguridad.
V. CONCLUSIONES
COBIT 5 reúne los cinco principios que permiten a la
organización construir un marco efectivo de Gobierno y
Administración basado en una serie holística de siete
habilitadores, que optimizan la inversión en tecnología e
información, así como su uso en beneficio de las partes
interesadas.
COBIT 5 ha integrado la gobernabilidad de TI
empresarial dentro de la gobernabilidad empresarial no sólo
enfocándose en la función de TI, determinando roles
detallados, actividades entre los diferentes interesados, sino
que es el órgano encargado de la gobernabilidad,
administración, operaciones y el equipo de ejecución para
tener una visión integral de las responsabilidades y la
rendición de cuentas en las organizaciones.
La implantación de estándares y el seguimiento del
método COBIT se convierten en una herramienta para
optimizar la gestión de tecnología, y representa sólo un
conjunto de buenas practicas para el manejo de recursos y
requerimientos que permitan la Generación de Valor a la
organización.
COBIT, como framework de seguridad de la información
complementa los procesos y procedimientos con las mejores
prácticas, metas, métricas y prácticas de gobierno y gestión,
buscando que sean adoptadas y adaptadas a las
características y necesidades de cada organización que
busca proteger su información y lograr la misión y los
objetivos estratégicos de negocio.
COBIT ayuda a las empresas a crear el valor óptimo
desde TI manteniendo el equilibrio entre la generación de
beneficios y la optimización de los niveles de riesgo y el uso
de recursos.
[20]. ISACA. COBIT5: Un marco de negocio para el gobierno y la gestión de
las TI de la empresa. USA. 2012.
[21]. Krajewski, J, R, M, M. Administración de operaciones "Procesos y
Cadenas de Valor". 2014.
[22]. Herrera, T. F. La Innovación para la Generación de Valor en los
Procesos de Calidad. INGENIARE, pp. 14. 2016
[23]. Duque, J. L. Los procesos de cambio organizacional y la generación de
valor. Estudios Gerenciales, pp. 30, 131, 162-171. 2014
[24]. Anzola, P. B.-S.-M. La generación de valor a partir de innovaciones
organizativas: Efectos directos y moderadores*/Value generation
through organizational innovation: Direct and moderating effects. (46).
Universia Business Review, pp. 70. 2015.
[25]. Boscán, M. &. Gestión del capital intelectual en las empresas
manufactureras del sector plástico zuliano. Revista Arbitrada
Formación Gerencial, pp. 14, 1. 2016.
[26]. Salas, J. M. Del dominio del control financiero a una perspectiva
cualitativa del control de gestión. Revista Facultad de Ciencias
Económicas: Investigación y Reflexión, pp. 24(1), 5-11. 2016.
[27]. ISACA. COBIT 5 for Information Security. 2012

REFERENCIAS
[1] ISACF, Information systems Audit and control fundation. COBIT,
resumen ejecutivo. ISACF, CISA. 2da edición. Rolling Meadows,
USA. 1998.
[2] Salazar, A., & Informático, I. Modelo de implantación de Gestión del
Conocimiento y Tecnologías de Información para la Generación de
Ventajas Competitivas. Gestión del Conocimiento, pp. 1-16. 2000.
[3] ISACF, Information systems Audit and control fundation. COBIT,
Marco Referencial. ISACF, CISA. 2da edición. Rolling Meadows,
USA, pp. 6. 1998.
[4]. ISACF, Information systems Audit and control fundation. COBIT,
Marco Referencial. ISACF, CISA. 2da edición. Rolling Meadows,
USA, pp. 6. 1998.
[5]. ISACF, Information systems Audit and control fundation. COBIT,
Resumen Ejecutivo. ISACF, CISA. 2da edición. Rolling Meadows,
USA, pp. 3. 1998.
[6]. ISACF, Information systems Audit and control fundation. COBIT,
Marco Referencial. ISACF, CISA. 2da edición. Rolling Meadows,
USA. 1998.
[7] Bakry, S. H., & Alfantookh, A. IT governance practices: COBIT.
Applied Computing and Informatics, (5)2. 53-61. 2006.
[8]. Saavedra J., & Torres, A. Modelo de Gobierno de TI como apoyo al
proceso de transformación digital en empresas de la industria editorial.
pp 28-30. Universidad ICESI, Colombia. 2012.
[9]. Quintín, Martín. La informática como elemento dinamizador de las
nuevas tecnologías en la empresa, en Esic Market. Núm. 88. Abril-
Junio. Madrid. ISSN: 0212-1867. 1995.
[10]. Hornos, M., Araque F., & Abad, M. La gestión de la información como
clave para adquirir ventaja competitiva: los MIS, en Alta Dirección.
Número 199. Mayo. Barcelona. ISSN: 0002-6549. 1998.
[11]. ISACA. COBIT 5, Figura 12. 2012.
[12]. Monfort, Roberto. COBIT 5 y el cuadro de mando integral como
herramientas de gobierno de TI. Universitat Politecnica de Valencia,
pp. 14. 2015.
[13]. Olson, M. H., and Chervany, N. L."The Relationship between
Organizational Characteristics and the Structure of the Information
Services Function," MIS Quarterly (4:2), pp. 57-68. 1980.
[14]. Zmud, R. W., Boynton, A. C., and Jacobs, G. C. "The Information
Economy: A New Perspective for Effective Information Systems
Management," ACM SIGMIS Database (18:1), pp. 17-23. 1986.
[15]. Brown, C. V. "Examining the Emergence of Hybrid IS Governance
Solutions: Evidence from a Single Case Site," Information systems
research (8:1), pp. 69-94. 1997.
[16]. Sambamurthy, V., and Zmud, R. W. "Research Commentary: The
Organizing Logic for an Enterprise's IT Activities in the Digital Era—a
Prognosis of Practice and a Call for Research,"Information systems
research (11:2), pp. 105-114. 2000.
[17]. Nolan, R. and F. W. McFarlan (2005). “Information Technology and
the Board of Directors.” Harvard Business Review.2005.
[18]. GERRARD, M. IT Governance: Key Initiative Overview. Gartner.
http://www.gartner.com/it/initiatives/pdf/KeyInitiativeOverview_ITGov
ernance.pdf. 2010.
[19]. NATIONAL COMPUTING CENTRE. IT Governance Developing a
successful governance strategy. ISACA.
 Acreditación Institucional de Alta Calidad

Nivel de capacidad en las

empresas de acuerdo con COBIT
Capacity level in companies according to
COBIT
Christian René Castillo Carvajal1, Harold Andrés Castillo2, Oscar Alfonso
Fernández3
Para citar este artículo: Castillo, C., Castillo, H., y Fernández, O. (2019). Nivel de capacidad en las
empresas de acuerdo con COBIT. TIA, 7(1), pp. 16-21.

Resumen
Este artículo está diseñado para medir el nivel de capacidad en las empresas de acuerdo
Artículo de con el marco de trabajo de COBIT 5. En este sentido, se realizan una serie de pasos para
reflexión llegar a conocer el estado en que se encuentra la empresa. En primer lugar, se empieza con
la revisión de los objetivos a nivel de tecnología que se encuentren alineados con los de la
Fecha de recepción: empresa. En segundo lugar, el nivel de capacidad será medido de acuerdo con los controles
11-04-2018 que la empresa ha determinado para mitigar los riesgos que se presentan. Finalmente, la
Fecha de aceptación: empresa conocerá el nivel de capacidad con la que se cuenta por cada uno de sus procesos,
13-11-2019 y se podrá saber que se debe realizar para mejorar.
Palabras clave: COBIT 5, framework, gobierno de TI, nivel de capacidad, procesos.
ISSN: 2344-8288
Vol. 7 No. 1 Abstract
Enero - Junio 2019 This article is designed to measure the level of capacity in companies in accordance with the
Bogotá-Colombia COBIT 5 framework. In this sense, a series of steps are taken to get to know the state of the
company. First, it begins with the revision of the objectives at the technology level that are
aligned with those of the company. Second, the level of capacity will be measured according
https://revistas.udistrital.edu.co/index.php/tia/issue/archive

to the controls that the company has determined to mitigate the risks that arise. Finally, the
company will know the level of capacity available for each of its processes, and it will be
possible to know what must be done to improve.
Keywords: COBIT 5, capacity level, enterprise IT, framework, process.

1
Ingeniero de Sistemas, Universidad Distrital Francisco José de Caldas, Colombia. Correo electrónico: chrcastillo@gmail.com
2
Ingeniero de Sistemas, Universidad Distrital Francisco José de Caldas, Colombia. Correo electrónico: andre9_90@hotmail.com
3
Ingeniero de Sistemas, Universidad Distrital Francisco José de Caldas, Colombia. Correo electrónico: ocaferos@gmail.com

Publicación de la Facultad de Ingenieria

Tecnol.Investig.Academia TIA
 ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
INTRODUCCIÓN
Actualmente la tecnología es un apoyo para las
organizaciones en cuanto que es un activo valioso
para el desarrollo de los procesos internos y de
la información que esta genera y almacena. Por
lo tanto, esta tecnología con el pasar del tiempo
va evolucionando y con ella los procesos van
cambiando y actualizando, para esto COBIT da un
panorama de soporte y aplicación de procesos de
manera más eficaz.
Muchas de las empresas que existen en
Colombia desean aplicar marcos de trabajo o
frameworks a sus empresas por varias razones ya
que permite determinar en qué estado se encuentra
la empresa actualmente, saber que se debe realizar
para mejorar en el día a día los procesos internos
de acuerdo con el framework, reconocer los
beneficios en la tecnología de la información para
impulsar el valor de sus interesados, etc.
¿QUÉ ES COBIT?
Es un marco de trabajo integral que ayuda a las
empresas a alcanzar sus objetivos para el gobierno
y la gestión de las Tecnologías de la Información
(TI) corporativas. Dicho de una manera sencilla,
COBIT ayuda a las empresas a crear el valor
óptimo desde TI manteniendo el equilibrio entre la
Nivel de capacidad en las empresas de acuerdo con COBIT
generación de beneficios y la optimización de los
niveles de riesgo y el uso de recursos.
OBJETIVOS EN LA EMPRESA
Castillo, C., Castillo, H., y Fernández, O.
Como primer paso para conocer el nivel de
capacidad en la empresa es necesario que los
objetivos que fueron definidos en la Planeación
Estratégica de Tecnología de la Información (PETI)
se encuentren alineados de acuerdo con los
objetivos establecidos en la empresa y de acuerdo
con el modelo de negocio que este se adapta.
RIESGOS DE LA EMPRESA
Los riesgos son las probabilidades de que las
amenazas exploten los puntos débiles generando
pérdidas o daños en los activos que impactan los
objetivos de la organización. Estos representan para
la empresa perdidas sustanciales de reputación y
marca empresarial, y creciente competencia por lo
que se perderían clientes y a su vez dinero.
La ecuación de riesgo para cualquier empresa
se expresa de la siguiente forma:
RIESGO = ACTIVO + VULNERABILIDAD+
AMENAZA + POSIBILIDAD + IMPACTO.
Es por esto que la empresa debe determinar
qué riesgos son los que se encuentran presentes
y qué afecta directamente al incumplimiento de
los objetivos de TI para generar los controles que
mitiguen el impacto o la posibilidad con que se
presentan.
CONTROLES DE LA EMPRESA
Los controles son disposiciones establecidas por
la organización para mitigar la probabilidad de
existencia de riesgos que afectan los activos de
información. Estos pueden ser tipo administrativo,
técnico o físico dependiendo de la protección que
se realizará contra la amenaza.
• Control administrativo: si se desea que los
usuarios de una aplicación X tengan una
complejidad en la contraseña se debe generar
una política de contraseñas.
• Control técnico: si se desea que la empresa este
blindada contra páginas web que puedan afectar
a los activos por virus o similares se genera
bloqueos a nivel de firewall.
• Control físico: si la empresa no desea restringir
el acceso a ciertas áreas de la empresa se deben
implementar controles biométricos.
17
 ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
Estos controles tienen una forma de ejecución
ya sea manual, automático, semiautomático o
manual por su naturaleza, y un tipo de control de
tipo preventivo, correctivo, detectivo, disuasivo,
de monitoreo, etc., por lo tanto, es indispensable
que la empresa, que es la que conoce el negocio,
realice un análisis sobre qué realizar para mitigar
el riesgo, lo cual es posible mediante COBIT 5 ya
que se podrá establecer el nivel de capacidad con
el que cuenta la empresa.
NIVEL DE CAPACIDAD DE COBIT
COBIT define en su versión quinta (5) seis
niveles de capacidad que son alcanzados
independientemente de cada proceso enmarcado
en la empresa. Estos son listados a continuación:
• 0 proceso incompleto: El proceso no está
implementado o no alcanza su propósito. A
este nivel hay muy poca o ninguna evidencia
Nivel de capacidad en las empresas de acuerdo con COBIT
Castillo, C., Castillo, H., y Fernández, O.
Figura 1. Capacidad de Procesos COBIT 5.
Fuente: [1].
de ningún logro sistemático del propósito del
proceso.
• 1 proceso ejecutado (un atributo): El proceso
implementado alcanza su propósito.
• 2 proceso gestionado (dos atributos): El proceso
ejecutado descrito anteriormente está ya
implementado de forma gestionada (planificado,
supervisado y ajustado) y los resultados de su
ejecución están establecidos, controlados y
mantenidos apropiadamente.
• 3 proceso establecido (dos atributos): El proceso
gestionado descrito anteriormente está ahora
implementado usando un proceso definido que
es capaz de alcanzar sus resultados de proceso.
• 4 proceso predecible (dos atributos): El proceso
establecido descrito anteriormente ahora se
ejecuta dentro de límites definidos para alcanzar
sus resultados de proceso.
• 5 proceso optimizado (dos atributos): El proceso
predecible descrito anteriormente es mejorado
de forma continua para cumplir con las metas
empresariales presentes y futuros.
18
 ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
Estos procesos en su calificación son con
enfoque de la norma ISO/IEC 15504 en donde
se afirma que un nivel solo puede alcanzar el
siguiente nivel si cumple totalmente el nivel
inferior, ejemplo:
“Un nivel 3 de capacidad de proceso
(establecido) requiere que los atributos de
definición y despliegue del proceso se hayan
alcanzado ampliamente, sobre la consecución
completa de los atributos del nivel 2 de capacidad
de procesos (proceso gestionado)” COBIT 5.
Esto quiere decir que si el proceso gestionado
no se encuentra planificado, supervisado y
ajustado de tal manera que brinde resultados con
base en una correcta ejecución del proceso no se
podría encontrar en un nivel establecido porque
este define la existencia de un documento formal
de la correcta implementación para la obtención
de resultados.
Esto es verificado en la aplicación de cada uno
de los procesos internos de la organización para
dar un claro status o evaluación en general de la
organización específica por áreas de los procesos
internos que realiza la empresa. De acuerdo
con la evaluación específica se dan enfoques o
recomendaciones en la mejora y/o corrección de
procesos en ejecución para conseguir el objetivo
establecido por la Gestión de Tecnología (GT)
dentro de la empresa.
Estas recomendaciones están alineadas en los
Nivel de capacidad en las empresas de acuerdo con COBIT
procesos de COBIT 5 donde si son requeridos
en el gobierno participa el EDM (Evaluar,
Orientar y Supervisar) y si son enfocados en
la gestión realizada en los procesos internos
Castillo, C., Castillo, H., y Fernández, O.
de la organización participa los APO (Alinear,
Planificar y Organizar), el BAI (Construir, Adquirir
e Implementar), el DSS (Entregar, Dar Servicio y
Soporte) y el MEA (Supervisar, Evaluar y Valorar).
Los beneficios que proporciona COBIT 5 con
su modelo de capacidad son los siguientes:
• Enfoque mejorado en los procesos en
ejecución para confirmar que se está realmente
consiguiendo su objetivo y que está entregando
los resultados esperados.
• Confiabilidad y repetitividad mejorada de las
actividades y valoraciones de la evaluación
de la capacidad de los procesos reduciendo
discusiones y falta de acuerdo entre las partes
interesadas sobre los resultados de la evaluación.
• Incremento de la utilidad de los resultados de la
evaluación de la capacidad de los procesos ya
que el nuevo modelo establece una base para
que se lleven a cabo evaluaciones más formales
y rigurosas, tanto para propósitos internos como
externos.
• Cumplimiento con un estándar de evaluación de
procesos generalmente aceptado y de esta forma
con un fuerte soporte al enfoque de evaluación
de procesos por el mercado.
En la Figura 2, se muestra la categoría de
habilidades que pueden tener el campo de acción
los procesos de COBIT 5.
EVALUACIONES DE CAPACIDAD
Estas evaluaciones pueden ser utilizadas por varios
factores y con diferentes grados de rigor. Uno de
estos es el interno, que es con el fin de comparar
las distintas áreas de la empresa o para la mejora
de los mismos procesos para beneficio propio
de la empresa. Otro factor es el externo que son
enfocados en las evaluaciones formales, informes
y certificaciones.
MODELO DE REFERENCIA DE
PROCESOS DE COBIT 5
Para finalizar se expone el modelo de referencia
de procesos de COBIT 5, en la Figura 3, en
donde se encuentran los 37 procesos de COBIT
5 en la aplicación de gobierno y gestión de TI,
comúnmente llamados procesos catalizadores.
19
 ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia

Figura 2. Categorías de habilidades de COBIT 5.

Fuente: [1].
Nivel de capacidad en las empresas de acuerdo con COBIT
Castillo, C., Castillo, H., y Fernández, O.

Figura 3. Modelo de Referencia de Procesos de COBIT 5.

Fuente: [1]

20
 ISSN: 2344-8288 • Vol. 7 No. 1 • Enero - Junio 2019 • Bogotá-Colombia
CONCLUSIONES
• El nivel de capacidad que ofrece este marco de
trabajo (COBIT 5) va enmarcado en un proyecto
con inicio y fin, el cual se establece para medir el
nivel en el que se encuentra la organización de
acuerdo con los controles que ya se han definido
para mitigar los riesgos.
• De la revisión del nivel de capacidad en una
empresa se pueden establecer recomendaciones
para mejorar o generar controles suplementarios
para el cumplimiento del proceso en el que está
alineado.
• COBIT al ser un marco de trabajo brinda un
panorama de la gestión de TI empresarial, por
lo que cada empresa de acuerdo con su modelo
de negocio puede que no aplique a uno o varios
procesos que COBIT dispone.
RECOMENDACIONES
Como trabajo complementario a este se puede
pensar en las evaluaciones que se realizan con
respecto a este marco de trabajo pensando en las
certificaciones externas para las empresas que
desean obtenerlo.
AGRADECIMIENTOS
Nivel de capacidad en las empresas de acuerdo con COBIT
A Victor Vasquez y Dora Arismendi gerentes
de KPMG con experiencia de más de 10 años
auditando tecnología en Colombia por la estructura
Castillo, C., Castillo, H., y Fernández, O.
de este artículo y para la presentación de este a la
materia de Gestión y Modelado de la Información
de la especialización de Proyectos Informáticos de
la Universidad Distrital.
REFERENCIAS
[1] ISACA, Un marco de negocio para el gobierno y la
gestión de las TI de la empresa. COBIT 5. Rolling
Meadows, Illinois: ISACA, 2012.
[2] A. Almanza, La aplicación de Cobit en las organiza-
ciones ¿vale la pena el esfuerzo?, 2012. [En línea].
Disponible en: http://repository.unimilitar.edu.co/
bitstream/10654/6537/2/AlmanzaGomezAlvaroI-
van2012.pdf
[3] C. Francavilla, Como aporta COBIT 5 y gobernanza
de TI a la gobernanza empresarial, 2014. [En línea].
Disponible en: https://www.isaca.org/chapters8/
Montevideo/cigras/Documents/CIGRAS2014-CO-
BIT%20y%20Gobernanza%20de%20TI.pdf
[4] M. de la Torre, L. Giraldo, C. Villalta, Diagnóstico
para la implantación de COBIT en una empresa
de Producción. Área Piloto: Departamento de Sis-
temas, 2012. [En línea]. Disponible en: https://ds-
pace.ups.edu.ec/bitstream/123456789/2695/13/
UPS-GT000307.pdf
[5] Universidad EAFIT, COBIT: Modelo para auditoría
y control de sistemas de información, 2007. [En
línea]. Disponible en: http://www.eafit.edu.co/es-
cuelas/administracion/consultorio-contable/Docu-
ments/boletines/auditoria-control/b13.pdf
[6] R. Quintero, TI y la entrega de valor en la empre-
sa, 2013. [En línea]. Disponible en: https://www.
auditool.org/blog/auditoria-de-ti/603-ti-y-la-entre-
ga-de-valor-en-la-empres
21