Libros Cobit 2019 Unificado

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
Acerca de ISACA
Con casi 50 años de vida, ISACA® (isaca.org) es una organización global que ayuda tanto a individuos como a
empresas a alcanzar el potencial positivo de la tecnología. La tecnología impulsa el mundo de hoy e ISACA
proporciona a los profesionales los conocimientos, credenciales, educación y comunidad para avanzar en sus carreras
profesionales y transformar sus organizaciones. ISACA aprovecha la experiencia de su medio millón de profesionales
dedicados a información y ciberseguridad, gobierno, aseguramiento, riesgo e innovación, así como su filial de
desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la tecnología.
ISACA está presente en más de 188 países, con más de 217 capítulos y oficinas, tanto en Estados Unidos como en
China.
Descargo de responsabilidad
ISACA ha diseñado y creado Guía de diseño COBIT® 2019 : Diseño de una solución de Gobierno de Información y
Tecnología (el «Trabajo») fundamentalmente como un recurso educativo para los profesionales del gobierno
empresarial de información y tecnología(GEIT), aseguramiento, riesgo y seguridad. ISACA no asume ninguna
responsabilidad acerca de que el uso de cualquier parte del Trabajo garantice un resultado exitoso. No debe
considerarse que el Trabajo incluye toda la información, procedimientos y pruebas correctas, ni que excluye otra
información, procedimientos y pruebas que estén orientadas razonablemente hacia la obtención de los mismos
resultados. Para determinar la propiedad de cualquier información, procedimiento o prueba específicos, los
profesionales del gobierno empresarial de información y tecnología (GEIT), aseguramiento, riesgo y seguridad deben
aplicar su propio criterio profesional a las circunstancias específicas de los sistemas o entorno de tecnología de la
información particular.
Copyright
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite
www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología
ISBN 978-1-60420-793-4

IN MEMORIAM: JOHN LAINHART (1946-2018)
In Memoriam: John Lainhart (1946-2018)
Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura
clave en la creación del marco COBIT® y en los últimos años ejerció como presidente del grupo de trabajo de
COBIT ® 2019, que culminó con la creación de este trabajo. Durante sus cuatro décadas en ISACA, John participó
en distintos aspectos de la organización, además de contar con las certificaciones CISA, CRISC, CISM y CGEIT de
ISACA. John deja un increíble legado personal y profesional, y su trabajo ha tenido un gran impacto en ISACA.

Página intencionalmente en blanco

AGRADECIMIENTOS
Agradecimientos
ISACA desea agradecer a:
COBIT Working Group (2017-2018)
John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU.
Matt Conboy, Cigna, EE. UU.
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Bélgica
Geert Poels, Ph.D., Ghent University, Bélgica
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Graciela Braga, CGEIT, Auditor and Advisor, Argentina
James L. Golden, Golden Consulting Associates, EE. UU.
J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica
Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India
Jo Stewart-Rattray, CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich, Australia
Consejo de dirección de ISACA

Rob Clyde, CISM, Clyde Consulting LLC, EE. UU., Presidente
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, EE. UU., Vicepresidente
Tracey Dedrick, Ex Director de Riesgo con Hudson City Bancorp, EE. UU.
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Implementador y Asesor, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapur
R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, México
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, EE. UU.
Ted Wolff, CISA, Vanguard, Inc., EE. UU.
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CIA, CRMA, EGIT | Enterprise Governance of
IT (Pty) Ltd, Sudáfrica
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, EE. UU.,
Presidenta del Consejo de Administración de ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grecia, Presidente del Consejo de Administración
de ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Director Ejecutivo, ISACA, EE. UU.
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., EE. UU, Presidente del Consejo de Administración
de ISACA, 2014-2015
ISACA lamenta profundamente el fallecimiento de Robert E. Stroud en septiembre de 2018.


ÍNDICE
ÍNDICE
Lista de Figuras ..............................................................................................................................................11
Parte I - Proceso de diseño ................................................................................................................15
Capítulo 1. Introducción y propósito .........................................................................................15
1.1 Sistemas de gobierno....................................................................................................................................15
1.2 Estructura de esta publicación ......................................................................................................................15
1.3 Público objetivo de esta publicación ............................................................................................................16
1.4 Documentación Relacionada: Guía de implementación de COBIT ® 2019 .......................................................16
Capítulo 2. Conceptos básicos: Sistema de Gobierno y

Componentes ...................................................................................................................................................17
2.1 Introducción.................................................................................................................................................17
2.2 Objetivos de gobierno y gestión....................................................................................................................18
2.3 Componentes del sistema de gobierno...........................................................................................................20
2.4 Áreas prioritarias .........................................................................................................................................20
2.5 Niveles de capacidad ....................................................................................................................................20
2.6 Factores de diseño........................................................................................................................................21
2.6.1 ¿Por qué no existe un factor de diseño del sector industrial? ....................................................................28
Capítulo 3. Impacto de factores de diseño ........................................................................29

3.1 Impacto de factores de diseño.......................................................................................................................29
Capítulo 4. Diseño de un sistema de gobierno personalizado ........................31

4.1 Introducción.................................................................................................................................................31
4.2 Paso 1: Entender el contexto y estrategia de la empresa ................................................................................32
4.2.1 Entender la estrategia empresarial .........................................................................................................32
4.2.2 Entender las metas empresariales ..........................................................................................................32
4.2.3 Entender el perfil de riesgo ...................................................................................................................33
4.2.4 Entender los problemas actuales relacionados con I&T ...........................................................................33
4.2.5 Conclusión ..........................................................................................................................................33
4.3 Paso 2: Determinar el alcance inicial del sistema de gobierno .......................................................................33
4.3.1 Trasladar los factores de diseño a prioridades de gobierno y gestión ........................................................34
4.3.2 Considerar la estrategia empresarial (Factor de diseño 1) ........................................................................34
4.3.3 Considerar las metas empresariales y aplicar la cascada de metas COBIT (Factor de diseño 2) ...................35
4.3.4 Considerar el perfil de riesgo de la empresa (Factor de diseño 3) .............................................................36
4.3.5 Considerar los problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) ..................36
4.3.6 Conclusión ..........................................................................................................................................36
4.4 Paso 3: Perfeccionar el alcance del sistema de gobierno ................................................................................37
4.4.1 Considerar el escenario de amenazas (Factor de diseño 5) .......................................................................37
4.4.2 Considerar los requisitos de cumplimiento (Factor de diseño 6) ...............................................................38
4.4.3 Considerar el rol de TI (Factor de diseño 7) ...........................................................................................38
4.4.4 Considerar el modelo de abastecimiento de proveedores para TI (Factor de diseño 8) ................................39
4.4.5 Considerar métodos de implementación de TI (Factor de diseño 9) ..........................................................39
4.4.6 Considerar la estrategia de adopción de tecnología (Factor de diseño 10) .................................................40
4.4.7 Considerar el tamaño de la empresa (Factor de diseño 11) .......................................................................40
4.4.8 Conclusión ..........................................................................................................................................41
4.5 Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno ......................................................41
4.5.1 Resolver conflictos de prioridades inherentes .........................................................................................42
4.5.1.1 Propósito ...................................................................................................................................42
4.5.1.2 Estrategias de resolución .............................................................................................................42
4.5.1.3 Enfoque de resolución .................................................................................................................42

4.5.2 Finalizar el diseño del sistema de gobierno ............................................................................................43
4.5.2.1 Finalizar el diseño .....................................................................................................................43
4.5.2.2 Sostener el sistema de gobierno ..................................................................................................43
Capítulo 5. Conectando con la Guía de implementación

COBIT ® 2019 ....................................................................................................................................................45
5.1 Propósito de la Guía de implementación COBIT ® 2019 ................................................................................45
5.2 Método de Implementación de COBIT ..........................................................................................................45
5.2.1 Fase 1: ¿Cuáles son los impulsores? ......................................................................................................46
5.2.2 Fase 2: ¿Dónde estamos ahora? .............................................................................................................46
5.2.3 Fase 3: ¿Dónde queremos estar? ............................................................................................................47
5.2.4 Fase 4: ¿Qué debe hacerse? ...................................................................................................................47
5.2.5 Fase 5: ¿Cómo conseguiremos llegar? ....................................................................................................47
5.2.6 Fase 6: ¿Lo logramos? ..........................................................................................................................47
5.2.7 Fase 7: ¿Cómo mantenemos el impulso? ................................................................................................47
5.3 Relación entre la Guía de diseño COBIT y la Guía de implementación COBIT .............................................47
Parte II - Ejecución y ejemplos .......................................................................................................51

Capítulo 6. Kit de herramientas de diseño del sistema de gobierno ........51
6.1 Introducción.................................................................................................................................................51
6.2 Elementos básicos del kit de herramientas ....................................................................................................51
6.3 Paso 1 y paso 2: Determinar el alcance inicial del sistema de gobierno..........................................................52
6.3.1 Estrategia empresarial (Factor de diseño 1) ............................................................................................52
6.3.2 Metas empresariales y la aplicación de la cascada de metas de COBIT (Factor de diseño 2) .......................53
6.3.3 Perfil de riesgo de la empresa (Factor de diseño 3) .................................................................................54
6.3.4 Problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) .......................................55
6.3.5 Conclusión ..........................................................................................................................................56
6.4 Paso 3: Perfeccionar el alcance del sistema de gobierno ................................................................................58
6.4.1 Escenario de amenazas (Factor de diseño 5) ...........................................................................................59
6.4.2 Requisitos de cumplimiento (Factor de diseño 6) ....................................................................................60
6.4.3 Rol de TI (Factor de diseño 7) ...............................................................................................................61
6.4.4 Modelo de abastecimiento de proveedores para TI (Factor de diseño 8) ....................................................64
6.4.5 Métodos de implementación de TI (Factor de diseño 9) ...........................................................................63
6.4.6 Estrategia de adopción de tecnología (Factor de diseño 10) .....................................................................64
6.4.7 Tamaño de la empresa (Factor de diseño 11) ...........................................................................................65
6.4.8 Conclusión ..........................................................................................................................................65
Capítulo 7. Ejemplos .................................................................................................................................67

7.1 Introducción.................................................................................................................................................67
7.2 Ejemplo 1: Empresa de manufactura .............................................................................................................67
7.2.1 Paso 1: Entender el contexto y estrategia de la empresa ..........................................................................67
7.2.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ..................................................................71
7.2.3 Paso 3: Perfeccionar el alcance del sistema de gobierno ..........................................................................80
7.2.4 Paso 4: Finalizar el Diseño de la Solución de Gobierno ...........................................................................89
7.2.4.1 Objetivos de gobierno y gestión ..................................................................................................89
7.2.4.2 Otros componentes ....................................................................................................................91
7.2.4.3 Directrices para áreas prioritarias específicas ..............................................................................91
7.3 Ejemplo 2: Empresa de innovación de tamaño mediano.................................................................................92
7.3.1 Paso 1: Entender el contexto y estrategia de la empresa ..........................................................................92
7.3.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ..................................................................96
7.3.3 Paso 3: Perfeccionar el alcance del sistema de gobierno ........................................................................105
7.3.4 Paso 4: Finalizar el diseño de la solución de gobierno ...........................................................................115
7.3.4.1 Objetivos de gobierno y gestión ................................................................................................115
7.3.4.2 Otros componentes ...................................................................................................................118
7.3.4.3 Directrices para áreas prioritarias específicas .............................................................................118

ÍNDICE
7.4 Ejemplo 3: Agencia gubernamental de perfil alto ........................................................................................119
7.4.1 Paso 1: Entender el contexto y estrategia de la empresa .........................................................................119
7.4.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ................................................................123
Apéndices .........................................................................................................................................................137
Apéndice A: Tabla de asignación—Estrategias empresariales a objetivos de gobierno y gestión .........................137
Apéndice B: Tabla de asignación—Metas empresariales a metas de alineamiento ..............................................139
Apéndice C: Tabla de asignación—Metas de alineamiento a objetivos de gobierno y gestión .............................140
Apéndice D: Tabla de asignación—Riesgo de TI a objetivos de gobierno y gestión............................................141
Apéndice E: Tabla de asignación—Problemas relacionados con I&T a objetivos de gobierno y gestión ..............143
Apéndice F: Tabla de asignación—Escenario de amenazas a objetivos de gobierno y gestión.............................145
Apéndice G: Tabla de asignación—Requisitos de cumplimiento a objetivos de gobierno y gestión.....................146
Apéndice H: Tabla de asignación—Rol de TI a objetivos de gobierno y gestión.................................................147
Apéndice I: Tabla de asignación—Modelo de abastecimiento de proveedores para TI a objetivos de gobierno
y gestión ..........................................................................................................................................................148
Apéndice J: Tabla de asignación—Métodos de implementación de TI a objetivos de gobierno y gestión ...........149
Apéndice K: Tabla de asignación—Estrategias de adopción de tecnología a objetivos de gobierno y gestión ......150

10

LISTA DE FIGURAS
LISTA DE FIGURAS
Capítulo 2. Conceptos básicos: Sistema de Gobierno y Componentes
Figura 2.1—Generalidades de COBIT .......................................................................................................................17
Figura 2.2—Modelo Core de COBIT.........................................................................................................................19
Figura 2.3—Niveles de capacidad para los procesos ..................................................................................................21
Figura 2.4—Factores de diseño de COBIT ................................................................................................................22
Figura 2.5—Factor de diseño de estrategia empresarial .............................................................................................22
Figura 2.6—Factor de diseño de metas empresariales ................................................................................................22
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) ...........................................................23
Figura 2.8—Factor de diseño de problemas relacionados con I&T .............................................................................26
Figura 2.9—Factor de diseño del escenario de amenazas ...........................................................................................26
Figura 2.10—Factor de diseño de los requisitos de cumplimiento ..............................................................................27
Figura 2.11—Factor de diseño del rol de TI ..............................................................................................................27
Figura 2.12—Factor de diseño de modelo de abastecimiento de proveedores para TI .................................................27
Figura 2.13—Factor de diseño de métodos de implementación de TI .........................................................................27
Figura 2.14—Factor de diseño de estrategia de adopción de tecnología......................................................................28
Figura 2.15—Factor de diseño de tamaño de la empresa ............................................................................................28
Capítulo 3. Impacto de factores de diseño

Figura 3.1—Impacto de factores de diseño en el sistema de gobierno ........................................................................29
Capítulo 4. Diseño de un sistema de gobierno personalizado

Figura 4.1—Flujo de trabajo del diseño del sistema de gobierno ..................................................................................31
Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de estrategia
empresarial..................................................................................................................................................................34
Figura 4.3—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de escenario de amenazas ..37
Figura 4.4—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de requisitos de
cumplimiento ..............................................................................................................................................................38
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de TI .......................38
Figura 4.6—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de modelo de
abastecimiento de proveedores para TI ........................................................................................................................39
Figura 4.7—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de métodos de
implementación de TI ..................................................................................................................................................40
Figura 4.8—Prioridad de los objetivos de gestión y gobierno asignada a un factor de diseño de estrategia de
adopción de tecnología ................................................................................................................................................40
Figura 4.9—Prioridad de los objetivos de gestión y gobierno asignada a un factor de diseño de tamaño de la empresa .41
Figura 4.10—Paso 4 del diseño del sistema de gobierno—Conclusión..........................................................................41
Capítulo 5. Conectando con la Guía de implementación COBIT® 2019

Figura 5.1—Hoja de ruta de implementación COBIT.................................................................................................46
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT ......................48
Capítulo 7. Ejemplos
Figura 7.1—Ejemplo 1, Paso 1.1: Estrategia empresarial ...........................................................................................67
Figura 7.2—Ejemplo 1, Paso 1.2: Metas empresariales ..............................................................................................68
Figura 7.3—Ejemplo 1, Paso 1.3: Riesgo Perfil .........................................................................................................69
Figura 7.4—Ejemplo 1, Paso 1.4: I&T-Problemas relacionados .................................................................................70
Figura 7.5—Ejemplo 1, Paso 2.1: Estrategia empresarial ...........................................................................................71
Figura 7.6—Ejemplo 1, Paso 2.1: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 1 Estrategia empresarial ..............................................................................................................72
Figura 7.7—Ejemplo 1, Paso 2.2: Metas empresariales ..............................................................................................73
Figura 7.8—Ejemplo 1, Paso 2.2: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 2 Metas empresariales.................................................................................................................74
Figura 7.9—Ejemplo 1, Paso 2.3: Perfil de riesgo .....................................................................................................75
11

Figura 7.10—Ejemplo 1, Paso 2.3: Importancia derivada de Objetivos de Gobierno/Gestión para el
Factor de diseño 3 Perfil de riesgo ............................................................................................................................76
Figura 7.11—Ejemplo 1, Paso 2.4: Problemas relacionados con I&T .........................................................................77
Factor de diseño 4 Problemas relacionados con I&T..................................................................................................78
Figura 7.13—Ejemplo 1, Paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión.......79
Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno.....................................................................80
Figura 7.15—Ejemplo 1, paso 3.1: Escenario de amenazas ........................................................................................82
Figura 7.16—Ejemplo 1, paso 3.1: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 5 Escenario de amenazas.............................................................................................................82
Figura 7.17—Ejemplo 1, paso 3.2: Requisitos de cumplimiento.................................................................................83
el Factor de diseño 6 Requisitos de cumplimiento .....................................................................................................84
Figura 7.19—Ejemplo 1, paso 3.3: Rol de TI.............................................................................................................84
el Factor de diseño 7 Rol de TI .................................................................................................................................85
Figura 7.21—Ejemplo 1, paso 3.4: Modelo de abastecimiento de proveedores para TI ...............................................86
el Factor de diseño 8 Modelo de abastecimiento de proveedores para TI ....................................................................86
Figura 7.23—Ejemplo 1, paso 3.5: Métodos de implementación de TI .......................................................................87
el Factor de diseño 9 Métodos de implementación de TI ............................................................................................87
Figura 7.25—Ejemplo 1, paso 3.6: Estrategia de Adopción de Tecnología..................................................................88
el Factor de diseño 10 Estrategia de Adopción de Tecnología ....................................................................................88
Figura 7.27—Ejemplo 1, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño)...89
Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de Proceso....................90
Figura 7.29—Ejemplo 2, paso 1.1: Estrategia empresarial .........................................................................................92
Figura 7.30—Ejemplo 2, paso 1.2: Metas empresariales ............................................................................................93
Figura 7.31—Ejemplo 2, paso 1.3: Perfil de riesgo....................................................................................................94
Figura 7.32—Ejemplo 2, paso 1.4: Problemas relacionados con I&T .........................................................................95
Figura 7.33—Ejemplo 2, paso 2.1: Estrategia empresarial .........................................................................................96
Figura 7.34—Ejemplo 2, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para
el Factor de Diseño 1 Estrategia empresarial .............................................................................................................97
Figura 7.35—Ejemplo 2, paso 2.2: Metas empresariales ............................................................................................98
el Factor de Diseño 2 Metas empresariales ...............................................................................................................99
Figura 7.37—Ejemplo 2, paso 2.3: Perfil de riesgo ..................................................................................................100
el Factor de Diseño 3 Perfil de riesgo......................................................................................................................101
Figura 7.39—Ejemplo 2, paso 2.4: Problemas relacionados con I&T........................................................................102
el Factor de Diseño 4 Problemas relacionados con I&T ...........................................................................................103
Figura 7.41—Ejemplo 2, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión .....104
Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 ................................105
Figura 7.43—Ejemplo 2, paso 3.1: Escenario de amenazas ......................................................................................107
el Factor de Diseño 5 Escenario de amenazas ..........................................................................................................107
Figura 7.45—Ejemplo 2, paso 3.2: Requisitos de cumplimiento ...............................................................................109
el Factor de Diseño 6 Requisitos de cumplimiento...................................................................................................109
Figura 7.47—Ejemplo 2, paso 3.3: Rol de TI ...........................................................................................................110
el Factor de Diseño 7 Rol de TI...............................................................................................................................110
Figura 7.49—Ejemplo 2, paso 3.4: Modelo de abastecimiento de proveedores para TI..............................................112
el Factor de Diseño 8 Modelo de abastecimiento de proveedores para TI..................................................................112
Figura 7.51—Ejemplo 2, paso 3.5: Métodos de implementación de TI......................................................................113
12

LISTA DE FIGURAS
Figura 7.52—Ejemplo 2, paso 3.5: Importancia derivada de los objetivos de gobierno/gestión para
el Factor de Diseño 9 Métodos de implementación de TI .........................................................................................113
Figura 7.53—Ejemplo 2, paso 3.6: Estrategia de adopción de tecnología..................................................................114
Figura 7.54—Ejemplo 2, paso 3.6: Importancia derivada de los objetivos de gobierno/gestión para
el Factor de Diseño 10 Estrategia de adopción de tecnología ...................................................................................114
Figura 7.55—Ejemplo 2, paso 4.1: Importancia de los objetivos de gobierno y gestión (Todos los factores
de diseño) ...............................................................................................................................................................116
Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de procesos .................117
Figura 7.57—Ejemplo 3, paso 1.1: Estrategia empresarial .......................................................................................119
Figura 7.58—Ejemplo 3, paso 1.2: Metas empresariales ..........................................................................................120
Figura 7.61—Ejemplo 3, paso 2.1: Estrategia empresarial .......................................................................................123
el Factor de diseño 1 Estrategia empresarial ............................................................................................................123
Figura 7.63—Ejemplo 3, paso 2.2: Metas empresariales ..........................................................................................124
el Factor de diseño 2 Metas empresariales ...............................................................................................................125
el Factor de diseño 3 Perfil de riesgo ......................................................................................................................127
el Factor de diseño 4 Problemas relacionados con I&T ...........................................................................................129
Figura 7.69—Ejemplo 3, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión .....130
Figura 7.70—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 3 ................................131
Figura 7.71—Ejemplo 3, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño) .132
Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso......................133
Figura 7.73—Ejemplo 3, paso 4: Estructuras organizativas ......................................................................................135
Apéndices
Figura A.1—Asignación de estrategia empresarial a objetivos de gobierno y gestión ...............................................137
Figura A.2—Asignación de metas empresariales a metas de alineamiento ................................................................139
Figura A.3—Asignación de metas de alineamiento a objetivos de gobierno y gestión ...............................................140
Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión ..............................................................141
Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión ...............................143
Figura A.6—Asignación de escenario de amenazas a objetivos de gobierno y gestión ..............................................145
Figura A.7—Asignación de requisitos de cumplimiento a objetivos de gobierno y gestión .......................................146
Figura A.8—Asignación del rol de TI a objetivos de gobierno y gestión ..................................................................147
Figura A.9—Asignación del modelo de abastecimiento de proveedores para TI a objetivos de gobierno y gestión ....148
Figura A.10—Asignación de métodos de implementación de TI a objetivos de gobierno y gestión ...........................149
Figura A.11—Asignación de estrategias de adopción de tecnología a objetivos de gobierno y gestión ......................150
13

14

CAPÍTULO 1
INTRODUCCIÓN Y PROPÓSITO
Parte I
Proceso de diseño
Capítulo 1
Introducción y propósito
1.1 Sistemas de gobierno
Esta publicación describe cómo una empresa puede diseñar una solución de gobierno empresarial para la
información y la tecnología (I&T). Un sistema de gobierno de I&T eficiente y eficaz es el punto de partida para
generar valor. Esto se aplica a todo tipo y tamaño de empresas. El gobierno de un dominio complejo, como la I&T,
requiere de multitud de componentes, incluyendo procesos, estructuras organizativas, flujos de información y
comportamientos. Todos estos elementos deben funcionar al unísono de forma sistémica; por ello, esta publicación
aborda la solución de gobierno personalizada que toda empresa debería crear como «el sistema de gobierno para I&T
de la empresa» o «sistema de gobierno», en su forma abreviada.
No hay un único sistema de gobierno apto para la I&T de todas las empresas. Cada empresa cuenta con su propio
perfil y carácter, que se diferenciarán de otras organizaciones en varios aspectos críticos: el tamaño de la empresa, el
sector industrial, el entorno regulatorio, el escenario de amenazas, el papel de TI en la organización y las opciones
tácticas relacionadas con la tecnología, entre otros. Todos estos aspectos, a los que COBIT® se refiere de forma
conjunta como los factores de diseño, precisan que las organizaciones personalicen sus sistemas de gobierno para
obtener el máximo valor de su uso de la I&T.
Dicha personalización significa que una empresa debe empezar con el modelo Core de COBIT® , y a partir de ahí,
aplicar cambios al marco genérico dependiendo de la relevancia e importancia de una serie de factores de diseño.
Este proceso se denomina «diseñar el sistema de gobierno para la I&T de la empresa».
1.2 Estructura de esta publicación
Esta publicación contiene las partes, capítulos y apéndices principales siguientes:
Parte I: Proceso de diseño

 El capítulo 1 proporciona una introducción en la que se indica la estructura y el público objetivo.
 El capítulo 2 revisa los conceptos y definiciones principales de la publicación Marco de referencia COBIT® 2019:
Introducción y metodología, incluido el concepto de factor de diseño.
 El capítulo 3 explora las implicaciones de los factores de diseño en el diseño de la solución de gobierno.
 El capítulo 4 es el núcleo de la publicación. Este capítulo presenta un flujo de trabajo para el diseño de una
solución de gobierno empresarial y para ello tiene en cuenta todos los posibles factores de diseño. El flujo de
trabajo consiste en cuatro pasos distintos y tiene como resultado una solución de gobierno personalizada.
 El capítulo 5 explica cómo se relaciona esta publicación con la Guía de implementación de COBIT® 2019, y cómo
deben usarse ambas conjuntamente.
Parte II: Ejecución y ejemplos

 El capítulo 6 introduce el kit de herramientas de la Guía de diseño COBIT® 2019, una herramienta de Excel® , que
facilita el flujo de trabajo del diseño del sistema de gobierno.
15

 El capítulo 7 ilustra cómo debe aplicarse el flujo de trabajo del capítulo 4 mediante el uso de la herramienta.
 Los apéndices de la A a la K contienen varias tablas de asignación usadas durante el proceso de diseño.
1.3 Público objetivo de esta publicación
El público objetivo de esta publicación incluye una serie de partes interesadas directas en el gobierno de I&T:
miembros del consejo de administración, ejecutivos y alta dirección y profesionales experimentados de la empresa,
no solo del negocio y las TI, sino también de las disciplinas de auditoría, aseguramiento, cumplimiento, seguridad,
privacidad y gestión de riesgos.
Otras partes interesadas indirectamente en el gobierno de I&T incluyen clientes, usuarios y ciudadanos; estos
constituyen los beneficiarios más importantes de un buen gobierno, aunque la mayoría de ellos casi nunca
consultarán esta publicación. Sus intereses los asumen las partes interesadas directas anteriormente mencionadas.
Se requiere un cierto nivel de experiencia y unos conocimientos profundos de la empresa para poder aprovechar esta
guía. Dicha experiencia y conocimientos permiten a los usuarios personalizar las directrices principales de COBIT®
2019 (cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa, mediante la
consideración del contexto de la empresa.
El público objetivo incluye a aquellos responsables durante todo el ciclo de vida de la solución de gobierno, desde el
diseño inicial a la ejecución y al aseguramiento. De hecho, los proveedores de aseguramiento pueden aplicar la
lógica y el flujo de trabajo desarrollado en esta publicación para crear un programa de aseguramiento bien soportado
para la empresa.
1.4 Documentación Relacionada: Guía de implementación de COBIT® 2019
La Guía de implementación COBIT® 2019 está relacionada con esta publicación. Dicha guía describe la hoja de
ruta para la mejora continua del gobierno de I&T en la empresa. El diseño (inicial) de dicho sistema de gobierno, que
en ella se describe, forma parte de las fases iniciales de dicha hoja de ruta.
El capítulo 5 de esta guía profundiza en los vínculos entre ambas publicaciones e ilustra cómo usarlas
conjuntamente.
16

CAPÍTULO 2
CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y
COMPONENTES
Capítulo 2
Conceptos básicos: Sistema de Gobierno y Componentes
2.1 Introducción
La figura 2.1 muestra las generalidades de COBIT® 2019 y cómo las distintas publicaciones cubren distintos
aspectos.
Figura 2.1—Generalidades de COBIT
COBIT® 2019 está basado en COBIT® 5 y otras fuentes fidedignas. COBIT está alineado con una serie de estándares
y marcos relacionados. La lista de estos estándares se incluye en el capítulo 10 del marco de referencia COBIT®
2019: Introducción y metodología. El análisis de estos estándares relacionados y el alineamiento de COBIT con ellos
sustentan la posición consolidada de COBIT de ser el paraguas del marco de gobierno de I&T.
En el futuro, COBIT acudirá a su comunidad de usuarios para que propongan actualizaciones de contenido, que serán
aplicadas como contribuciones controladas de forma continua, para que COBIT esté al día con las últimas
percepciones y evoluciones.
La familia de productos COBIT es abierta. En el momento de la publicación de esta guía, están disponibles las
publicaciones siguientes:
 Marco de Referencia COBIT® 2019: Introducción y metodología presenta los conceptos clave de COBIT® 2019.
 Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión describe de forma exhaustiva los 40
objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados.
Esta guía también hace referencia a otros estándares y marcos.
17

 La Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología explora
los factores de diseño que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un
sistema de gobierno personalizado para la empresa.
 La Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de
Información y Tecnología representa una evolución de la guía de Implementación de COBIT® 5 y desarrolla una
hoja de ruta para la mejora continua del gobierno. Puede usarse en combinación con la Guía de diseño COBIT®
2019.
El contenido identificado como áreas prioritarias en la figura 2.1 incluirá una guía más detallada sobre
determinados aspectos. Algunas de estas guías de contenido de áreas prioritarias ya están preparándose; y otras están
previstas. Esta serie de guías de áreas prioritarias es abierta y seguirá evolucionando. Para obtener la información
más reciente sobre publicaciones actualmente disponibles y previstas, así como otros contenidos, visite
www.isaca.org/cobit.
El resto de esta sección describe los conceptos básicos de COBIT® 2019, tal y como se definen en las publicaciones
del marco de referencia COBIT. Los factores de diseño, las áreas prioritarias y los conceptos de variantes se usarán
para diseñar un sistema de gobierno personalizado para la I&T empresarial. Un sistema de gobierno personalizado
basado en COBIT es un sistema que ha tomado los contenidos genéricos de COBIT y ha asignado prioridades
específicas y niveles de capacidad objetivos a los componentes de gobierno y gestión basados en el propio contexto
de la empresa y los valores del factor de diseño. Cuando se precisa, también se ponen en práctica variantes de
componentes de gobierno específicos.
2.2 Objetivos de gobierno y gestión
Para que la información y la tecnología contribuyan a los objetivos de la empresa, deben alcanzarse una serie de
objetivos de gobierno y gestión. Los conceptos básicos relacionados con los objetivos de gobierno y gestión son:
 Un objetivo de gobierno o gestión siempre está relacionado con un proceso (con un nombre idéntico o similar)
y una serie de componentes relacionados de otros tipos para contribuir a lograr el objetivo.
 Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo azul oscuro de la
figura 2.2), mientras que un objetivo de gestión está relacionado con un proceso de gestión (mostrado en el fondo
azul claro de la figura 2.2). Los consejos de administración y la dirección ejecutiva suelen ser responsables de los
procesos de gobierno, mientras que los procesos de gestión pertenecen al dominio de la alta y media gerencia.
18

CAPÍTULO 2
CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES
Figura 2.2—Modelo Core de COBIT
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante
verbos que expresan el propósito clave y las áreas de actividad del objetivo contenida en ellos:
 Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el
organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones
estratégicas elegidas y monitoriza la consecución de la estrategia.
 Los objetivos de gestión se agrupan en cuatro dominios:
 Alinear, Planificar y Organizar (APO) aborda la organización en su conjunto, la estrategia y las actividades de
apoyo para la I&T.
 Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de
soluciones de I&T y su integración en los procesos de negocio.
 Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de I&T,
incluida la seguridad.
 Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de I&T con los objetivos de
desempeño interno, los objetivos de control interno y los requisitos externos.
2.3 Componentes del sistema de gobierno
Para cumplir con los objetivos de gobierno y gestión, cada empresa debe establecer, personalizar y sostener un
sistema de gobierno creado a partir de una serie de componentes.
19

 Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del
sistema de gobierno de la empresa en cuanto a I&T.
 Los componentes interactúan entre sí, lo que da lugar a un sistema holístico de gobierno de I&T.
 Los componentes pueden ser de diversos tipos. Los más comunes son los procesos. Sin embargo, los componentes
de un sistema de gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de
información; cultura y comportamiento; habilidades y competencias; y servicios, infraestructura y aplicaciones.
 Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
 Los componentes Genéricos se describen en el modelo Core de COBIT (ver figura 2.2) y se aplican, en
principio, a cualquier situación. Sin embargo, su naturaleza es genérica y suelen requerir una adaptación antes de
que se puedan implementar en la práctica.
 Las variantes se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico
dentro de un área prioritaria (p. ej.: para seguridad de la información, DevOps, una regulación específica).
2.4 Áreas prioritarias
Un área prioritaria describe un tópico, dominio o asunto de gobierno determinado que puede abordarse como una
serie de objetivos de gobierno y gestión y sus componentes. Algunos de los ejemplos de áreas prioritarias son:
pequeñas y medianas empresas, ciberseguridad, transformación digital, computación en la nube, privacidad, y
DevOps.1 Las áreas prioritarias pueden incluir una combinación de componentes y variantes genéricos de gobierno.
1
La cantidad de áreas prioritarias es prácticamente ilimitada. Esto hace que COBIT sea abierto. Se pueden añadir
nuevas áreas prioritarias cuando se requiera o conforme los expertos y especialistas en la materia contribuyan al
modelo COBIT abierto.
2.5 Niveles de capacidad
COBIT® 2019 admite un esquema de capacidad de procesos basado en la Integración del modelo de madurez de
capacidad (CMMI®). El proceso dentro de cada objetivo de gobierno y gestión puede funcionar con distintos niveles
de capacidad, que van de 0 a 5. El nivel de capacidad es una medida de lo bien que se ha implementado y ejecuta un
proceso. La figura 2.3 muestra el modelo, los niveles de capacidad incrementales y las características generales de
cada uno.
1
1 DevOps es un ejemplo tanto de una variante de componente como de un área prioritaria. ¿Por qué? DevOPs es un tema de actualidad en el mercado y requiere indudablemente unas directrices específicas, lo que lo convierte en un área prioritaria.
DevOps incluye una serie de objetivos de gobierno y gestión genéricos del modelo Core de COBIT, junto con una serie de variantes de desarrollo, la operación y la monitorización relacionadas con procesos y estructuras organizativas.
20

CAPÍTULO 2
COMPONENTES
Figura 2.3—Niveles de capacidad para los procesos
El modelo Core de COBIT asigna niveles de capacidad a todas las actividades del proceso, permitiendo una clara
definición de los procesos a distintos niveles de capacidad. En esta guía, nos referiremos en ocasiones a niveles de
capacidad «inferiores» o «superiores». A modo de convención en esta guía, cualquier nivel mayor de tres se
denomina «superior» y cualquiera menor de 3 se denomina «inferior».
2.6 Factores de diseño
Los factores de diseño son factores que pueden influir en el diseño del sistema de gobierno de una empresa y
posicionarla para que tenga éxito al usar la I&T. Los factores de diseño se enumeran a continuación y su posible
impacto en el sistema de gobierno se comenta en el capítulo 3.
Los factores de diseño incluyen cualquier combinación de lo siguiente (figura 2.4):
21

Figura 2.4—Factores de diseño COBIT
1. Estrategia empresarial—Las empresas pueden contar con distintas estrategias, que pueden expresarse como uno
o más prototipos que se muestran en la figura 2.5. Las organizaciones suelen contar con una estrategia primaria y,
como mucho, una estrategia secundaria.
Figura 2.5—Factor de diseño de estrategia empresarial

Prototipo de la estrategia Explicación
Crecimiento/Adquisición La empresa se centra en el crecimiento (ingresos)2 2
Innovación/Diferenciación La empresa debe centrarse en ofrecer productos y servicios

diferentes y/o innovadores a sus clientes3 3
Liderazgo en costes La empresa debe centrarse en la minimización de costes a corto

plazo4 4
Servicio al cliente/Estabilidad La empresa se centra en proporcionar un servicio estable y

orientado al cliente.5 5
2. Las metas empresariales que apoyan la estrategia empresarial; la estrategia empresarial se logra mediante la
consecución de (una serie de) metas empresariales. Estos objetivos se definen en el marco de referencia COBIT, se
estructuran en torno a las dimensiones del cuadro de mando integral (balanced scorecard) e incluyen lo siguiente
(figura 2.6):
Figura 2.6—Factor de diseño de metas empresariales

Meta
Dimensión del BSC Meta empresarial
empresarial
EG01 Finanzas Portafolio de productos y servicios competitivos
2
2 Se corresponde con el prospector de la tipología Miles-Snow. Ver “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor,” Elibrary,
https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
3
3 Ver Reeves, Martin; Claire Love, Philipp Tillmanns, “Your Strategy Needs a Strategy”, Harvard Business Review, septiembre 2012, https://hbr.org/2012/09/your-strategy-needs-a-strategy, especialmente relacionado con la visión y el modelado.
4
4 Corresponde al liderazgo en costes; ver University of Cambridge, “Porter’s Generic Competitive Strategies (ways of competing),” Institute for Manufacturing (IfM) Management Technology Policy,
https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-strategies/. También corresponde a la excelencia operativa; ver Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines», Harvard Business
Review, enero/febrero 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines.
5
5 Corresponde a los defensores de la tipología Miles-Snow. Ver op cit “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor”.
22

CAPÍTULO 2
COMPONENTES
Figura 2.6—Factor de diseño de metas empresariales (cont.)

EG02 Finanzas Gestión de riesgo del negocio
EG03 Finanzas Cumplimiento de leyes y regulaciones externas
EG04 Finanzas Calidad de la información financiera
EG05 Cliente Cultura de servicio orientada al cliente
EG06 Cliente Continuidad y disponibilidad del servicio del negocio
EG07 Cliente Calidad de la información de gestión
EG08 Interno Optimización de la funcionalidad de los procesos internos del negocio
EG09 Interno Optimización de costes de los procesos del negocio
EG10 Interno Habilidades, motivación y productividad del personal
EG11 Interno Cumplimiento con las políticas internas
EG12 Crecimiento Gestión de programas de transformación digital
EG13 Crecimiento Innovación de producto y negocio
3. El perfil de riesgo de la empresa y los problemas actuales relacionados con la I&T—El perfil de riesgo identifica
los tipos de riesgos relacionados con la I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de
riesgo exceden el apetito al riesgo.
Las categorías de riesgo enumeradas en la figura 2.7 merecen cierta consideración.6 6
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI)

Referencia Categoría del riesgo Ejemplos de escenarios de riesgo
1 Toma de decisiones sobre A. Programas seleccionados para su implementación desalineados con la estrategia y las prioridades
inversiones en TI, definición corporativas.
y mantenimiento del B. Fallo de las inversiones relacionadas con TI para respaldar la estrategia digital de la empresa
portafolio C. Selección incorrecta del software (en términos de coste, rendimiento, funciones, compatibilidad,
redundancia, etc.) para su adquisición e implementación
D. Selección incorrecta de la infraestructura (en términos de coste, rendimiento, funciones,
compatibilidad, etc.) para su implementación
E. Duplicación o solapamiento importante entre las distintas iniciativas de inversión.
F. Incompatibilidad a largo plazo entre los nuevos programas de inversión y la arquitectura empresarial
G. Asignación inapropiada, gestión y/o competición ineficiente de los recursos sin que haya
alineamiento con las prioridades del negocio
2 Gestión del ciclo de vida de A. Fallo de la alta dirección a la hora de poner fin a proyectos que fracasan (debido a costes, retrasos
programas y proyectos excesivos, aumento descontrolado del alcance, cambios en las prioridades del negocio)
B. Déficit presupuestario para proyectos de I&T
C. Falta de calidad de los proyectos de I&T
D. Entrega fuera de plazo de los proyectos de I&T
E. Fallo de los proveedores externalizados para entregar proyectos conforme a los acuerdos
contractuales (cualquier combinación de exceso de presupuestos, problemas de calidad, falta de
funcionalidad, entrega fuera de plazo).
3 Coste y supervisión de TI A. Excesiva dependencia y uso de aplicaciones y soluciones ad hoc creadas, definidas y mantenidas
por los usuarios
B. Exceso de coste y/o ineficacia de compras relacionadas con I&T fuera del proceso de compras de
I&T
C. Requisitos inadecuados que derivan en acuerdos de nivel de servicio (SLA) ineficaces
D. Falta de fondos para inversiones relacionadas con I&T
4 Comportamiento, A. Falta o incompatibilidad de habilidades relacionadas con TI dentro del área de TI (p. ej., debido a las
habilidades y conocimiento nuevas tecnologías o métodos de trabajo)
de TI B. Falta de comprensión del negocio por parte del personal de TI, que afecta la calidad de la
prestación de servicios/proyectos
C. Incapacidad para contratar y retener personal de TI
D. Contratación de perfiles inadecuados debido a una falta de debida diligencia en el proceso de
reclutamiento
E. Falta de formación de I&T
F. Dependencia excesiva de personal clave para la prestación de los servicios de I&T
6
6 Modificada de ISACA, The Risk IT Practitioner Guide, EE. UU., 2009
23

Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.)
5 Arquitectura empresarial/TI A. Arquitectura empresarial (AE) compleja e inflexible, que obstaculiza una mayor evolución y
expansión y deriva en oportunidades de negocio perdidas
B. Falla en la adopción y explotación de nuevas infraestructuras o el abandono de infraestructura
obsoleta
B. Falla en adoptar y explotar software nuevo (funcionalidad, optimización, etc.) o al abandonar
aplicaciones obsoletas
D. Arquitectura empresarial no documentada, que conduce a ineficiencias y duplicaciones
E. Número excesivo de excepciones en los estándares de arquitectura empresarial
6 Incidentes de A. Daño accidental de equipos de TI
infraestructura operativa de B. Errores del personal de TI (durante la preparación de copias de seguridad, las actualizaciones de
TI sistemas, el mantenimiento de sistemas, etc.).
C. Información introducida de forma incorrecta por parte del personal de TI o los usuarios del sistema
D. Destrucción del centro de datos (sabotaje, etc.) ocasionado por el personal interno
E. Robo de dispositivo con datos sensibles
F. Robo de un componente clave de infraestructura
G. Configuración errónea de componentes de hardware
H. Manipulación intencional del hardware (dispositivos de seguridad, etc.)
I. Abuso de los derechos de acceso de roles preferentes para acceder a la infraestructura de TI
J. Pérdida de medios de copia de seguridad o no comprobación de la eficacia de las copias de
seguridad
K. Pérdida de la integridad de los datos por parte del proveedor de la nube
L. Interrupción de la operación del servicio por parte de los proveedores de la nube
7 Acciones no autorizadas A. Manipulación del software
B. Modificación intencionada o manipulación del software, que deriva en datos incorrectos
C. Modificación intencionada o manipulación del software, que deriva en acciones fraudulentas
D. Modificación no intencionada del software que deriva en resultados inexactos
E. Configuración no intencionada y errores en la gestión de cambios
8 Problemas de adopción/uso A. No adopción de nuevo software de aplicaciones por parte de los usuarios
de software B. Uso ineficiente de nuevo software por parte de los usuarios
9 Incidentes de hardware A. Inestabilidad del sistema al instalar nueva infraestructura, que deriva en incidentes operativos
(como el programa BYOD)
B. Incapacidad de los sistemas para manejar los volúmenes de transacciones cuando aumentan los
volúmenes de usuarios
C. Incapacidad de los sistemas para manejar la carga del sistema cuando se implementan nuevas
aplicaciones o iniciativas
D. Fallo de servicios (telecomunicaciones, electricidad)
E. Fallo de hardware debido a sobrecalentamiento y/u otras condiciones medioambientales, como la
humedad
F. Daño de los componentes de hardware, lo que lleva a la destrucción de datos por parte del personal
interno
G. Pérdida/divulgación de medios portátiles que contienen datos sensibles (CD, unidades USB, discos
portátiles, etc.)
H. Mayor tiempo de resolución o retraso de soporte en caso de incidentes de hardware
10 Fallos de software A. Incapacidad para usar el software con el fin de lograr los resultados deseados (p. ej., no hacer los
cambios necesarios al modelo de negocio o cambios organizativos)
B. Implementación de software inmaduro (usuarios pioneros, bugs, etc.)
C. Fallos operativos cuando se pone en funcionamiento un nuevo software
D. Falla en el funcionamiento del software regular de aplicaciones críticas
E. Software de aplicación obsoleto (p. ej., tecnología antigua, mal documentada, costosa de mantener,
difícil de expandir, no integrada a la arquitectura actual, etc.)
F. Incapacidad de volver a versiones anteriores en caso de problemas operativos con la nueva versión
G. Base de datos corrupta debido al software con pérdida de acceso a los datos
11 Ataques lógicos [hackeo, A. Usuarios (internos) no autorizados tratando de penetrar los sistemas
malware, etc.] B. Interrupción del servicio debido a un ataque de denegación de servicio (DoS)
C. Defacement del sitio web
D. Ataque de malware
E. Espionaje industrial
F. «Hacktivismo»
G. Un empleado descontento implementa una bomba de tiempo que deriva en la pérdida de datos
H. Los datos de la empresa son robados a través del acceso no autorizado obtenido por un ataque de
phishing
I. Ataques de gobiernos extranjeros a sistemas críticos
24

CAPÍTULO 2
CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.)
12 Incidentes de A. Rendimiento inadecuado del proveedor en acuerdos de outsourcing a largo plazo y a gran escala (p.
terceros/proveedores ej., por una falta de debida diligencia de los proveedores con respecto a la viabilidad financiera,
capacidad de entrega y sostenibilidad del servicio del proveedor)
B. Aceptación de términos de negocio irrazonables por parte de los proveedores de TI
C. Soporte inadecuado y servicios ofrecidos por los proveedores no alineados con el SLA
D. Incumplimiento con los acuerdos de licencia de software (uso y/o distribución de software sin
licencia)
E. Incapacidad para transferir funciones a proveedores alternativos debido a la dependencia excesiva
con el proveedor actual
F. Compra de servicios de TI (especialmente servicios en la nube) por parte del negocio sin la
consulta/participación del área de TI, lo que deriva en la incapacidad de integrar el servicio con los
servicios internos.
G. SLA inadecuado o incumplido para obtener los servicios acordados y multas en caso de
incumplimiento
13 Incumplimiento A. Incumplimiento de las regulaciones nacionales o internacionales (p. ej., privacidad, contables,
fabricación, medioambiente, etc.)
B. Falta de concienciación sobre los posibles cambios regulatorios que podrían tener un impacto
empresarial
C. Obstáculos operativos causados por las regulaciones
D. Incumplimiento con procedimientos internos
14 Problemas geopolíticos A. Falta de acceso debida a un incidente disruptivo en otras instalaciones
B. Interferencia gubernamental e impacto de políticas nacionales en el negocio
C. Acción dirigida por grupos o agencias auspiciados por el gobierno
15 Acción sindical A. Instalaciones y edificios inaccesibles debido a una huelga sindical

B. Incapacidad de terceros de proporcionar servicios debido a una huelga
C. El personal clave no está disponible por una acción sindical (p. ej., huelga de transporte o servicios
básicos)
16 Desastres naturales A. Terremoto que destruye o daña infraestructura importante de TI
B. Tsunami que destruye edificios críticos
C. Grandes tormentas y ciclones tropicales o tornados que dañan infraestructuras críticas
D. Gran incendio forestal
E. Inundación
F. Capa freática que deja una ubicación crítica inservible
G. Temperatura elevada que hace que no sea rentable mantener operativas ubicaciones críticas
17 Innovación tecnológica A. No identificar tendencias tecnológicas nuevas e importantes
B. No apreciar el valor y potencial de las nuevas tecnologías
C. No adoptar y explotar la nueva infraestructura de manera oportuna (funcionalidad, optimización de
procesos, etc.)
D. No proporcionar soporte tecnológico a nuevos modelos de negocio
18 Medio ambiente A. Equipo no ecológico (p. ej., consumo de energía, embalaje)

19 Gestión de información y A. Descubrimiento de información sensible por parte de personas no autorizadas debido a la
datos retención/archivado/disposición ineficiente de la información
B. Modificación intencional ilícita o maliciosa de datos
C. Divulgación no autorizada de información sensible a través de correo electrónico o redes sociales
D. Pérdida de propiedad intelectual (PI) y/o filtración de información competitiva
4. Problemas relacionados con I&T—Un método asociado para una valoración de riesgos de I&T de la empresa
consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo
relacionado con I&T se ha materializado. El problema más común de todos7 incluye la (figura 2.8): 7
7 7 Ver también la Sección 3.3.1 Puntos Típicos de Dolor en la Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología de ISACA, EE. UU., 2018.
25

Figura 2.8—Factor de diseño de problemas relacionados con I&T

Referencia Descripción
A Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja
contribución al valor del negocio
B Frustración entre unidades de TI y unidades de negocio en la organización debido a iniciativas fallidas o a una
percepción de baja contribución al valor del negocio
C Incidentes significativos relacionados con TI, como pérdida de datos, brechas de seguridad, fracaso de
proyectos, errores de aplicaciones, etc. relacionados con TI
D Problemas de entrega del servicio por parte de los terceros de TI
E Incumplimiento de los requisitos regulatorios o contractuales relacionados con TI
F Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o
notificación de problemas en la calidad o el servicio de TI
G Importantes gastos ocultos y fraudulentos en TI, es decir, gasto en TI por departamentos usuarios fuera del
control de los mecanismos normales de decisión de inversión y los presupuestos aprobados de TI
H Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos
I Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho
J Cambios o proyectos habilitados por TI no satisfacen a menudo las necesidades del negocio y se ejecutan
tarde o exceden el presupuesto
K Resistencia de los miembros del consejo de administración, ejecutivos o la alta gerencia a involucrarse con
las TI o una falta de patrocinadores empresariales comprometidos con TI
L Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con
TI
M Coste de TI excesivamente alto
N Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y
sistemas de TI actuales
O Brecha entre el conocimiento tecnológico y el empresarial, lo que lleva a que los usuarios del negocio y los
especialistas en TI y/o tecnología hablen idiomas distintos
P Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes
Q Alto nivel de computación de usuario final, lo que genera (entre otros problemas) una falta de supervisión y
control de calidad sobre las aplicaciones que se están desarrollado y colocando en operación
R Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna
participación del departamento de TI de la empresa. 8 8
S Ignorancia y/o incumplimiento de las regulaciones de seguridad y privacidad

T Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T
5. Escenario de amenazas—El escenario de amenazas bajo el cual opera la empresa puede clasificarse tal como se
muestra en la figura 2.9.
Figura 2.9—Factor de diseño del escenario de amenazas

Escenario de amenazas Explicación
Normal La empresa funciona bajo lo que se consideran niveles de amenaza normales
Alto Debido a su situación geopolítica, sector industrial o perfil específico, la empresa
funciona en un entorno de amenazas elevadas.
6. Requisitos de cumplimiento—Los requisitos de cumplimiento a los que la empresa está sujeta pueden
clasificarse conforme a las categorías enumeradas en la figura 2.10.
8
8 Este problema está relacionado con la computación de usuario final, que suele surgir de la insatisfacción con respecto a las soluciones y servicios de TI.
26

CAPÍTULO 2
COMPONENTES
Figura 2.10—Factor de diseño de los requerimientos de cumplimiento

Entornos regulatorios Explicación
Requerimientos de cumplimiento La empresa está sujeta a un conjunto de requerimientos de cumplimiento mínimos
bajo que son inferiores a la media.
Requerimientos de cumplimiento La empresa está sujeta a un conjunto de requerimientos de cumplimiento comunes a
normal las distintas industrias.
Requerimientos de cumplimiento La empresa está sujeta a requerimientos de cumplimiento más elevados de lo
alto normal, en la mayoría de los casos relacionados con el sector industrial y las
condiciones geopolíticas.
7. Rol de TI—-El rol de TI para la empresa puede clasificarse tal como se muestra en la figura 2.11.
Figura 2.11—Factor de diseño del rol de TI

Rol de TI9 9
Explicación
Soporte TI no es crucial para el funcionamiento y la continuidad de los procesos y servicios
del negocio ni para su innovación.
Fábrica Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y continuidad de
los procesos y servicios del negocio. Sin embargo, las TI no se consideran un factor
impulsor de la innovación de procesos y servicios del negocio.
Cambio Las TI se consideran un factor impulsor de la innovación de procesos y servicios del
negocio. En este momento, sin embargo, no hay una dependencia crítica en TI para el
funcionamiento y la continuidad actual de los procesos y servicios del negocio.
Estratégico Las TI son críticas para el funcionamiento e innovación de los procesos y servicios
del negocio de la organización.
8. Modelo de abastecimiento de proveedores para TI—El modelo de abastecimiento de proveedores (sourcing)

que la empresa adopta puede clasificarse tal como se muestra en la figura 2.12.
Figura 2.12—Factor de diseño de modelo de abastecimiento de proveedores para TI

Modelo de abastecimiento de
Explicación
proveedores
Externalización (outsourcing) La empresa requiere los servicios de un tercero para proporcionar servicios de TI.
Nube La empresa maximiza el uso de la nube para proporcionar servicios de TI a sus
usuarios.
Personal interno (Insourced) La empresa aporta su propio personal y servicios de TI.
Híbrido Se aplica un modelo híbrido que combina los otros tres modelos en distintos grados.
9. Métodos de implementación de TI—Los métodos que la empresa adopta pueden clasificarse tal como se muestra
en la figura 2.13.
Figura 2.13—Factor de diseño de métodos de implementación de TI

Método de implementación de TI Explicación
Agile La empresa utiliza los métodos de trabajo de desarrollo Agile para su desarrollo de
software.
DevOps La empresa usa los métodos de trabajo DevOps para la creación, despliegue y
operaciones de software.
9
9 Los roles incluídos en esta tabla se han extraído de McFarlan, F. Warren; James L. McKenney; Philip Pyburn; “The Information Archipelago—Plotting a Course,” Harvard Business Review, enero 1993, https://hbr.org/1983/01/the-information-
archipelago-plotting-a-course.
27

Figura 2.13—Factor de diseño de métodos de implementación de TI

Tradicional La empresa usa un método más clásico para el desarrollo de software (cascada) y
separa el desarrollo de software de las operaciones.
Híbrido La empresa usa una mezcla de implementación de TI tradicional y TI moderna, a la
que solemos referirnos como «TI bimodal».
10. Estrategia de adopción de tecnología—La estrategia de adopción de tecnología puede clasificarse tal como se
Figura 2.14—Factor de diseño de estrategia de adopción de tecnología

Estrategia de adopción de
Explicación
tecnología
Primero en reaccionar (First La empresa suele adoptar nuevas tecnologías lo antes posible e intenta lograr la
mover) «ventaja del primero en reaccionar».
Seguidor (Follower) La empresa suele esperar a que las nuevas tecnologías se generalicen y pongan a
prueba antes de adoptarlas.
Adoptadores lentos (Slow adopter) La empresa tarda mucho en adoptar las nuevas tecnologías.
11. Tamaño de la empresa—Se identifican dos categorías, tal como se muestra en la figura 2.15, para el diseño de
un sistema de gobierno de la empresa.10 10
Figura 2.15—Factor de diseño de tamaño de la empresa

Tamaño de la empresa Explicación
Empresa grande (predeterminada) Empresa con más de 250 empleados que trabajan a tiempo completo (FTE)
Pequeñas y medianas empresas Empresa con entre 50 y 250 empleados que trabajan a tiempo completo (FTE)
El impacto que los factores de diseño tienen en el diseño de la solución de gobierno se explican en el capítulo 3.
2.6.1 ¿Por qué no existe un factor de diseño del sector industrial?
Cada sector industrial posee su propia serie de requisitos en cuanto a las expectativas del uso de I&T. Sin embargo,
es posible captar las características principales de un sector de la industria mediante la combinación de los factores
de diseño que se enumeraron en las tablas anteriores. Por ejemplo:
 El sector financiero puede caracterizarse como sigue: TI es un sector altamente regulado, TI juega un rol
estratégico, está compuesto por lo general de grandes empresas y opera en un escenario de grandes amenazas
 Los proveedores de servicios de salud (p. ej. hospitales) suelen inclinarse por una combinación de servicio al
cliente/estabilidad y estrategia de innovación, están altamente regulados y son objeto de una serie de áreas de
riesgo específicas (salud, seguridad, privacidad, continuidad, etc.), operan en un escenario de amenazas moderado
(aunque creciente) y dependen estratégicamente cada vez más de TI.
 Las organizaciones sin ánimo de lucro son, por lo general, más pequeñas y están menos reguladas, se centran en
los costes y no son pioneros a la hora de innovar en cuanto a adopción de tecnología.
 Las agencias del sector público suelen ser organizaciones grandes, con estrategias de servicio al cliente y liderazgo
en costes. Tienen perfiles de riesgo de moderado a alto y están altamente reguladas debido a su propia naturaleza.
El rol de TI puede variar, desde el soporte en agencias conservadoras, a estratégico cuando se trata de iniciativas
gubernamentales digitales (e-government). Los modelos de abastecimiento de proveedores usan cada vez más
servicios externalizados, mientras que suelen seguir la corriente en adopción de tecnología.
10
10 En esta publicación no se han considerado las microempresas, es decir, empresas con menos de 50 empleados.
28

CAPÍTULO 3
IMPACTO DE LOS FACTORES DE DISEÑO
Capítulo 3
Impacto de factores de diseño
3.1 Impacto de los factores de diseño
Los factores de diseño influyen de modo distinto en la personalización del sistema de gobierno de una empresa. Esta
publicación distingue tres tipos distintos de impacto, ilustrados en la figura 3.1.
Figura 3.1—Impacto de los factores de diseño en un sistema de gobierno
1. Gestión de prioridad/selección del objetivo—El modelo Core COBIT incluye 40 objetivos de gobierno y
gestión; cada uno consiste en un proceso y una serie de componentes relacionados. Estos son intrínsecamente
equivalentes; no hay ningún orden de prioridad natural entre ellos. Sin embargo, los factores de diseño pueden
influir en esta equivalencia y hacer que algunos objetivos de gobierno y gestión sean más importantes que otros,
a veces hasta el extremo de que algunos objetivos de gobierno y gestión pasen a ser insignificantes. En la
práctica, esta mayor importancia se traduce en el establecimiento de unos niveles de capacidad objetivos más
altos para objetivos de gobierno y gestión importantes.
Ejemplo: Cuando una empresa identifica la(s) meta(s) más relevante(s) de la lista de metas empresariales y aplica la
cascada de metas, esto llevará a una selección de objetivos de gestión prioritarios. Por ejemplo, cuando EG01
Portafolio de productos y servicios competitivos se califica como muy alto por una empresa, hará que el objetivo de
gestión APO05 Gestionar el portafolio sea una parte importante de este sistema de gobierno de la empresa.
29

Ejemplo: Una empresa que es muy adversa al riesgo dará más prioridad a los objetivos de gestión que aspiren a
gobernar y gestionar el riesgo y la seguridad. Los objetivos de gobierno y gestión del EDM03 Garantizar la
optimización del riesgo, APO12 Gestionar riesgos, APO13 Gestionar la seguridad y DSS05 Gestionar los servicios
de seguridad se convertirán en una parte importante de ese sistema de gobierno de la empresa y tendrán unos niveles
de capacidad objetivos más altos definidos para ellos.
Ejemplo: Una empresa que opera en un escenario de grandes amenazas requerirá un alto nivel de capacidad de los
procesos relacionados con la seguridad: APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de
seguridad.
Ejemplo: Una empresa en la que el rol de TI es estratégico y crucial para el éxito del negocio requerirá una alta
participación de los roles relacionados con TI en las estructuras organizativas, un conocimiento profundo del negocio
por parte de los profesionales de TI (y viceversa) y un foco en procesos estratégicos como en APO02 Gestionar la
estrategia y APO08 Gestionar las relaciones.
2. Variación de componentes: Los componentes deben alcanzar los objetivos de gobierno y gestión. Algunos
factores de diseño pueden obligar a variaciones específicas de los componentes o pueden influir en la
importancia de los componentes.
Ejemplo: Las pequeñas y medianas empresas podrían no necesitar un conjunto completo de roles y estructuras
organizativas, como se presenta en el modelo Core COBIT, pero podrían usar un conjunto reducido. Este conjunto
reducido de objetivos de gobierno y gestión y los componentes incluidos se define en el área prioritaria de pequeñas
y medianas empresas.11 1
Ejemplo: Una empresa que opera en un entorno altamente regulado podría atribuir mayor importancia a productos
de trabajo y políticas y procedimientos documentados y algunos roles, como la función de director de cumplimiento.
Ejemplo: Una empresa que usa DevOps en el desarrollo y operación de soluciones requerirá actividades específicas,
estructuras organizativas, cultura, etc., centradas en BAI03 Gestionar la identificación y construcción de soluciones
y DSS01 Gestionar las operaciones.
3. Necesidad de directrices para áreas prioritarias específicas: algunos factores de diseño, como el escenario de
amenazas, riesgo específico, métodos de desarrollo a cumplir y configuración de la infraestructura, impulsará la
necesidad para variar el contenido del modelo Core de COBIT para un contexto determinado.
Ejemplo: Las empresas que adoptan un enfoque DevOps requieren un sistema de gobierno con una variante de
diversos procesos de COBIT genéricos, descritos en la guía del área prioritaria de DevOps12 para COBIT. 2
Ejemplo: Las pequeñas y medianas empresas tienen menos personal, menos recursos de TI y líneas de mando
jerárquicas más cortas y directas, además difieren en muchos aspectos de las empresas grandes. Por ese motivo, su
sistema de gobierno para I&T tendrá que ser menos oneroso, comparado con las grandes empresas. Esto se describe
en la guía del área prioritaria de PYMES de COBIT.13 3
1 11 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas
empresas estaba en desarrollo y no se había publicado aún.

12 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en
desarrollo y no se había publicado.

3 13 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas
empresas estaba en desarrollo y no se había publicado aún.
30

CAPÍTULO 4
DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO
Capítulo 4
Diseño de un sistema de gobierno personalizado
4.1 Introducción
La figura 4.1 ilustra el flujo propuesto para el diseño de un sistema de gobierno personalizado. Cada paso se
comenta con más detalle en los subsecciones siguientes.
Figura 4.1—Flujo de trabajo del diseño del sistema de gobierno
2. Determinar
1. Entender el alcance inicial 3. Perfeccionar 4. Finalizar el
el contexto del sistema el alcance del diseño del
y estrategia de gobierno. sistema de sistema de
de la empresa. gobierno. gobierno.
• 1.1 Entender la • 2.1 Considerar la • 3.1 Considerar el escenario • 4.1 Resolver conflictos
estrategia empresarial. estrategia empresarial. de amenazas. de prioridades
• 1.2 Entender las • 2.2 Considerar las • 3.2 Considerar los inherentes.
metas empresariales. metas empresariales requerimientos de • 4.2 Finalizar el diseño
• 1.3 Comprender el y aplicar la cascada cumplimiento. del sistema de
perfil de riesgo. de metas de COBIT. • 3.3 Considerar el rol de TI. gobierno.
• 1.4 Entender los • 2.3 Considerar el • 3.4 Considerar el modelo
problemas actuales perfil de riesgo de de abastecimiento.
relacionados con I&T. la empresa. • 3.5 Considerar los métodos de
• 2.4 Considerar los implementación de TI.
problemas actuales • 3.6 Considerar la estrategia
relacionados con I&T. de adopción de TI.
• 3.7 Considerar el tamaño de la empresa.
Las distintas etapas y pasos del proceso de diseño, como se ilustran en la figura 4.1, resultarán en recomendaciones
para priorizar los objetivos de gobierno y gestión o componentes del sistema de gobierno relacionados con estos,
para alcanzar niveles de capacidad, o para adoptar variantes específicas de un componente del sistema de gobierno.
Algunos de estos pasos o subpasos podría derivar en recomendaciones contradictorias, lo cual es inevitable cuando
se consideran un gran número de factores de diseño, la naturaleza genérica en su conjunto de la guía de factores de
diseño y las tablas de asignación utilizadas.
Se sugiere poner todas las recomendaciones obtenidas durante los distintos pasos en un Canvas de diseño y, en la
última etapa del proceso de diseño, resolver (hasta donde sea posible) los conflictos entre los elementos del Canvas
de diseño y acabar el diseño. No hay una fórmula mágica. El diseño final será una decisión que variará según el caso
y dependerá de todos los elementos del Canvas de diseño. Si siguen estos pasos, las empresas lograrán un sistema de
gobierno adaptado a sus necesidades.
31

Nota 1:: Antes de iniciar el flujo de trabajo del diseño de un sistema de gobierno, es importante articular la unidad
de análisis. Por ejemplo, ¿es la intención diseñar un sistema de gobierno para una unidad de negocio, una empresa
en su conjunto, una red de empresas, etc.?14 1
Nota 2: El flujo de trabajo que se presenta en esta publicación contiene cuatro pasos. Los subpasos dentro de cada
uno de los pasos no son obligatorios. Por ejemplo, una empresa puede decidir diseñar un sistema de gobierno para
abordar una elección estratégica específica (únicamente) o para abordar determinadas áreas de riesgo de TI
(únicamente), sin tener que seguir paso a paso toda la secuencia detallada del flujo de trabajo.
4.2 Paso 1: Entender el contexto y estrategia de la empresa
En el primer paso, la empresa examina su contexto, estrategia y entorno de negocio para lograr un mayor
conocimiento de cuatro dominios parcialmente superpuestos, interdependientes y, a menudo, complementarios. Las
siguientes subsecciones describen los subpasos críticos del paso 1:
 Estrategia empresarial
 Metas empresariales y metas de alineamiento derivadas
 Perfil de riesgo de I&T
 Problemas actuales relacionados con I&T
4.2.1 Entender la estrategia empresarial
La empresa debe decidir cuáles de las estrategias empresariales prototipo encajan mejor en su propia estrategia
empresarial. Las estrategias empresariales prototipo se definen en la sección 2.6, apartado 1 (ver la figura 2.5).
El mecanismo que traslada la estrategia de la empresa a una valoración relativa de la importancia de los objetivos de
gobierno y gestión funciona mejor cuando se eligen opciones claras para los prototipos estratégicos empresariales.
Generalmente, es mejor identificar un prototipo principal y seleccionar solo un prototipo secundario. Cuando se
define una estrategia empresarial como una mezcla de prototipos estratégicos igualmente importante, los objetivos de
gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o menos igual de importante,
haciendo que la priorización sea difícil.
4.2.2 Entender las metas empresariales
La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT define una
serie de 13 metas empresariales genéricas; cada empresa puede/debería priorizar las metas de su empresa alineadas
con la estrategia empresarial elegida. La lista de metas empresariales se define en la sección 2.6, apartado 2 (ver la
figura 2.6).
Para trasladar las metas empresariales a la valoración relativa de la importancia de los objetivos de gobierno y
gestión (ver la cascada de metas, sección 4.3.3), se deberían tomar decisiones claras a la hora de seleccionar las
metas empresariales. Se recomienda identificar solo unas pocas metas empresariales primarias y un número limitado
de metas empresariales secundarias. Cuando a todas las metas empresariales se asignan prioridades igualmente
importantes, los objetivos de gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o
menos igual de importante, haciendo que la priorización sea difícil.
1
14 Entender este alcance está completamente en línea con el diseño del sistema pensando en la recursividad, que se refiere al hecho de que «cualquier sistema de gobierno de TI empresarial viable incluye y es contenido en un sistema de gobierno de TI
empresarial viable»; ver Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study”, Actas de la Conferencia 51 Internacional de Hawái sobre Ciencias de Sistemas, 2018.
32

CAPÍTULO 4
4.2.3 Entender el perfil de riesgo
Otra aportación importante al diseño de un sistema de gobierno es entender el perfil de riesgo de la empresa; es decir,
entender qué escenarios de riesgo podrían afectar a la empresa y cómo evaluar su impacto y probabilidad de
materialización.
Para lograr este conocimiento debería realizarse un análisis de riesgos de alto nivel que incluya:
 La identificación de escenarios de riesgo relevantes (que podría basarse en la lista de categorías de escenarios de
riesgo definida en la sección 2.6, apartado 3; ver la figura 2.7)
 Evaluación del impacto y probabilidad de que se materialice el escenario, considerando el estado actual de los
controles de mitigación de riesgos
 Valoración íntegra del riesgo basada en entradas precedentes
Para ser más eficaz a la hora de decidir el perfil de riesgo adecuado para los propósitos de diseño de gobierno, se
debe hacer una diferenciación clara a la hora de evaluar el riesgo de I&T.
Cuando todo el riesgo de TI se valora como igualmente importante, los objetivos de gobierno y gestión del modelo
de referencia de COBIT tienden a convertirse en algo más o menos igual de importante, por lo que la priorización
será difícil.
4.2.4 Entender los problemas actuales relacionados con I&T
Los problemas relacionados con I&T (también denominados puntos de dolor) que sufre la empresa están
estrechamente relacionados con el riesgo de TI. (Estos problemas podrían considerarse riesgos que se han
materializado). Los problemas de TI pueden identificarse o reportarse a través de la gestión de riesgos, la auditoría,
la alta dirección o las partes interesadas externas. Una lista de problemas comunes se define en la sección 2.5,
apartado 4 (ver la figura 2.8).
Debe realizarse una clara diferenciación en la clasificación de problemas de I&T para poder proporcionar los aportes
necesarios para determinar las prioridades del diseño de gobierno.
Cuando todos los problemas de TI se clasifican como igual de graves, los objetivos de gobierno y gestión del modelo
Core de COBIT tienden a convertirse en algo más o menos igual de importante, haciendo que la priorización sea
difícil.
4.2.5 Conclusión
Al final del paso 1, la empresa tendrá una visión clara y consistente de la estrategia empresarial, las metas
empresariales, el riesgo de TI y los problemas actuales de I&T. En el paso siguiente (sección 4.3), esta información
se traducirá en objetivos de gobierno y gestión priorizados para un alcance inicial de un sistema de gobierno
personalizado para la empresa.
4.3 Paso 2: Determinar el alcance inicial del sistema de gobierno
Para determinar el alcance inicial del sistema de gobierno, el paso 2 resume la información recopilada durante el
paso 1. Los valores derivados para la estrategia empresarial, las metas empresariales, el perfil de riesgo y los
problemas relacionados con I&T se traducen en una serie de componentes de gobierno priorizados para producir el
sistema inicial de gobierno personalizado para la empresa.
33

4.3.1 Trasladar los factores de diseño a prioridades de gobierno y gestión
El paso 2 presenta una serie de factores de diseño relevantes y valores descriptivos asociados, cuya selección llevará
a la priorización de objetivos de gobierno y gestión. Hay dos opciones básicas para esta evaluación: un enfoque
cualitativo y un enfoque más cuantitativo.
El enfoque cualitativo considera los objetivos de gobierno y gestión más relevantes para los valores de cada factor
de diseño. Después del diseño inicial y los pasos de perfeccionamiento del diseño (para este último, ver la sección
4.4), se toma una decisión cualitativa sobre las prioridades de los objetivos de gobierno y gestión.
El enfoque más cuantitativo implica tablas numéricas de asignación creadas para cada factor de diseño. Las tablas
de asignación cuantifican los valores descriptivos asociados con cada factor de diseño para indicar su correlación con
los objetivos de gobierno y gestión.
 Las tablas de asignación de COBIT® 2019 suelen contener valores entre cero (0) y cuatro (4). Cuatro indica la
máxima relevancia de un objetivo de gobierno o gestión con ese valor del factor de diseño determinado; cero
indica que no es relevante.
 Trasladar los valores del factor de diseño a la importancia de un objetivo de gobierno y gestión implica el cálculo
de matrices que se deriva en una puntuación para cada objetivo de gobierno y gestión.
 Según el método actual preferido, estas puntuaciones pueden manipularse más para su presentación (p. ej.,
normalizarse con determinadas escalas fijas).
 Al final de los pasos 2 y 3, los resultados de varios de estos cálculos deben consolidarse. De nuevo, no hay ningún
método objetivamente necesario y fijo para su consolidación; sin embargo, se suele conseguir mejor si se usa una
suma.
El capítulo 7 de esta publicación incluye ejemplos del enfoque cuantitativo. Todos los ejemplos se refieren a un kit
de herramientas Excel® que está disponible en www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx y
acompaña a esta Guía de diseño COBIT® 2019.
4.3.2 Considerar la estrategia empresarial (Factor de diseño 1)
La figura 4.2 enumera para cada prototipo de estrategia empresarial, los objetivos de gobierno y gestión más
importantes, componentes de gobierno importantes y directrices del área prioritaria relevantes. Cuando la estrategia
empresarial se define como una estrategia híbrida, los objetivos de gobierno y gestión importantes reflejarán una
combinación de elementos.
Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de

estrategia empresarial
Valor del factor de Prioridad de los objetivos de Variantes del Area
Componentes
diseño gobierno y gestión Prioritaria
Crecimiento/ Objetivos de gestión Componentes importantes: Modelo Core de COBIT
adquisición importantes15 se incluyen: 2
 Estructuras organizativas
 APO02, APO03, APO05  Respaldar el rol de gestión del
 BAI01, BAI05, BAI11 portafolio con una oficina de
inversión
 Arquitecto empresarial
 Servicios, infraestructura y aplicaciones
 Facilitar la automatización y el
crecimiento y lograr economías de
escala
15 «Importantes» corresponde a un valor de 3 o más en la asignación de la tabla de este factor de diseño a los objetivos de gobierno y gestión
34

CAPÍTULO 4
Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de

estrategia empresarial (cont.)
Valor del factor de Prioridad de los objetivos de Variantes del Area
Componentes
diseño gobierno y gestión Prioritaria
Innovación/Diferenciac Los objetivos de gestión Componentes importantes: Modelo Core de COBIT
ión importantes incluyen:  Estructuras organizativas
 APO02, APO04, APO05  Director de tecnologías digitales y/o
 BAI08, BAI11 director de innovación
 Influencia importante del componente
de la cultura y del comportamiento en
la innovación
Liderazgo en costes Entre los objetivos de Componentes importantes: Modelo Core de COBIT
gobierno y gestión  Habilidades y competencias
importantes se incluyen:  Enfocado en habilidades
 EDM04 presupuestarias y de costes de TI
 APO06, APO10  Influencia importante del componente
de la cultura y del comportamiento
 Componente de servicios,
infraestructura y aplicaciones (p. ej.
para la automatización de controles,
mejora de la eficiencia)
Servicio al Entre los objetivos de Componente importante: Modelo Core de COBIT
cliente/estabilidad gobierno y gestión  Influencia importante del componente
importantes se incluyen: de la cultura y del comportamiento
 EDM02 (centrado en el cliente)
 APO08, APO09, APO11
 BAI04
 DSS02, DSS03, DSS04
4.3.3 Considerar las metas empresariales y aplicar la cascada de metas de COBIT (Factor de
diseño 2)
La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT® 2019
define 13 metas empresariales genéricas (ver sección 2.6, apartado 2 y figura 4.3); cada empresa debería priorizar
estas metas empresariales en consonancia con la estrategia empresarial.
Para trasladar las metas empresariales a objetivos de gobierno y gestión factibles:

1. Empezar con las metas empresariales genéricas y determinar las metas empresariales más importantes para la
organización. Seleccionar de tres a cinco metas empresariales más importantes; demasiadas metas de alta
prioridad producirían unos resultados menos significativos en la cascada de metas.
2. Encontrar las metas empresariales priorizadas en la tabla de asignación entre las metas empresariales y las metas
de alineamiento (Apéndice B). Usar la asignación para determinar las metas de alineamiento más importantes.
3. Encontrar las metas de alineamiento priorizadas en la tabla de asignación entre las metas de alineamiento y los
objetivos de gobierno y gestión (Apéndice C). Usar la asignación para determinar los objetivos de gobierno y
gestión más importantes.
Este subpaso identifica una serie de objetivos de gobierno y gestión que tienen una mayor importancia para la
empresa, basados en las metas empresariales priorizadas.
Nota: Esta técnica es puramente mecánica, usando tablas de asignación de naturaleza genérica. La empresa debe
interpretar los resultados con precaución, o adaptar las tablas de asignación con base en su propia experiencia y
contexto. En el flujo de trabajo descrito en esta guía, este ajuste se realiza en el paso 4 Finalizar el diseño del
sistema de gobierno.
35

Ejemplos de aplicación de la cascada de metas se incluyen en el Kit de herramientas que acompaña a esta Guía de
diseño COBIT® 2019.16 3
4.3.4 Considerar el perfil de riesgo de la empresa (Factor de diseño 3)

En el paso 1 (ver la sección 4.2.3 Entender el perfil de riesgo), la empresa realizó un análisis de riesgo de alto nivel
para identificar las categorías de riesgo que superaban el apetito de riesgo de la empresa. A continuación, los
resultados del análisis de riesgo se traducen en prioridades para los objetivos de gobierno y gestión. La respuesta más
común al riesgo que se usa en la gestión del riesgo es la mitigación del riesgo, lo que requiere la implementación de
una serie de controles (en lenguaje de riesgo), o (en el lenguaje de COBIT) objetivos de gobierno y gestión que
deben lograrse. El apéndice D contiene una correlación entre las 19 categorías de riesgo de TI en COBIT® 2019 y los
objetivos de gobierno y gestión, expresando hasta qué punto cada uno de los objetivos de gobierno y gestión puede
considerarse como un control para cada escenario de riesgo.
La tabla de asignación del apéndice D relaciona el perfil de riesgo de la empresa con los objetivos de gobierno y
gestión y sus prioridades, utilizando la misma técnica y método de valoración descrita anteriormente.
Ejemplo: El apéndice D ilustra que si la categoría 1 del escenario de riesgo de TI (RISKCAT01) Toma de decisiones
sobre inversiones en TI, definición y mantenimiento del portafolio es una preocupación, entonces los objetivos de
gobierno y gestión siguientes serán importantes:
 EDM01, EDM02, EDM04, EDM05

 APO05
4.3.5 Considerar los problemas actuales relacionados con la I&T de la empresa (Factor de
diseño 4)
En el paso 1 (ver la sección 4.2.4 Entender los problemas actuales relacionados con I&T), la empresa realizó un
diagnóstico a alto nivel de los problemas relacionados con I&T que experimenta. A continuación, los resultados de
dicho diagnóstico se traducen en prioridades para los objetivos de gobierno y gestión.
El apéndice E incluye una tabla de asignación entre los problemas de I&T y los objetivos de gobierno y gestión de
COBIT® 2019. Como muestra el apéndice E, cada problema relacionado con la I&T está asociado a uno o más
objetivos de gobierno o gestión que pueden influir en el problema relacionado con la I&T. Pueden usarse las mismas
técnicas y mecanismos de valoración descritos anteriormente.
Ejemplo: Cuando el problema relacionado con I&T, «Cambios o proyectos facilitados por TI que con frecuencia no
satisfacen las necesidades del negocio y que se entregan tarde o por encima del presupuesto», preocupa, son
importantes los siguientes objetivos de gobierno y gestión:
 APO03
 BAI01, BAI02, BAI03, BAI05, BAI11
4.3.6 Conclusión
Al final del paso 2, todos los elementos están disponibles para definir el alcance inicial de un sistema de gobierno
personalizado:
 Los objetivos de gobierno y gestión priorizados indican en qué objetivos de gobierno y gestión se debería
enfocar.
 Puede que también se incluyan directrices sobre componentes de gobierno específicos en el diseño inicial.
3 16 El kit de herramientas que acompaña a esta guía puede descargarse en www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx.
36

CAPÍTULO 4
La empresa puede elegir elaborar el diseño inicial actual y resolver todas las diferencias entre los distintos aportes, o
puede esperar hasta el paso 4 del flujo de trabajo y combinar los distintos aportes con los refinamientos del alcance
identificados en el paso 3.
4.4 Paso 3: Perfeccionar el alcance del sistema de gobierno
El paso 3 identifica los refinamientos / perfeccionamientos del alcance inicial del sistema de gobierno con base en el
conjunto de factores de diseño restantes, conforme se define en la sección 2.6. A lo largo de este capítulo, no todos
los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no aplicables pueden ignorarse.
En este paso, el diseñador del sistema de gobierno:

1. Explicará cada factor de diseño (DF) de DF5 Escenario de amenazas a DF11 Tamaño de la empresa.
2. Determinará si cada factor de diseño puede aplicarse o no.
3. Para los factores de diseño aplicables, determinará cuál de los posibles valores (o qué combinación de valores
posibles) es más aplicable a la empresa. Descripciones de referencia de los valores de factores de diseño
aplicables, junto con las tablas de asignación de los apéndices F a K, para determinar qué refinamientos del
sistema de gobierno están asociadas a estos valores.
El resultado de cada consideración de un factor de diseño es una lista clasificada de objetivos de gobierno y gestión,
similar al resultado obtenido en el paso 2. Con las tablas de asignación de los apéndices F a K, se pueden usar las
mismas técnicas y escalas, como se describió anteriormente.
4.4.1 Considerar el escenario de amenazas (Factor de diseño 5)
Cuando se considera este factor de diseño deben realizarse los siguientes pasos:
 Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas
definidas en la figura 4.3.
 Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e
incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
Figura 4.3—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de

escenario de amenazas
Valor del
Prioridad de los objetivos de Variantes del Area
factor de Componentes
gobierno y gestión Prioritaria
diseño
Alto Entre los objetivos de gobierno y Entre las estructuras organizativas importantes Área prioritaria de
gestión importantes se incluyen: se encuentran: seguridad de la
 EDM01, EDM03  Comité de estrategia de seguridad información17 4
 APO01, APO03, APO10, APO12,  Director de seguridad de la información

APO13, APO14 Entre los aspectos de cultura y comportamiento
 BAI06, BAI10 importantes se encuentran:
 DSS02, DSS04, DSS05, DSS06  Concienciación sobre seguridad
 MEA01, MEA03, MEA04 Los flujos de información incluyen:
 Política de seguridad
 Estrategia de seguridad
Normal  Según la definición de alcance  N/A Modelo Core de COBIT

inicial
4
17 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
37

4.4.2 Considerar los requisitos de cumplimiento (Factor de diseño 6)
A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:

requisitos de cumplimiento
Valor del
diseño
Alto Entre los objetivos de gobierno y Importancia de la función de cumplimiento: Modelo Core de COBIT
gestión importantes se incluyen:  Gran relevancia de documentación
 EDM01, EDM03 (elementos de información) y políticas y
 APO12 procedimientos
 MEA03, MEA04
Normal  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
Baja  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
4.4.3 Considerar el rol de TI (Factor de diseño 7)
A la hora de considerar este factor de diseño deben realizarse los pasos siguientes:
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de
TI
Valor del
diseño
Soporte  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
Fábrica Entre los objetivos de gobierno y  N/A Área prioritaria de
gestión importantes se incluyen: seguridad de la
 EDM03 información185
 DSS01, DSS02, DSS03, DSS04
Cambio Entre los objetivos de gobierno y  N/A Área prioritaria de
gestión importantes se incluyen: DevOPs196
 APO02, APO04
 BAI02, BAI03
5
6 19 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
38

CAPÍTULO 4
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de
TI
Valor del
diseño
Estratégico Entre los objetivos de gobierno y Los componentes bimodales típicos incluyen: Área prioritaria de
gestión importantes se incluyen:  Estructuras organizativas transformación digital207
 EDM01, EDM02, EDM03  Director de tecnologías digitales
 APO02, APO04, APO05, APO12,  Habilidades y competencias
APO13  Personal que puede trabajar en un entorno
 BAI02, BAI03 ambidiestro que combina tanto la exploración
 DSS01, DSS02, DSS03, DSS04, como la explotación
DSS05  Procesos
 Un portafolio y un proceso de innovación que
integra la exploración y explotación de las
oportunidades de transformación digitales
4.4.4 Considerar el modelo de abastecimiento de proveedores para TI (Factor de diseño 8)


modelo de abastecimiento de proveedores para TI
Valor del Prioridad de los objetivos de Componentes Variantes del Area
factor de gobierno y gestión Prioritaria
diseño
Externalizaci Entre los objetivos de gestión importantes  N/A Área prioritaria de gestión
ón se incluyen: de proveedores218
(outsourcing)  APO09, APO10
 MEA01
Nube Entre los objetivos de gestión importantes  N/A Área prioritaria de la nube229
se incluyen:
 APO09, APO10
 MEA01
Personal  Según la definición de alcance inicial  N/A Modelo Core de COBIT
interno
(Insourced)
Híbrido Combinación de directrices para las tres opciones específicas
4.4.5 Considerar métodos de implementación de TI (Factor de diseño 9)

7
20 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura.
8
21 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura.
9
22 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y tecnología, el área prioritaria de la nube se estaba considerando como una posible área prioritaria futura.
39


métodos de implementación de TI
Valor del Prioridad de los objetivos de Componentes Variantes del Area
factor de gobierno y gestión Prioritaria
diseño
Agile Entre los objetivos de gestión  Roles importantes y específicos conforme se Área prioritaria de
importantes se incluyen: identifican en las directrices del área Agile23 10
 BAI02, BAI03, BAI06 prioritaria de Agile

DevOps Entre los objetivos de gestión  Roles importantes y específicos conforme se Área prioritaria de
importantes se incluyen: identifican en las directrices del área DevOPs24 11
 BAI03 prioritaria de DevOPs

Tradicional  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
Híbrido Combinación de directrices para las tres opciones específicas
4.4.6 Considerar la estrategia de adopción de tecnología (Factor de diseño 10)
Figura 4.8—Prioridad de los objetivos de gestión y gobierno asignada al factor de diseño de

estrategia de adopción de tecnología
Valor del factor de Prioridad de los objetivos de gobierno y gestión Componentes Variantes del Area
diseño Prioritaria
Primero en reaccionar Entre los objetivos de gobierno y gestión  N/A Área prioritaria de
(First mover) importantes se incluyen: DevOPs
 EDM01, EDM02 Área prioritaria de
 APO02, APO04, APO05, APO08 transformación
 BAI01, BAI02, BAI03, BAI05, BAI07, BAI11 digital25 12
 MEA01
Seguidor (Follower) Entre los objetivos de gobierno y gestión  N/A Modelo Core de COBIT
importantes se incluyen:
 APO02, APO04
 BAI01
Adoptadores lentos  Según la definición de alcance inicial  N/A Modelo Core de COBIT
(Slow adopter)
4.4.7 Considerar el tamaño de la empresa (Factor de diseño 11)
23 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de Agile se estaba considerando como una posible área prioritaria futura.
11
24 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
12
40

CAPÍTULO 4
Figura 4.9—Prioridad de los objetivos de gestión y gobierno asignada al factor de diseño de tamaño
de la empresa
Valor del factor de Prioridad de los objetivos de Variantes del
Componentes
diseño gobierno y gestión Area Prioritaria
Grande  Según la definición de  N/A Modelo Core de

alcance inicial COBIT
Pequeña/mediana  Según la definición de  Como corresponda a la descripción del área Área prioritaria
alcance inicial prioritaria de PyMEs de PyMEs26 13
Ejemplo: si la empresa es una PyME (p. ej., tiene 250 empleados a tiempo completo o menos), debería usar las
directrices contenidas en el área prioritaria de PyMEs para el diseño de su sistema de gobierno.
4.4.8 Conclusión
Al final del paso 3, la empresa habrá identificado una serie de posibles refinamientos para el sistema de gobierno
inicial y los habrá colocado en el canvas para su consolidación durante el paso 4 del flujo de trabajo del diseño.
Los siguientes refinamientos se suelen expresar de forma similar al resultado del paso 2: objetivos de gobierno y
gestión priorizados, componentes importantes para el sistema de gobierno y directrices del área prioritaria específica.
4.5 Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno
Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de los pasos anteriores para finalizar el
diseño del sistema de gobierno, como se muestra en la figura 4.10. El sistema de gobierno resultante debe reflejar
una cuidadosa consideración de todas las entradas; entender que estas entradas podrían en ocasiones presentar
conflicto.
Figura 4.10—Paso 4 del diseño del sistema de gobierno—Conclusión
Paso 1: Entender el Paso 2: Determinar el Paso 3: Perfeccionar el

contexto y la estrategia alcance inicial del sistema alcance del sistema
de la empresa de gobierno de gobierno
Perfeccionamiento
Alcance inicial
EDM01—Garantizar el EDM04—Asegurar la EDM05—Asegurar la
EDM02—Asegurar la
del alcance
establecimiento y el EDM03—Asegurar la
realización de beneficios optimización de los transparencia de las
mantenimiento del optimización del riesgo
recursos partes interesadas
marco de gobierno
EDM01—Garantizar el EDM04—Asegurar la EDM05—Asegurar la

EDM02—Asegurar la EDM03—Asegurar la
establecimiento y el optimización de los transparencia de las
EDM01—Garantizar el realización de
EDM04—Asegurar la EDM05—Asegurar la mantenimiento del
beneficios
optimización del riesgo
recursos partes interesadas APO01—Gestionar APO03—Gestionar APO06—Gestionar APO07—Gestionar
establecimiento y el
realización de optimización de los transparencia de las marco de gobierno APO02—Gestionar APO04—Gestionar APO05—Gestionar
mantenimiento del optimización del riesgo el marco de gestión la arquitectura de la el presupuesto y los los recursos
marco de gobierno
beneficios recursos partes interesadas la estrategia la innovación la cartera
de TI empresa costes humanos
MEA01—Gestionar la
supervisión del
cumplimiento y
rendimiento
APO09—Gestionar
APO01—Gestionar APO06—Gestionar APO07—Gestionar APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
APO02—Gestionar APO03—Gestionar
APO04—Gestionar APO05—Gestionar los acuerdos de
el marco de la arquitectura de el presupuesto y los recursos las relaciones los proveedores la calidad el riesgo la seguridad los datos
APO01—Gestionar
gestión de TI
la estrategia
la empresa
la innovación la cartera los costes humanos servicio
el marco de la arquitectura de el presupuesto y los recursos MEA01—Gestionar la
la estrategia la innovación la cartera
gestión de TI los costes humanos supervisión del
Paso 4: Finalizar el
la empresa
MEA01—Gestionar la cumplimiento y
supervisión del rendimiento
cumplimiento y
APO09—Gestionar
rendimiento APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
los acuerdos de
APO09—Gestionar las relaciones servicio los proveedores la calidad el riesgo la seguridad los datos MEA02—Gestionar el
APO08—Gestionar los acuerdos de APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
las relaciones servicio los proveedores la calidad el riesgo la seguridad los datos sistema de control
BAI02—Gestionar la BAI03—Gestionar la BAI07—Gestionar la interno
BAI01—Gestionar BAI04—Gestionar la BAI05—Gestionar
definición de identificación y BAI06—Gestionar aceptación y la
los programas disponibilidad y los cambios
diseño del sistema

EDM01—Garantizar el creación de los cambios de TI transición de los
establecimiento y el
EDM04—Asegurar la EDM05—Asegurar la MEA02—Gestionar el requisitos capacidad organizativos
realización de optimización de los transparencia de las sistema de control soluciones cambios de TI
MEA02—Gestionar el mantenimiento del optimización del riesgo
beneficios recursos
BAI02—Gestionar BAI03—Gestionarpartes interesadas BAI07—Gestionar interno
sistema de control marco de gobierno BAI01—Gestionar BAI03—Manage BAI04—Gestionar BAI05—Gestionar
interno BAI01—Managed BAI02—Managed
la definición de la identificación y BAI04—Managed
la disponibilidad y BAI05—Managed
los cambios
BAI06—Gestionar la aceptación y la
BAI02—Gestionar BAI03—Gestionar
BAI07—Gestionar los programas Solutions
creación de Availability los cambios de TI transición de los
BAI01—Gestionar
la definición de la identificación y BAI06—Gestionar la aceptación y la Programs Requirements
requisitos capacidad Organizational
organizativos
los programas la disponibilidad y los cambios soluciones cambios de TI
requisitos creación de los cambios de TI transición de los
capacidad organizativos
soluciones cambios de TI BAI08—Gestionar el BAI09—Gestionar BAI10—Gestionar la BAI11—Gestionar MEA03—Gestionar el
conocimiento los activos configuración los proyectos cumplimiento de los
requisitos externos
de gobierno
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar
MEA03— Managedel
BAI08—Managed BAI09—Managed BAI10—Managed
el conocimiento los activos la configuración
EDM01 —Ensured
EDM01—Garantizar el BAI11—Managed
los proyectos cumplimiento
Compliance Withde los
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar el APO01—Gestionar
APO02—Gestionar APO03—Gestionar Knowledge APO05—GestionarAssets APO06—Gestionar
APO04—Gestionar
APO07—Gestionar
el recursos Projects EDM02 —Ensured
EDM04—Asegurar larequisitos externos
External
EDM05—Asegurar la
el conocimiento los activos la configuración los proyectos cumplimiento de los el marco de la arquitectura de el presupuestoestablecimiento
y Governance ylos
realización de optimización de los transparencia de las
la estrategia la innovación la cartera mantenimiento delhumanos optimización del riesgo Requirements
requisitos externos gestión de TI la empresa los costes Framework Setting beneficios recursos partes interesadas
marco de gobierno MEA01—Gestionar la
and Maintenance
supervisión del
cumplimiento y
rendimiento
APO09—Gestionar
APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
las relaciones
los acuerdos de
los proveedores la calidad el riesgoDSS02—Gestionar la seguridad los datos DSS05—Gestionar DSS06—GGestiona DSS02—Gestionar DSS05—Gestionar DSS06—GGestionar
servicio DSS01—Gestionar DSS03—Gestionar DSS04—Gestionar
DSS02—Gestionar
DSS01—Gestionar las solicitudes e
DSS02—Managed DSS03—Gestionar DSS04—Gestionar DSS05—Managed
los servicios de r los controles de MEA04—Gestionar el las solicitudes e los servicios de los controles de MEA04—Gestionar el
DSS05—Gestionar DSS06—GGestiona DSS01—Managed
las operaciones incidentes de DSS03—Managed
los problemas DSS04—Managed
la continuidad seguridad procesos de
DSS01—Gestionar las solicitudes e DSS03—Gestionar DSS04—Gestionar los servicios de r los controles de Operations Service Requests
Problems Continuity
Security aseguramiento las operaciones incidentes de los problemas la continuidad seguridad procesos de negocio aseguramiento
MEA04—Gestionar el servicio negocio
las operaciones incidentes de los problemas la continuidad seguridad procesos de and Incidents APO01—Managed
APO01—Gestionar Services
APO03—Managed
APO03—Gestionar APO06—Gestionar APO07—Gestionar
servicio
aseguramiento APO02—Managed
APO02—Gestionar APO04—Gestionar APO05—Gestionar
servicio negocio el marco de
IT Management Enterprise
la arquitectura de el presupuesto y los recursos
la estrategia
Strategy la innovación la cartera
gestión de TI
Framework los costes humanos
la empresa
Architecture
MEA02—Gestionar el MEA01—Gestionar la
sistema de control supervisión del
BAI02—Gestionar BAI03—Gestionar BAI07—Gestionar interno cumplimiento y
BAI01—Gestionar BAI04—Gestionar BAI05—Gestionar rendimiento
la definición de la identificación y BAI06—Gestionar la aceptación y la
los programas la disponibilidad y los cambios
requisitos creación de los cambios de TI APO09—Gestionar
transición deAPO09—Managed
los
capacidad organizativos APO08—Gestionar
APO08—Managed APO010—Gestionar
APO10—Managed APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
soluciones cambios de TIlos acuerdos
Servicede
las relaciones
Relationships servicio los proveedores
Vendors la calidad el riesgo la seguridad los datos
Agreements
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar el

el conocimiento los activos la configuración los proyectos cumplimiento de los
Sistema de gobierno personalizado

requisitos externos MEA02—Gestionar el
sistema de control
BAI03—Manage BAI07—Gestionar interno
BAI01—Managed
BAI01—Gestionar BAI02—Managed BAI04—Gestionar BAI05—Gestionar
la definición de la identificación
Solutions y BAI06—Gestionar la aceptación y la
losPrograms
programas Requirements la disponibilidad y los cambios
requisitos creación de los cambios de TI transición de los
capacidad organizativos
soluciones
and Build cambios de TI
DSS02—Gestionar DSS05—Gestionar DSS06—GGestiona

DSS01—Gestionar las solicitudes e DSS03—Gestionar DSS04—Gestionar los servicios de r los controles de MEA04—Gestionar el
las operaciones incidentes de los problemas la continuidad seguridad BAI08—Gestionar
procesos deBAI08—Managed BAI09—Gestionar
BAI09—Managed BAI10—Gestionar
BAI10—Managed BAI11—Gestionar MEA03—Gestionar el
aseguramiento
servicio negocio elKnowledge
conocimiento losAssets
activos la configuración los proyectos cumplimiento de los
requisitos externos
DSS02—Gestionar DSS05—Gestionar DSS06—GGestiona

DSS01—Gestionar las solicitudes e DSS03—Gestionar DSS04—Gestionar los servicios de r los controles de MEA04—Gestionar el
las operaciones incidentes de los problemas la continuidad seguridad procesos de aseguramiento
servicio negocio
Cuadro del sistema de gobierno
26 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas
estaba en desarrollo y no se había publicado aún.
41

4.5.1 Resolver conflictos de prioridades inherentes
El paso 4 implica la resolución de cualquier conflicto para poder finalizar el diseño.
4.5.1.1 Propósito
Se considerarán los siguientes resultados de los pasos anteriores antes de llegar a cualquier conclusión:
 El diseño inicial del sistema de gobierno, se obtuvo en el paso 2, basado en la estrategia empresarial, las metas
empresariales, el perfil de riesgo y los problemas relacionados con I&T. El diseño inicial puede que refleje
algunas series divergentes de objetivos de gestión priorizados.
 Los refinamientos obtenidos en el alcance en el paso 3 a través del análisis de los factores de diseño restantes y
series de prioridades divergentes.
4.5.1.2 Estrategias de resolución
El flujo de trabajo descrito en esta guía puede aplicarse a distintas situaciones y precisa distintas estrategias para
llegar a una conclusión. En resumen, la empresa debe analizar los datos y resultados después de aplicar los factores
de diseño en el contexto de sus metas para implementar un programa de gobierno.
Ejemplo: si la empresa tiene una iniciativa importante y continua (p. ej. una inversión importante en una
aplicación de la empresa, programa de transformación digital, etc.) o quiere centrarse en un tema o asunto muy
específico (p. ej., resolver un problema de seguridad importante, adoptar una estrategia de DevOPs, alinearse o
cumplir con nuevas regulaciones de privacidad, etc.), no necesita aplicar todos los pasos del flujo de trabajo
propuesto con todos los detalles, sino centrarse en áreas específicas de interés.
 En el caso de una inversión de desarrollo importante, la empresa puede considerar su estrategia empresarial (factor
de diseño 1) como una estrategia de innovación/diferenciación y decidir, por tanto, trabajar solo en los objetivos de
gobierno y gestión destacados para este factor de diseño.
 En caso de nuevas regulaciones de privacidad, una empresa puede centrarse en objetivos de gobierno y gestión que
corresponden a requisitos de cumplimiento altos (factor de diseño 6). Estos objetivos son EDM01 Asegurar el
establecimiento y el mantenimiento del marco de gobierno, EDM03 Garantizar la optimización del riesgo, APO12
Gestionar los riesgos, MEA03 Gestionar el cumplimiento de los requisitos externos y MEA04 Gestionar el
aseguramiento. Además, la empresa deberá centrarse en los objetivos de gobierno y gestión que surjan del análisis
de requisitos de cumplimiento incluidos en MEA03.
Ejemplo: si la empresa requiere una visión amplia, holística y profunda de su sistema de gobierno, se
recomienda que aplique el flujo de trabajo completo, conforme se describe en esta guía, y considere
cuidadosamente todos los factores de diseño.
Cuando se define el diseño de un sistema de gobierno, la empresa debe revisar sus objetivos de gobierno y gestión, y
analizar su(s) nivel(es) de rendimiento actual(es) (como niveles de capacidad para procesos). La empresa entonces
debe tener en cuenta los resultados de estas evaluaciones a la hora de definir la hoja de ruta hacia el sistema de
gobierno objetivo, buscando primero todas las ganancias rápidas (como aquellas iniciativas que implican un esfuerzo
limitado, pero que generan grandes beneficios).
4.5.1.3 Enfoque de resolución
No hay directrices aplicables de forma universal para resolver prioridades contrapuestas o contradictorias, válidas en
todos los contextos empresariales. Sin embargo, algunas recomendaciones para abordar esto son:
42

CAPÍTULO 4
 Incluir a todas las partes interesadas en el debate sobre el diseño del sistema de gobierno: consejo de
administración y dirección ejecutiva, ejecutivos de negocio, dirección de la función de TI y director de
aseguramiento y riesgos.
 Considerar la naturaleza genérica de las directrices y las tablas de asignación de COBIT, que no pueden tener en
cuenta todas las especificidades de cada empresa. La empresa puede y debe prepararse para desviarse de algunas
de las prioridades identificadas si piensa que hay razones justificadas para dicho desvío.
 De igual modo, tenga en cuenta que el contexto específico de la empresa podría requerir desviarse de las
prioridades estrictamente cuantitativas para los objetivos de gobierno y gestión que se generan por computaciones
genéricas, preprogramadas (p. ej., resultados de cálculos de matrices matemáticas).
4.5.2 Finalizar el diseño del sistema de gobierno
4.5.2.1 Finalizar el diseño
La finalización de la fase de diseño debe producir un diseño para el sistema de gobierno para la I&T de la empresa.
Este diseño incluirá:
 Objetivos de gobierno y gestión priorizados en los que:
 El número de objetivos de alta prioridad se mantiene en un nivel razonable.
 Los niveles de capacidad objetivo (o requisitos de rendimiento equivalentes para no procesos) se definen con
niveles de capacidad objetivo más altos para los objetivos más críticos y niveles de capacidad objetivo más bajos
para objetivos menos críticos.
 Varios niveles de capacidad objetivo para los procesos (u objetivos de rendimiento equivalentes para otros
componentes). Cuando se definen esos objetivos, no se recomienda aspirar a la calificación más alta, porque:
 Para algunos procesos u otros componentes no es posible o no se define una capacidad de nivel cinco (5).
 Casi nunca es rentable ni justificable operar un sistema de gobierno con este alto nivel de capacidad en todos los
objetivos.
 A muchas organizaciones les parecerá casi imposible implementar la hoja de ruta de un sistema de gobierno con
un nivel de capacidad alto dentro de cualquier tipo de plazo razonable.
 Un componente de gobierno que requiera una atención específica debido a un problema o circunstancia
determinada (p. ej. si la privacidad es una preocupación primordial para una empresa, las políticas y
procedimientos de privacidad podrían requerir una atención especial)
 Las directrices del área prioritaria que complementan las directrices del Core de COBIT (cuando están
disponibles, son necesarias y son adecuadas)
Ejemplos de un diseño como este se incluyen en el capítulo 7.
4.5.2.2 Sostener el sistema de gobierno
El resultado del último paso en el flujo de trabajo del diseño de gobierno es un sistema de gobierno bien diseñado.
Sin embargo, un sistema de gobierno es inherentemente dinámico. Las estrategias pueden cambiar, se lanzan
programas de inversión importantes, los escenarios de amenazas cambian, las tecnologías cambian, etc. Esto
significa que el sistema de gobierno debe ser revisado periódicamente y que deben efectuarse cambios en el sistema
siempre que sea necesario.
Esta naturaleza dinámica de cualquier sistema de gobierno también conecta con la Guía de implementación de
COBIT® 2019, que señala un ciclo de mejora continua (ver también el capítulo 5 de esta publicación).
43

44

CAPÍTULO 5
CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT®
2019
Capítulo 5
Conectando con la Guía de implementación COBIT ® 2019
5.1 Propósito de la Guía de implementación COBIT® 2019
La Guía de implementación COBIT® 2019 destaca una visión de gobierno de I&T que abarca toda la empresa,
reconociendo que la I&T está en todas las áreas de las empresas y que no es ni posible ni es una buena práctica
separar las actividades empresariales de las de TI.
El gobierno y gestión de I&T de la empresa debe, por tanto, implementarse como una parte integral del gobierno de
la empresa y debe cubrir todas las áreas del negocio y las áreas funcionales de responsabilidad de TI.
Cuando las implementaciones del sistema de gobierno fallan, una de las razones habituales es que no se inician ni se
gestionan apropiadamente como programas para asegurar que se obtengan beneficios. Los programas de gobierno
deben estar patrocinados por la dirección ejecutiva y deben tener un alcance apropiado, y siempre deberían definir
objetivos que sean alcanzables. Estas provisiones permiten a la empresa asimilar el ritmo del cambio según lo
previsto. La gestión de programas se aborda, por tanto, como una parte íntegra del ciclo de vida de la
implementación.
Si bien se recomienda un enfoque de programa y proyecto para impulsar las iniciativas de mejora de una manera más
efectiva, el objetivo general es establecer una práctica normal de negocio y un enfoque sostenible para gobernar y
gestionar la I&T empresarial (como cualquier otro aspecto del gobierno de la empresa). Por este motivo, el método
de implementación se basa en empoderar a las partes interesadas de la empresa y de TI para que se apropien de las
decisiones y actividades de gobierno y gestión relacionados con I&T facilitando y permitiendo el cambio.
El programa de implementación se cierra cuando el proceso para centrarse en las prioridades relacionadas con TI y la
mejora del gobierno generan un beneficio medible, y cuando los resultados del programa se han integrado en la
actividad empresarial continua.
Puede encontrar más información sobre estas materias en la Guía de implementación de COBIT® 2019.
5.2 Método de Implementación de COBIT
El método de implementación de COBIT se resume en la figura 5.1.
45

Figura 5.1—Hoja de ruta de implementación COBIT
emos 1 ¿Cuáles s
nten
o ma lso? on l
óm pu os
¿C el im im
7 e ladd Iniciar pu
lso
ida un p re
ctiv visión ro gra
Efe re
s?
ma
Estab
ner le
de cer
2¿
ste
So de ca seo el
Dón
Defi portuni
os?
mb
ios
iar
de es
6 ¿Lo logram
efic
rear Identifica
nir p dades
ito n e
on y cesi r l
im
M d
• Gestión del programa
Obtener ben
r a
alua act de d
nuevos ar
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ev
Incorpor
uar
s
(círculo exterior)
y tar
enfoque
Det estado
Implemen
el tual
ar el
erminar
ac
medir
• Habilitación del cambio

(círculo medio)
I m p ej or
e sta ir
et lo s d o
• Mejora continua del ciclo de vida

fi n
De e
le m a
s
m
Imp
ivo
nt
el d j
e
s ar (círculo interior)
ult a r
C o n s tr u ir ob
ru ta
le m uso
o
es u n ic
5 ¿C
ad
Pla
m e j o ra s
en
y
ac
m
?
Co r
de
t
nd
star
ión
óm
el ja
ee
Identificar a
se
oc
ho
los r
jec
uc ole s asig n ad os mo
on
la
ión nir
se
e re
fi
De
gu
qu
m
i re
de
os
Progra ón
ll e
ga m a del pla n ¿D
r? 3
4 ¿ Q u é d e b e h a c er s e ?
5.2.1 Fase 1: ¿Cuáles son los impulsores?
La fase 1 del método de implementación identifica los impulsores de cambio actuales y crea, a nivel de la gestión
ejecutiva, el deseo de cambiar, que se expresa en un esquema de un caso de negocio. Un impulsor del cambio es un
evento interno o externo, una condición o problema importante que sirve como estímulo para el cambio. Eventos,
tendencias (industria, mercado o técnica), falta de rendimiento, implementaciones de software e incluso las metas
empresariales pueden actuar en su conjunto como impulsores del cambio.
El riesgo asociado a la implementación del programa en sí mismo se describe en el caso de negocio y se gestiona a lo
largo del ciclo de vida. La preparación, mantenimiento y monitorización de un caso de negocio son disciplinas
fundamentales e importantes para justificar, apoyar y, a continuación, garantizar resultados satisfactorios para
cualquier iniciativa, incluida la mejora del sistema de gobierno. Ellos aseguran un foco continuo en los beneficios del
programa y su realización.
5.2.2 Fase 2: ¿Dónde estamos ahora?
La fase 2 alinea los objetivos relacionados con I&T con las estrategias y el riesgo empresarial y prioriza las metas
empresariales, metas de alineamiento y procesos más importantes. La Guía de diseño COBIT® 2019 proporciona
distintos factores de diseño para contribuir a la selección.
Según las metas empresariales y las metas relacionadas con TI seleccionadas y otros factores de diseño, la empresa
debe identificar los objetivos críticos de gobierno y gestión y los procesos subyacentes que tengan la capacidad
suficiente para asegurar resultados satisfactorios. La dirección debe conocer su capacidad actual y dónde podría
haber deficiencias. Esto puede lograrse mediante una evaluación del estado actual de la capacidad de los procesos
seleccionados.
46

CAPÍTULO 5
CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT® 2019
5.2.3 Fase 3: ¿Dónde queremos estar?
La fase 3 establece un objetivo de mejora seguido de un análisis de brechas para identificar posibles soluciones.
Algunas soluciones serán ganancias rápidas y otras serán tareas más desafiantes a largo plazo. La prioridad debe
otorgarse a los proyectos cuya consecución resulte más fácil y que probablemente proporcionen los mayores
beneficios. Las tareas a más largo plazo deben desglosarse en piezas gestionables.
5.2.4 Fase 4: ¿Qué debe hacerse?
La fase 4 describe cómo planificar soluciones factibles y prácticas mediante la definición de proyectos apoyados por
casos de negocio justificables y un plan del cambio para la implementación. Un caso de negocio bien desarrollado
puede contribuir a garantizar que los beneficios del proyecto se identifiquen y monitoricen continuamente.
5.2.5 Fase 5: ¿Cómo conseguiremos llegar?
La fase 5 contempla la implementación de las soluciones propuestas a través de prácticas diarias y mediante el
establecimiento de medidas y sistemas de monitorización para garantizar que se logra el alineamiento con el negocio,
y poder medir el desempeño.
Para tener éxito se requiere dedicación, concienciación y comunicación, comprensión y compromiso de la alta
dirección, y compromiso de propiedad de los dueños de los procesos de negocio y de TI afectados.
5.2.6 Fase 6: ¿Lo logramos?
La fase 6 se centra en la transición sostenible de las prácticas mejoradas de gobierno y gestión a operaciones
empresariales normales. Se centra además en monitorizar la consecución de las mejoras usando las métricas de
desempeño y los beneficios esperados.
5.2.7 Fase 7: ¿Cómo mantenemos el impulso?
La fase 7 revisa el éxito global de la iniciativa, identifica otros requisitos de gobierno y gestión y refuerza la
necesidad de una mejora continua. También prioriza más oportunidades para mejorar el sistema de gobierno.
La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada una de las
siete fases, para garantizar que el desempeño del programa va por buen camino, el caso de negocio y el riesgo están
actualizados, y la planificación de la siguiente fase se ha ajustado como corresponde. Se asume que el enfoque
estándar de la empresa se seguirá.
Puede encontrarse más ayuda sobre la gestión de programas y proyectos en los objetivos de gestión de COBIT
BAI01 Gestionar los programas y BAI11 Gestionar los proyectos. Aunque la presentación de informes no se
menciona de forma explícita en ninguna de las fases, se trata de una tarea continua durante todas las fases e
iteraciones.
5.3 Relación entre la Guía de diseño COBIT y la Guía de implementación COBIT
La Guía de diseño COBIT® 2019 elabora una serie de tareas definidas en la Guía de implementación COBIT® 2019.
La figura 5.2 describe los elementos de conexión entre ambas guías y el propósito de esta tabla es que los usuarios
de la Guía de implementación COBIT® 2019 encuentren directrices más detalladas y adicionales, adecuadas para
determinadas fases y actividades en la Guía de diseño COBIT® 2019.
47

Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT
la Guía de implementación COBIT la Guía de diseño COBIT
Fase 1: ¿Cuáles son los impulsores? (Tareas de mejora Paso 1: Entender el contexto y estrategia de la empresa.
continua [CI], por sus siglas en inglés)
1 Identificar el contexto actual de gobierno, los puntos de dolor 1.4 Entender los problemas actuales relacionados con
de TI y TI del negocio, eventos y síntomas que desencadenan la I&T.
necesidad de actuar.
2 Identificar los impulsores del negocio y de gobierno y los 1.1 Entender la estrategia empresarial.
requisitos de cumplimiento para mejorar el gobierno 1.2 Entender las metas empresariales.
empresarial de información y tecnología (GEIT) y evaluar las 1.3 Entender el perfil de riesgo.
necesidades actuales de las partes interesadas.
3 Identificar prioridades del negocio y estrategia empresarial 1.1 Entender la estrategia empresarial.
dependientes de TI, incluido cualquier proyecto significativo 1.2 Entender las metas empresariales.
actual. 1.3 Entender el perfil de riesgo.
4 Alinearse con las políticas, estrategias y principios rectores de
la empresa y cualquier iniciativa de gobierno en curso.
5 Aumentar la concienciación a los directivos sobre la
importancia de TI para la empresa y el valor del GEIT. No son pasos de diseño de gobierno exclusivamente, estas
6 Definir la política, objetivos, principios rectores y objetivos de tareas están más relacionadas con tareas de habilitación
mejora de alto nivel del GEIT. del cambio en la Guía de implementación COBIT y están
7 Asegurar que la dirección y el consejo de administración cubiertas de forma adecuada aquí.
entiende y aprueba una estrategia de alto nivel, y aceptar el
riesgo de no tomar ninguna acción ante problemas
significativos.
Fase 2: ¿Dónde estamos ahora? (tareas CI) Paso 2—Determinar el alcance inicial del sistema de
gobierno.
Paso 3—Perfeccionar el alcance del sistema de gobierno.
Paso 4—Finalizar el diseño del sistema de gobierno.
1 Identificar metas empresariales clave y apoyar las metas 2.1 Considerar la estrategia empresarial.
relacionadas con TI claves. 2.2 Considerar las metas empresariales y aplicar la
cascada de metas de COBIT.
2 Establecer la importancia y naturaleza de la contribución de TI 2.2 Considerar las metas empresariales y aplicar la
(soluciones y servicios) requeridos para respaldar los objetivos 3.3 cascada de metas de COBIT.
de negocio. 3.4 Considerar el rol de TI.
3.5 Considerar el modelo de abastecimiento de
3.6 proveedores.
3.7 Considerar los métodos de implementación de TI.
Considerar la estrategia de adopción de
tecnología.
Considerar el tamaño de la empresa.
3 Identificar problemas y debilidades claves de gobierno 2.4 Considerar los problemas actuales relacionados
relacionadas con las soluciones y servicios actuales y con I&T.
requeridos en el futuro, la arquitectura empresarial necesaria
para respaldar las metas relacionadas con TI y cualquier
restricción o limitación.
4 Identificar y seleccionar los procesos críticos para respaldar las 2.1 Considerar la estrategia empresarial.
metas relacionadas con TI y, si corresponde, prácticas de 2.2 Considerar las metas empresariales y aplicar la
gestión clave para cada proceso seleccionado. cascada de metas de COBIT.
5 Evaluar el riesgo de habilitación de beneficios/valor, el riesgo de 2.3 Considerar el perfil de riesgo de la empresa.
realización de programa/proyecto y el riesgo de operaciones de
prestación de servicio/TI relacionados con procesos críticos de
TI.
6 Identificar y seleccionar procesos críticos de TI para 2.3 Considerar el perfil de riesgo de la empresa.
garantizar que se evite el riesgo.
7 Entender la posición de aceptación del riesgo conforme a lo 1.3 Entender el perfil de riesgo.
definido por la dirección. 2.3 Considerar el perfil de riesgo de la empresa.
48

CAPÍTULO 5
CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT®
2019
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.)

Fase 2: ¿Dónde estamos ahora? (tareas CI) Paso 2—Determinar el alcance inicial del sistema de
gobierno.
Paso 3—Perfeccionar el alcance del sistema de gobierno.
Paso 4—Finalizar el diseño del sistema de gobierno.
8 Definir el método para ejecutar la evaluación.
El método de evaluación para los procesos es el método
descrito en la publicación del Marco de referencia
COBIT® 2019: Introducción y metodología (basada en
los niveles de capacidad de CMMI).
9 Documentar el entendimiento de cómo el proceso actual 2.1 Considerar la estrategia empresarial.

aborda las prácticas de gestión seleccionadas 2.2 Considerar las metas empresariales y aplicar la
anteriormente. cascada de metas de COBIT.
2.3 Considerar el perfil de riesgo de la empresa.
2.4 Considerar los problemas actuales relacionados
con I&T.
3.1 Considerar el escenario de amenazas.
3.2 Considerar los requisitos de cumplimiento.
3.3 Considerar el rol de TI.
Considerar el modelo de abastecimiento de
3.4 proveedores.
3.5 Considerar los métodos de implementación de
3.6 TI.
Considerar la estrategia de adopción de
3.7 tecnología.
Considerar el tamaño de la empresa.
10 Analizar el nivel de capacidad actual. 4.1 Resolver conflictos de prioridades inherentes.
4.2 Finalizar el diseño del sistema de gobierno.
11 Definir la valoración de capacidad del proceso actual. 4.1 Resolver conflictos de prioridades inherentes.
4.2 Finalizar el diseño del sistema de gobierno.
Fase 3: ¿Dónde queremos estar? (tareas CI) Paso 4—Finalizar el diseño del sistema de gobierno.
1 Definir objetivos de mejora: 4.1 Resolver conflictos de prioridades inherentes.
 Según los requisitos de rendimiento y conformidad de la 4.2 Finalizar el diseño del sistema de gobierno.
empresa, decidir los niveles de capacidad objetivo ideales
a corto y largo plazo para cada proceso.
 Hasta donde sea posible, hacer un benchmark interno
para identificar las mejores prácticas que pueden
adoptarse.
 Hasta donde sea posible, hacer un benchmark externo
con competidores y homólogos que ayude a decidir la
idoneidad del nivel objetivo elegido.
 Realizar una «comprobación de juicio» de la razonabilidad
del nivel objetivo (individualmente y en su conjunto),
viendo qué es alcanzable y deseable y qué puede tener el
mayor impacto positivo dentro del intervalo de tiempo
deseado.
49

Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.)

2 Analizar brechas: 4.1 Resolver conflictos de prioridades inherentes.
 Usar el entendimiento de la capacidad actual (por 4.2 Finalizar el diseño del sistema de gobierno.
atributo) y compararlos con el nivel de capacidad objetivo.
 Aprovechar las fortalezas existentes siempre que sea
posible para solucionar las brechas y buscar ayuda en las
prácticas y actividades de gestión de COBIT y estándares
como ITIL, International Organization for
Standardization/International Electrotechnical
Commission (ISO/IEC) 27000, The Open Group
Architectural Framework (TOGAF®) y el Project
Management Body of Knowledge (PMBOK®), para acabar
con otras brechas.
 Buscar patrones que indiquen las causas raíz que deben
abordarse.
3 Identificar mejoras potenciales:
 Comparar las brechas con posibles mejoras.
 Identificar el riesgo residual no mitigado y garantizar una
aceptación formal.
50

CAPÍTULO 6
KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE
GOBIERNO
Parte II
Ejecución y ejemplos
Capítulo 6
Kit de herramientas de diseño del sistema de gobierno
6.1 Introducción
Este capítulo introduce el kit de herramientas que acompaña a la Guía de diseño COBIT, una herramienta basada en
hojas de cálculo Excel® , que facilita la aplicación del flujo de trabajo del diseño del sistema de gobierno explicado
en el capítulo 4.
El kit de herramientas se utilizó para ilustrar los tres ejemplos señalados en el capítulo 7 de esta publicación. Esta
introducción debería ayudar a los lectores a obtener un conocimiento básico del kit de herramientas y apreciar cómo
se generaron los resultados en el capítulo 7. Una vez descargado, el kit de herramientas muestra los valores
ilustrados en este capítulo. Para usar la herramienta, cambiar los valores para adaptarlos al contexto de la empresa.
Nota: Existen muchos métodos para cuantificar y clasificar las prioridades para los objetivos de gobierno y
gestión. En esta publicación y el kit de herramientas que la acompaña, se seleccionó un método, pero eso no
excluye otros métodos valiosos que sean capaces de lograr resultados confiables.
6.2 Elementos básicos del kit de herramientas
El kit de herramientas consiste en una hoja de cálculo Excel. La hoja de cálculo contiene:
 Una pestaña de introducción e instrucciones que proporciona información básica sobre cómo usar el kit de
herramientas
 Una pestaña del canvas que consolida todos los resultados del flujo de trabajo del diseño del sistema de gobierno
 Una pestaña para cada factor de diseño (DF), en la que:
 Los valores se pueden introducir y representar gráficamente
 Los puntajes de prioridad para los objetivos de gobierno y gestión se calculan y presentan en formato de tabla y
gráficamente en dos diagramas
 Dos pestañas de resumen (una después del paso 2 y otra después del paso 3 del flujo de trabajo de diseño del
sistema de gobierno) que representan gráficamente los resultados de cada paso completado
 Tablas de asignación para los factores de diseño con valores de entrada usados por otras pestañas (estas pestañas se
ocultan para mejorar la lectura de la hoja de cálculo)
 Las tablas de asignación (con la excepción del factor de diseño 2 Metas empresariales) contienen valores entre
cero (0) y cuatro (4), que indican la importancia de cada objetivo de gobierno/gestión para cada valor respectivo
del factor de diseño, escenario de riesgo o problema relacionado con I&T.
- Un valor de 4 significa la máxima relevancia, mientras que un valor de 0 significa que no es relevante.
- Los valores reflejan promedios establecidos por un panel de expertos. Los valores no pueden modelar, y no lo
hacen, cada situación individual y, por tanto, deben usarse con precaución. Sin embargo, pueden dar buenas
indicaciones representativas y pueden considerarse como una guía de orientación.
 La tabla de asignación para el factor de diseño 2 Metas empresariales es ligeramente distinta, puesto que
contiene dos tablas de asignación. Una tabla asigna las metas empresariales a las metas de alineamiento, y la otra
tabla asigna las metas de alineamiento a los objetivos de gobierno y gestión (ver los apéndices B y C).
51

6.3 Paso 1 y paso 2: Determinar el alcance inicial del sistema de gobierno
En estos pasos del flujo de trabajo de diseño del gobierno, se evalúan la estrategia, metas, perfil de riesgo y
problemas relacionados con la I&T de la empresa. Los pasos evalúan los primeros cuatro factores de diseño
(conforme se definen en el capítulo 4) para determinar su impacto en el diseño inicial de un sistema de gobierno:
1. Estrategia empresarial
2. Metas empresariales (a través de la cascada de metas)
3. Perfil de riesgo de TI
4. Problemas relacionados con I&T
6.3.1 Estrategia empresarial (Factor de diseño 1)
Entrada  Cada uno de los cuatro valores posibles para el factor de diseño de la estrategia empresarial
(crecimiento/adquisición, innovación/diferenciación, liderazgo en coste, servicios/estabilidad al cliente)
deben clasificarse entre 1 (nada importante) y 5 (más importante).
 Se recomienda mantener la suficiente distancia entre los valores.
Cálculo  El kit de herramientas realiza un cálculo de matrices de los valores introducidos para el factor de diseño 1
Estrategia empresarial con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje para
cada objetivo de gobierno/gestión.
 El kit de herramientas realiza un segundo cálculo de matrices de un conjunto de valores de referencia para
el factor de diseño 1 con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje de
referencia para cada objetivo de gobierno/gestión.
 El kit de herramientas calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión
como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y
redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión
es más o menos importante a la hora de hacer una comparación con el puntaje de referencia.
Salida  La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
 Los resultados se representan en formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada Ejemplo de gráfico de salida
52

CAPÍTULO 6
GOBIERNO
6.3.2 Metas empresariales y la aplicación de la cascada de metas de COBIT (Factor de diseño 2)
Entrada  Cada una de las trece metas empresariales deben clasificarse entre 1 (nada importante) y 5 (más
importante).
 Usando las metas empresariales genéricas se determinan las metas más importantes para la empresa. Es
aconsejable seleccionar las tres a cinco primeras metas empresariales más importantes; demasiadas
metas de alta prioridad producirán unos resultados de la cascada de metas menos significativos.
Cálculo  La herramienta realiza un doble cálculo de matrices entre (1) las metas empresariales clasificadas y la
tabla de asignación entre las metas empresariales y las metas de alineamiento de TI, y (2) el resultado del
primer cálculo de matrices y la tabla de asignación entre las metas de alineamiento de TI y los objetivos de
gobierno y gestión.
 La herramienta realiza una segunda serie de cálculos de matrices de una serie de valores de referencia para
el factor de diseño 2 Metas empresariales, lo que deriva en un puntaje de referencia para cada objetivo de
gobierno/gestión.
 La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con el puntaje de referencia.
Salida  La sección de Salida de esta hoja contiene la importancia relativa calculada para cada uno de los 40
Factor de diseño 2 Metas empresariales (Entrada)
EG01-Portafolio de productos y servicios competitivos
EG02-Gestion del riesgo de negocio
EG03—Cumplimiento con las leyes y regulaciones externas
EG04—Calidad de la información financiera
EG05—Cultura de servicio orientada al cliente
EG06—Continuidad y disponibilidad del servicio del negocio
EG07—Calidad de la información sobre gestión
EGO8—Optimización de la funcionalidad de procesos internos del negocio
EG09—Optimización de costes de procesos del negocio
EG10—Habilidades, motivación y productividad del personal
EG11-Cumplimiento con las políticas internas
EG12—Gestión de programas de transformación digital
EG13- Innovación de productos y negocios
53

6.3.3 Perfil de riesgo de la empresa (Factor de diseño 3)

Entrada  Cada una de las 19 categorías de riesgo contenidas en el factor de diseño de perfil de riesgo deben
clasificarse como sigue:
 Impacto del riesgo, en caso de que ocurra, como un valor entre 1 (nada importante) y 5 (crítico)
 Probabilidad de que el riesgo ocurra, como un valor entre 1 (muy poco probable) y 5 (muy probable)
 La herramienta asigna una clasificación de riesgo (muy alto, alto, normal, bajo) a cada categoría de riesgo,
según la combinación de las valoraciones del impacto y la probabilidad.
Cálculo  La herramienta realiza un cálculo de matrices de las clasificaciones de riesgo con la tabla de asignación
para el factor de diseño 3 El perfil de riesgo, lo que deriva en un puntaje para cada objetivo de
gobierno/gestión.
 La herramienta realiza un segundo cálculo de matrices de un conjunto de clasificaciones de referencia de
riesgo para el factor de diseño 3 con la tabla de asignación para el factor de diseño 3, lo que deriva en un
puntaje de referencia para cada objetivo de gobierno/gestión.
 La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión, como
Salida  La sección de Salida de esta herramienta contiene la importancia relativa calculada para cada uno de los
40 objetivos de gobierno y gestión de COBIT® 2019.
Ejemplo de tabla de entrada Ejemplo de gráfico de salida

I&T
Impacto Probabilidad Clasificación Línea base

Categoría del escenario de riesgo
(1-5) (1-5) de riesgos de referencia
Toma de decisiones sobre inversiones en TI, definición

y mantenimiento del portafolio
Gestión del ciclo de vida de los programas y proyectos
Coste y control de TI
Comportamiento, habilidades y conocimiento de TI
Arquitectura de la empresa/TI
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
Adopción de software/problemas de uso
Incidentes de hardware
Fallos de software
ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
Gestión de datos e información
Riesgo muy alto
Riesgo alto
Riesgo normal
Riesgo bajo
54

CAPÍTULO 6
GOBIERNO
6.3.4 Problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4)
Entrada  Cada uno de los 20 problemas relacionados con I&T para el factor de diseño de problemas relacionados
con I&T debe valorarse entre 1 (ningún problema) y 3 (problema grave). Los números 1, 2 y 3 deben
introducirse en la herramienta; ésta los traducirá automáticamente en un símbolo, según la tecla de la
herramienta para esa valoración.
Cálculo  La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 4
Problemas relacionados con I&T con la tabla de asignación para el factor de diseño 4, lo que deriva en una
valoración para cada objetivo de gobierno/gestión.
 La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 4 con la tabla de asignación para el factor de diseño 4, lo que deriva en una valoración de
 Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de tabla de entrada Ejemplo de gráfico de salida

I&T
Importancia
Problema relacionado con I&T (1-3)
Línea base de
referencia
Frustración entre distintas unidades de TI en toda la organización debido

Sin problema
a una percepción de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como el cliente de TI)

y el departamento de TI debido a iniciativas fracasadas o una percepción de Problema
baja contribución al valor del negocio
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones

de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problema grave
Problemas de ejecución del servicio por parte de los subcontratistas de TI
Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI

Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre
desempeño de TI o notificación de problemas de calidad y servicio de TI
Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por
departamentos de usuarios fuera del control de los mecanismos de
decisión de inversión en IT normales y los presupuestos aprobados
Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos

malgastados
Recursos de TI insuficientes, personal con habilidades

inadecuadas o personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las
necesidades del negocio y que se ejecutan tarde o por encima del presupuesto
Resistencia de los miembros del consejo de administración, ejecutivos

o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial
para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las
decisiones relacionadas con TI
Excesivamente alto coste de TI

Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones
causada por la arquitectura y sistemas de TI actuales
Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los

usuarios del negocio y/o los especialistas en TI hablen un idioma distinto
Problemas regulares con la calidad de los datos y la integración de datos de

distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros
problemas) una falta de supervisión y control de calidad de las aplicaciones
que se están desarrollando e implementando
Los departamentos del negocio implementan sus propias soluciones de
información con poca o ninguna participación del departamento de TI de la
empresa (relacionado con la computación de usuarios finales, que suele surgir
de la insatisfacción con los soluciones y servicios de TI)
Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad
Incapacidad para explotar nuevas tecnologías o innovar con las TI
55

6.3.5 Conclusión
Entrada  N/A
Cálculo  La herramienta realiza una suma ponderada de los puntajes importantes calculados de los objetivos
de gobierno/gestión relacionados con los cuatro primeros factores de diseño.
 Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La
ponderación puede cambiarse si, por ejemplo, la estrategia de la empresa es de mayor importancia
que los objetivos empresariales, el riesgo o los problemas relacionados con I&T.
 Los resultados logrados se normalizan entonces en una escala de 100 (tanto positiva como negativa)
y se reflejan en la pestaña de resumen del paso 2.
 El valor más alto (positivo o negativo) obtiene un puntaje de 100.
 Los demás valores se prorratean con respecto a este valor.
 La lista resultante de puntajes no sólo proporciona una visión confiable de la importancia relativa de
todos los objetivos de gobierno/gestión comparados unos con otros, sino que también da una
indicación de la importancia absoluta. Este resultado permite a la empresa no sólo priorizar los
objetivos de gobierno/gestión comparándolos unos con otros, sino también definir niveles de
capacidad objetivo adecuados.
Salida  La pestaña resumen del paso 2 contiene la importancia relativa calculada para cada uno de los 40
 Los resultados se representan en el formato de tabla (en la pestaña del canvas) y como un diagrama
de barras (pestaña de resumen del paso 2)
56

CAPÍTULO 6
GOBIERNO
Ejemplo de gráfico de salida
Paso 2 Diseño inicial

Importancia de los objetivos de gobierno y gestión
57

Nota: El gráfico de ejemplo anterior es consistente con los gráficos de ejemplo para cada factor de diseño, ya que
representa el resultado real si los factores del 1 al 4 se introdujeran conforme se muestra en las entradas de ejemplo
proporcionadas en este capítulo 6.
6.4 Paso 3: Perfeccionar el alcance del sistema de gobierno
En este paso, se mejora aún más el alcance inicial del sistema de gobierno según la evaluación de los factores de
diseño restantes:
1. Escenario de amenazas
2. Requisitos de cumplimiento
3. Rol de TI
4. Modelo de abastecimiento de proveedores para TI
5. Métodos de implementación de TI
6. Estrategia de adopción de tecnología
7. Tamaño de la empresa (tenga en cuenta que este factor de diseño no se incluye como parte de la herramienta; ver
la sección 6.4.7 para obtener más información)
58

CAPÍTULO 6
KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO
6.4.1 Escenario de amenazas (Factor de diseño 5)
Entrada  Cada uno de los dos valores posibles (alto y normal) para el factor de diseño de escenario de amenazas
debe valorarse entre 0% y 100%. La suma de ambos valores debe ser 100%.
 Para muchas empresas, 100% se asignará a una de las categorías. La opción está disponible para asignar
porcentajes cuando una parte de las operaciones de la empresa está sujeta a un escenario de amenazas
alto, mientras que otras están sujetas a un escenario de amenazas más normal.
Escenario de amenazas con la tabla de asignación para el factor de diseño 5, lo que deriva en una
importante a la hora de hacer una comparación con la valoración de referencia.
Salida  La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de
gobierno y gestión de COBIT® 2019.
59

6.4.2 Requisitos de cumplimiento (Factor de diseño 6)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de requisitos de cumplimiento debe valorarse
entre 0% y 100%. La suma de los tres valores debe ser 100%.
 Para muchas empresas, 100% se asignará a una de las categorías. Sin embargo, está disponible la opción
de asignar distintos porcentajes, si el entorno de TI empresarial es muy amplio y algunas partes están
sujetas a una regulación de cumplimiento estricta, mientras que otras partes están sujetas a una regulación
menos estricta.
Requisitos de cumplimiento con la tabla de asignación para el factor de diseño 6, lo que deriva en una
60

CAPÍTULO 6
GOBIERNO
6.4.3 Rol de TI (Factor de diseño 7)
Entrada  Cada uno de los cuatro valores posibles para el factor de diseño de rol de TI (soporte, fábrica, cambio y
estratégico) deben valorarse entre 1 (nada importante) y 5 (más importante).
Cálculo  La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 7 Rol de
TI con la tabla de asignación para el factor de diseño 7, lo que deriva en una valoración para cada objetivo
de gobierno/gestión.
61

6.4.4 Modelo de abastecimiento de proveedores para TI (Factor de diseño 8)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de modelo de abastecimiento de proveedores
para TI (externalización, nube y personal interno) debe valorarse entre 0% y 100%. La suma de los tres
valores debe ser 100%.
 Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque,
por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido.
Cálculo  La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 8 Modelo
de abastecimiento de proveedores para TI con su tabla de asignación correspondiente, lo que deriva en una
Factor de diseño 8 Modelo de abastecimiento de proveedores para TI

Importancia derivada de objetivos de gobierno/gestión
Factor de diseño 8 Modelo de abastecimiento de proveedores (Entrada)
Externalización Nube Personal interno
62

CAPÍTULO 6
GOBIERNO
6.4.5 Métodos de implementación de TI (Factor de diseño 9)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de métodos de implementación de TI (Agile,
DevOps y tradicional) debe valorarse entre 0% y 100%. La suma de los tres valores debe ser 100%.
 Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque,
por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido.
Cálculo  La herramienta realiza un cálculo de matrices de las valoraciones introducidas para el factor de diseño 9
Métodos de implementación de TI con la tabla de asignación para el factor de diseño 9, lo que deriva en un
puntaje para cada objetivo de gobierno/gestión.
factor de diseño 9 con la tabla de asignación para el factor de diseño 9, lo que deriva en un puntaje de
63

6.4.6 Estrategia de adopción de tecnología (Factor de diseño 10)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de estrategia de adopción de tecnología
(primero en reaccionar, seguidor y adoptador lento) debe valorarse entre 0% y 100%. La suma de los tres
valores debe ser 100%.
 Para muchas empresas, 100% podría asignarse a una de las categorías. Sin embargo, está disponible la
opción de asignar distintos porcentajes si el entorno de TI empresarial es muy amplio, y distintas áreas
adoptan la tecnología a ritmos distintos.
Estrategia de adopción de tecnología con la tabla de asignación para el factor de diseño 10, lo que deriva en
un puntaje para cada objetivo de gobierno/gestión.
factor de diseño 10 con la tabla de asignación para el factor de diseño 10, lo que deriva en un puntaje de
Factor de diseño 10 Estrategia

de adopción de tecnología
Primero en reaccionar Seguidor Adoptadores lentos
64

CAPÍTULO 6
GOBIERNO
6.4.7 Tamaño de la empresa (Factor de diseño 11)
El factor de diseño del tamaño de la empresa únicamente indica si debe usarse la guía del área prioritaria de
pequeñas y medianas empresas, en lugar de la guía Core de COBIT.27 El tamaño de una empresa no tiene impacto en 1
la prioridad y los niveles de capacidad objetivo de los objetivos de gobierno y gestión.
6.4.8 Conclusión
Entrada  N/A
Cálculo  La herramienta realiza una suma ponderada de los puntajes de importancia de los objetivos de
gobierno/gestión calculadas relacionadas con los factores de diseño del 5 al 10 y la combina con los
resultados del paso 2 Diseño inicial del sistema de gobierno.
 Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La
ponderación puede cambiarse si, por ejemplo, los requisitos de cumplimiento son de mayor
importancia (porque la empresa opera en una industria altamente regulada).
 Los resultados logrados se normalizan entonces en una escala de 100.
 El valor más alto (positivo o negativo) obtiene un puntaje de 100.
 El resto de los valores se prorratea con respecto a este valor.
 La lista resultante de puntajes no solo proporciona una visión fiable de la importancia relativa de
todos los objetivos de gobierno/gestión comparados, sino que también da una indicación de la
importancia absoluta. Este resultado permite a la empresa no solo priorizar los objetivos de
gobierno/gestión comparándolos, sino también definir niveles de capacidad objetivo adecuados.
Salida  La pestaña resumen del paso 3 contiene la importancia relativa calculada para cada uno de los 40
 Los resultados se representan en el formato de tabla (en el canvas del cuadro) y como un diagrama
de barras (en la pestaña de resumen del paso 3)
Nota: El gráfico de ejemplo siguiente es consistente con los gráficos de ejemplo para cada factor de diseño, ya que
representa el resultado real si los factores del 5 al 10 se introdujeran conforme se muestra en los datos de entrada
de este capítulo 6.
1
27 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
65

Ejemplo de gráfico de salida
66

CAPÍTULO 7
EJEMPLOS
Capítulo 7
Ejemplos
7.1 Introducción
En este capítulo, el flujo de trabajo explicado en el capítulo 4 se aplica a los dos ejemplos ficticios y un estudio de
caso, para ilustrar el proceso de diseño del sistema de gobierno. Los ejemplos incluyen:
1. Empresa de manufactura (Sección 7.2)
2. Empresa de innovación de tamaño mediano (Sección 7.3)
3. Agencia gubernamental de alto perfil (Sección 7.4)
7.2 Ejemplo 1: Empresa de manufactura
La empresa fabrica bienes, es una empresa grande, muy preocupada por los costes y desea ser líder en costes en su
mercado. La empresa considera la I&T como una función puramente de soporte para lograr unas operaciones
eficientes y eficaces. Aunque TI es una función de soporte, la empresa depende críticamente de ella. La empresa
sigue una estrategia tradicional hacia desarrollos y operaciones nuevas y se muestra bastante indecisa a la hora de
adoptar nuevas tecnologías. Recientemente, la empresa se enfrentó a un ataque de malware y sufrió una serie de
problemas operativos de TI. La empresa alberga y opera equipos críticos de TI en sus instalaciones.
7.2.1 Paso 1: Entender el contexto y estrategia de la empresa
El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa.
Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en el liderazgo en costes y un enfoque
secundario en el servicio al cliente/estabilidad se muestran en la figura 7.1.
Figura 7.1—Ejemplo 1, Paso 1.1: Estrategia empresarial
67

Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, conforme se muestra en el diagrama siguiente. La figura 7.2 muestra que EG09 Optimización de
costes de los procesos del negocio es la meta empresarial con la clasificación más alta.
Figura 7.2—Ejemplo 1, Paso 1.2: Metas empresariales
Factor de diseño 2 Metas empresariales
EG01—Portafolio de productos y servicios competitivos 1 5
EG02—Gestión de riesgo de negocio 3
EG03—Cumplimiento de leyes y regulaciones externas 2
EG04—Calidad de la información financiera 2
EG05—Cultura de servicio orientada al cliente 4
EG06—Continuidad y disponibilidad del servicio del negocio 4
EG07—Calidad de la información sobre gestión 4

EG08—Optimización de la funcionalidad de procesos
internos del negocio 3
EG09—Optimización de costes de procesos del negocio 5
EG10—Habilidades, motivación y productividad del personal 2
EG11—Cumplimiento con las políticas internas 3
EG12—Gestión de programas de transformación digital 1 4
EG13—Innovación de productos y negocios 1
68

CAPÍTULO 7
EJEMPLOS
Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que
identifica las siguientes categorías de riesgo más altas (marcadas con puntos rojos en la columna de clasificación de
riesgos en la figura 7.3): Incidentes de infraestructura operativa de TI, acciones no autorizadas, adopción de
software/problemas de uso, incidentes de hardware, fallos de software y ataques lógicos. (Estas son categorías
amplias. Para obtener información detallada de escenarios de riesgo dentro de cada categoría, vea la sección 2.6)
Figura 7.3—Ejemplo 1, Paso 1.3: Riesgo Perfil
Factor de diseño 3 Perfil del riesgo
Impacto Probabilidad Clasificación

de riesgos
(1-5) (1-5)
Categoría del escenario de riesgo
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos Riesgo alto
Coste y auditoría de TI Riesgo normal
Comportamiento, habilidades y conocimiento de TI Riesgo bajo


Fallos de software
Ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incumplimiento
Acción industrial
Medio ambiente
Gestión de información y datos
69

Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala
de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura
7.4. Estos se perciben como problemas importantes para la empresa: incidentes significativos, problemas de
prestación de servicio por parte de proveedores, coste oculto de TI y coste general de TI.
Figura 7.4—Ejemplo 1, Paso 1.4: I&T-Problemas relacionados
Importancia Línea base

Valor de referencia
Frustración entre distintas unidades de TI en toda la organización debido a Sin problema

una percepción de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como el cliente Problema
de TI) y el departamento de TI debido a iniciativas fracasadas o una
Problema
grave
Incidentes significativos relacionados con TI, como pérdida de datos,
violaciones de seguridad, fallo del proyecto y errores de la aplicación,
relacionados con TI
Problemas de ejecución del servicio de los subcontratistas de TI
Incumplimiento de los requerimientos regulatorios o contractuales

relacionados con TI
Hallazgos de auditoría regulares u otros informes de evaluación
sobre un pobre desempeño de TI o notificación de problemas de
calidad y servicio de TI
Duplicaciones o coincidencias entre varias iniciativas u otras formas

de recursos malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas

o personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a
menudo las necesidades del negocio y que se ejecutan tarde o por
encima del presupuesto
Resistencia de los miembros del consejo de administración, ejecutivos o alta
gerencia involucrarse en las TI o una falta de compromiso empresarial para
patrocinar a TI, modelo operativo de TI
Modelo operativo de TI complejo y/o mecanismos de decisión
confusos para las decisiones relacionadas con TI
Implementación obstaculizada o fracasada de nuevas iniciativas o

innovaciones causada por la arquitectura y sistemas de TI actuales
Brecha entre conocimiento tecnológico y empresarial, lo que lleva a
que los usuarios del negocio y/o los especialistas en TI hablen un
idioma distinto
Problemas regulares con la calidad de los datos y la integración de

datos de distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera
(entre otros problemas) una falta de supervisión y control de calidad
de las aplicaciones que se están desarrollado e implementando
Los departamentos del negocio implementan sus propias soluciones
de información con poca o ninguna participación del departamento de
TI de la empresa
70

CAPÍTULO 7
EJEMPLOS
7.2.2 Paso 2: Determinar el alcance inicial del sistema de gobierno
El alcance inicial del sistema de gobierno se determina con la información (parcial o total) recopilada durante el paso
1. El paso 2 traslada esta información sobre las metas empresariales, la estrategia empresarial y el perfil de riesgo a
componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—La figura 7.5 representa la estrategia empresarial, como se identifica
en el paso 1.1. La figura 7.6 muestra la influencia relativa que estas estrategias tienen en los objetivos de gobierno y
gestión.
Figura 7.5—Ejemplo 1, Paso 2.1: Estrategia empresarial
71


Factor de diseño 1 Estrategia empresarial
Además de los procesos de gobierno y gestión destacados en la figura 7.6, también requieren atención los siguientes
componentes :
 Enfoque sobre habilidades presupuestarias y de costes de TI
 Influencia del componente de cultura y comportamiento
 Contribución del componente de los servicios, infraestructura y aplicaciones (p. ej. para la automatización de
controles, mejora de la eficiencia)
72

CAPÍTULO 7
EJEMPLOS
Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la
cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr
las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.7). La figura 7.8
muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión.
Figura 7.7—Ejemplo 1, Paso 2.2: Metas empresariales
EG01—Portafolio de productos y servicios competitivos 1 5
EG03—Cumplimiento de leyes y regulaciones externass 2

EG08—Optimización de la funcionalidad de procesos
internos del negocio 3
EG012—Gestión de programas de transformación digital 1 4

73


74

CAPÍTULO 7
EJEMPLOS
Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron
y analizaron en un nivel superior (figura 7.9). Dependiendo de la correspondencia entre el perfil de riesgo y los
objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación
incluida en el apéndice D), la figura 7.10 muestra la valoración relativa de los objetivos de gobierno y gestión,
basado de los resultados del análisis de riesgos.
Figura 7.9—Ejemplo 1, Paso 2.3: Perfil de riesgo
Impacto Probabilidad Clasifi-

(1-5) cación de
Categoría del escenario de riesgo (1-5) riesgos
Toma de decisiones sobre inversiones en TI, definición y
mantenimiento del portafolio Riesgo muy alto
Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
75

Figura 7.10—Ejemplo 1, Paso 2.3: Importancia derivada de Objetivos de

Gobierno/Gestión para el Factor de diseño 3 Perfil de riesgo
76

CAPÍTULO 7
EJEMPLOS
Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el
paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación
(Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese
problema. Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.12 muestra la valoración
relativa de los objetivos de gobierno y gestión, dependiendo del análisis empresarial de los problemas actuales
relacionados con la I&T. (figura 7.11).
Figura 7.11—Ejemplo 1, Paso 2.4: Problemas relacionados con I&T
Importancia Línea base de

Valor (1-3) referencia
Frustración entre distintas unidades de TI en toda la organización debido a una Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) Problema
y el departamento de TI debido a iniciativas fracasadas o una percepción de baja
Problema
contribución al valor del negocio grave
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones
de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI

Incumplimiento de los requerimientos regulatorios o contractuales relacionados
con TI
departamentos de usuarios fuera del control de los mecanismos de decisión de
inversión en IT normales y los presupuestos aprobados

malgastados
Resultados de auditoría regulares u otros informes de evaluación sobre un pobre
Resistencia por parte de los miembros del consejo de administración, ejecutivos
o alta gerencia a verse envueltos en las TI o una falta de mecenazgo empresarial
comprometido para las mismas



distintas fuentes
Nivel elevado de informática para usuarios finales, lo que genera (entre otros
problemas) una falta de supervisión y control de calidad de las aplicaciones que
se están desarrollado e implementando
Los departamentos del negocio implementan sus propias soluciones de información con poca o
ninguna participación del departamento de TI de la empresa (relacionado con la computación de
usuarios finales, que suele surgir de la insatisfacción con las soluciones y servicios de TI del
77


Factor de diseño 4 Problemas relacionados con I&T
78

CAPÍTULO 7
EJEMPLOS
Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los cuatro pasos anteriores para producir las prioridades iniciales siguientes para los
objetivos de gobierno y gestión en el sistema de gobierno (figura 7.13).
Figura 7.13—Ejemplo 1, Paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de
gobierno y gestión
Paso 2 Diseño inicial (Resumen) Importancia de

los objetivos de gobierno y gestión
-100 -50 0 50 100
-15 EDM01
-25 EDM02
EDM03 0
EDM04 0
EDM05 0
APO01 0
-40 APO02
-25 APO03
-75 APO04
-30 APO05
APO06 5
-10 APO07
-10 APO08
APO09 30
APO10 30
APO11 25
APO12 55
APO13 45
APO14 25
-40 BAI01
BAI02 0
BAI03 0
-25 BAI04
-25 BAI05
BAI06 25
BAI07 30
-10 BAI08
BAI09 100
BAI10 60
-60 BAI11
DSS01 40
DSS02 70
DSS03 60
DSS04 45
DSS05 45
DSS06 15
MEA01 0
MEA02 15
MEA03 0
MEA04 10
Es probable que los cinco principales objetivos de gestión siguientes sean importantes para el sistema de gobierno
de esta empresa:
 BAI09 Gestionar los activos
 DSS02 Gestionar las peticiones y los incidentes del servicio
 DSS03 Gestionar los problemas
 BAI10 Gestionar la configuración
 APO12 Gestionar los riesgos
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes:
79

 APO04 Gestionar la innovación

 BAI11 Gestionar los proyectos
 APO02 Gestionar la estrategia
 BAI01 Gestionar los programas
 APO05 Gestionar el portafolio
El paso siguiente determinará qué refinamientos se requieren todavía en este alcance inicial del sistema de gobierno.
7.2.3 Paso 3: Perfeccionar el alcance del sistema de gobierno
En el paso 3, se identifican los refinamientos al alcance inicial, según el conjunto de factores de diseño restantes que
deben analizarse. No todos los factores de diseño podrían aplicarse a todas las empresas, en cuyo caso pueden
ignorarse. La figura 7.14 muestra un resumen de los factores de diseño del 5 al 11 que se aplican a la empresa de
manufactura en este ejemplo. Cuando más de un valor era aplicable para un determinado factor de diseño, esto se
indicará en la columna de valor de la figura.
Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno

Factor de Prioridad de los objetivos de Directriz del área
Ref. Valor Componentes
diseño gobierno y gestión prioritaria
DF5 Escenario de amenazas
Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
gestión importantes se incluyen: organizativas importantes se seguridad de la
 EDM01, EDM03 encuentran: información292
 APO01, APO03, APO10, APO12,  Comité de estrategia de
APO13, APO14 seguridad
 BAI06, BAI10  CISO
 DSS02, DSS04, DSS05, DSS06 Entre los aspectos importantes
Alto 90%281
 MEA01, MEA03, MEA04 de cultura y comportamiento
se encuentran:
 Concienciación sobre
seguridad
Flujos de información:
 Según la definición de alcance  N/A Modelo Core de
Normal 10%
inicial COBIT
DF6 Requisitos de cumplimiento
Entre los objetivos de gestión más  N/A Modelo Core de
importantes, pero todavía moderados, COBIT
se encuentran:
Normal 75%
 EDM01, EDM03
 APO12
 MEA03
Baja 25%
inicial COBIT
DF7 Rol de TI
5 de Entre los objetivos de gobierno y  N/A Área prioritaria de
una gestión importantes se incluyen: seguridad de la
Fábrica
escala  EDM03 información303
de 5  DSS01, DSS02, DSS03, DSS04
Entre los objetivos de gobierno y  N/A Área prioritaria de
2 de
gestión importantes se incluyen: DevOPs314
una
Cambio  APO02, APO04,
escala
 BAI02, BAI03
de 5
80

CAPÍTULO 7
EJEMPLOS
Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno (cont.)

Ref. Valor Componentes
DF8 Modelo de abastecimiento de proveedores para TI
Entre los objetivos de gestión  N/A Área prioritaria de
Externalización importantes se incluyen: gestión de
20%
(outsourcing)  APO09, APO10 proveedores 325
 MEA01
Personal  Según la definición de alcance  N/A Modelo Core de
interno 80% inicial COBIT
DF9 Métodos de implementación de TI
Tradicional inicial COBIT
DF10 Estrategia de adopción de tecnología
Entre los objetivos de gobierno y Procesos que pueden Modelo Core de
Seguidor 90%336 gestión importantes se incluyen: ejecutarse a un ritmo más COBIT
 APO02, APO04 lento
 BAI01
Adoptadores  Según la definición de alcance  N/A Modelo Core de
Lentos 10%347 inicial COBIT
DF11 Tamaño de la Empresa
Grande inicial COBIT
Para cada factor de diseño de la figura 7.14, la situación actual evaluada puede combinarse con los objetivos de
gobierno y gestión asignados y otras directrices en la figura 7.14. Los siguientes ejemplos se produjeron usando los
cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno
y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de
araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia
relativos comparados con un nivel de referencia. Los niveles de importancia relativa se expresan en una escala de -
100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión
y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión.
1
28 Esta figura significa que el 90% de las operaciones y actividades de I&T de la empresa se realizan en un escenario de altas amenazas.
2 29 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
4 31 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
5 32 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura.
6 33 Esta cifra significa que un 90% de la organización se considera un seguidor en términos de adopción de tecnología.
7 34 Esta cifra significa que se considera que el 10% de las actividades de I&T de la empresa están a un ritmo de adoptadores lentos.
81

Paso 3.1—Considerar el escenario de amenazas —La figura 7.15 muestra el escenario de amenazas bajo el cual se cree que opera la empresa.
La figura 7.16 muestra el impacto en los objetivos de gobierno y gestión del escenario de amenazas evaluado.
Figura 7.15—Ejemplo 1, paso 3.1: Escenario de amenazas
Figura 7.16—Ejemplo 1, paso 3.1: Importancia derivada de Objetivos de Gobierno/Gestión para el

Factor de diseño 5 Escenario de amenazas
Factor de diseño 5 escenario de amenazas

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
82

CAPÍTULO 7
EJEMPLOS
Esta clasificación del escenario de amenazas hace que un número sustancial de objetivos de gobierno y gestión sean
más importantes, conforme a la entrada de la figura 7.14 relacionada con un escenario de altas amenazas. Las
directrices de estos objetivos de gobierno y gestión deberían obtenerse de las directrices del área prioritaria de
seguridad de la información,35 la cual contiene una guía más detallada y específica sobre seguridad de la
8
información que el modelo Core de COBIT.

Además, la empresa debe considerar (para su inclusión en su diseño del sistema de gobierno) la presencia y
rendimiento de lo siguiente:
 Entre las estructuras organizativas importantes se encuentran:
 Comité de estrategia de seguridad
 CISO
 Entre los aspectos de cultura y comportamiento importantes se encuentran:
 Concienciación sobre seguridad
 Flujos de información:
 Política de seguridad
 Estrategia de seguridad
Paso 3.2—Considerar los requisitos de cumplimiento—La figura 7.17 muestra los requisitos de cumplimiento para
la empresa, que se estima son normales, tendiendo a bajos. La figura 7.18 muestra el impacto de los requisitos de
cumplimiento evaluados en los objetivos de gobierno y gestión. Hay un impacto muy pequeño, que es el resultado
esperado.
Figura 7.17—Ejemplo 1, paso 3.2: Requisitos de cumplimiento
Design
Factor deFactor
diseño 66Requerimientos
CompliancedeRequirements
cumplimiento
High
Alto Normal
Normal Low
Bajo
25%
75%
8
83


Factor de diseño 6 Requisitos de cumplimiento
Factor de diseño 6 Requerimientos de cumplimiento

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Paso 3.3—Considerar el rol de TI—La figura 7.19 muestra el rol de TI, que se expresa como fábrica, con una
opción secundaria de cambio, indicando que la empresa tiene una alta operabilidad dependiendo de sus servicios de
TI. La figura 7.20 muestra el impacto del rol de TI evaluado en los objetivos de gobierno y gestión.
Figura 7.19—Ejemplo 1, paso 3.3: Rol de TI
84

CAPÍTULO 7
EJEMPLOS
Figura 7.20—Ejemplo 1, paso 3.3: Importancia derivada de Objetivos de

Gobierno/Gestión para el Factor de diseño 7 Rol de TI
Además de los objetivos de gobierno y gestión priorizados, las directrices deberían obtenerse de las áreas prioritarias
de seguridad de la información y DevOPs (cuando estén disponibles y sea necesario).
85

3.4—Considerar el modelo de abastecimiento de proveedores—La figura 7.21 muestra el modelo de abastecimiento

de proveedores de la empresa seleccionada, que es predominantemente con personal interno. La figura 7.22 muestra
el impacto del modelo de abastecimiento de proveedores evaluado en los objetivos de gobierno y gestión. El impacto
es bastante limitado para este factor de diseño.
Figura 7.21—Ejemplo 1, paso 3.4: Modelo de abastecimiento de proveedores para TI
Factor de diseño 8 Modelo de abastecimiento

de proveedores para TI

(outsourcing) (insourcing)
20%
80%

Factor de diseño 8 Modelo de abastecimiento de proveedores

para TI Importancia derivada de objetivos de gobierno/gestión
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
86

CAPÍTULO 7
EJEMPLOS
Paso 3.5—Considerar los métodos de implementación de TI—La empresa usa métodos tradicionales de desarrollo y
operaciones de TI (figura 7.23), lo que se traduce en un impacto nulo en los objetivos de gobierno y gestión (figura 7.24).
Figura 7.23—Ejemplo 1, paso 3.5: Métodos de implementación de TI
Factor de diseño 9 Métodos de

implementación de TI
Agile DevOPs Tradicional
100%

Factor de diseño 9 Métodos de implementación de TI

Importancia derivada de los objetivos de gobierno/gestión
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
87

Paso 3.6—Considerar la estrategia de adopción de tecnología—La figura 7.25 indica que la empresa es, como
mucho, seguidora cuando se trata de la adopción de nueva tecnología. La figura 7.26 muestra el impacto muy
limitado que esto tiene en las prioridades de los objetivos de gobierno y gestión.
Figura 7.25—Ejemplo 1, paso 3.6: Estrategia de Adopción de Tecnología
Factor de diseño 10 Estrategia de adopción de tecnología
Primero en reaccionar Seguidor (Follower) Adoptadores lentos (Slow adopter)
10%
90%

Factor de diseño 10 Estrategia de Adopción de Tecnología

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
88

CAPÍTULO 7
EJEMPLOS
3.7—Considerar el Tamaño de la Empresa.—La empresa se clasifica como grande. Conforme a la figura 7.14, esto
significa que el modelo Core de COBIT debe usarse como referencia para la definición del sistema de gobierno.
7.2.4 Paso 4: Finalizar el Diseño de la Solución de Gobierno

El último paso del proceso de diseño requiere que se discutan todos los aportes de los pasos anteriores, se resuelvan
los conflictos y se alcance una conclusión. El sistema de gobierno resultante refleja una cuidadosa consideración de
todos los aportes; teniendo en cuenta que estos aportes podrían en ocasiones entrar en conflicto y que se debe elegir
entre ellas.
7.2.4.1 Objetivos de gobierno y gestión
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los
resultados obtenidos del diseño del sistema inicial de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las
siguientes prioridades ajustadas para los objetivos de gobierno y gestión en el sistema de gobierno. (figura 7.27).
Figura 7.27—Ejemplo 1, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los
factores de diseño)
89

Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
 DSS02 Gestionar las peticiones y los incidentes del servicio (100)
 APO13 Gestionar la seguridad (80)
 DSS04 Gestionar la continuidad (80)
 DSS03 Gestionar los problemas (75)
 BAI09 Gestionar los activos (75)
 BAI10 Gestionar la configuración (75)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del
alcance inicial del paso 2.5. Algunos objetivos de gobierno/gestión han cambiado de lugar, uno ha desaparecido
(APO12) y se han añadido dos (DSS04 y APO13).
Los objetivos de gestión siguientes parecen los menos importantes:

 BAI11 Gestionar los proyectos
 BAI01 Gestionar los programas
 BAI05 Gestionar el cambio organizativo
Comparado con los objetivos más importante, la lista de los objetivos menos importantes ha cambiado incluso menos
que la lista identificada en la definición del alcance inicial del paso 2.5. Esto demuestra que el alcance inicial, basado
en los factores de diseño fundamentales ya era bastante preciso y también que tener en cuenta otros factores de
diseño ha conllevado ajustes adicionales.
En sus discusiones, la empresa decide que los valores de importancia generados automáticamente para algunos
objetivos de gobierno/gestión no son los que deben ser y hace los ajustes siguientes:
 APO06 Gestionar el presupuesto y los costes: +75
 EDM04 Asegurar la optimización de recursos: +75
 DSS02 Gestionar las peticiones y los incidentes del servicio: -25
Para concluir, la empresa decide que la primera etapa del diseño de su sistema de gobierno consistirá en los objetivos
de gobierno y gestión (con los procesos que conllevan), que se muestran en la figura 7.28.
Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de

Proceso
Nivel de
Capacidad
Referencia Objetivo de Gobierno/Gestión
objetivo de
Proceso
EDM03 Asegurar la optimización del riesgo 2
EDM04 Asegurar la optimización de recursos 3
APO06 Gestionar el presupuesto y los costes 4
APO09 Gestionar los acuerdos de nivel de servicio 2
APO10 Gestionar los proveedores 2
APO11 Gestionar la calidad 2
APO12 Gestionar los riesgos 3
APO13 Gestionar la seguridad 4
90

CAPÍTULO 7
EJEMPLOS
Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de

Proceso
Nivel de
Capacidad
Referencia Objetivo de Gobierno/Gestión
objetivo de
Proceso
APO14 Gestionar los datos 2
BAI06 Gestionar los cambios de TI 3
BAI09 Gestionar los activos 4
BAI10 Gestionar la configuración 4
DSS01 Gestionar las operaciones 2
DSS02 Gestionar las peticiones y los incidentes del servicio 4
DSS03 Gestionar los problemas 4
DSS04 Gestionar la continuidad 4
DSS05 Gestionar los servicios de seguridad 3
DSS06 Gestionar los controles del proceso de negocio 2
MEA02 Gestionar el sistema de control interno 2
MEA03 Gestionar el cumplimiento de los requisitos externos 2
MEA04 Gestionar el aseguramiento 2
La figura 7.28 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al
que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de
capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa era que:
 Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia
era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
 Cualquier objetivo de gobierno/gestión con una valoración de 50 o superior requeriría un nivel de capacidad 3.
Es razonable pensar que los procesos restantes alcanzarían un nivel de capacidad 1.
7.2.4.2 Otros componentes
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes:
 Comité de estrategia de seguridad
 CISO
La empresa también deberá garantizar una adecuada concienciación sobre seguridad a todos los niveles e
implementar flujos y elementos de información importantes (política de seguridad y estrategia de seguridad).
7.2.4.3 Directrices para áreas prioritarias específicas
La empresa usará las directrices siguientes para complementar el modelo Core de COBIT:
 Área prioritaria de seguridad de la información36 , dado el alto escenario de amenazas y los resultados del análisis 9
de riesgos y los problemas actuales relacionados con la I&T.

 Directrices del área prioritaria de gestión de proveedores y DevOPs37 , cuando y donde sea aplicable 10
9
36 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y la Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
10
37 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado aún, y el área prioritaria de gestión de proveedores se está
contemplando como una posible área prioritaria en el futuro.
91

7.3 Ejemplo 2: Empresa de innovación de tamaño mediano
Este ejemplo es de una empresa de innovación de tamaño mediano que desarrolla dispositivos (appliances) para el
sector automotor. La empresa es relativamente pequeña y se vanagloria de su rápida innovación. Depende de forma
crítica de TI, tanto para desarrollar productos como para fabricar accesorios. La empresa es a la vez usuaria y
desarrolladora de software. Está decidida a beneficiarse de cualquier tecnología nueva disponible e invierte en una
estrategia de DevOps, siempre que le es posible. Ha tomado la decisión estratégica de externalizar todos sus
servicios de TI relacionados con la infraestructura e ir a la nube.
El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa.
Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en innovación y diferenciación y un enfoque
secundarioen crecimiento/adquisición se muestran en la figura 7.29.
Figura 7.29—Ejemplo 2, paso 1.1: Estrategia empresarial
92

CAPÍTULO 7
EJEMPLOS
Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, según se muestra en la figura 7.30. El diagrama muestra que EG01 Portafolio de productos y
servicios competitivos yEG13 Innovación de producto y negocio son las metas empresariales con la clasificación más
alta.
Figura 7.30—Ejemplo 2, paso 1.2: Metas empresariales
EG01—Portafolio de productos y servicios competitivos 5
EG04—Calidad de la información financieran 3

EG07—Calidad de la información sobre gestión
3
EG08—Optimización de la funcionalidad de procesos internos
del negocio 2
EG12—Gestión de programas de transformación digital 3
EG13—Innovación de productos y negocios

5
93

Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo que
identifica las categorías de riesgo más altas (marcadas con puntos rojos en la columna de valoración de riesgos en la
figura 7.31: Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio; experiencia en
TI; habilidades y comportamiento; innovación basada en la tecnología. (Estas son categorías amplias. Para obtener
información detallada de los escenarios de riesgo dentro de cada categoría, vea la sección 2.6)
Figura 7.31—Ejemplo 2, paso 1.3: Perfil de riesgo

Impacto Probabilidad Valoración
de
Categoría del escenario de riesgo (1-5) (1-5) riesgos
Toma de decisiones sobre inversiones en TI, definición y mantenimiento Riesgo muy alto
del portafolio
Arquitectura de Empresa/ TI
Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
94

CAPÍTULO 7
EJEMPLOS
Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala
de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura
7.32.. Los siguientes problemas se consideran problemas importantes para la empresa; recursos de TI insuficientes,
problemas de arquitectura de TI y problemas de calidad de datos.
Figura 7.32—Ejemplo 2, paso 1.4: Problemas relacionados con I&T

Valor (1-3) de referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción

Sin problema
de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como Problema

el cliente de TI) y el departamento de TI debido a iniciativas fracasadas
o una percepción de baja contribución al valor del negocio Problema grave
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de

seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI
Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI

Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de

usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y
los presupuestos aprobados

malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas o personal

agotado/insatisfecho

Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia

a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI

Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios
del negocio y/o los especialistas en TI hablen un idioma distinto
Problemas regulares con la calidad de los datos y la integración de datos de distintas

fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas)
una falta de supervisión y control de calidad de las aplicaciones que se están
desarrollando e implementando
Los departamentos comerciales implementan sus propias soluciones de información

con poca o ninguna participación del departamento de TI de la empresa

Incapacidad para explotar nuevas tecnologías o innovar
con las TI
95

1. El paso 2 traslada esta información sobre la estrategia empresarial, metas empresariales, perfil de riesgo y
problemas relacionados con I&T a componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—La figura 7.33 representa la estrategia empresarial, como se
identifica en el paso 1.1. La figura 7.34 muestra la influencia relativa que estas estrategias tienen en los objetivos de

Importancia de las distintas estrategias (Entrada)
Crecimiento/Adquisición 3
Innovación/Diferenciación 5
Liderazgo en costes 2
Servicio al cliente/Estabilidad 2
0 1 2 3 4 5
96

CAPÍTULO 7
EJEMPLOS
Figura 7.34—Ejemplo 2, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para el

Factor de Diseño 1 Estrategia empresarial

Importancia derivada de objetivos de gobierno/gestión (Salida)
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Además de los procesos de gobierno y gestión destacados en la figura 7.34, también requieren atención los
componentes siguientes:
 Soporte para el rol de gestión del portafolio con la función responsable de supervisar todas las inversiones
 Los roles del arquitecto empresarial y director de tecnologías digitales
 Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y
lograr economías de escala
 Influencia del componente de la cultura y el comportamiento en la innovación
97

cascada de metas de COBIT puede aplicarse para determinar qué objetivos de gobierno y gestión son relevantes para
lograr las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.35). La figura
7.36 muestra la influencia relativa que estas metas empresariales clasificadas tienen en los objetivos de gobierno y
gestión.
EG01—Portafolio de productos y servicios competitivoss 5
EG03—Cumplimiento de leyes y regulaciones externasns 2
EG05—Cultura de servicio orientada al clientee 2

EG08—Optimización de la funcionalidad de 2
procesos internos del negocio
98

CAPÍTULO 7
EJEMPLOS

Factor de Diseño 2 Metas empresariales

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
99

Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron
y analizaron a alto nivel (figura 7.37). Dependiendo de la correspondencia entre el perfil de riesgo y los objetivos de
gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación incluida en el
apéndice D), la figura 7.38 muestra la valoración relativa de los objetivos de gobierno y gestión, dependiendo de los
resultados del análisis de riesgos.

Impacto Probabilidad Clasificación
(1-5) de riesgos
Categoría del escenario de riesgo (1-5)
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del
portafolio Riesgo muy alto
Arquitectura de la Empresa/TI
Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
100

CAPÍTULO 7
EJEMPLOS

Factor de Diseño 3 Perfil de riesgo
Factor de diseño 3 Perfil de riesgo

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
101

Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el paso
1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación (Apéndice E)
que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese problema. Basada en esa
asignación (como se explica en la sección 4.2.4), la figura 7.40 muestra la valoración relativa de los objetivos de gobierno
y gestión, según el análisis de los problemas actuales relacionados con la I&T (figura 7.39).

Frustración entre distintas unidades de TI en toda la organización debido Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente Problema

de TI) y el departamento de TI debido a iniciativas fracasadas o una
percepción de baja contribución al valor del negocio Problema
grave
relacionados con TI
Problemas de ejecución del servicio por parte de los subcontratistas
de TI
relacionados con TI
Hallazgos de auditoría regulares u otros informes de evaluación sobre un
pobre desempeño de TI o notificación de problemas de calidad y servicio
de TI

Duplicaciones o coincidencias entre varias iniciativas u otras formas de

recursos malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas o

personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo

las necesidades del negocio y que se ejecutan tarde o por encima del
presupuesto
Resistencia de los miembros del consejo de administración, ejecutivos o
alta gerencia a involucrarse con las TI o una falta de compromiso
empresarial para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos
para las decisiones relacionadas con TI

Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que

los usuarios del negocio y/o los especialistas en TI hablen un idioma
distinto

distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros
problemas) una falta de supervisión y control de calidad de las aplicaciones
que se están desarrollando e implementando

información con poca o ninguna participación del departamento de TI de la
empresa
102

CAPÍTULO 7
EJEMPLOS

Factor de Diseño 4 Problemas relacionados con I&T

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
103

Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los pasos anteriores para producir las prioridades iniciales para los objetivos de
gobierno y gestión en el sistema de gobierno (figura 7.41).
Figura 7.41—Ejemplo 2, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno
y gestión
Paso 2 Diseño inicial (Resumen)

Importancia de los objetivos de gobierno y gestión
-100 -50 0 50 100
-15 EDM01
EDM02 25
-15 EDM03
EDM04 10
-25 EDM05
APO01 0
APO02 30
-32 APO03 50
APO04 100
APO05 25
-25 APO06
APO07 25
APO08 30
-10 APO09
-10 APO10
-10 APO11
-5 APO12
-5 APO13
-10 APO14
BAI01 0
BAI02 10
BAI03 0
BAI04 0
BAI05 10
BAI06 40
BAI07 25
BAI08 50
BAI09 15
BAI10 45
BAI11 20
DSS01 10
DSS02 0
-10 DSS03
-10 DSS04
-15 DSS05
DSS06 10
-5 MEA01
-10 MEA02
-30 MEA03
-15 MEA04
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa
(cinco objetivos principales):
 BAI08 Gestionar el conocimiento
 APO03 Gestionar la arquitectura empresarial
 BAI10 Gestionar la configuración
 BAI06 Gestionar los cambios de TI
104

CAPÍTULO 7
EJEMPLOS
Los siguientes objetivos de gestión parecen (por el momento) los menos importantes:
 MEA03 Gestionar el cumplimiento de los requisitos externos
 EDM05 Asegurar el compromiso de las partes interesadas
 APO06 Gestionar el presupuesto y los costes
 EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno
 EDM03 Asegurar la optimización del riesgo
 DSS05 Gestionar los servicios de seguridad
El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.
En el paso 3, se identifican los refinamientos al alcance inicial, dependiendo del conjunto de factores de diseño
restantes que deben analizarse. (No todos los factores de diseño podrían aplicarse a cada empresa y, por tanto,
algunos pueden ser ignorados). La figura 7.42 resume los factores de diseño del 5 al 11 que se aplican a la empresa
de innovación de tamaño mediano en este ejemplo. Cuando se aplicó más de un valor para un factor de diseño
determinado, esto se indicará en la columna de valor de la figura.
Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2
Ref Valor Componentes
50 % Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
 DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y
Alto
 MEA01, MEA03, MEA04 comportamiento importantes
se encuentran:
seguridad
Normal 50%
inicial COBIT
Entre los objetivos de gestión  N/A Modelo Core de
importantes se incluyen: COBIT
 EDM01, EDM03
Normal 100%  APO12
 MEA03, MEA04
11
105

Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 (cont.)

DF7 Rol de TI
Combinación del modo estratégico y Componentes bimodales Área prioritaria de
de fábrica (estrategia bimodal); ver la típicos incluidos: transformación
figura 4.5 para los objetivos de  Estructuras organizativas digital3912
gobierno y gestión relacionados con  Director de tecnologías
5 en
la fábrica y el cambio de TI digitales
una
Estratégico  Habilidades y competencias
escala
 Personal que puede
de 5
trabajar en un entorno
ambidiestro que combina
tanto la exploración como
la explotación
 Procesos
 Un portafolio y un proceso
de innovación que integra
la exploración y
explotación de las
oportunidades de
transformación digitales
Entre los objetivos de gestión  N/A Área prioritaria de la
importantes se incluyen: nube4013
Nube 100%  APO09, APO10
 MEA01

Entre los objetivos de gobierno y Roles importantes y Área prioritaria de
DevOps 70% gestión importantes se incluyen: específicos conforme se DevOPs4114
Agile 15%  BAI02, BAI03, BAI06 identifican en las directrices
Tradicional 15% del área prioritaria de DevOPs
Entre los objetivos de gobierno y Procesos que pueden Área prioritaria de
gestión importantes se incluyen: ejecutarse a un ritmo más DevOPs
Primero en  EDM01, EDM02 rápido Área prioritaria de
reaccionar 100%  APO02, APO04, APO05, APO08 transformación digital
(First mover)  BAI01, BAI02, BAI03, BAI05, BAI07,
BAI11
 MEA01
DF11 Tamaño de la empresa
 Según la definición de alcance  N/A Área prioritaria de
Mediano
inicial PYMEs
Para cada factor de diseño de la figura 7.42, la situación actual evaluada puede combinarse con los objetivos de
gobierno y gestión asignados y otras directrices en la figura 7.42. Los ejemplos siguientes se produjeron usando los
cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno
y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de
araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia
relativos comparados con un nivel de referencia. Los niveles de importancia relativos se expresan en una escala de -
100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión
y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión.
12
13
40 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de la nube se estaba considerando como una posible área prioritaria futura.
14
41 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
106

CAPÍTULO 7
EJEMPLOS
Paso 3.1: Considerar el escenario actual de amenazas de TI—La figura 7.43 muestra el escenario de amenazas bajo
el cual se cree que opera la empresa. La figura 7.44 muestra el impacto en los objetivos de gobierno y gestión del
escenario de amenazas evaluado.
Figura 7.43—Ejemplo 2, paso 3.1: Escenario de amenazas
Alto Normal
50% 50%

Factor de Diseño 5 Escenario de amenazas

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
107

Esta clasificación del escenario de amenazas eleva la importancia de un número sustancial de objetivos de gobierno
y gestión, conforme a la entrada de la figura 7.42 relacionada con un escenario alto de amenazas. Las directrices de
estos objetivos de gobierno y gestión deben obtenerse de las directrices del área prioritaria de seguridad de la
información, que contiene directrices más detalladas y específicas sobre ciberseguridad que el modelo Core de
COBIT.42 15
Además, la empresa debe considerar incluir lo siguiente en su diseño del sistema de gobierno:
 CISO
108

CAPÍTULO 7
EJEMPLOS
Paso 3.2: Considerar los requisitos de cumplimiento—La figura 7.45 muestra los requisitos de cumplimiento para la
empresa, estimados como normales. La figura 7.46 muestra el impacto de los requisitos de cumplimiento evaluados
en los objetivos de gobierno y gestión. No hay impacto, lo cual es el resultado esperado, ya que normal es la
situación de referencia.
Figura 7.45—Ejemplo 2, paso 3.2: Requisitos de cumplimiento
Alto Normal Bajo
100%

Factor de Diseño 6 Requisitos de cumplimiento

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
109

Paso 3.3: Considerar el rol de TI—La figura 7.47 muestra el rol de TI, que se expresa como estratégico. La figura
7.48 muestra el impacto del rol de TI evaluado, en los objetivos de gobierno y gestión.
Figura 7.47—Ejemplo 2, paso 3.3: Rol de TI

Factor de Diseño 7 Rol de TI
Factor de diseño 7 Rol de TI

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
110

CAPÍTULO 7
EJEMPLOS
La empresa debe también considerar los siguientes componentes bimodales típicos, para su inclusión en el diseño del
sistema de gobierno:
 Estructuras organizativas: director de tecnologías digitales
 Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la
exploración como la explotación
 Procesos: un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades
de transformación digitales
Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse del área prioritaria de
transformación digital (cuando estén disponibles).
111

Paso 3.4: Considerar el modelo de abastecimiento de proveedores para TI—La figura 7.49 muestra el modelo de
abastecimiento de proveedores seleccionado de la empresa, que será completamente en la nube. La figura 7.50
muestra el impacto del modelo de abastecimiento de proveedores evaluado en los objetivos de gobierno y gestión. El
diagrama muestra que este impacto se centra solo en tres objetivos de gestión. Además, la empresa tendrá que
recurrir a las directrices del área prioritaria de la nube (cuando esté disponible).
Figura 7.49—Ejemplo 2, paso 3.4: Modelo de abastecimiento de proveedores para TI
Factor de diseño 8 Modelo de abastecimiento

de proveedores para TI

(outsourcing) (insourcing)
100%

Factor de Diseño 8 Modelo de abastecimiento de proveedores para TI

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
112

CAPÍTULO 7
EJEMPLOS
Paso 3.5: Considerar los métodos de implementación de TI—La empresa usa mayoritariamente un método DevOPs de
implementación para TI (ver la figura 7.51). La figura 7.52 muestra el impacto que esto tiene en los objetivos de gobierno
y gestión. Las directrices deben obtenerse del área prioritaria de gestión de DevOPs, como se indica en la figura 7.42.
Figura 7.51—Ejemplo 2, paso 3.5: Métodos de implementación de TI
Agile DevOPs Tradicional
15%
15%
70%
Figura 7.52—Ejemplo 2, paso 3.5: Importancia derivada de los objetivos de gobierno/gestión para el
Factor de Diseño 9 Métodos de implementación de TI

Importancia derivada de los objetivos de gobierno/gestión
EDM01 MEA04
EDM02
EDM03 200 MEA03
EDM04 175 MEA02
EDM05 150 MEA01
APO01 125 DSS06

100
APO02 DSS05
75
50
APO03 DSS04
25
APO04 0 DSS03
-25
2
APO05 -50
50 DSS02
-75
5
APO06 -10
00
00
-100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
113

Paso 3.6: Considerar la estrategia de adopción de tecnología—La figura 7.53 indica que la empresa es la primera en
reaccionar (first mover) cuando se trata de la adopción de nueva tecnología. La figura 7.54 muestra el impacto que
esto tiene en las prioridades de los objetivos de gobierno y gestión.
Figura 7.53—Ejemplo 2, paso 3.6: Estrategia de adopción de tecnología
Primero en Seguidor Adoptadores lentos

reaccionar
100%
Figura 7.54—Ejemplo 2, paso 3.6: Resultando importancia derivada de los objetivos de

gobierno/gestión para el Factor de Diseño 10 Estrategia de adopción de tecnología

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
114

CAPÍTULO 7
EJEMPLOS
Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse de las áreas prioritarias de
transformación digital y DevOPs (cuando estén disponibles).
Paso 3.7: Considerar el tamaño de la empresa—La empresa se clasifica como mediana. Conforme a la figura 7.42,
esto significa que el área prioritaria de la pequeña y mediana empresa43 debería usarse como referencia para la 16
definición del sistema de gobierno.
7.3.4 Paso 4: Finalizar el diseño de la solución de gobierno
los conflictos y se alcance una conclusión. El sistema de gobierno resultante refleja una cuidadosa consideración de
todos los aportes; hay que tener en cuenta que estos aportes podrían en ocasiones entrar en conflicto y que se debe
elegir entre ellas.
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los
resultados obtenidos del diseño inicial del sistema de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las
prioridades ajustadas siguientes para los objetivos de gobierno y gestión en el sistema de gobierno (figura 7.55).
16
43 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
115

Figura 7.55—Ejemplo 2, paso 4.1: Importancia de los objetivos de gobierno y gestión (Todos los
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
 APO03 Gestionar la arquitectura empresarial (100)
 APO04 Gestionar la innovación (90)
 APO07 Gestionar los recursos humanos (85)
 BAI10 Gestionar la configuración (85)
 BAI03 Gestionar la identificación y construcción de soluciones (70)
 BAI07 Gestionar la aceptación y la transición del cambio de TI (70)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del
alcance inicial del paso 2.5.
Los objetivos de gestión siguientes parecen los menos importantes:

 APO06 Gestionar el presupuesto y el coste
 MEA03 Gestionar el cumplimiento de los requisitos externos
116

CAPÍTULO 7
EJEMPLOS
 APO11 Gestionar los proyectos

 BAI04 Gestionar la disponibilidad y la capacidad
A la hora de comparar este resultado con el alcance inicial, pueden hacerse las siguientes observaciones:
 En general, la mayoría de los objetivos de gobierno y gestión han logrado una importancia significativa después de
tener en cuenta los factores de diseño adicionales; esto puede explicarse por el escenario de altas amenazas y el
papel estratégico de I&T.
 Los objetivos de gobierno/gestión que han tenido una mayor valoración después de la definición del alcance inicial
suelen seguir obteniendo una mayor valoración luego de refinar el alcance.
La empresa decide que está satisfecha con la puntuación de la importancia de los objetivos de gobierno y gestión.
Tras la discusión, la empresa decide que la primera etapa de su diseño del sistema de gobierno consistirá en los
objetivos de gobierno y gestión (con los procesos correspondientes) que se muestran en la figura 7.56.
Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de

procesos
Nivel de
capacidad
Ref Objetivo de gobierno/gestión
objetivo de
proceso
EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno 2
EDM02 Asegurar la entrega de beneficios 3
EDM03 Asegurar la optimización del riesgo 3
EDM04 Asegurar la optimización de recursos 2
EDM05 Asegurar el compromiso de las partes interesadas 2
APO01 Gestionar el marco de gestión de I&T 2
APO02 Gestionar la estrategia 2
APO03 Gestionar la arquitectura empresarial 4
APO04 Gestionar la innovación 4
APO05 Gestionar el portafolio 3
APO07 Gestionar los recursos humanos 4
APO08 Gestionar las relaciones 3
APO09 Gestionar los acuerdos de servicio 2
APO10 Gestionar los proveedores 2
APO12 Gestionar los riesgos 3
APO14 Gestionar los datos 2
BAI01 Gestionar los programas 2
BAI02 Gestionar la definición de requisitos 3
BAI03 Gestionar la identificación y construcción de soluciones 3
BAI05 Gestionar el cambio organizativo 3
BAI06 Gestionar los cambios de TI 3
BAI07 Gestionar la aceptación y la transición del cambio de TI 3
BAI08 Gestionar el conocimiento 3
BAI10 Gestionar la configuración 4
BAI11 Gestionar los proyectos 2
DSS01 Gestionar las operaciones 3
DSS02 Gestionar las peticiones y los incidentes del servicio 2
DSS03 Gestionar los problemas 2
117

Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de

procesos (cont.)
Nivel de
capacidad
objetivo de
proceso
DSS04 Gestionar la continuidad 2
DSS05 Gestionar los servicios de seguridad 2
DSS06 Gestionar los controles del proceso de negocio 2
MEA01 Gestionar la monitorización del rendimiento y la conformidad 3
La figura 7.56 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al
que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de
capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa es la misma que
se ha utilizado en el ejemplo 1:
 Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia
era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes (junto
con otros componentes) del sistema de gobierno:
 Soporte del rol de gestión del portafolio con una oficina de inversión
 Los roles del arquitecto empresarial y del director de tecnologías digitales
 Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y
lograr economías de escala
 Influencia del componente de la cultura y el comportamiento en la innovación
 CISO
 Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la
exploración como la explotación
 Procesos: Un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades
de transformación digitales
La empresa usará las directrices siguientes para complementar las directrices del modelo Core de COBIT:
 Directrices del área prioritaria de pequeñas y medianas empresas, porque se personaliza para su uso por empresas
más pequeñas
118

CAPÍTULO 7
EJEMPLOS
 Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados
del análisis de riesgos y los problemas actuales relacionados con la I&T
 Directrices de las áreas prioritarias de DevOPs, la nube y transformación digital, cuando y donde sean aplicables y
estén disponibles
7.4 Ejemplo 3: Agencia gubernamental de perfil alto

Este Caso de Estudio muestra la aplicación del flujo de trabajo para diseñar un sistema de gobierno personalizado
para una agencia gubernamental grande de alto perfil que proporciona servicios de salud, pagos financieros,
educación y otros servicios a aquellos que necesitan asistencia. Sus operaciones están descentralizadas, con
hospitales, clínicas y oficinas en regiones de todo el país. El presupuesto y la planificación de I&T y el presupuesto
de operaciones están distribuidos entre hospitales, beneficios financieros y otras unidades de negocio; y la unidad de
TI proporciona soporte de infraestructuras, operaciones de red, y un centro de operaciones de seguridad. La agencia
considera que I&T es crítico para el éxito de la organización y que debe cumplir con leyes y regulaciones,
especialmente los reglamentos de servicios de salud que siguen emergiendo. La empresa sigue una estrategia
tradicional hacia desarrollos y operaciones nuevas y se muestra bastante indecisa a la hora de adoptar nuevas
tecnologías. Hay una función de auditoría muy activa y existen decenas de hallazgos significativos relacionadas con
cómo la agencia protege su I&T, sobre todo en los relacionado con la seguridad y la privacidad. Como es una
agencia gubernamental, es un objetivo principal de los hackers y hace poco sufrió un hackeo importante a todo su
archivo de beneficiarios.

El primer paso consiste en resumir el contexto externo e interno de la agencia.
Paso 1.1: Entender la estrategia empresarial—El foco de la agencia a la hora de proporcionar servicios excelentes a
sus miembros se refleja en la figura 7.57.

Importancia de las distintas estrategias (Entrada)
0 1 2 3 4 5
119

Paso 1.2: Entender las metas empresariales—La agencia ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, conforme se muestra en la figura 7.58. El diagrama muestra que EG02 Gestión de riesgo de
negocio, EG03 Cumplimiento de leyes y regulaciones externas, EG05 Cultura de servicio orientada al cliente y
EG09 Optimización de costes de los procesos del negocio son las metas empresariales con la clasificación más alta.
EG03—Cumplimiento de leyes y regulaciones externasns 5

EG08—Optimización de la funcionalidad de 2
procesos internos del negocio
120

CAPÍTULO 7
EJEMPLOS
Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que se
Clasifi-
Impacto Probabilidad cación de
Categoría del escenario de riesgo (1-5) (1-5) riesgos


Fallos de software

Incumplimiento
Acción industrial
Medio ambiente
121

Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual derivó en la
evaluación de los problemas relacionados con I&T actuales, como se muestra en la figura 7.60.

Frustración entre distintas unidades de TI en toda la organización

Sin problema
debido a una percepción de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como el Problema
cliente de TI) y el departamento de TI debido a iniciativas fracasadas
o una percepción de baja contribución al valor del negocio
Problema
grave
relacionados con TI

relacionados con TI
Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos

de usuarios fuera del control de los mecanismos de decisión de inversión en IT
normales y los presupuestos aprobados
Duplicaciones o coincidencias entre varias iniciativas u otras formas de

recursos malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas o personal

agotado/insatisfecho

Resistencia de los miembros del consejo de administración, ejecutivos o
alta gerencia a involucrarse con las TI o una falta de compromiso empresarial
para patrocinar a TI
Alto coste de protección de TI



distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera

(entre otros problemas) una falta de supervisión y control de calidad de las
aplicaciones que se están desarrollando e implementando
información con poca o ninguna participación del departamento de
TI de la empresa
122

CAPÍTULO 7
EJEMPLOS

1. El paso 2 traslada esta información sobre la estrategia empresarial, metas empresariales, perfil de riesgo y
problemas relacionados con I&T a componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—El diagrama siguiente representa la estrategia empresarial, como se
identifica en el paso 1.1 (figura 7.61). La figura 7.62 muestra la influencia relativa que estas estrategias tienen en
los objetivos de gobierno y gestión.
0 1 2 3 4 5


Importancia derivada de objetivos de gobierno/gestión (Salida)
EDM01
EDM02 MEA04
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03
0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
123

cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr
las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.63). La figura 7.64
muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión.
EG08—Optimización de la funcionalidad de procesos 2

internos del negocio
124

CAPÍTULO 7
EJEMPLOS


EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
125

Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de IT se identificaron
y analizaron en un alto nivel (la figura 7.65). Dependiendo de la correspondencia entre el perfil de riesgo y los
objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación
incluida en el apéndice D), la figura 7.66 muestra la clasificación relativa de los objetivos de gobierno y gestión,
dependiendo de los resultados del análisis de riesgos.
Impacto Probabili- Clasifi-

cación de
Categoría del escenario de riesgo (1-5) dad (1-5) riesgos
Gestión de ciclo de vida de programas y proyectos Riesgo normal

Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
126

CAPÍTULO 7
EJEMPLOS


EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
127

Paso 2.4: Considerar los problemas actuales relacionados con I&T. En este paso, los problemas identificados en el
paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación
(Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese
problema (figura 7.67). Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.68 muestra la
valoración relativa de los objetivos de gobierno y gestión, según el análisis empresarial de los problemas actuales
relacionados con la I&T.
Importance Línea base de

Valor (1-3) referencia
Frustración entre distintas unidades de TI en toda la organización debido Sin problema

Frustración entre distintos departamentos de la empresa (como el Problema
cliente de TI) y el departamento de TI debido a iniciativas fracasadas o
una percepción de baja contribución al valor del negocio Problema grave

relacionados con TI
Problemas de ejecución del servicio por parte de los
subcontratistas de TI
relacionados con TI
Hallazgos de auditoría regulares u otros informes de evaluación sobre
un pobre desempeño de TI o notificación de problemas de calidad y
servicio de TI
Duplicaciones o coincidencias entre varias iniciativas u otras
formas de recursos malgastados
Recursos de TI insuficientes, personal con habilidades
inadecuadas o personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo
las necesidades del negocio y que se ejecutan tarde o por encima del
presupuesto
Resistencia de los miembros del consejo de administración,
ejecutivos o alta gerencia a involucrarse con las TI o una falta de
compromiso empresarial para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos
para las decisiones relacionadas con TI

Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que
los usuarios del negocio y/o los especialistas en TI hablen un idioma
distinto
Problemas regulares con la calidad de los datos y la integración de
datos de distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre
otros problemas) una falta de supervisión y control de calidad de las
aplicaciones que se están desarrollando e implementando
Los departamentos comerciales implementan sus propias soluciones de
información con poca o ninguna implicación por parte del departamento
de TI de la empresa
128

CAPÍTULO 7
EJEMPLOS


EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
75
EDM05 MEA01
APO01 50 DSS06
APO02 25 DSS05
0
APO03 DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Paso 2.5: Alcance inicial del sistema de gobierno. Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los pasos anteriores. Los resultados iniciales se comentarán con la dirección y se
ajustarán para dos objetivos de gestión: APO02 Gestionar la estrategia (cuya prioridad aumentó) y APO09
Gestionar los acuerdos de servicio (cuya prioridad disminuyó). Estos ajustes resultaron en las siguientes prioridades
iniciales para los objetivos de gobierno y gestión en el sistema de gobierno.
129

Figura 7.69—Ejemplo 3, paso 2.5: Diseño inicial Resumen de la Importancia de los objetivos de
gobierno y gestión
Paso 2 Diseño inicial

(Resumen) Importancia de los objetivos de gobierno y gestión
-100 -50 0 50 100
EDM01 25
EDM02 25
EDM03 55
-20 EDM04
EDM05 10
APO01 20
-40 APO02
-35 APO03
-40 APO04
-25 APO05
-10 APO06
-25 APO07
APO08 15
APO09 25
-15 APO10
APO11 50
APO12 80
APO13 100
APO14 30
-10 BAI01
BAI02 5
BAI03 5
BAI04 75
BAI05 0
BAI06 25
BAI07 10
-40 BAI08
BAI09 60
BAI10 25
BAI11 20
DSS01 15
DSS02 75
DSS03 50
DSS04 55
DSS05 55
DSS06 35
MEA01 5
MEA02 20
MEA03 25
MEA04 25
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta
agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una puntuación de prioridad igual o
superior a 60:
 APO12 Gestionar los riesgos (80)
 BAI04 Gestionar la disponibilidad y la capacidad (75)
 BAI09 Gestionar los activos (60)
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes (con una valoración inferior a -25):
 BAI08 Gestionar el conocimiento
 APO03 Gestionar la arquitectura empresarial
130

CAPÍTULO 7
EJEMPLOS
El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.

En el paso 3, se identifican los refinamientos al alcance inicial, dependiendo del conjunto de factores de diseño
incluidos que deben analizarse. No todos los factores de diseño podrían aplicarse a todas las empresas, en ese caso
pueden ignorarse. La figura 6.70 muestra un resumen de los factores de diseño del 5 al 11 que son aplicables a la
empresa de innovación de tamaño mediano de este ejemplo. Cuando se haya aplicado más de un valor para un factor
de diseño determinado, se indicará en la columna de valor de la figura.
Figura 7.70—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 3
Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
 DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y
Alto 100%
 MEA01, MEA03, MEA04 comportamiento importantes
se encuentran:
seguridad
Baja 100%
inicial COBIT
DF7 Rol de TI
5 de  Según la definición de alcance  N/A Modelo Core de
una inicial COBIT
Soporte
escala
de 5
Personal  Según la definición de alcance  N/A Modelo Core de
100%
interno inicial COBIT
Tradicional 100%
inicial COBIT
Entre los objetivos de gobierno y Procesos que pueden Modelo Core de
gestión importantes se incluyen: ejecutarse a un ritmo más COBIT
Seguidor 100%
 APO02, APO04, lento
 BAI01
DF11 Tamaño de la empresa
Grande
inicial COBIT
En ambos ejemplos anteriores, la aplicación de cada factor de diseño se detalló completamente. Este ejemplo no
incluye los cálculos y diagramas detallados, y solo presenta el resultado final. Además de aplicar los factores de
diseño, conforme a lo explicado en la figura 7.70, se vuelve a destacar la importancia de los procesos de
alineamiento con su estrategia de I&T.
17
131

7.4.4 Paso 4: Finalizar el diseño de la solución de gobierno

los conflictos y se alcance una conclusión. El sistema de gobierno resultante es el resultado de una cuidadosa
consideración de todos los aportes, teniendo en cuenta que éstos podrían entrar a veces en conflicto y que se debe
tomar una decisión, incluyendo la discusión que ponga en relevancia la importancia del objetivo APO 02 Gestionar
la estrategia .
Llegados a este punto, es posible combinar las prioridades de gobierno y gestión resultantes de los pasos 3.1 al 3.7 a
los resultados obtenidos del diseño inicial del sistema de gobierno en los pasos 2.1 al 2.4. Esto genera las siguientes
prioridades ajustadas para los objetivos de gobierno y gestión en el sistema de gobierno.
Figura 7.71—Ejemplo 3, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta
agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una valoración de prioridad igual o
superior a 60:
132

CAPÍTULO 7
EJEMPLOS
 DSS05 Gestionar los servicios de seguridad (65)

 DSS04 Gestionar la continuidad (65)
 BAI04 Gestionar la disponibilidad y la capacidad (60)
Los siguientes objetivos de gestión parecen los menos importantes (con una valoración inferior a -50):
 APO04 Gestionar la innovación (-40)
 APO02 Gestionar la estrategia (-30)
 BAI08 Gestionar el conocimiento (-30)
 APO05 Gestionar el portafolio (-25)
 BAI03 Gestionar la identificación y construcción de soluciones (-25)
El resultado final refleja varios cambios relativos a las prioridades en el diseño inicial (obtenido tras el paso 2).
Tras el debate, la agencia decidió que su diseño del sistema de gobierno consistirá en la lista priorizada de objetivos
de gobierno y gestión (con los procesos subyacentes) que se muestran en la figura 7.72. La figura contiene todos los
objetivos de gobierno y gestión de COBIT, el nivel de capacidad sugerido basado en el resultado del paso 3, y la
decisión que ha tomado la dirección sobre los niveles de capacidades objetivo.
Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso

Nivel objetivo Nivel objetivo
sugerido de decidido de
capacidad de capacidad de
procesos procesos
EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno 1 3
EDM02 Asegurar la entrega de beneficios 1 3
EDM03 Asegurar la optimización del riesgo 2 3
EDM04 Asegurar la optimización de recursos 1 3
EDM05 Asegurar el compromiso de las partes interesadas 2 3
APO01 Gestionar el marco de gestión de TI 2 2
APO02 Gestionar la estrategia 1 3
APO03 Gestionar la arquitectura empresarial 1 2
APO04 Gestionar la innovación 1 1
APO05 Gestionar el portafolio 1 3
APO06 Gestionar el presupuesto y los costes 1 3
APO07 Gestionar los recursos humanos 1 2
APO08 Gestionar las relaciones 1 2
APO09 Gestionar los acuerdos de servicio 1 2
APO10 Gestionar los proveedores 1 2
APO11 Gestionar la calidad 3 3
APO12 Gestionar los riesgos 2 4
APO13 Gestionar la seguridad 4 4
APO14 Gestionar los datos 3 4
BAI01 Gestionar los programas 1 3
BAI02 Gestionar la definición de requisitos 1 2
BAI03 Gestionar la identificación y construcción de soluciones 1 2
BAI04 Gestionar la disponibilidad y capacidad 3 2
BAI05 Gestionar el cambio organizativo 1 2
BAI06 Gestionar los cambios de TI 2 2
BAI07 Gestionar la aceptación y la transición del cambio de TI 1 2
133

Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso

(cont.)
Nivel objetivo Nivel objetivo
sugerido de decidido de
capacidad de capacidad de
procesos procesos
BAI08 Gestionar el conocimiento 1 1
BAI09 Gestionar los activos 2 2
BAI10 Gestionar la configuración 2 2
BAI11 Gestionar los proyectos 1 3
DSS01 Gestionar las operaciones 1 2
DSS02 Gestionar las peticiones y los incidentes del servicio 3 2
DSS03 Gestionar los problemas 2 2
DSS04 Gestionar la continuidad 3 2
DSS05 Gestionar los servicios de seguridad 3 3
DSS06 Gestionar los controles del proceso de negocio 2 3
MEA01 Gestionar la monitorización del rendimiento y la conformidad 1 2
MEA02 Gestionar el sistema de control interno 2 2
MEA03 Gestionar el cumplimiento de los requisitos externos 2 2
MEA04 Gestionar el aseguramiento 2 2
Es una prerrogativa de la gestión definir los niveles objetivo que difieran de los sugeridos por una estrategia
semi(automática), porque las tablas de asignación y las metas y condiciones genéricas puede que no sean siempre
aptas para el contexto particular de la empresa. En la figura 7.72, el nivel de capacidades objetivo sugerido y el nivel
objetivo decidido eran idénticos (o variaban solo un nivel) en casi el 80 por ciento de los objetivos de gobierno y
gestión.
Las mayores desviaciones sucedieron en los objetivos de gobierno y gestión relacionados con el coste y presupuesto
de TI, los programas y proyectos y la estrategia. Aunque las evaluaciones de la estrategia de la empresa, metas
empresariales, riesgo, problemas de I&T y otros factores de diseño indicaban bajas prioridades para los objetivos de
gobierno y gestión, la dirección decidió dar a estos objetivos mayores metas para abordar los problemas de gobierno
de la agencia.
La agencia deberá prestar especial atención a una robusta implementación de los roles y estructuras siguientes (junto
con otros componentes) del sistema de gobierno:
 La agencia establecerá una política de alta dirección que exprese su fuerte respaldo al establecimiento de una
estructura de gobierno de I&T, estándares, políticas y procedimientos de I&T, y para la implementación de los
siguientes estructuras y roles. (El gobierno de I&T actual y las estructuras organizativas implementadas por esta
gran agencia gubernamental de alto perfil se muestra a continuación en la figura 7.73).
 En cuanto a las estructuras organizativas, se decidió implementar los roles siguientes:
 Consejo de gestión estratégica
 Consejo de liderazgo en I&T
 Consejo de presupuesto y problemas a corto plazo
 Consejo de programación y problemas a largo plazo
 Proceso de planificación del personal
 Proceso de planificación e inversión de activos de capital
 Proceso de desarrollo legislativo
134

CAPÍTULO 7
EJEMPLOS
Figura 7.73—Ejemplo 3, paso 4: Estructuras organizativas
Estructuras organizativas
Formulación del presupuesto

Comité ejecutivo
Formulación del presupuesto

Consejo de gestión estratégica (CGE) Formulación del presupuesto
Formulación del presupuesto y
y otras cuestiones otras cuestiones
Planificación
Proceso del estratégica
formulación de y proceso
presupuesto de formulación Consejo de Liderazgo
de políticas en Información
y Tecnología
(CLIT)
Proceso de
Proceso de Proceso de
planificación e
planificación desarrollo
inversión de
del personal legislativo
activos de capital Consejo de Consejo de
Presupuesto y programación y
problemas a corto problemas a largo
plazo (CPPCP) plazo (CPPLP)
Reuniones
Consejos
Consejos de de relaciones
Gobierno especializados
Programas / Iniciativas de negocio
de campo (ej. Gestión de
(Ej. Hev, FLITE) (Administración y
datos de SLAs) personal de oficina)
La agencia también garantizará una concienciación adecuada sobre riesgo, seguridad y privacidad en toda la
organización.
La agencia usará las directrices siguientes para complementar las directrices del Modelo Core de COBIT:45 18
 El contenido del área prioritaria de riesgo, dado el alto escenario de amenazas y los resultados del análisis de
riesgos y los actuales problemas de la I&T
 Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados
del análisis de riesgos y los actuales problemas de la I&T
45 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, las áreas prioritarias de riesgo y seguridad de la información estaban en desarrollo y aún no se habían publicado.
135

136

APENDICES
APENDICE A
APENDICES
Los siguientes apéndices incluyen las tablas de asignación entre los objetivos de gobierno y gestión y los factores de
diseño que se identificaron en la sección 2.6.
Las asignaciones expresan hasta qué grado los valores del factor de diseño influyen en la importancia de un objetivo
de gobierno o gestión.
Las asignaciones usan una escala de cero (0) a cuatro (4): 4 indica la mayor influencia y 0 indica la ausencia de
cualquier relación.
Ejemplo: Cuando una empresa selecciona una estrategia de crecimiento para DF2 Estrategia empresarial, la
asignación del apéndice A muestra que el objetivo de gestión APO03 Gestionar la arquitectura empresarial será
muy importante (un valor de 4).
Apéndice A: Tabla de asignación—Estrategias empresariales a objetivos de gobierno y

gestión
Figura A.1—Asignación de la estrategia empresarial a objetivos de gobierno y gestión

Servicio al
Innovación/
DF1 Crecimiento/Adquisición Liderazgo en costes cliente/estabilidad
Diferenciación
EDM01 1.0 1.0 1.5 1.5

EDM02 1.5 1.0 2.0 3.5
EDM03 1.0 1.0 1.0 2.0
EDM04 1.5 1.0 4.0 1.0
EDM05 1.5 1.5 1.0 2.0
APO01 1.0 1.0 1.0 1.0
APO02 3.5 3.5 1.5 1.0
APO03 4.0 2.0 1.0 1.0
APO04 1.0 4.0 1.0 1.0
APO05 3.5 4.0 2.5 1.0
APO06 1.5 1.0 4.0 1.0
APO07 2.0 1.0 1.0 1.0
APO08 1.0 1.5 1.0 3.5
APO09 1.0 1.0 1.5 4.0
APO10 1.0 1.0 3.5 1.5
APO11 1.0 1.0 1.0 4.0
APO12 1.0 1.5 1.0 2.5
APO13 1.0 1.0 1.0 2.5
APO14 1.0 1.0 1.0 1.0
BAI01 4.0 2.0 1.5 1.5
BAI02 1.0 1.0 1.5 1.0
BAI03 1.0 1.0 1.5 1.0
BAI04 1.0 1.0 1.0 3.0
BAI05 4.0 2.0 1.0 1.5
BAI06 2.0 2.0 1.0 1.5
BAI07 1.5 2.0 1.0 1.5
BAI08 1.0 3.5 1.0 1.0
137

Figura A.1—Asignación de la estrategia empresarial a objetivos de gobierno y gestión (cont.)

Innovación/ Servicio al
DF1 Crecimiento/Adquisición Liderazgo en costes
Diferenciación cliente/estabilidad
BAI09 1.0 1.0 1.0 1.0
BAI10 1.0 1.0 1.0 1.0
BAI11 3.5 3.0 1.5 1.0
DSS01 1.0 1.0 1.0 1.5
DSS02 1.0 1.0 1.0 4.0
DSS03 1.0 1.0 1.0 3.0
DSS04 1.0 1.0 1.0 4.0
DSS05 1.0 1.0 1.0 2.5
DSS06 1.0 1.0 1.0 1.5
MEA01 1.0 1.0 1.0 1.0
MEA02 1.0 1.0 1.0 1.0
MEA03 1.0 1.0 1.0 1.0
MEA04 1.0 1.0 1.0 1.0
138

EG01 EG02 EG03 EG04 EG05 EG06 EG07 EG08 EG09 EG10 EG11 EG12 EG13
Portafolio de Continuidad Optimización de
productos y Cumplimiento Cultura de y la funcionalidad Optimización Habilidades, Cumplimiento Innovación
Gestión de
servicios Gestión de de leyes y Calidad de la servicio disponibilidad Calidad de la de procesos de costes de motivación y con las programas de de productos
competitivos riesgo de regulaciones información orientada al del información internos del procesos del productividad
servicio
políticas transformación y negocios
negocio externas financiera cliente sobre gestión negocio negocio del personal internas
del negocio digital
Cumplimiento y soporte de
AG01 I&T para el cumplimiento
empresarial con las leyes y S P S
regulaciones externas
Gestión de riesgo
AG02 relacionado con I&T P S
AG03 Beneficios obtenidos de el
portafolio de inversiones y S S S S P
servicios relacionados con I&T
AG04 Calidad de la información

financiera relacionada con P P P
la tecnología
AG05 Prestación de servicios

I&T conforme a los P S S S S
requerimientos del negocio
AG06 Agilidad para convertir los

requerimientos del negocio P S S S S
en soluciones operativas
AG07 Seguridad de la información,

infraestructura de
procesamiento y P P
aplicaciones, y privacidad
AG08 Habilitar y dar soporte a

procesos de negocio
mediante la integración de P P S S P S
aplicaciones y tecnología
Ejecución de programas
AG09 dentro del plazo, sin exceder
el presupuesto, y cumpliendo
con los requisitos y
P S S S P S
estándares de calidad
AG10 Calidad de la información

sobre gestión de I&T P P S
Cumplimiento de I&T con
AG11 las políticas internas S P P

Personal competente y
AG12 motivado con un
entendimiento mutuo de la S P
tecnología y el negocio
Conocimiento, experiencia
AG13 e iniciativas para la
innovación empresarial
P S S P
Figura A.2—Asignación de metas empresariales a metas de alineamiento
Apéndice B: Tabla de asignación—Metas empresariales a metas de alineamiento
139
APENDICE B
APENDICES
Apéndice C: Tabla de asignación—Metas de alineamiento a objetivos de gobierno y

gestión
Figura A.3—Asignación de metas de alineamiento a objetivos de gobierno y gestión
AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13
I&T
Cumplimiento
compliance
y soporte de Enabling and Ejecución
Habilitar y dar
Delivering de
and support
I&T para el Security of supporting
soporte a programs
programas
Personal
Seguridad de
for business
cumplimiento Realized
Beneficios
obtenidos de
Agility topara
Agilidad turn la
information,
información,
businessde dentro
procesos
del plazo,
on time, on
sin exceder el
Competent and
competente y
compliance
empresarial benefits from
el portafolio de
Qualitydeofla
Calidad Delivery
Prestaciónofde business
convertir los processing processes
infraestructura negocio by presupuesto,
budget andy motivated staff
motivado con un Knowledge,
Conocimiento,
conwith información
las leyes
Gestión de
I&T-enabled
inversiones y technology-
financiera
I&T services
servicios I&T requirements
requerimientos infrastructure
de integrating
mediante la meetingcon Calidad
cumpliendo Quality I&T
de la Cumplimiento
with mutual
entendimiento expertise
experienciaand
e
external
y Managed
riesgo investments
servicios related
relacionada in line with
conforme a los into en procesamiento
del negocio and applications
integración de requirements
los requisitos y of I&T
información de I&T con las understanding
compliance mutuo de la initiatives
iniciativas para
laws and
regulaciones
externas
I&T-related
relacionado and services
relacionados financial
con la business
requerimientos operational
soluciones applications,
y aplicaciones, and y estándares
aplicaciones and quality de management
sobre gestión with internal oftecnología
políticas technology
y el for business
la innovación
regulations risk
con I&T portfolio
con I&T information
tecnología requirements
del negocio solutions
operativas and privacy
y privacidad technology
tecnología standards
calidad information
de I&T policies
internas and business
negocio innovation
empresarial
EDM01 Ensured
Asegurar el governance
establecimiento
framework settingdeland
y el mantenimiento P S P S S
maintenance
marco de gobierno
EDM02 Ensured benefits

Asegurar la obtención de delivery
beneficios.
P S S S S
EDM03 Ensured
Garantizar larisk optimization
optimización del riesgo
S P P S
EDM04 Ensured
Asegurar resource
la optimización
optimization
de recursos S S S S P S
EDM05 Ensured stakeholder
Asegurar el
engagement
compromiso de
las partes interesadas S P S
APO01 Managed I&T
Gestionar el
management
marco de
gestión de I&T framework S S P S S S S S P
APO02 Managed
Gestionar lastrategy
estrategia S S S P S S
APO03 Managed
Gestionar laenterprise
architecture
empresarial
arquitectura
S S P S P
APO04 Managed
Gestionar lainnovation
innovación S P S S P
APO05 Managed portfolio
Gestionar el portafolio P P S S S
APO06 Managed
Gestionar elbudget and y
costs
los costes
presupuesto
S P P S
APO07 Managed human
Gestionar los
resources
humanos
recursos
S S S P P
APO08 Managed relationships
Gestionar las relaciones S P P S S P P
APO09 Managed service
Gestionar los
agreements
de servicio
acuerdos
P S
APO10 Managed vendors
Gestionar los proveedores P S S
APO11 Managed
Gestionar laquality
calidad S S S P P
APO12 Managed risk
Gestionar el riesgo P P
APO13 Managed
Gestionar lasecurity
seguridad S S P
APO14 Managed data
Gestionar los datos S S S S P
BAI01 Managed programs
Gestionar los programas P S S P
BAI02 Managed
Gestión derequirements
definition
requisitos
la definición de
S P P S P S
BAI03 Managed
Gestionar lasolutions
identification
identificación y
construcción deand build
soluciones
S P P S P
BAI04 Managed availability and
Gestionar la
capacity
y la capacidad
disponibilidad
P S S
BAI05 Managed organizational
Gestionar el
changes
organizativo
cambio
P S S P P S
BAI06 Managed IT changes
Gestionar los cambios de TI S S P S
BAI07 Managed
Gestionar laITaceptación
change
acceptance
y la transiciónand
de los S P S
transitioning
cambios de TI
BAI08 Managed
Gestionar elknowledge
conocimiento S S S S P P
BAI09 Managed assets
Gestionar los activos P S
BAI10 Managed
Gestionar laconfiguration
configuración S P
BAI11 Managed projects
Gestionar los proyectos P S P P
DSS01 Managed operations
Gestionar las operaciones P S
DSS02 Managed service requests
Gestionar las
and incidents
incidentes
peticiones
del servicio
y los
S P S
DSS03 Managed problems
Gestionar los problemas S P S
DSS04 Managed
Gestionar lacontinuity
continuidad S P P
DSS05 Managed
seguridad security services
Gestionar los servicios de
S P S P S
DSS06 Managed business
Gestionar los
process
controles de
procesos controls
de negocio S S S P S
MEA01 Managed
Gestionar laperformance
monitorización
and conformance
del rendimiento y la S S P S P S
monitoring
conformidad
MEA02 Managed
Gestionar elsystem
sistemaof
internal control
control interno
de
S S S S S S S P
MEA03 Managed
Gestionar compliance with
el cumplimiento
external requirements
los requerimientos
de
externos P S
MEA04 Managed
Gestionar elassurance
aseguramiento S S S S S S P
140

APENDICES
APENDICE D
Apéndice D: Tabla de asignación—Riesgo de TI a objetivos de gobierno y gestión
Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión
Toma de
decisiones sobre
inversiones en TI, Comporta- «Adopción de
Gestión del ciclo
definición y Coste y soft-
de vida de los miento, Incidentes de
mantenimiento control de TI ware/prob-
programas y habilidades y Arquitectura infraestructura Acciones no Incidentes Fallos de
del portafolio conocimien- lemas de uso»
proyectos de empresa/TI operativa de TI autorizadas de hardware software
to de TI
141

Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión (cont.)
Ataques lógicos
[hackeo,
software
malintenciona- Incidentes de Gestión de
do (malware), terceros/prov Problemas Acción Actos de la Innovación Medio información y
etc.] eedores Incumplimiento geopolíticos industrial naturaleza tecnológica ambiente datos
142

143
Frustración entre distintos Gasto sustancial oculto
Incidentes y fraudulento en TI, es
departamentos de la Hallazgos de auditoría Cambios o proyectos
Frustración entre significativos decir, gasto en TI por
empresa (como el cliente regulares u otros facilitados por TI que
distintas unidades de de TI) y el departamento de relacionados con TI,
informes de evaluación departamentos de suelen no satisfacer a
TI en toda la TI debido a iniciativas como pérdida de datos, usuarios fuera del
Incumplimiento de los sobre un pobre Duplicaciones o Recursos de TI menudo las
organización debido a fracasadas o una violaciones de control de los
requerimientos desempeño de TI o coincidencias entre insuficientes, personal necesidades del
una percepción de percepción de baja seguridad, fallo del Problemas de ejecución mecanismos de decisión
contribución al valor del regulatorios o notificación de varias iniciativas u con habilidades negocio y que se
proyecto y errores de la del servicio por parte de inversión en IT
baja contribución al negocio contractuales problemas de calidad y otras formas de inadecuadas o personal ejecutan tarde o por
aplicación, de los subcontratistas normales y los
DF4 valor del negocio relacionados con TI servicio de TI recursos malgastados agotado/insatisfecho encima del presupuesto
relacionados con TI de TI presupuestos aprobados
gobierno y gestión

Apéndice E: Tabla de asignación—Problemas relacionados con I&T a objetivos de
Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión

APENDICE D
APENDICES
144
Resistencia por parte de
los miembros del Nivel elevado de
consejo de Brecha entre informática para
administración, conocimiento usuarios finales, lo que Los departamentos
ejecutivos o alta Implementación tecnológico y genera (entre otros comerciales
gerencia a verse Modelo operativo de TI obstaculizada o empresarial, lo que lleva problemas) una falta de implementan sus
envueltos en las TI o una complejo y/o fracasada de nuevas a que los usuarios supervisión y control de propias soluciones de
falta de mecenazgo mecanismos de decisión iniciativas o empresariales y/o los Problemas regulares con calidad de las información con poca o Ignorancia sobre y/o Incapacidad para
empresarial confusos para las innovaciones causada especialistas en TI la calidad de los datos y aplicaciones que se ninguna implicación por incumplimiento de las explotar nuevas
comprometido para las decisiones relacionadas Alto coste de protección por la arquitectura y hablen un idioma la integración de datos están desarrollado e parte del departamento regulaciones de tecnologías o innovar
mismas con TI de TI sistemas de TI actuales distinto de distintas fuentes implementando de TI de la empresa privacidad con las TI

Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión (cont.)
APENDICES
APENDICE F
Apéndice F: Tabla de asignación—Escenario de amenazas a objetivos de gobierno y

gestión
Figura A.6—Asignación de escenario de amenazas a objetivos de gobierno y gestión

DF5 Alto Normal
EDM01 3.0 1.0
EDM02 1.0 1.0
EDM03 4.0 1.0
EDM04 1.0 1.0
EDM05 2.0 1.0
APO01 3.0 1.0
APO02 1.0 1.0
APO03 3.0 1.0
APO04 1.0 1.0
APO05 1.0 1.0
APO06 1.0 1.0
APO07 2.0 1.0
APO08 1.0 1.0
APO09 2.0 1.0
APO10 3.0 1.0
APO11 2.0 1.0
APO12 4.0 1.0
APO13 4.0 1.0
APO14 3.0 1.0
BAI01 1.0 1.0
BAI02 1.0 1.0
BAI03 1.0 1.0
BAI04 2.0 1.0
BAI05 1.0 1.0
BAI06 3.0 1.0
BAI07 1.0 1.0
BAI08 1.0 1.0
BAI09 1.0 1.0
BAI10 3.0 1.0
BAI11 1.0 1.0
DSS01 1.0 1.0
DSS02 3.0 1.0
DSS03 2.0 1.0
DSS04 4.0 1.0
DSS05 3.0 1.0
DSS06 3.0 1.0
MEA01 3.0 1.0
MEA02 2.0 1.0
MEA03 3.0 1.0
MEA04 3.0 1.0
145

Apéndice G: Tabla de asignación—Requisitos de cumplimiento a objetivos de gobierno

y gestión
Figura A.7—Asignación de requisitos de cumplimiento a objetivos de gobierno y gestión

DF6 Alto Normal Baja
EDM01 3.0 2.0 1.0
EDM02 1.0 1.0 1.0
EDM03 4.0 2.0 1.0
EDM04 1.0 1.0 1.0
EDM05 1.5 1.0 1.0
APO01 2.0 1.5 1.0
APO02 1.0 1.0 1.0
APO03 1.0 1.0 1.0
APO04 1.0 1.0 1.0
APO05 1.0 1.0 1.0
APO06 1.0 1.0 1.0
APO07 1.0 1.0 1.0
APO08 1.0 1.0 1.0
APO09 1.0 1.0 1.0
APO10 1.5 1.0 1.0
APO11 1.0 1.0 1.0
APO12 4.0 2.0 1.0
APO13 1.5 1.0 1.0
APO14 2.0 1.5 1.0
BAI01 1.0 1.0 1.0
BAI02 1.0 1.0 1.0
BAI03 1.0 1.0 1.0
BAI04 1.0 1.0 1.0
BAI05 1.0 1.0 1.0
BAI06 1.0 1.0 1.0
BAI07 1.0 1.0 1.0
BAI08 1.0 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.0 1.0 1.0
BAI11 1.0 1.0 1.0
DSS01 1.0 1.0 1.0
DSS02 1.0 1.0 1.0
DSS03 1.0 1.0 1.0
DSS04 1.5 1.0 1.0
DSS05 2.0 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 1.0 1.0 1.0
MEA02 1.0 1.0 1.0
MEA03 4.0 2.0 1.0
MEA04 3.5 2.0 1.0
146

APENDICES
APENDICE H
Apéndice H: Tabla de asignación—Rol de TI a objetivos de gobierno y gestión
Figura A.8—Asignación del rol de TI a objetivos de gobierno y gestión

DF7 Soporte Fábrica Cambio Estratégico
EDM01 1.0 2.0 1.5 4.0
EDM02 1.0 1.0 2.5 3.0
EDM03 1.0 3.0 1.0 3.0
EDM04 1.0 1.0 1.0 2.0
EDM05 1.0 1.0 1.0 2.0
APO01 1.0 1.5 1.5 2.5
APO02 1.0 1.0 3.0 3.0
APO03 1.0 1.0 2.0 2.0
APO04 0,5 1.0 3.5 4.0
APO05 1.0 1.0 2.5 3.0
APO06 1.0 1.0 1.0 2.0
APO07 1.0 1.0 1.0 1.5
APO08 1.0 1.0 2.0 2.5
APO09 1.0 2.0 1.5 2.0
APO10 1.0 2.5 1.5 2.0
APO11 1.0 1.5 1.5 2.0
APO12 1.0 2.5 1.0 3.0
APO13 1.0 2.0 1.5 3.0
APO14 1.0 1.5 1.5 2.5
BAI01 1.0 1.0 2.0 2.5
BAI02 1.0 1.0 3.0 3.0
BAI03 1.0 1.0 3.0 3.0
BAI04 1.0 2.5 1.5 2.0
BAI05 1.0 1.0 1.0 2.0
BAI06 1.0 2.5 1.0 2.0
BAI07 1.0 1.0 2.0 2.0
BAI08 1.0 1.0 1.0 2.0
BAI09 1.0 1.0 1.0 2.0
BAI10 1.0 1.5 1.0 2.0
BAI11 1.0 1.0 2.0 2.0
DSS01 1.0 3.5 1.0 3.0
DSS02 1.0 3.0 1.5 3.0
DSS03 1.0 3.0 1.5 3.5
DSS04 1.0 3.0 1.5 3.5
DSS05 1.5 2.5 1.5 3.5
DSS06 1.0 1.0 1.0 2.5
MEA01 1.0 1.0 1.0 2.0
MEA02 1.0 1.0 1.0 2.0
MEA03 1.0 1.0 1.0 1.5
MEA04 1.0 1.0 1.0 2.0
147

Apéndice I: Tabla de asignación—Modelo de abastecimiento de proveedores para TI a

objetivos de gobierno y gestión
Figura A.9—Asignación del modelo de abastecimiento de proveedores para TI a objetivos de

gobierno y gestión
DF8 Externalización (outsourcing) Nube Personal interno (insourcing)
EDM01 1.0 1.0 1.0
EDM02 1.0 1.0 1.0
EDM03 1.0 2.0 1.0
EDM04 1.0 1.0 1.0
EDM05 1.0 1.0 1.0
APO01 1.0 1.0 1.0
APO02 1.0 1.0 1.0
APO03 1.0 1.0 1.0
APO04 1.0 1.0 1.0
APO05 1.0 1.0 1.0
APO06 1.0 1.0 1.0
APO07 1.0 1.0 1.0
APO08 1.0 1.0 1.0
APO09 4.0 4.0 1.0
APO10 4.0 4.0 1.0
APO11 1.0 1.0 1.0
APO12 2.0 2.0 1.0
APO13 1.0 1.0 1.0
APO14 1.0 1.0 1.0
BAI01 1.0 1.0 1.0
BAI02 1.0 1.0 1.0
BAI03 1.0 1.0 1.0
BAI04 1.0 1.0 1.0
BAI05 1.0 1.0 1.0
BAI06 1.0 1.0 1.0
BAI07 1.0 1.0 1.0
BAI08 1.0 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.0 1.0 1.0
BAI11 1.0 1.0 1.0
DSS01 1.0 1.0 1.0
DSS02 1.0 1.0 1.0
DSS03 1.0 1.0 1.0
DSS04 1.0 1.0 1.0
DSS05 1.0 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 3.0 3.0 1.0
MEA02 1.0 1.0 1.0
MEA03 1.0 1.0 1.0
MEA04 1.0 1.0 1.0
148

APENDICES
APENDICE J
Apéndice J: Tabla de asignación—Métodos de implementación de TI a objetivos de

gobierno y gestión
Figura A.10—Asignación de métodos de implementación de TI a objetivos de gobierno y gestión

DF9 Agile DevOps Tradicional
EDM01 1.0 1.0 1.0
EDM02 1.0 1.0 1.0
EDM03 1.0 1.0 1.0
EDM04 1.0 1.0 1.0
EDM05 1.0 1.0 1.0
APO01 1.0 1.0 1.0
APO02 1.0 1.0 1.0
APO03 1.0 2.0 1.0
APO04 1.0 1.0 1.0
APO05 1.0 1.0 1.0
APO06 1.0 1.0 1.0
APO07 1.0 1.5 1.0
APO08 1.0 1.0 1.0
APO09 1.0 1.0 1.0
APO10 1.0 1.0 1.0
APO11 1.0 1.0 1.0
APO12 1.0 1.5 1.0
APO13 1.0 1.0 1.0
APO14 1.0 1.0 1.0
BAI01 2.0 1.5 1.0
BAI02 3.5 2.0 1.0
BAI03 4.0 3.0 1.0
BAI04 1.0 1.0 1.0
BAI05 2.5 1.5 1.0
BAI06 3.5 2.0 1.0
BAI07 2.5 2.5 1.0
BAI08 1.0 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.5 2.0 1.0
BAI11 2.5 1.0 1.0
DSS01 1.0 2.5 1.0
DSS02 1.0 1.5 1.0
DSS03 1.0 1.5 1.0
DSS04 1.0 1.0 1.0
DSS05 1.0 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 1.5 1.5 1.0
MEA02 1.0 1.0 1.0
MEA03 1.0 1.0 1.0
MEA04 1.0 1.0 1.0
149

Apéndice K: Tabla de asignación—Estrategias de adopción de tecnología a objetivos

de gobierno y gestión
Figura A.11—Asignación de estrategias de adopción de tecnología a objetivos de gobierno y gestión

Primero en reaccionar (First
DF10 Seguidor (Follower) Adoptador lento (Slow adopter)
mover)
EDM01 3.5 2.5 1.5
EDM02 4.0 2.5 1.5
EDM03 1.5 1.0 1.0
EDM04 2.5 2.0 1.5
EDM05 1.5 1.0 1.0
APO01 2.5 1.5 1.0
APO02 4.0 3.0 1.5
APO03 2.0 1.0 1.0
APO04 4.0 3.0 1.0
APO05 4.0 2.5 1.0
APO06 1.0 1.5 1.0
APO07 2.5 1.0 1.0
APO08 3.0 1.5 1.0
APO09 1.5 1.5 1.0
APO10 2.5 1.5 1.0
APO11 1.5 1.5 1.0
APO12 2.0 1.5 1.0
APO13 1.0 1.0 1.0
APO14 2.5 2.0 1.0
BAI01 4.0 3.0 1.5
BAI02 3.5 2.5 1.0
BAI03 4.0 2.5 1.0
BAI04 1.5 1.5 1.0
BAI05 3.0 2.0 1.0
BAI06 2.5 2.0 1.0
BAI07 3.5 2.5 1.0
BAI08 1.5 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.5 1.0 1.0
BAI11 3.5 2.5 1.0
DSS01 1.0 1.0 1.0
DSS02 1.0 1.0 1.0
DSS03 1.5 1.0 1.0
DSS04 1.5 1.0 1.0
DSS05 1.5 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 3.0 2.0 1.0
MEA02 1.0 1.0 1.0
MEA03 1.0 1.0 1.0
MEA04 1.0 1.0 1.0
150

Guía de implementación
Implementación y
optimización de una solución
de gobierno de información
y tecnología

GUÍA DE IMPLEMENTACIÓN COBIT® 2019
Acerca de ISACA
Con casi 50 años de vida, ISACA® (isaca.org) es una organización global que ayuda tanto a individuos como a
empresas a alcanzar el potencial positivo de la tecnología. La tecnología impulsa el mundo de hoy e ISACA
proporciona a los profesionales los conocimientos, credenciales, educación y comunidad para avanzar en sus carreras
profesionales y transformar sus organizaciones. ISACA aprovecha la experiencia de su medio millón de profesionales
dedicados a la información y ciberseguridad, gobierno, aseguramiento, riesgo e innovación, así como su filial de
desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la tecnología.
ISACA está presente en más de 188 países, incluidos más de 217 capítulos y oficinas, tanto en Estados Unidos como
en China.
Descargo de responsabilidad
ISACA ha diseñado y creado la Guía de implementación de COBIT® 2019: Implementación y optimización de una
solución de Gobierno de Información y Tecnología (el «Trabajo») fundamentalmente como un recurso educativo para
los profesionales del gobierno empresarial de la información y la tecnología (GEIT), aseguramiento, riesgo y
seguridad. ISACA no asume ninguna responsabilidad acerca de que el uso de cualquier parte del Trabajo garantice un
resultado exitoso. No debe considerarse que el Trabajo incluya toda la información, procedimientos y pruebas
correctas, ni que excluya otra información, procedimientos y pruebas que estén orientadas razonablemente hacia la
obtención de los mismos resultados. Para determinar la propiedad de cualquier información, procedimiento o prueba
específicos, los profesionales de gobierno empresarial de la información y la tecnología (GEIT), aseguramiento,
riesgo y seguridad deberían aplicar su propio criterio profesional a las circunstancias específicas de los sistemas o
entorno de tecnología de la información particular.
Copyright
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite
www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología
ISBN 978-1-60420-794-1

EN MEMORIA: JOHN LAINHART (1946-2018)
En Memoria: John Lainhart (1946-2018)
Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura
clave en la creación del marco de referencia COBIT® y en los últimos años ejerció como presidente del grupo de
trabajo de COBIT® 2019, que culminó con la creación de este trabajo. Durante sus cuatro décadas en ISACA, John
participó en distintos aspectos de la organización, además de contar con las certificaciones CISA, CRISC, CISM y
CGEIT de ISACA. John deja un increíble legado personal y profesional, y su trabajo ha tenido un gran impacto en
ISACA.


AGRADECIMIENTOS
Agradecimientos
ISACA desea agradecer a:
COBIT Working Group (2017-2018)
John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU.
Matt Conboy, Cigna, EE. UU.
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Bélgica
Geert Poels, Ph.D., Ghent University, Bélgica
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Graciela Braga, CGEIT, Auditor and Advisor, Argentina
James L. Golden, Golden Consulting Associates, EE. UU.
J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica
Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India
Jo Stewart-Rattray, CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich, Australia
Consejo de dirección de ISACA

Rob Clyde, CISM, Clyde Consulting LLC, EE. UU., Presidente
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, EE. UU., Vicepresidente
Tracey Dedrick, Ex Director de Riesgo con Hudson City Bancorp, EE. UU.
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Implementador y Asesor, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapur
R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, México
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, EE. UU.
Ted Wolff, CISA, Vanguard, Inc., EE. UU.
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CIA, CRMA, EGIT | Enterprise Governance of
IT (Pty) Ltd, Sudáfrica
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, EE. UU.,
Presidenta del Consejo de Administración de ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grecia, Presidente del Consejo de Administración
de ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Director Ejecutivo, ISACA, EE. UU.
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., EE. UU, Presidente del Consejo de Administración
de ISACA, 2014-2015
ISACA lamenta profundamente el fallecimiento de Robert E. Stroud en septiembre de 2018.


ÍNDICE
ÍNDICE
Lista de figuras ................................................................................................................................................9
Capítulo 1. Introducción .........................................................................................................................11
1.1 Mejora del Gobierno Empresarial de la Información y la Tecnología .............................................................11
1.2 Generalidades de COBIT ..............................................................................................................................12
1.3 Objetivos y alcance de la Guía de implementación ........................................................................................12
1.4 Estructura de esta publicación ......................................................................................................................13
1.5 Público objetivo de esta publicación .............................................................................................................14
1.6 Documentación relacionada: Guía de diseño COBIT ® 2019 ..........................................................................14
Capítulo 2. Posicionar el gobierno de I&T de la empresa ....................................15

2.1 Entender el contexto.....................................................................................................................................15
2.1.1 ¿Qué es el GEIT? .................................................................................................................................15
2.1.2 ¿Por qué es tan importante el GEIT? ......................................................................................................16
2.1.3 ¿Qué debería ofrecer el GEIT? ..............................................................................................................17
2.2 Aprovechar COBIT e integrar marcos, estándares y buenas prácticas.............................................................17
2.2.1 Principios de gobierno .........................................................................................................................18
2.2.2 Sistema de gobierno y componentes .....................................................................................................20
2.2.3 Objetivos de gobierno y gestión ............................................................................................................20
Capítulo 3. Tomando los primeros pasos hacia el GEIT .........................................21

3.1 Creación del entorno adecuado .....................................................................................................................21
3.2 Aplicar una estrategia del ciclo de vida de mejora continua ...........................................................................23
3.2.1 Fase 1: ¿Cuáles son los motivadores? ....................................................................................................24
3.2.2 Fase 2: ¿Dónde estamos ahora? .............................................................................................................24
3.2.3 Fase 3: ¿Dónde queremos estar? ............................................................................................................25
3.2.4 Fase 4: ¿Qué es preciso hacer? ..............................................................................................................25
3.2.6 Fase 6: ¿Hemos conseguido llegar? .......................................................................................................25
3.2.7 Fase 7: ¿Cómo mantenemos el impulso? ................................................................................................25
3.3 Primer paso—Identificar la necesidad de actuar: Reconocer los puntos de dolor o puntos débiles y los
eventos detonantes o desencadenantes ................................................................................................................26
3.3.1 Puntos típicos de dolor .........................................................................................................................26
3.3.2 Eventos detonantes en los entornos internos y externos ...........................................................................28
3.3.3 Involucramiento de las partes interesadas ..............................................................................................30
3.4 Reconocer los roles y requisitos de las partes interesadas..............................................................................30
3.4.1 Partes interesadas internas ....................................................................................................................30
3.4.2 Partes interesadas externas ....................................................................................................................32
3.4.3 Aseguramiento independiente y el rol de los auditores ............................................................................33
Capítulo 4. Identificar Retos y factores de éxito ........................................................35

4.1 Introducción.................................................................................................................................................35
4.2 Creación del entorno adecuado .....................................................................................................................35
4.2.1 Fase 1: ¿Cuáles son los motivadores? ....................................................................................................35
4.2.2 Fase 2: ¿Dónde estamos ahora? y Fase 3: ¿Dónde queremos estar? ..........................................................37
4.2.3 Fase 4: ¿Qué es preciso hacer? ..............................................................................................................38
4.2.5 Fase 6: ¿Hemos conseguido llegar? y Fase 7: ¿Cómo mantenemos el impulso? .........................................41
Capítulo 5. Habilitar el cambio .......................................................................................................43

5.1 La necesidad de habilitar el cambio ..............................................................................................................43
5.1.1 Habilitación del cambio de la implementación del GEIT .........................................................................44

5.2 Las fases del ciclo de vida de habilitación del cambio crean el entorno adecuado ..........................................45
5.2.1 Fase 1: Establecer el deseo de cambiar ..................................................................................................45
5.2.2 Fase 2: Formar un equipo de implementación eficaz ...............................................................................45
5.2.3 Fase 3: Comunicar la visión deseada ......................................................................................................46
5.2.4 Fase 4: Empoderar a los roles asignados e identificar las ganancias rápidas .............................................46
5.2.5 Fase 5: Habilitar la operación y el uso ...................................................................................................46
5.2.6 Fase 6: Incorporar nuevas estrategias .....................................................................................................47
5.2.7 Fase 7: Sostenibilidad ..........................................................................................................................47
Capítulo 6. Ciclo de vida de la implementación ............................................................49

6.1 Introducción.................................................................................................................................................49
6.2 Fase 1: ¿Cuáles son los motivadores? ...........................................................................................................50
6.3 Fase 2: ¿Dónde estamos ahora? ....................................................................................................................53
6.4 Fase 3: ¿Dónde queremos estar? ...................................................................................................................57
6.5 Fase 4: ¿Qué es preciso hacer? .....................................................................................................................60
6.6 Fase 5: ¿Cómo conseguiremos llegar?...........................................................................................................64
6.7 Fase 6: ¿Hemos conseguido llegar? ..............................................................................................................67
6.8 Fase 7: ¿Cómo mantenemos el impulso? .......................................................................................................70
APENDICE A. Ejemplo de matriz de decisiones ............................................................73

LISTA DE FIGURAS
LISTA DE FIGURAS
Capítulo 1. Introducción
Figura 1.1—El contexto del gobierno empresarial de la Información y la Tecnología .................................................11
Figura 1.2—Generalidades de COBIT .......................................................................................................................12
Capítulo 2. Posicionar el gobierno de I&T de le empresa

Figura 2.1—Principios del sistema de gobierno .........................................................................................................19
Figura 2.2—Principios del marco de gobierno ...........................................................................................................19
Capítulo 3. Tomando los primeros pasos hacia el GEIT

Figura 3.1—Roles a la hora de crear el entorno adecuado ..........................................................................................22
Figura 3.2—Responsabilidades de los roles asignados en la implementación ............................................................22
Figura 3.3—Aplicando una estrategia de ciclo de vida de mejora continua.................................................................23
Figura 3.4—Hoja de ruta de implementación de COBIT ............................................................................................24
Figura 3.5—Visión general de las partes interesadas internas del GEIT .....................................................................31
Figura 3.6—Visión general de las partes interesadas externas del GEIT .....................................................................32
Capítulo 4. Identificar Retos y factores de éxito

Figura 4.1—Retos, causas raíz y factores de éxito de la fase 1...................................................................................35
Figura 4.2—Retos, causas raíz y factores de éxito de las fases 2 y 3 ..........................................................................37
Figura 4.5—Retos, causas raíz y factores de éxito de las fases 6 y 7 ..........................................................................41
Capítulo 5. Habilitar el cambio

Figura 5.1—Ciclo de vida de habilitación del cambio ................................................................................................44
Capítulo 6. Ciclo de vida de la implementación

Figura 6.1—Fase 1 ¿Cuáles son los motivadores?......................................................................................................50
Figura 6.2—Fase 1 Roles ..........................................................................................................................................50
Figura 6.3—Fase 1 Objetivos, Descripciones, Tareas, Entradas, Recursos y Salidas ...................................................51
Figura 6.4—Fase 1 Matriz RACI...............................................................................................................................52
Figura 6.5—Fase 2 ¿Dónde estamos ahora?...............................................................................................................53
Figura 6.6—Fase 2 Roles ..........................................................................................................................................53
Figura 6.7—Fase 2 Objetivos, Descripciones, Tareas, Entradas, Recursos y Salidas ...................................................53
Figura 6.8—Fase 2 Matriz RACI...............................................................................................................................56
Figura 6.9—Fase 3 ¿Dónde queremos estar? .............................................................................................................57
Figura 6.10—Fase 3 Roles ........................................................................................................................................57
Figura 6.11—Fase 3 Objetivos, Descripciones, Tareas, Entradas, Recursos y Salidas .................................................58
Figura 6.12—Fase 3 Matriz RACI.............................................................................................................................60
Figura 6.13—Fase 4 ¿Qué es preciso hacer? ..............................................................................................................60
Figura 6.17—Fase 5 ¿Cómo conseguiremos llegar? ...................................................................................................64
Figura 6.21—Fase 6 ¿Hemos conseguido llegar? .......................................................................................................67
Figura 6.25—Fase 7 ¿Cómo mantenemos el impulso? ...............................................................................................70

APENDICE A. Ejemplo de matriz de decisiones

Figura A.1—Ejemplo de matriz de decisiones ...........................................................................................................73
10

CAPÍTULO 1
INTRODUCCIÓN
Capítulo 1
Introducción
1.1 Mejora del Gobierno Empresarial de la Información y la Tecnología
A la luz de la transformación digital, la información y la tecnología (I&T)1 se han convertido en algo fundamental
1
para el respaldo, la sostenibilidad y el crecimiento de las empresas. Anteriormente, los consejos de gobierno (comités
de dirección) y la alta gerencia podían delegar, ignorar o evitar las decisiones relacionadas con la I&T. En la mayoría
de sectores e industrias, estas actitudes ahora no son aconsejables. La creación de valor para las partes interesadas
(por ejemplo, la generación de beneficios con un coste óptimo de recursos y un riesgo optimizado) suele venir de la
mano de un alto nivel de digitalización en nuevos modelos de negocio, procesos eficientes, una exitosa innovación,
etc. Las empresas digitales dependen cada vez más de la I&T para su supervivencia y crecimiento.
Dada la importancia de la I&T para la gestión del riesgo empresarial y la generación de valor, en las últimas tres
décadas se ha prestado una atención especial al gobierno empresarial de la información y la tecnología (GEIT). La
GEIT es una parte fundamental del gobierno corporativo. La ejerce el consejo de administración, que supervisa la
definición e implementación de procesos, estructuras y mecanismos de relación en la organización que permiten a la
empresa y al personal de TI desempeñar sus responsabilidades de soporte al alineamiento negocio /TI y la creación
de valor de negocio derivado de las inversiones empresariales posibles gracias a la I&T (figura 1.1).
Figura 1.1—El contexto del gobierno empresarial de la Información y Tecnología
Gobierno Alineamiento de Creación de

empresarial de TI negocio/TI valor
Source: De Haes, Steven; W. Van Grembergen; Enterprise Governance of Information Technology: Achieving Alignment and Value,
Featuring COBIT 5, 2 ª ed., Springer International Publishing, Switzerland, 2015, https://www.springer.com/us/book/9783319145464
Durante muchos años, ISACA® ha estudiado esta área clave del gobierno de la empresa para mejorar el pensamiento
internacional y proporcionar una guía a la hora de evaluar, dirigir y monitorizar el uso de I&T de la empresa. ISACA
ha desarrollado el marco de referencia COBIT® para ayudar a las empresas a implementar unos componentes de
gobierno y gestión sólidos. De hecho, la implementación de un GEIT bueno es casi imposible sin el uso de un marco
de referencia de gobierno eficaz.
Un GEIT eficaz mejorará el desempeño del negocio y el cumplimiento con los requisitos externos. Aun así, su
implementación satisfactoria sigue sin producirse en muchas empresas. El GEIT es compleja e implica múltiples
facetas. No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener un GEIT eficaz
dentro de una organización. Así, los miembros de los consejos directivos y la alta gerencia se ven abocados a adaptar
e implementar sus medidas de GEIT conforme a su contexto y necesidades específicas. Además, deben estar
dispuestos a aceptar una mayor responsabilidad en cuanto a la I&T y crear una mentalidad y cultura distintas para
generar valor a partir de ellas.
1
1
A lo largo de este texto, TI se usa para referirse al departamento de la organización cuya principal responsabilidad es la tecnología. La I&T se usan en
este documento para referirse a toda la información que la empresa genera, procesa y usa para alcanzar sus objetivos, así como la tecnología que lo
hace posible en toda la empresa.
11

1.2 Generalidades de COBIT
La Guía de implementación COBIT® 2019: Implementación y optimización de una solución de Gobierno de

Información y Tecnología es la cuarta publicación en la serie de productos de COBIT® 2019 (ver la figura 1.2).
Algunas de las publicaciones restantes se describen a continuación.
 Marco de referencia COBIT® 2019: Introducción y metodología, presenta los conceptos clave de COBIT® 2019.
 Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión describe de forma exhaustiva los 40
objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados.
Esta guía también hace referencia a otros estándares y marcos.
 Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología explora los
factores de diseño que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un
sistema de gobierno personalizado para la empresa.
El objetivo de esta guía de referencia es proporcionar buenas prácticas para implementar y optimizar un sistema de
gobierno de I&T, basado en una estrategia de ciclo de vida de mejora continua, que debería personalizarse para
adaptarse a las necesidades específicas de la empresa.
Figura 1.2—Generalidades de COBIT
• Estrategia empresarial
• Metas empresariales
• Tamaño de la empresa
• Rol de TI
Introducción a COBIT 2019 COBIT 2019 • Modelo de abastecimiento para TI
• Requerimientos de cumplimiento
• Etc.
COBIT 5 Modelo Core de COBIT

Modelo de referencia de los objevos Factores de diseño
Estándares, marcos de gobierno y Marco de referencia COBIT® 2019: Sistema de gobierno empresarial
de referencia y personalizado para
regulaciones EDM01—Garantizar el
establecimiento y el EDM02—Asegurar la EDM03—Asegurar la EDM04—Asegurar la EDM05—Asegurar la
mantenimiento del
marco de gobierno
realización
de beneficios
optimización
del riesgo
optimización de
los recursos
transparencia de las
partes interesadas la información y la tecnología
Contribución de
la comunidad APO01—Gestionar
el marco de
gestión de TI
APO02—Gestionar
la estrategia
APO03—Gestionar la
arquitectura de
la empresa
APO04—Gestionar
la innovación
APO05—Gestionar
la cartera
APO06—Gestionar
el presupuesto y
los costes
APO07—Gestionar
los recursos humanos
MEA01—Gestionar la
supervisión del
cumplimiento
y rendimiento
APO09—Gestionar
APO08—Gestionar APO10—Gestionar APO11—Gestionar APO12—Gestionar APO13—Gestionar APO14—Gestionar
los acuerdos de
Área prioritaria:
las relaciones los proveedores la calidad el riesgo la seguridad los datos
servicio
 Objetivos prioritarios
MEA02—Gestionar
el sistema de
BAI03—Gestionar BAI07—Gestionar la control interno
BAI01—Gestionar BAI02—Gestionar BAI04—Gestionar BAI05—Gestionar
la identificación y BAI06—Gestionar aceptación y la
los programas la definición la disponibilidad los cambios
creación de los cambios de TI transición de
de requisitos
soluciones
y capacidad organizativos
los cambios de TI
de gobierno
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar
MEA03—Gestionar
el cumplimiento de • PyMEs y gestión
 Guía específica de
el conocimiento los activos la configuración los proyectos
los requisitos externos
• Seguridad
• Riesgo las áreas prioritarias
DSS01—Gestionar
las operaciones
DSS02—Gestionar l
as solicitudes
e incidentes
de servicio
DSS03—Gestionar
los problemas
DSS04—Gestionar
la continuidad
DSS05—Gestionar
los servicios
de seguridad
DSS06—Gestionar
los controles de
procesos de negocio
MEA04—Gestionar
el aseguramiento • DevOps  Guía de gestión de
• Etc. capacidades y
desempeño objetivos
Marco de referencia COBIT® 2019:

Introducción y metodología
Las publicaciones
Core de COBIT
Marco de referencia COBIT® 2019: Guía de diseño COBIT® 2019: Guía de implementación COBIT®
Objevos de gobierno Diseño de una solución de Gobierno 2019: Implementación y opmización
y gesón de Información y Tecnología de una solución de gobierno de
Información y Tecnología
1.3 Objetivos y alcance de la Guía de implementación
Los principios de COBIT destacan la visión de gobierno de la I&T en toda la empresa (ver Marco de referencia
COBIT® 2019: Introducción y metodología,). La información y la tecnología no se reducen al departamento de TI;
están presentes en toda la empresa. No es posible ni es una buena práctica separar las actividades relacionadas con
12

CAPÍTULO 1
INTRODUCCIÓN
I&T del negocio. El gobierno y gestión de la I&T empresarial debería, por ello, implementarse como una parte
integral del gobierno empresarial y cubrir todas las áreas de responsabilidad del negocio y de TI.
Una de las razones comunes por las que algunas implementaciones de sistemas de gobierno fracasan es que no se
inician ni se gestionan apropiadamente como programas para asegurar que se obtengan los beneficios. Los
programas de gobierno deben estar promovidos por la dirección ejecutiva, tener un alcance apropiado y definir
objetivos que sean alcanzables. Esto permite a la empresa asimilar el ritmo del cambio según lo previsto. La gestión
de programas se aborda, por ello, como una parte integral del ciclo de vida de la implementación.
También se asume que, aunque se recomienda un enfoque de programa y proyecto para impulsar de forma eficaz
iniciativas de mejora, la meta es además establecer una práctica empresarial normal y un método sostenible para
gobernar y gestionar la I&T empresarial como cualquier otro aspecto del gobierno de la empresa. Por este motivo, el
método de implementación se basa en empoderar a las partes interesadas de la empresa y de TI y los distintos actores
que se apropien de las decisiones y actividades de gobierno y gestión relacionados con TI para facilitar y permitir el
cambio. El programa de implementación se cierra cuando el proceso para centrarse en las prioridades relacionadas
con TI y la mejora del gobierno genera un beneficio medible y el programa ha pasado a integrarse en la actividad
empresarial continua.
No se pretende que esta publicación sea un enfoque prescriptivo ni una solución completa, sino más bien una guía
para evitar las dificultades, hacer uso de las buenas prácticas más recientes y ayudar en la creación de resultados de
gestión y gobierno exitosos. En gran medida, parte de la Guía de diseño COBIT® 2019, que ayuda a cualquier
empresa a identificar y aplicar su propio plan específico u hoja de ruta, basada en una serie de factores de diseño,
como la estrategia empresarial, los problemas de riesgos y amenazas y el rol de TI.
Determinar el punto de partida actual es igual de importante. Hay muy pocas empresas que no tengan estructuras o
procesos de GEIT activos, incluso si no se reconocen actualmente como tales. Por tanto, el énfasis debe estar en
construir sobre lo que ya existe en la empresa, sobre todo enfoques exitosos ya existentes a nivel empresarial que
puedan adoptarse y, de ser necesario, adaptarse para el gobierno de I&T, en lugar de inventar algo distinto. Además,
cualquier mejora anterior creada con COBIT® 5 u otros estándares y buenas prácticas no necesitan reformularse. En
su lugar, pueden y deben mejorarse a través de COBIT® 2019 como una parte permanente de la mejora continua.
COBIT® 2019 se puede descargar de forma gratuita en www.isaca.org/cobit. En esta página también están
disponibles vínculos para los productos de ISACA que sirven de soporte para la implementación.
Esta publicación refleja un mayor conocimiento y experiencia práctica en las implementaciones del GEIT, las
lecciones aprendidas durante la implementación y el uso de versiones anteriores de COBIT, así como las
actualizaciones realizadas en las guías de ISACA. Sin embargo, la I&T nunca permanecen inmóviles; por ello, los
usuarios de esta guía deberían esperar publicaciones profesionales de ISACA y estándares y buenas prácticas de otras
organizaciones que podrían publicarse de vez en cuando para abordar los nuevos temas emergentes. El contenido
nuevo y futuro del área prioritaria pasará a formar parte de la familia de productos de COBIT y proporcionará una
guía importante de estos temas emergentes.2 2
1.4 Estructura de esta publicación
El resto de esta publicación contiene las secciones y apéndices:

 El capítulo 2 explica el posicionamiento del GEIT dentro de la empresa.
 El capítulo 3 trata de los primeros pasos para la mejora del GEIT.
 El capítulo 4 describe los problemas de la implementación y los factores de éxito.
2
2
En el momento de la publicación de este título, Guía de implementación COBIT® 2019, el contenido del área prioritaria está previsto, pero aún no se
ha publicado.
13

 El capítulo 5 cubre el cambio organizativo y de comportamiento relacionados con el GEIT.

 El capítulo 6 describe el ciclo de vida de la implementación, incluidas la habilitación del cambio y la gestión de
programas.
 El apéndice proporciona una matriz de decisiones de ejemplo.
1.5 Público objetivo de esta publicación
El público objetivo de esta publicación son profesionales de toda la empresa con experiencia, incluidos los
departamentos de negocio, auditoría, seguridad, privacidad, gestión de riesgos, profesionales de TI, profesionales
externos y otros involucrados (o que tienen previsto involucrarse) en la implementación del GEIT.
Se requiere un cierto nivel de experiencia y conocimientos profundos de la empresa para poder aprovechar esta guía.
Dicha experiencia y conocimientos permiten a los usuarios personalizar las directrices principales de COBIT (cuya
naturaleza es genérica) en directrices personalizadas y centradas en la empresa, teniendo en cuenta su contexto
empresarial.
1.6 Documentación relacionada: Guía de diseño COBIT® 2019
La Guía de diseño COBIT® 2019 está relacionada con esta publicación. Define factores de diseño que pueden
influir en el sistema de gobierno e incluye un flujo de trabajo para diseñar un sistema de gobierno personalizado para
la empresa. El flujo de trabajo que se explica en la Guía de diseño COBIT® 2019 tiene una serie de elementos de
conexión con la Guía de implementación COBIT® 2019; la guía de diseño elabora una serie de tareas definidas en
esta guía de implementación.
El capítulo 5 de la Guía de diseño COBIT® 2019 explora en los vínculos entre ambas publicaciones e ilustra cómo
usarlas conjuntamente.
14

CAPÍTULO 2
POSICIONAR EL GOBIERNO DE I&T DE LA EMPRESA
Capítulo 2
Posicionar el gobierno de I&T de la empresa
2.1 Entender el contexto
El gobierno empresarial de información y tecnología (GEIT) no nace de la nada. La implementación tiene lugar bajo
distintas condiciones y circunstancias determinadas por numerosos factores en el entorno interno y externo, como:
 La ética y cultura de la comunidad
 Las leyes, regulaciones y políticas vigentes
 Los estándares internacionales
 Las prácticas de la industria
 El entorno económico y competitivo
 Los avances y la evolución de la tecnología
 El escenario de amenazas
 La empresa:
 Razón de su existencia, misión, visión, objetivos y valores
 Políticas y prácticas del gobierno
 Estilo de cultura y gestión
 Modelos de roles y responsabilidades
 Planes de negocio e intenciones estratégicas
 Modelo operativo y nivel de madurez
La implementación del GEIT es distinta para cada empresa y es necesario entender el contexto y pensar en diseñar
el entorno de GEIT óptimo nuevo o mejorado. Todo esto se detalla en la Guía de diseño COBIT® 2019.
2.1.1 ¿Qué es el GEIT?
Los términos gobierno, gobierno empresarial y GEIT pueden tener distintos significados según el contexto
organizativo (madurez, industria y entorno regulatorio) o contexto individual (cargo, educación y experiencia), entre
otros factores. Las explicaciones de este capítulo proporcionan una base para el resto de la guía, pero debe
reconocerse que existen distintos puntos de vista. Es mejor construir y mejorar las estrategias actuales para incluir la
I&T que desarrollar una nueva estrategia solo para I&T.
El término gobierno proviene del verbo griego kubernáo, que significa «dirigir». Un sistema de gobierno permite que
múltiples partes interesadas de una empresa puedan dar su opinión organizada a la hora de evaluar condiciones y
opciones, establecer el rumbo y monitorizar el desempeño con respecto a los objetivos empresariales. Establecer y
mantener la estrategia de gobierno adecuada es responsabilidad del consejo de dirección u órgano equivalente.
COBIT define gobierno como sigue:

El gobierno asegura que se evalúen las necesidades, condiciones y opciones de las partes interesadas para
determinar objetivos empresariales equilibrados y acordados; se determine la dirección a través de la
priorización y la toma de decisiones; y se monitoricen el desempeño y el cumplimiento en relación con la
dirección y los objetivos acordados.3 1
3
1
Ver Marco de referencia COBIT® 2019: Introducción y metodología,, sección 1.3.
15

El GEIT no es una disciplina aislada, sino una parte integral del gobierno corporativo. La necesidad de gobierno a
nivel empresarial proviene principalmente de la entrega de valor para las partes interesadas y la exigencia de
transparencia y gestión eficaz del riesgo de la empresa. Las oportunidades significativas, costes y riesgos asociados a
la I&T obligan a centrarse de forma comprometida e integrada con el GEIT. El GEIT permite a la empresa
aprovechar al máximo la I&T, mediante la maximización de los beneficios, la capitalización de las oportunidades y
la obtención de una ventaja competitiva.
2.1.2 ¿Por qué es tan importante el GEIT?
A nivel global, las empresas (ya sean públicas o privadas, grandes o pequeñas) son cada vez más conscientes de que
la información es un recurso clave y de que la tecnología es un activo estratégico, ambos críticos para el éxito.
La I&T pueden ser recursos poderosos para ayudar a las empresas a lograr sus objetivos más importantes. Por
ejemplo, la I&T pueden fomentar el ahorro en costes para grandes transacciones, como fusiones, adquisiciones y
esciciones. La I&T pueden facilitar la automatización de procesos clave, como la cadena de suministro. La I&T
pueden ser la piedra angular de estrategias empresariales y nuevos modelos de negocio, y provocar así un aumento
de la competitividad, permitir la innovación y la entrega digital de productos (p. ej. música vendida y entregada a
través de internet). La I&T pueden permitir una mayor intimidad con el cliente, por ejemplo, mediante la
recopilación y extracción de datos en diversos sistemas y proporcionar una visión completa de los clientes. La I&T
son la base de la economía interconectada que corta a través de las ubicaciones geográficas y los silos organizativos
para proporcionar formas nuevas e innovadoras de crear valor. La mayoría de las empresas reconoce la información
y el uso de la I&T como activos críticos que necesitan un gobierno adecuado.
Aunque la I&T pueden transformar el negocio, al mismo tiempo suelen representar una inversión muy significativa.
En muchos casos, el verdadero coste de la I&T no es transparente y los presupuestos se extienden a varias unidades
de negocio, funciones y ubicaciones geográficas, sin una supervisión centralizada. La mayor parte del gasto se
dedica a menudo a mantener en marcha la compañía y financiar el mantenimiento y las operaciones posteriores a la
implementación, en lugar de iniciativas innovadoras o transformadoras. Cuando los fondos se gastan en iniciativas
estratégicas, suelen fallar a la hora de proporcionar los resultados esperados. Muchas empresas siguen fallando a la
hora de demostrar un valor determinado y medible para las inversiones facilitadas por las TI y se centran en el GEIT
como un mecanismo para resolver esta situación.
La economía interconectada presenta un espectro de riesgo relacionado con las TI, incluido el compromiso de
sistemas de negocio de cara al cliente, la divulgación de datos de clientes o propietarios, o pérdida de oportunidades
de negocio debido a una arquitectura inflexible de TI. Gestionar estos u otros tipos de riesgos relacionados con I&T
es otro factor para un mejor GEIT.
EL GEIT puede abordar el entorno regulatorio complejo al que se enfrentan las empresas en muchas industrias y
jurisdicciones hoy en día, lo que suele extenderse de forma directa a las TI. Los requisitos y un examen detallado de
la información financiera llevan a prestar una atención significativa a los controles relacionados con TI. El uso de
buenas prácticas como COBIT se ha exigido en algunos países e industrias. Por ejemplo, la agencia de supervisión y
regulación bancaria (BRSA) de Turquía ha exigido que todos los bancos que operan en Turquía adopten las buenas
prácticas de COBIT cuando gestionen procesos relacionados con TI, así también lo ha hecho la Australian
Prudential Regulation Authority. El informe sobre el gobierno corporativo de Sudáfrica (King IV) incluye un
principio para implementar el GEIT y recomienda la adopción de marcos como COBIT. Un marco de referencia de
gobierno para I&T puede facilitar el cumplimiento de forma más eficaz y eficiente.
Los estudios llevan tiempo demostrando el valor del GEIT. En un extenso estudio de caso en una compañía aérea
internacional, se demostró que los beneficios del GEIT incluían: costes inferiores de continuidad relacionados con
las TI, mayor capacidad innovadora gracias a las TI, mayor alineamiento entre la inversión digital y los objetivos y
estrategia empresariales, mayor confianza entre el negocio y las TI, y un cambio hacia una «mentalidad de valor» en
torno a los activos digitales. 4 2
4
2
De Haes, S.; W. van Grembergen; Enterprise Governance of IT: Achieving Alignment and Value, Featuring COBIT 5, 2ª ed., Springer International
Publishing, Switzerland, 2015, https://www.springer.com/us/book/9783319145464
16

CAPÍTULO 2
Los estudios han mostrado que las empresas con un pobre diseño o pobres enfoques adoptados para la aplicación del
GEIT tienen un peor desempeño a la hora de alinear el negocio y las estrategias y procesos de I&T. Como resultado,
estas empresas tienen menor probabilidad de cumplir con sus estrategias de negocio previstas y lograr el valor de
negocio que esperan a partir de la transformación digital.5 3
A partir de esto, es obvio que el gobierno debe entenderse e implementarse mucho más allá de la interpretación
(limitada) que solemos encontrarnos y que viene sugerida por el acrónimo de gobierno, riesgo y cumplimiento
(GRC). El acrónimo GRC sugiere de forma implícita que el cumplimiento y el riesgo relacionado representan el
espectro de gobierno.
2.1.3 ¿Qué debería ofrecer el GEIT?
Fundamentalmente, el GEIT se preocupa de la creación de valor a partir de la transformación digital y la mitigación

del riesgo de negocio derivado de dicha transformación. Más concretamente, tras la adopción satisfactoria del GEIT
cabe esperar tres resultados principales:
 Obtención de beneficios—Consiste en crear valor para la empresa a través de I&T, manteniendo e
incrementando el valor derivado de las inversiones actuales en I&T6 , y eliminando las iniciativas de TI y los
4
activos que no están creando suficiente valor. El principio básico del valor de la I&T consiste en ofrecer servicios y
soluciones adecuados, a tiempo y dentro del presupuesto, que generen los beneficios financieros y no financieros
pretendidos. El valor que la I&T ofrecen debería estar directamente alineado con los valores en los que se centra el
negocio. El valor de las TI también debería medirse de forma que muestre el impacto y las contribuciones de las
inversiones habilitadas por TI en el proceso de creación de valor de la empresa.
 Optimización de riesgos—Esto implica tener en cuenta el riesgo empresarial asociado al uso, propiedad,
operación, involucramiento, influencia y adopción de la I&T dentro de una empresa. El riesgo empresarial
asociado a la información y la tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un
impacto en el negocio. Mientras que la entrega de valor se centra en la creación de valor, la gestión del riesgo se
centra en la preservación del valor. La gestión de riesgos relacionados con la I&T debería integrarse en la
estrategia de gestión de riesgos empresarial para garantizar que la empresa se enfoca en las TI. También debería
medirse de forma que muestre el impacto y la contribución derivados de la optimización de riesgos empresariales
relacionados con la I&T a la hora de preservar el valor.
 Optimización de recursos—Esto asegura que se cuenta con las capacidades adecuadas para ejecutar el plan
estratégico y que se proporcionan recursos suficientes, adecuados y eficaces. La optimización de recursos asegura
que se provea una infraestructura de TI integrada y económica, la introducción de nueva tecnología conforme lo
requiera el negocio y la actualización o sustitución de sistemas obsoletos. Porque reconoce la importancia de las
personas, además del hardware y software, se centra en proporcionar capacitación, fomentar la retención y
garantizar la competencia del personal clave de TI. Los datos y la información son recursos importantes, y su
explotación para obtener un valor óptimo es otro elemento esencial de la optimización de recursos.
A través de la implementación y la práctica del GEIT, el alineamiento estratégico y la medición del desempeño
revisten una importancia primordial y afectan a la totalidad de actividades para garantizar que los objetivos
relacionados con la I&T están alineados con los objetivos de la empresa.
2.2 Aprovechar COBIT e integrar marcos, estándares y buenas prácticas

COBIT se basa en una visión de empresa y está alineado con las buenas prácticas del gobierno empresarial. COBIT
es un marco de referencia único y general, cuyas directrices consistentes e integradas se expresan en un lenguaje no
técnico y ajeno a la tecnología. El consejo debería exigir la adopción de un marco de referencia de GEIT como
COBIT como parte esencial del desarrollo de un gobierno empresarial.
5
3
De Haes S.; A. Joshi; W. van Grembergen; “State and Impact of Governance of Enterprise IT in Organizations: Key Findings of an International Study,”
ISACA® Journal, vol. 4, 2015, https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-and-impact-of-governance-of-enterprise-itin-
organizations.aspx. Ver también op cit De Haes and van Grembergen, Enterprise Governance of IT: Achieving Alignment and Value, Featuring COBIT 5
6
4
A lo largo de este texto, TI se usa para referirse al departamento de la organización cuya principal responsabilidad es la tecnología. I&T se usa en este
documento para referirse a toda la información que la empresa genera, procesa y usa para alcanzar sus objetivos, así como la tecnología que lo hace
posible en toda la empresa.
17

Trabajar dentro de un marco de referencia y aprovechar las buenas prácticas permite el desarrollo y la optimización
de procesos de gobierno y otros componentes del sistema de gobierno. Si se personaliza de forma adecuada, el GEIT
funcionará de forma eficaz como parte de la práctica empresarial normal de una empresa, siempre que haya una
cultura de apoyo demostrada por la alta dirección.
COBIT® 2019 no solo destaca una estrategia general, sino que también hace referencia a otros estándares detallados.
El capítulo 10 del Marco de referencia COBIT® 2019: Introducción y metodología, enumera todos los estándares que
están en línea con COBIT® 2019; estos estándares vuelven a aparecer, referenciados detalladamente, en los objetivos
de gobierno y gestión, sus prácticas asociadas y componentes del Marco de referencia COBIT® 2019: Objetivos de
La alineación con COBIT también debería desembocar en auditorías externas más rápidas y eficientes, ya que
COBIT es ampliamente aceptado como la base de los procedimientos de auditoría de TI.
El marco de referencia COBIT establece la estrategia general; las directrices proporcionadas por estándares
específicos y buenas prácticas pueden entonces aplicarse a procesos, prácticas, políticas y procedimientos
específicos, a medida que la empresa personaliza su implementación. Más concretamente, el sistema de gobierno y
sus componentes deberían alinearse y armonizarse con:
 Las políticas, estrategias, gobierno y planes de negocio de la empresa y los enfoques de auditoría
 Marco de referencia de gestión de riesgos empresariales (ERM)
 Organización, estructuras y procesos de gobierno empresarial existentes
2.2.1 Principios de gobierno
COBIT® 2019 se desarrolló basado en dos tipos de principios:

 Principios que describen los requisitos fundamentales de un sistema de gobierno para la Información y la
Tecnología de la empresa.
 Principios para un marco de referencia de gobierno que puede usarse para construir un sistema de gobierno para
la empresa.
Los seis principios para un sistema de gobierno (figura 2.1) son:

1. Cada empresa necesita un sistema de gobierno para satisfacer las necesidades de las partes interesadas y generar
valor del uso de la I&T. El valor refleja un equilibrio entre el beneficio, el riesgo y los recursos, y las empresas
necesitan una estrategia y un sistema de gobierno práctico para materializar este valor.
2. Un sistema de gobierno para la I&T de la empresa se construye a partir de una serie de componentes que pueden
ser de distinto tipo y que funcionan conjuntamente de forma holística.
3. Un sistema de gobierno debería ser dinámico. Esto significa que cada vez que se cambian uno o más factores del
diseño (p. ej. un cambio de estrategia o tecnología), debe considerarse el impacto de estos cambios en el sistema
del GEIT. Una visión dinámica del GEIT lleva a un sistema de GEIT viable preparado para el futuro.
4. Un sistema de gobierno debería distinguir claramente entre actividades de gobierno y gestión, y estructuras.
5. Un sistema de gobierno debe personalizarse de acuerdo con las necesidades de la empresa, utilizando una serie
de factores de diseño como parámetros para personalizar y priorizar los componentes del sistema de gobierno.
6. Un sistema de gobierno debería cubrir la empresa de principio a fin y centrarse no solo en la función de TI, sino
en todo el procesamiento de tecnología e información que la empresa pone en funcionamiento para lograr sus
objetivos, independientemente de su ubicación en la empresa.7 5
7
5
Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study,” Proceedings of the
51st Hawaii International Conference on System Sciences, 2018, https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501/1/paper0614.pdf
18

CAPÍTULO 2
Figura 2.1—Principios del sistema de gobierno
4. Diferenciar el
gobierno de
la gestión
Los tres principios para un marco de gobierno son (figura 2.2) son:
1. Un marco de gobierno se debería basar en un modelo conceptual que identifique los componentes principales y
las relaciones entre componentes para maximizar la uniformidad y permitir la automatización.
2. Un marco de gobierno debería ser abierto y flexible. Debería permitir la incorporación de nuevo contenido y la
capacidad para abordar nuevos asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.
3. Un marco de gobierno debería alinearse con los principales estándares, marcos y regulaciones relacionados.
Figura 2.2—Principios del marco de gobierno
1. Basado en
2. Abierto y
el modelo
flexible
conceptual
3. Alineado con los

principales estándares
19

2.2.2 Sistema de gobierno y componentes
Con el objetivo de cumplir con los objetivos de gobierno y gestión, cada empresa debe establecer, personalizar y
sostener un sistema de gobierno creado a partir de una serie de componentes. Varios de los conceptos básicos que
corresponden a los sistemas de gobierno son:
 Los componentes pueden ser de diversos tipos. Los componentes más conocidos son los procesos; sin embargo,
también son componentes de un sistema de gobierno y deben considerarse las estructuras organizativas, los
elementos de información, las habilidades y competencias, la cultura y el comportamiento, así como la
infraestructura y las aplicaciones.
 Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
 Los componentes genéricos se describen en el modelo core de COBIT (ver Marco de referencia COBIT® 2019:
Introducción y metodología,, figura 4.2) y se aplican, en principio, a cualquier situación. Sin embargo, su
naturaleza es genérica y suelen requerir una adaptación antes de que se puedan implementar en la práctica.
 Las variantes se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico dentro
de un área prioritaria (p. ej., para seguridad de la información, DevOps, una regulación específica).
2.2.3 Objetivos de gobierno y gestión
COBIT incluye objetivos de gobierno y gestión y los procesos correspondientes que ayudan a orientar la creación y
el mantenimiento del sistema de gobierno y sus distintos componentes. En este sentido, los dos objetivos de gobierno
y gestión clave son:
 EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno (cultura, ética y comportamiento;
principios, políticas y marcos; estructuras organizativas y procesos)
 APO01 Gestionar el marco de gestión de I&T (cultura, ética y comportamiento; principios, políticas y marcos;
estructuras organizativas y procesos)
Los objetivos de gobierno y gestión de COBIT garantizan que la empresa organiza sus actividades relacionadas con
la I&T de forma repetible y confiable. El modelo Core de COBIT (con cinco dominios, 40 objetivos de gobierno y
gestión, y los procesos correspondientes, que forman la estructura de las directrices detalladas de COBIT, se describe
y desarrolla en el Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión.
20

CAPÍTULO 3
TOMANDO LOS PRIMEROS PASOS HACIA EL GEIT
Capítulo 3
Tomando los primeros pasos hacia el GEIT
3.1 Creación del entorno adecuado
Es importante que exista el contexto adecuado a la hora de implementar las mejoras del GEIT. Esto ayuda a
garantizar que la iniciativa se gobierna y se dirige de forma adecuada, y que recibe el apoyo de la dirección. Las
iniciativas de I&T más importantes suelen fracasar debido a una gestión, apoyo y supervisión inadecuada de la
dirección. Las implementaciones de GEIT no son diferentes; hay más oportunidades de tener éxito si se gobiernan y
gestionan bien.
Por ejemplo, un apoyo y una gestión inadecuados de las partes interesadas clave, deriva en iniciativas del GEIT que
producen nuevas políticas y procedimientos sin una propiedad adecuada ni un efecto duradero. No es probable que
las mejoras se conviertan en prácticas normales de negocio sin una estructura de gestión que asigne roles y
responsabilidades, se comprometa con su funcionamiento continuo y monitorice la conformidad.
Por ello, debería crearse y mantenerse un entorno adecuado para garantizar que el GEIT se implemente como parte
Redundante. Redundant de una estrategia integral de gobierno dentro de la empresa. Esto debería incluir una
adecuada dirección y supervisión de la iniciativa de implementación, incluidos los principios rectores. El objetivo es
proporcionar compromiso, dirección y control suficiente de las actividades para que haya un alineamiento con los
objetivos de la empresa y un soporte adecuado del consejo y los directores ejecutivos para la implementación.
La experiencia ha mostrado que, en algunos casos, una iniciativa del GEIT identifica debilidades significativas en el
gobierno empresarial. El éxito del GEIT es mucho más difícil dentro de un entorno de gobierno empresarial débil, de
modo que el apoyo activo y la participación de ejecutivos senior se convierte en algo aún más fundamental. El
consejo y los ejecutivos deberían ser conscientes de conceptos de gobierno corporativo, deberían entender la
necesidad de mejorar el gobierno en general y deberían reconocer el riesgo de fracaso del GEIT si no se atienden las
debilidades.
Independientemente de que la implementación sea una iniciativa pequeña o significativa, la dirección ejecutiva
deben estar involucrada y debe fomentar la creación de las estructuras de gobierno adecuadas. Las actividades
iniciales suelen incluir la evaluación de las prácticas actuales y el diseño de estructuras mejoradas. En algunos casos,
la iniciativa puede provocar la reorganización del negocio, así como de la función de TI y su relación con las
unidades de negocio.
La dirección ejecutiva debería establecer y mantener el marco de gobierno. Esto significa precisar las estructuras,
procesos y prácticas para el GEIT conforme a los principios de diseño de gobierno acordados, los modelos de toma
de decisiones, los niveles de autoridad y la información requerida para tomar decisiones informadas.8 1
La dirección ejecutiva debería asignar roles y responsabilidades claras para dirigir el programa de mejora del GEIT.
Una estrategia común para formalizar el GEIT y proporcionar un mecanismo para la supervisión ejecutiva y del
consejo y la dirección de las actividades relacionadas con la I&T consiste en establecer un Consejo de gobierno de
I&T.9 El consejo de gobierno de I&T actúa en nombre del consejo de dirección (ante el cual rinde cuentas). El
2
consejo de gobierno de I&T es responsable de cómo se usan la I&T dentro de la empresa y de tomar decisiones clave
relacionadas con la I&T que afectan a la empresa. Debería tener un mandato claro y es mejor que lo presida un
ejecutivo de negocios (idealmente un miembro del consejo). Debería estar compuesto por altos ejecutivos de negocio
que representen las principales unidades de negocio , así como por el director de TI (CIO), el director de tecnologías
digitales (CDO), el director de tecnología (CTO) y, si fuera necesario, otros altos directivos de TI. Las funciones de
auditoría interna, seguridad de la información y riesgos deberían proporcionar un rol de asesoría.
8
1
En el apéndice se muestra una matriz de decisión a modo de ejemplo.
9
2
El consejo de gobierno de I&T podría también denominarse comité de dirección de TI, consejo de TI, comité ejecutivo de TI o comité de gobierno de TI.
21

Los ejecutivos deben tomar decisiones basadas en hechos, información confiable y distintas opiniones bien fundadas
de los directivos empresariales y de TI, auditores, clientes, usuarios y otros. El marco de referencia COBIT facilita
estas comunicaciones proporcionando un idioma común para que los ejecutivos expresen las metas, los objetivos y
los resultados esperados.
Las figuras 3.1 y 3.2 ilustran los roles genéricos para las partes interesadas claves y destacan las responsabilidades
de la implementación del entorno adecuado para respaldar el gobierno y garantizar resultados satisfactorios. Se
proporcionan figuras similares para cada fase del ciclo de vida de la implementación, las cuales se presentan en la
sección siguiente.
Figura 3.1—Roles a la hora de crear el entorno adecuado

Cuando usted es... Su rol a la hora de crear el entorno adecuado es...
Consejo de  Establecer la dirección del programa
administración y  Garantizar el alineamiento con el gobierno y la gestión de riesgos en la empresa
Comité ejecutivo  Aprobar roles claves del programa y definir las responsabilidades
 Brindar un apoyo y compromiso visibles
 Patrocinar, comunicar y promover la iniciativa acordada
Gestión del negocio  Proporcionar las partes interesadas y los campeones adecuados para fomentar el compromiso
y apoyo al programa
 Nombrar roles claves del programa y definir y asignar responsabilidades
Gestión de TI  Asegurar que el negocio y los ejecutivos entiendan y aprecien los problemas y objetivos
relacionados con I&T de alto nivel
 Nombrar roles claves del programa y definir y asignar responsabilidades
 Nombrar a una persona que dirija el programa de acuerdo con el negocio
Auditoría interna  Acordar el rol e informar sobre las condiciones de participación de la auditoría
 Garantizar un nivel adecuado de participación de la auditoría a lo largo de la duración del
programa
Riesgo, cumplimiento y  Garantizar un nivel adecuado de participación durante la duración del programa
legal
Figura 3.2—Responsabilidades de los roles asignados en la implementación
Responsabilidades de los encargados de la implementación

T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
lim
ern
TI
I
eT
l pr
I
el n
T
Adm
mp
obi
ces rio
e
n de
es d
d
ía d
eg
y cu
pro pieta
os
de
od
cció
ent
utiv
itor
o
go
sej
sej
Pro
s
Ger
Dire
CIO
Aud
C on
Con
Rie
Eje
Actividades clave:
Establecer la dirección del programa. A R R C C I C C C
Proporcionar los recursos para la gestión del programa C A R R C C R R I
Establecer y mantener la dirección y supervisar las estructuras y procesos. C A C I I I I I R
Establecer y mantener el programa. I A R C C I I I R
Alinear las estrategias con las estrategias de la empresa. I A R C C I C C R
Un cuadro de definición de responsabilidades por cargo (RACI)
identifica quién es Responsable, quien rinde cuentas, Consultado y/o Informado.
22

CAPÍTULO 3
3.2 Aplicar una estrategia del ciclo de vida de mejora continua
La estrategia del ciclo de vida de mejora continua permite a las empresas abordar la complejidad y los problemas que
se suelen encontrar durante la implementación del GEIT. Hay tres componentes interrelacionados con el ciclo de
vida, como se ilustra en la figura 3.3:
1. El ciclo de vida de mejora continua central del GEIT
2. Habilitación del cambio (atender aspectos de comportamiento y culturales relacionados con la implementación o
mejora)
3. Gestión del programa
La figura 3.3 muestra las iniciativas como ciclos de vida continuos para resaltar el hecho de que no son actividades
aisladas, discontinuas o únicas. Por el contrario, forman un proceso continuo de implementación y mejora que
finalmente se convierte en algo usual para el negocio; llegados a este punto, el programa puede retirarse.
Figura 3.3—Aplicando una estrategia de ciclo de vida de mejora continua
del entorno adecu

ación ado
Cre
ón del programa
Gesti
d
ilitación el cambio
Hab
Ciclo de
vida de
mejora continua
La figura 3.4 ilustra las siete fases del mapa de ruta de implementación. Las comprobaciones sobre el estado,
evaluaciones y auditorías de alto nivel suelen llevar a impulsar una iniciativa de GEIT y sus resultados pueden
constituir el insumo de la fase 1. Un programa de implementación y mejora suele ser continuo e iterativo. Durante su
última fase, suelen surgir nuevos objetivos y requisitos y puede comenzar un ciclo nuevo.
23

Figure 3.4—Hoja de ruta de implementación de COBIT
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un p do
re
la e ro gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir
s
y
uar (círculo medio)

I m p ej or
je s t a d i r
ti v o
• Ciclo de vida de mejora continua

fi n
De e
le m a
o
m
nt
el b
e
Ope
ult a r
o
ru ta
G e n e ra r o
es u n ic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el ja
t ar
se
Identificar
oc
ho
los roles clave
mo
pl
el
on
la
an nir
se
e re
fi
De
gu
qu
m
i re
de
os P la n
ll e ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
3.2.1 Fase 1: ¿Cuáles son los motivadores?
La fase 1 identifica los motivadores actuales del cambio y crea a nivel de la gestión ejecutiva el deseo de cambiar
que se expresa en una descripción de un caso de negocio. Un motivador del cambio es un evento interno o externo,
una condición o un problema importante que sirve como estímulo para el cambio. Eventos, tendencias (industria,
mercado o técnica), falta de rendimiento, implementaciones de software e incluso las metas empresariales pueden
actuar como impulsores del cambio.
El riesgo asociado a la implementación del propio programa se describe en el caso de negocio y se gestiona a lo largo
del ciclo de vida. La preparación, mantenimiento y monitorización de un caso de negocio son disciplinas
fundamentales e importantes para justificar, apoyar y, a continuación, garantizar resultados satisfactorios para
cualquier iniciativa, incluida la mejora del sistema de gobierno. Así se asegura un foco continuo en los beneficios del
programa y su obtención.
3.2.2 Fase 2: ¿Dónde estamos ahora?

La fase 2 alinea los objetivos relacionados con la I&T con las estrategias y el riesgo empresarial y prioriza las metas
empresariales más importantes, las metas de alineamiento y los objetivos de gobierno y gestión. La Guía de diseño
COBIT® 2019 proporciona varios factores de diseño para ayudar a la selección.
Según la empresa seleccionada y los objetivos de alineamiento, además de otros factores de diseño, la empresa debe
identificar los objetivos de gobierno y gestión críticos y los procesos subyacentes que tengan la capacidad suficiente
para asegurar resultados satisfactorios. La dirección debe conocer su capacidad actual y donde podría haber
deficiencias. Esto puede lograrse mediante una evaluación del estado actual de la capacidad de los procesos
seleccionados.
24

CAPÍTULO 3
3.2.3 Fase 3: ¿Dónde queremos estar?

La fase 3 establece un objetivo de mejora seguido de un análisis gap para identificar posibles soluciones.
Algunas soluciones serán ganancias rápidas y otras serán tareas más complejas a largo plazo. La prioridad debería
otorgarse a los proyectos cuya consecución resulte más fácil y que probablemente proporcionen los mayores
beneficios. Las tareas a más largo plazo deberían desglosarse en piezas gestionables.
3.2.4 Fase 4: ¿Qué es preciso hacer?

La fase 4 describe cómo planificar soluciones factibles y prácticas mediante la definición de proyectos apoyados por
casos de negocio justificados y un plan de cambios para su implementación. Un caso de negocio bien desarrollado
puede contribuir a garantizar que los beneficios del proyecto se identifiquen y monitoricen continuamente.

La fase 5 contempla la implementación de las soluciones propuesta a través de prácticas diarias y establece medidas
y sistemas de monitorización para garantizar que se logra el alineamiento con el negocio y que se puede medir el
desempeño.
Para tener éxito se requiere conciencia, comunicación, comprensión y compromiso de la alta dirección, y propiedad
de los dueños de los procesos del negocio y de TI afectados.
3.2.6 Fase 6: ¿Hemos conseguido llegar?

La fase 6 se centra en la transición sostenible de las prácticas mejoradas de gobierno y gestión dentro de las
operaciones normales del negocio. Se centra además en la monitorización de las mejoras usando las métricas de
desempeño y los beneficios esperados.
3.2.7 Fase 7: ¿Cómo mantenemos el impulso?

La fase 7 revisa el éxito general de la iniciativa, identifica otros requisitos de gobierno y gestión y refuerza la
necesidad de una mejora continua. También prioriza más oportunidades para mejorar el sistema de gobierno.
La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada una de las
siete fases para garantizar que el desempeño del programa va por buen camino, el caso de negocio y el riesgo están
actualizados, y la planificación de la fase siguiente se ha ajustado como corresponde. Se asume que el enfoque
estándar de la empresa se seguirá.
Puede encontrarse más ayuda sobre la gestión de programas y proyectos en los objetivos de gestión de COBIT
BAI01 Gestionar los programas y BAI11 Gestionar los proyectos. Aunque la presentación de informes no se
menciona de forma explícita en ninguna de las fases, se trata de un hilo continuo durante todas las fases e iteraciones.
El tiempo dedicado a cada fase diferirá enormemente, según el entorno de la empresa, su madurez y el alcance de la
implementación o iniciativa de mejora (entre otros factores). Sin embargo, el tiempo total dedicado a cada iteración
del ciclo de vida completo no debería exceder los seis meses idealmente, con mejoras aplicadas de forma progresiva.
De no ser así, el programa se arriesga a perder su impulso, foco y aceptación de las partes interesadas. El objetivo es
establecer un ritmo de mejora regular. Las iniciativas a gran escala deben estructurarse como iteraciones múltiples
del ciclo de vida.
Con el tiempo, el ciclo de vida se seguirá de forma iterativa a medida que se construye una estrategia sostenible. Las
fases del ciclo de vida se convierten en actividades diarias; la mejora continua tiene lugar de forma natural y se
convierte en una práctica de negocio habitual.
25

3.3 Primer paso—Identificar la necesidad de actuar: Reconocer los puntos de dolor o

puntos débiles y los eventos detonantes o desencadenantes
Muchos factores pueden indicar la necesidad de nuevas o revisadas prácticas de GEIT, y cuando se estudia en
detalle, en ocasiones revelan redes complejas de problemas subyacentes. Por ejemplo, si la empresa tiene la
percepción de que los costes de I&T son inaceptablemente elevados, esto puede deberse a problemas de gobierno y/o
gestión (p. ej. el uso de criterios inadecuados a la hora de gestionar la inversión de TI). Sin embargo, el punto de
dolor puede ser un síntoma a largo plazo, una baja inversión en I&T heredada que ahora se manifiesta en un coste
significativo, nuevo o continuo.
El uso de puntos de dolor o eventos detonantes para lanzar iniciativas de GEIT hacen que sea posible relacionar el
caso de negocio para mejorar problemas concretos de las partes interesadas y mejorar, de este modo, su aceptación.
Puede que sea necesario un sentido de urgencia en la empresa para iniciar la implementación. Además, puede
contribuir a obtener ganancias rápidas y demostrar el valor agregado en las áreas que son las más visibles y
reconocibles de la empresa. Las ganancias rápidas, a su vez, proporcionan una plataforma para introducir más
cambios y pueden contribuir a consolidar el compromiso generalizado de la alta dirección, junto con el apoyo para
una mejora más generalizada.
3.3.1 Puntos típicos de dolor
Las prácticas de GEIT nuevas o revisadas generalmente pueden resolver (o ayudar a abordar) los síntomas siguientes, que
también se enumeran en la Guía de diseño COBIT® 2019 bajo el factor de diseño 4 Problemas relacionados con I&T.
(Tenga en cuenta que esta lista no es exhaustiva, y que cada organización debe resolver sus propios problemas).
● Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja
contribución al valor del negocio—Cada vez existen más empresas con entidades de TI descentralizadas o separadas;
cada una de ellas proporciona determinados (y a veces intermitentes) servicios a sus partes interesadas. Las
dependencias podrían persistir entre los grupos; cuando las dependencias no se gestionan cuidadosamente, podrían
comprometer la eficiencia y eficacia de las TI.
● Frustración entre distintos departamentos de la empresa (por ej. el cliente de TI) y el departamento de TI debido
a iniciativas fallidas o una percepción de baja contribución al valor del negocio—Mientras que muchas empresas
siguen aumentando sus inversiones en I&T, el valor de estas inversiones y el desempeño global de TI se suelen
cuestionar y/o no entender completamente. Esta frustración puede indicar un problema de GEIT y sugiere mejorar la
comunicación entre las TI y el negocio y/o establecer una visión común del papel y el valor de las TI. También puede ser
una consecuencia de un deficiente portafolio y formulación de proyecto, propuesta y mecanismos de aprobación.
● Incidentes significativos relacionados con I&T, como pérdida de datos, brechas de seguridad, fracaso de
proyectos y errores de aplicaciones, vinculados con TI—Incidentes significativos (incluida la pérdida de datos,
brechas de seguridad, fracaso del proyectos y errores de aplicaciones vinculados con las TI) suelen ser la punta del
iceberg y su impacto puede verse empeorado si recibe la atención pública y/o de los medios. Una investigación más a
fondo suele conducir a la identificación de desalineamientos estructurales más profundos o incluso la falta total de una
cultura de conciencia de riesgos de TI dentro de la empresa. Suelen requerirse prácticas de GEIT más sólidas para
entender y gestionar los riesgos relacionados con TI más exhaustivamente.
● Problemas de prestación de servicio por parte del proveedor(es) de TI —Los problemas con la prestación de servicio
de proveedores de servicios externos (por ejemplo, fallas constantes a la hora de cumplir con los niveles de servicio
acordados) podrían deberse a problemas de gobierno. Por ejemplo, los procesos de gestión de servicio prestados por
terceros podrían estar ausentes o mal definidos (incluidos el control y la supervisión) y/o falta de responsabilidades y
rendición de cuentas apropiadas para cumplir con los requisitos empresariales y de servicio de TI.
● Incumplimiento de los requisitos regulatorios o contractuales relacionados con TI—En muchas empresas, los
mecanismos de gobierno ineficaz o ineficientes evitan la integración completa de leyes, regulaciones y términos
contractuales relevantes en los sistemas organizativos. Alternativamente, las leyes, regulaciones y términos contractuales
podrían integrarse, pero la empresa sigue sin contar con una estrategia para gestionarlos. (Las regulaciones y los
requisitos de cumplimiento siguen proliferando a nivel global, y suelen afectar las actividades habilitadas por las TI).
26

CAPÍTULO 3
● Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación
de problemas en la calidad o el servicio de TI —Las evaluaciones pobres podrían indicar que no se han establecido los
niveles de servicio o que no funcionan bien, o que el negocio no se ha involucrado de forma adecuada en la toma de
decisiones de TI.
● Gasto sustancial oculto y deshonesto en TI—El gasto excesivo fuera de los mecanismos normales de decisión de
inversión en TI y de los presupuestos aprobados suele indicar una falta de control lo suficientemente transparente e
integral sobre los gastos e inversiones en TI. El gasto en TI puede ocultarse o no clasificarse correctamente en los
presupuestos de las unidades de negocio, creando una visión general sesgada de los costes de TI.
● Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos —Los proyectos
duplicados y/o el despliegue redundante de recursos pueden suceder cuando las iniciativas de I&T no se representan
completamente en una visión única, del portafolio. Podría no contarse con las capacidades de proceso y estructuras de
decisión entorno a la gestión y desempeño del portafolio.
● Recursos de TI insuficientes, personal con habilidades inadecuadas y personal agotado/insatisfecho—Se trata de
problemas significativos de recursos humanos de TI que requieren una supervisión eficaz y un buen gobierno para
abordar la gestión del personal y el desarrollo de habilidades de forma efectiva. Estos también podrían indicar
debilidades subyacentes en la gestión de la demanda de TI y las prácticas internas de prestación de servicios (entre otros
problemas latentes).
● Cambios o proyectos habilitados por TI que fallan frecuentemente en satisfacer las necesidades del negocio y que
se ejecutan tarde o por encima del presupuesto—Estos puntos de dolor podrían estar relacionados con problemas de
alineamiento entre TI y la empresa, una mala definición de los requisitos empresariales, la falta de un proceso de
obtención de beneficios, una deficiente implementación o problemas en los procesos de gestión de proyectos/programas.
● Esfuerzos múltiples y complejos de aseguramiento de TI—Este escenario podría indicar una escasa coordinación
entre la empresa y las TI, relativa a la necesidad y la ejecución de revisiones de aseguramiento relacionadas con TI. Un
bajo nivel de confianza empresarial en TI podría llevar a la empresa a iniciar sus propias revisiones. Alternativamente,
podría sugerir una falta de rendición de cuentas del negocio por (o involucramiento en) revisiones de aseguramiento de
las TI, si la empresa simplemente no es consciente de cuándo se están produciendo las revisiones.
● Resistencia de los miembros del consejo de administración, ejecutivos o alta dirección a involucrarse en las TI o
una falta de patrocinadores empresariales comprometidos con TI—Estos puntos de dolor indican a menudo una
falta de comprensión y conocimientos de TI, insuficiente visibilidad de TI en los niveles adecuados o estructuras de
gestión ineficaces. Los puntos de dolor también podrían indicar problemas con los mandatos del consejo, causados a
menudo por una mala comunicación entre la empresa y las TI, y/o falta de comprensión del negocio y de TI por parte de
los patrocinadores de la empresa para I&T.
● Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI—
Las organizaciones de TI descentralizadas o federadas suelen tener distintas estructuras, prácticas y políticas. La
complejidad resultante requiere una especial atención al GEIT para garantizar una toma de decisión de TI óptima y
operaciones efectivas y eficientes. Este punto de dolor se vuelve cada vez más significativo con la globalización: cada
territorio o región podría tener que resolver determinados (y probablemente únicos) factores medioambientales internos
y externos.
● Coste de TI excesivamente alto—TI se suele percibir como un coste para la organización; un coste que debería
mantenerse lo más bajo posible. Este problema ocurre normalmente cuando los presupuestos de TI se gastan
principalmente en proyectos que aportan muy poco valor al negocio, en mantener lo que se tiene, en lugar de brindar
nuevas oportunidades e innovación. La falta de una visión holística a nivel del portafolio de todas las iniciativas de I&T
puede contribuir a un coste excesivo y podría indicar que no se dispone de un proceso ni de las capacidades de la
estructura de decisión sobre el portafolio y la gestión del rendimiento.
● Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y
sistemas de TI actuales —En muchas organizaciones, la arquitectura heredada de TI no permite mucha flexibilidad en
la implementación de soluciones nuevas e innovadoras. La digitalización requiere a menudo una acción rápida y
respuestas ágiles ante circunstancias cambiantes. Requiere una aproximación nueva y más flexible entre desarrollo y las
operaciones de TI y por tanto, involucra directamente al sistema de gobierno.
● Brecha entre el conocimiento tecnológico y el empresarial—Los usuarios del negocio y los especialistas de TI
normalmente no se entienden. Cuando los usuarios del negocio no obtienen un entendimiento suficiente de I&T o no
logran saber cómo la I&T pueden mejorar el negocio o, a la inversa, cuando los especialistas de TI malinterpretan los
problemas y oportunidades en el contexto empresarial, la empresa no puede crecer e innovar como debería para tener
éxito. Esta situación requiere un buen gobierno para garantizar que la gestión del personal y el desarrollo de habilidades
se aborde de forma efectiva.
27

● Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes—Las empresas cada
vez son más conscientes del valor potencial que podría estar oculto en su información. Todos los problemas de calidad
de datos o integración de datos pueden tener un impacto sustancial para el éxito de la empresa. El GEIT es clave para
establecer los procesos correctos, roles, responsabilidades, cultura, etc. para entregar valor al negocio a partir de la
información.
● Alto nivel de computación de usuario final, lo que genera (entre otros problemas) una falta de supervisión y
control de calidad sobre las aplicaciones que se están desarrollando y entregando a operación—Un alto nivel de
computación de usuario final podría dificultar la comunicación entre TI y el negocio, y podría suponer perder el control
en la instalación de las aplicaciones del negocio. Podría derivar de una deficiente formulación del portafolio y del
proyecto, y/o propuesta y mecanismos de aprobación inadecuados. El GEIT puede contribuir a establecer una visión
común sobre el rol y el valor de TI para optimizar la seguridad y la funcionalidad de los dispositivos del usuario final.
● Los departamentos del negocio implementan sus propias soluciones de información con poco o ningún
involucramiento del departamento de TI de la empresa. —Este punto de dolor podría estar relacionado con el
problema de computación del usuario final y el uso óptimo de los datos y la información; sin embargo, surge
principalmente de los intentos del negocio para implementar soluciones y servicios más sólidos en el curso normal de la
búsqueda de una ventaja empresarial. La falta de comunicación o confianza entre el negocio y TI puede contribuir a un
desarrollo independiente no autorizado, o acentuar sus síntomas (en forma de problemas del servicio, etc.).
● Ignorancia y/o incumplimiento de las regulaciones de seguridad y privacidad—Mitigar las nuevas amenazas de
seguridad y privacidad debería formar parte de la agenda de cada empresa, no solo por motivos de cumplimiento, sino
también para preservar el valor que la empresa genera. La ignorancia y/ o incumplimiento con las regulaciones puede
perjudicar seriamente a la empresa y debería gestionarse a través de un GEIT adecuado.
● Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T—Una queja común del negocio enmarca a
TI en un rol de soporte, mientras que la empresa necesita que TI innove y proporcione una ventaja competitiva. Dichas
quejas podrían apuntar a una falta de alineamiento bidireccional entre la empresa y las TI, lo cual podría reflejar
problemas de comunicación o la necesidad de incrementar la participación de la empresa en la toma de decisiones de TI.
Alternativamente, la empresa podría involucrar a las TI demasiado tarde en su planificación estratégica o iniciativas de
negocio. El problema suele surgir de forma más enfática cuando las condiciones económicas requieren respuestas
rápidas de la empresa, como la introducción de nuevos productos o servicios.
3.3.2 Eventos detonantes en los entornos internos y externos

Además de los puntos de dolor descritos en la sección 3.3.1, otros eventos de los entornos internos y externos de la
empresa pueden apuntar o desencadenar un enfoque en el GEIT y llevarlo a ocupar un puesto prominente en la
agenda de la empresa
 Fusión, adquisición o escisión—Estas transacciones podrían tener consecuencias estratégicas y operativas
significativas relacionadas con I&T. Las revisiones de debida diligencia deberían proporcionar un conocimiento de
los problemas de TI en el entorno o entornos. Los requisitos de integración o reestructuración podrían prescribir
mecanismos de GEIT adecuados al nuevo entorno.
 Cambios del mercado, la economía o la posición competitiva—Una recesión económica podría llevar a las
empresas a revisar los mecanismos de GEIT para facilitar la optimización de costes a gran escala o mejorar el
desempeño.
 Cambios en el modelo operativo del negocio o acuerdos de abastecimiento de proveedores—Pasar de un
modelo descentralizado o federado a un modelo operativo más centralizado precisará cambios a las prácticas de
GEIT para facilitar una toma de decisiones de TI más centralizada. La implementación de centros de servicio
compartidos para áreas como finanzas, recursos humanos (RRHH) o abastecimiento también pueden precisar un
aumento de GEIT. Los dominios de aplicaciones o infraestructuras de TI fragmentados podrían consolidarse, con
cambios asociados en las estructuras o procesos de toma de decisiones sobre TI que los gobiernan. La
externalización (outsourcing) de algunas funciones de TI y procesos de negocio podría conducir igualmente a una
atención renovada en el GEIT. Un cambio en el apetito de riesgo puede influir en los acuerdos de GEIT si, por
ejemplo, una empresa decide aceptar más riesgos a la hora de perseguir sus objetivos.
 Nuevos requisitos de cumplimiento o regulatorios—Cumplir con las leyes y regulaciones suele tener
consecuencias en el GEIT. Por ejemplo, los requisitos de reporte y regulaciones financieras del gobierno
corporativo ampliado suelen desencadenar la necesidad de un mejor GEIT, así como prestar atención a la
privacidad de la información, dada la omnipresencia de las TI.
28

CAPÍTULO 3
 Cambio significativo de tecnología o de paradigma—Algunas empresas han migrado a una arquitectura

orientada a los servicios (SOA, por sus siglas en inglés) y a la computación en la nube. Estos tipos de iniciativas
cambian básicamente el modo en que se desarrollan y entregan la infraestructura y las funcionalidades de las
aplicaciones, y puede requerir cambios en el gobierno y la gestión de procesos asociados y otros componentes.
 Proyecto o enfoque de gobierno para toda la empresa—Proyectos a gran escala, incluidos, por ejemplo, grandes
cambios en las políticas de la empresa, podrían desencadenar iniciativas en el área de GEIT.
 Nuevo liderazgo—El nombramiento de nuevos representantes de nivel directivo, como el director de TI (CIO), el
director financiero (CFO), el presidente (CEO) o miembros del consejo de administración, suele desencadenar una
evaluación de los mecanismos e iniciativas de GEIT para abordar aquellas áreas débiles.
 Auditoría externa o evaluaciones de consultores—Una evaluación contra prácticas adecuadas, realizada por una
tercera parte independiente, puede suponer el punto de partida de una iniciativa de mejora del GEIT.
 Nueva estrategia o prioridad empresarial—Seguir una nueva estrategia empresarial suele tener implicaciones en
el GEIT. Por ejemplo, una estrategia empresarial de estar cerca de los clientes (saber quiénes son, entender sus
requisitos y responder de la mejor manera posible) podría requerir más libertad a la hora de tomar decisiones sobre
TI (para una unidad de negocio o país determinado) al contrario que una toma de decisiones centralizada tomada a
nivel corporativo o de grupo.
 Deseo de mejorar significativamente el valor obtenido de I&T—Una necesidad de mejorar la ventaja
competitiva, innovar, optimizar activos o crear nuevas oportunidades de negocio puede llamar la atención sobre el
GEIT.
Estos detonantes tienen un vínculo directo con los factores de diseño que se explican en detalle en la Guía de
diseño COBIT® 2019. La empresa construye y personaliza su sistema de gobierno basado en una serie de factores
de diseño. Los cambios en esos factores de diseño desencadenan una revisión del GEIT. Por ejemplo, la estrategia
empresarial es un factor de diseño importante y se correlaciona directamente con eventos desencadenantes como
adquisiciones, cambios en el mercado o una nueva estrategia de negocio. Otro factor de diseño importante es el
nivel de requisitos de cumplimiento a los que está sujeta la empresa y que está directamente vinculado con eventos
como nuevos requisitos regulatorios o de cumplimiento.
La identificación de puntos de dolor y de eventos desencadenantes internos o externos lleva al reconocimiento,

petición y comunicación de la necesidad de actuar. Esta comunicación se puede presentar en forma de una llamada
de atención (cuando se experimentan puntos de dolor) o expresar la oportunidad de mejora y los beneficios que
podrían obtenerse. Los puntos de dolor o eventos desencadenantes actuales del GEIT proporcionan puntos de partida.
Pueden identificarse normalmente a través de comprobaciones de estado de alto nivel, diagnósticos o evaluaciones
de capacidad. Estas técnicas tienen el beneficio añadido de crear consenso sobre los problemas a tratar. Puede
resultar beneficioso obtener una revisión independiente y objetiva de alto nivel realizada por un tercero sobre la
situación actual (que podría aumentar el convencimiento de actuar).
Es crítico intentar lograr el compromiso y la aceptación del consejo de administración y la dirección ejecutiva desde
el primer momento. Para hacerlo, el programa de GEIT y sus objetivos y beneficios deben expresarse claramente en
términos de negocio. Debe inculcarse el nivel correcto de urgencia. El consejo de administración y la dirección
ejecutiva deberían ser conscientes del valor que la I&T bien gobernadas y gestionadas pueden aportar a la empresa y
el riesgo de no hacer nada. El compromiso del consejo de administración y la alta dirección también respalda la
consideración de alineamiento desde el principio del programa de GEIT, los objetivos y la estrategia de la empresa,
los objetivos empresariales para las TI, el gobierno de la empresa y las iniciativas ERM (si existen). Identificar y
obtener algunas ganancias rápidas (problemas visibles que pueden abordarse relativamente rápido, y ayudan a
establecer la credibilidad de la iniciativa general demostrando los beneficios) pueden ser un mecanismo útil para
obtener el compromiso del consejo de administración.
Una vez que se ha establecido el rumbo desde la dirección, debería establecerse una visión general de la habilitación
del cambio a todos los niveles. La escala y el alcance del cambio más amplio debe entenderse en un primer momento
en términos puramente empresariales, pero la perspectiva humana y de comportamiento no puede pasarse por alto.
Todas las partes interesadas involucradas en el cambio, o afectadas por éste, deben identificarse, y debe establecerse
su posición con respecto al cambio.
29

3.3.3 Involucramiento de las partes interesadas
Muchas partes interesadas deben colaborar para lograr el objetivo general de mejorar el rendimiento de TI. La
estrategia proporcionada en esta guía contribuirá a desarrollar un entendimiento acordado y común de qué debe
lograrse para satisfacer las preocupaciones específicas de las partes interesadas de forma coordinada y armonizada.
Las partes interesadas más importantes y sus preocupaciones son:
 Consejo de administración y dirección ejecutiva—¿Cómo establecemos y definimos la dirección de la empresa
para el uso de la I&T y monitorizamos el establecimiento de componentes relevantes y necesarios del GEIT, para
lograr el valor de negocio y que se mitiguen los riesgos relacionados con las TI?
 Alta dirección de negocio, dirección de TI10 y dueños del proceso—¿Cómo facilitamos a la empresa definir las
3
metas de alineamiento para garantizar que se logra el valor de negocio a partir del uso de la I&T y que se mitiguen
los riesgos relacionados con las TI?
 Dirección de negocio, dirección de TI y dueños del proceso—¿Cómo planificamos, construimos, ofrecemos y
monitorizamos la información y las soluciones y capacidades de servicio de TI conforme a lo requerido por el
negocio y dirigido por el consejo de administración?
 Expertos en riesgo, cumplimiento y legal—¿Cómo garantizamos que la empresa cumple con las políticas,
regulaciones, leyes y contratos y que el riesgo se identifica, evalúa y mitiga?
 Auditoría interna—¿Cómo proporcionamos una garantía independiente sobre el valor generado y la mitigación
de riesgos?
Los factores claves de éxito para la implementación son:

 El consejo de administración fija el rumbo y la dirección ejecutiva proporciona el mandato y los recursos.
 Todas las partes entienden los objetivos relacionados con la empresa y la I&T.
 Existe una comunicación y habilitación efectiva de los cambios organizativos y de proceso necesarios
 Los marcos y las buenas prácticas se personalizan para encajar con el propósito y el diseño de la empresa.
 El foco inicial está en las ganancias rápidas y la priorización de las mejoras más beneficiosas que son las más
fáciles de implementar. Así se demuestran los beneficios y aumenta la confianza para una mejora futura.
3.4 Reconocer los roles y requisitos de las partes interesadas
3.4.1 Partes interesadas internas
La figura 3.5 proporciona una visión general de las partes interesadas internas, sus responsabilidades y rendición de
cuentas de alto nivel más importantes en el proceso de mejora y su interés en los resultados del programa de
implementación. Las partes interesadas siguientes representan ejemplos genéricos; se precisarán algunas
adaptaciones, extensiones y personalizaciones.
10
3
La dirección de TI incluye todos los cargos dentro de la función de TI a nivel ejecutivo.
30

CAPÍTULO 3
Figura 3.5—Visión general de las partes interesadas internas del GEIT

Partes interesadas Rendición de cuentas y responsabilidades Interés en los resultados del programa de
internas importantes de alto nivel implementación
Consejo de Establecer el rumbo, contexto y objetivos El consejo de administración y la dirección
administración y generales para el programa de mejora y garantizar ejecutiva están interesados en obtener los
dirección ejecutiva el alineamiento con la estrategia de negocio máximos beneficios empresariales del programa
empresarial, el gobierno y la gestión del riesgo. de implementación. Quieren garantizar que se
Proporcionar soporte visible y compromiso con la aborden todos los asuntos y áreas requeridos y
iniciativa, incluidos los roles de patrocinio y relevantes; que se realicen las actividades
fomento de la iniciativa. Aprobar los resultados del requeridas; que se obtengan de forma satisfactoria
programa y garantizar que se alcancen los los resultados esperados.
beneficios previstos y se tomen las medidas
correctivas que correspondan. Garantizar que
estén disponibles los recursos requeridos
(financieros, humanos y otros) para la iniciativa.
Establecer el rumbo desde la dirección y dar
ejemplo.
Gestión del negocio y Proporcionar los recursos empresariales A estas partes interesadas les gustaría que el
dueños del proceso de correspondientes al equipo principal de programa derivara en un mejor alineamiento de I&T
negocio implementación. Trabajar con TI para garantizar con el entorno empresarial general y sus áreas
que los resultados del programa de mejora estén específicas.
alineados y de acuerdo con el entorno de negocio
de la empresa, que se cree valor y que se gestione
el riesgo. Apoyar de forma visible el programa de
mejora y trabajar con TI para abordar cualquier
problema que se experimente. Garantizar que el
negocio se involucre de forma adecuada durante la
implementación y en la transición para su uso.
Director de TI (CIO) Proporciona un liderazgo al programa y recursos El CIO quiere garantizar que se alcanzan todos los
de TI aplicables al equipo de implementación objetivos de implementación del GEIT. Para el CIO,
principal. Trabajar con la dirección y los ejecutivos el programa debería derivar en mecanismos que
de la empresa para fijar los objetivos, la dirección y mejoren de forma continua la relación (y el
la estrategia adecuados para el programa. alineamiento con) la empresa (incluida una visión
compartida del rendimiento de I&T); dirigir a una
mejor gestión de la oferta y demanda de TI y
mejorar la gestión del riesgo empresarial
relacionado con la I&T.
la gestión de TI y los Proporcionar liderazgo para los flujos de trabajo Estas partes interesadas están interesadas en
dueños de los procesos aplicables del programa y los recursos para el garantizar que la iniciativa de mejora resulte en un
de TI (como el jefe de equipo de implementación. Proporcionar mejor gobierno de la I&T en general y en sus áreas
operaciones, director de información clave a la evaluación del desempeño individuales y en que la información del negocio
arquitectura, gestor de actual y al establecimiento de objetivos de mejora requerida para hacerlo se obtengan de la mejor
seguridad de TI, director para las áreas de procesos con los dominios manera posible.
de privacidad y correspondientes. Proporcionar información sobre
especialista en gestión buenas prácticas relevantes que deberían
de continuidad de incorporarse y asesoría experta relacionada.
negocios) Asegurar que el caso de negocio y el plan del
programa sean realistas y alcanzables.
Expertos en riesgo, Participar conforme sea preciso en todo el Estas partes interesadas quieren asegurarse que la
cumplimiento y legal programa y proporcionar la información sobre iniciativa establece o mejora los mecanismos para
cumplimiento, gestión de riesgos y legal en garantizar el cumplimiento legal y contractual así
asuntos relevantes. Garantizar el alineamiento con como la gestión eficaz de riesgos del negocio
toda la estrategia ERM y confirmar que se relacionados con la I&T, y el alineamiento de estos
satisfacen los objetivos de cumplimiento y gestión mecanismos con cualquier estrategia empresarial
de riesgos relevantes, se consideran los problemas que pudiera existir.
y se alcanzan los beneficios. Proporcionar
orientación durante la implementación según sea
necesario.
31

Figura 3.5—Visión general de las partes interesadas internas del GEIT (cont.)
Partes interesadas Rendición de cuentas y responsabilidades Interés en los resultados del programa de
internas importantes de alto nivel implementación
Auditoría interna Participar cuando sea preciso en todo el programa A estas partes interesadas les conciernen los
y proporcionar los aportes de auditoría en asuntos resultados del programa de implementación
relevantes. Proporcionar consejo sobre los relacionados con las prácticas y estrategias de
problemas actuales que se están experimentando control, y cómo los mecanismos establecidos o
y aportes sobre prácticas y estrategias de control. mejorados permitirán abordar los hallazgos de las
Revisar la factibilidad de los casos de negocio y auditorías en curso.
los planes de implementación. Proporcionar
consejos y directrices durante la implementación
según sea necesario.
Capacidad para comprobar los resultados de la
evaluación de forma independiente.
Equipo de Dirigir, diseñar, controlar, orientar y ejecutar el El equipo quiere garantizar que todos los
implementación (equipo programa en su totalidad desde la identificación de resultados esperados de la iniciativa del GEIT se
empresarial y de TI objetivos y requisitos hasta la eventual evaluación obtienen y maximizan.
combinado, formado por del programa con respecto a los objetivos del caso
individuos de categorías de negocio y la identificación de nuevos
de partes interesadas detonantes y objetivos para futuros ciclos de
enumerados implementación o mejora. Garantizar la
anteriormente) transferencia de la experiencia durante la
transición del entorno de implementación al
entorno de operación, uso y mantenimiento.
Usuarios Apoyar al GEIT ejecutando roles y Estas partes interesadas están preocupadas por
responsabilidades específicas asignadas a ellos. en el impacto(s) que la iniciativa tendrá su vida
diaria (sus trabajos, roles y responsabilidades y
actividades).
Clientes Los clientes forman parte de la cadena de valor
extendida y tienen expectativas con respecto a la
entrega de servicios, productos, etc.
3.4.2 Partes interesadas externas
Además de las partes interesadas internas enumeradas en la figura 3.5, existen también varias partes interesadas
externas. Aunque estas partes interesadas no rinden cuentas ni tienen responsabilidades directas en el programa de
mejora, pueden tener ciertos requisitos que necesitan ser satisfechos. La figura 3.6 presenta ejemplos genéricos
Figura 3.6—Visión general de las partes interesadas externas del GEIT

Partes interesadas
Interés en los resultados del programa de implementación
externas
Clientes y sociedad Las organizaciones existen para servir a los clientes. Por ello, los clientes se ven directamente
afectados por el grado de cumplimiento de objetivos del GEIT de una empresa. Si una empresa
está expuesta en el dominio de la seguridad y la privacidad, como por ejemplo por la pérdida de
datos bancarios de sus clientes, el cliente se verá afectado y, por ello, tendrá interés en que se
satisfagan los resultados del programa de implementación del GEIT.
Proveedores de La dirección de la empresa debería garantizar que hay un alineamiento y comunicación entre el
servicio de TI propio GEIT general de la empresa y el gobierno y gestión de los servicios proporcionados por los
proveedores de servicio de TI.
Reguladores Los reguladores están interesados en ver si los resultados del programa de implementación
satisfacen y/o proporcionan estructuras y mecanismos para alcanzar todos los requisitos
regulatorios y de cumplimiento aplicables.
Accionistas (si fuera Los accionistas podrían basar parcialmente sus decisiones de inversión en el estado del gobierno
relevante) corporativo y del GEIT de la empresa y su registro de cumplimiento en esta área.
32

CAPÍTULO 3
Figura 3.6—Visión general de las partes interesadas externas del GEIT

Partes interesadas
Interés en los resultados del programa de implementación
externas
Auditores externos Los auditores externos podrían confiar más en los controles relacionados con I&T como
resultado de un programa de implementación eficaz, conforme a lo corroborado por una
auditoría. También están interesados en aspectos relacionados con el cumplimiento regulatorio y
los informes financieros.
Socios de negocios (p. Los socios de negocio que usan transacciones electrónicas automatizadas con la empresa
ej., proveedores podrían tener interés en los resultados del programa de implementación con respecto a la mejora
externos) en seguridad, integridad y oportunidad de la información. También pueden estar interesados en el
cumplimiento regulatorio y las certificaciones de estándares internacionales que podrían ser el
resultado del programa.
3.4.3 Aseguramiento independiente y el rol de los auditores
Los directores y partes interesadas de TI deben ser conscientes del rol de los profesionales de aseguramiento. Los
profesionales de aseguramiento pueden ser auditores internos, auditores externos, auditores de estándares de la
Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC), o cualquier
profesional encargado de proporcionar una evaluación de los servicios y procesos de TI. Es importante tener en
cuenta a estas partes interesadas y sus intereses a la hora de definir el plan de implementación del GEIT. Los
consejos de administración y la dirección ejecutiva buscan cada vez más la asesoría y opiniones independientes con
respecto a funciones y servicios críticos de I&T. También existe un aumento generalizado en la necesidad de
demostrar el cumplimiento con las regulaciones nacionales e internacionales.
33

34

CAPÍTULO 4
IDENTIFICAR RETOS Y FACTORES DE ÉXITO
Capítulo 4
Identificar Retos y factores de éxito
4.1 Introducción
Las experiencias de las implementaciones del GEIT han mostrado que deben superarse varios problemas prácticos
para que la iniciativa se desarrolle con éxito y para que se mantenga una mejora continua. Este capítulo describe
varios de estos retos, sus causas raíz y los factores que deberían considerarse para garantizar resultados satisfactorios.
4.2 Creación del entorno adecuado
4.2.1 Fase 1: ¿Cuáles son los motivadores?
La figura 4.1 enumera los retos, sus causas raíz y los factores de éxito de la fase 1.
Figure 4.1—Retos, causas raíz y factores de éxito de la fase 1

Fase 1: ¿Cuáles son los motivadores?
Retos  Falta de aceptación, compromiso y apoyo de la alta dirección
 Dificultad a la hora de demostrar el valor y los beneficios
Causas raíz  Falta de comprensión (y evidencia) de la importancia, urgencia y valor de un gobierno mejorado para
la empresa
 Falta de recursos
 Pobre comprensión del alcance del GEIT y las diferencias entre gobierno y gestión de I&T
 Implementación basada en una reacción a corto plazo frente a un problema en lugar de una
justificación de mejora más proactiva y amplia.
 Preocupación sobre «posibilidad de fracaso de otro proyecto»; falta de confianza en la dirección de
TI
 Pobre comunicación de los problemas y beneficios del gobierno; los beneficios y plazos no se han
articulado claramente
 Ningún alto ejecutivo está dispuesto a patrocinar o rendir cuentas
 pobre percepción de la credibilidad de la función de TI; el CIO no impone el respeto suficiente
 La creencia de la dirección ejecutiva de que el GEIT es solo responsabilidad de la dirección de TI.
 No disponer del equipo adecuado (roles asignados) responsables del GEIT o de las destrezas
adecuadas para llevar a cabo la tarea
 Falta de uso de los marcos reconocidos/falta de capacitación y concienciación
 Posicionamiento incorrecto del GEIT en el contexto del gobierno empresarial actual
 Iniciativa impulsada por «conversos» entusiastas que predican estrategias de libro
Factores de éxito  Hacer que el GEIT forme parte de la agenda del consejo de administración, comité de auditoría y
comité de riesgos para su discusión.
 Crear un comité o aprovechar un comité existente, como el consejo de gobierno de I&T, para
proporcionar un mandato y una rendición de cuentas para llevar a cabo acciones.
 Evitar hacer que el GEIT parezca ser una solución que busca un problema. Debe haber una necesidad
real y un posible beneficio.
 Identificar al líder(es) y patrocinador(es) con la autoridad, conocimiento y credibilidad para que se
haga(n) responsable(s) del éxito de la implementación.
 Identificar y comunicar puntos de dolor que puedan motivar un deseo de cambiar el status quo.
 Usar el lenguaje, estrategias y comunicaciones adecuados para la audiencia. Evitar la jerga y
términos que los miembros de la audiencia no puedan reconocer.
 Definir y acordar de forma conjunta (con el negocio) el valor esperado de TI.
 Expresar los beneficios en términos/métricas empresariales (acordados).
 Obtener el apoyo de auditores, consultores y asesores externos y aumentar las destrezas con ellos,
según se requiera.
35

Figura 4.1—Retos, causas raíz y factores de éxito de la fase 1 (cont.)

 Desarrollar principios rectores que establezcan el ambiente y el escenario para el esfuerzo de
transformación.
 Emitir órdenes basadas en el esfuerzo de transformación particular de la empresa, construir la confianza
y alianzas necesarias para el éxito.
 Realizar un caso de negocio personalizado para una audiencia objetivo que demuestre que la inversión
propuesta de TI tendrá beneficios para el negocio.
 Priorizar y alinear el caso de negocio con base en el foco estratégico y los puntos de dolor actuales.
 Alinear el caso de negocio con los objetivos generales del gobierno empresarial
 Obtener educación y capacitación en marcos y temas relacionados con el GEIT.
Retos  Dificultad para obtener la participación requerida del negocio
 Dificultad para identificar a las partes interesadas y roles asignados
Causas raíz  El GEIT no es una prioridad para los ejecutivos del negocio ni un indicador de clave de rendimiento (KPI,
por sus siglas en inglés)]
 La preferencia de la dirección de TI por trabajar de manera aislada (mostrar el concepto antes de
involucrar al cliente)
 Barreras entre las TI y el negocio, lo que inhibe la participación
 No hay roles ni responsabilidades claras para que el negocio se involucre
 No están involucrados ni comprometidos las personas claves que toman las decisiones e influencian en
el negocio
 Conocimiento limitado de los ejecutivos de la empresa y los dueños de los procesos sobre los
beneficios y el valor del GEIT
Factores de éxito  Fomentar que la alta dirección y el consejo de gobierno de I&T establezcan mandatos e insistan en los
roles y en las responsabilidades del negocio del GEIT.
 Establecer un proceso para contar con el compromiso de las partes interesadas.
 Explicar y vender los beneficios empresariales de forma clara.
 Explicar el riesgo de la falta de involucramiento.
 Identificar servicios críticos o iniciativas de TI mayores para usarlos como pilotos/modelos para el
involucramiento del negocio en un GEIT mejorado.
 Encontrar a los convencidos (usuarios del negocio que reconocen el valor de un mejor GEIT).
 Fomentar el libre pensamiento y el empoderamiento, pero solo dentro de políticas bien definidas y una
estructura de gobierno.
 Asegurar que aquellos con la responsabilidad y necesidad de dirigir el cambio sean los que obtienen el
apoyo de los patrocinadores.
 Crear foros de participación del negocio (por ejemplo, el consejo de gobierno de I&T) y organizar talleres
para debatir abiertamente sobre los problemas actuales y las oportunidades de mejora.
 Involucrar a los representantes del negocio en evaluaciones de alto nivel del estado actual.
Reto  Falta de visión empresarial entre la dirección de TI
Causas raíz  Bajo rendimiento del gobierno corporativo

 Liderazgo de TI con antecedentes técnicos y operativos (sin estar lo bastante involucrados en temas de
negocio de la empresa)
 Dirección de TI aislada dentro de la empresa (sin estar involucrada en los niveles directivos)
 Proceso de relaciones empresariales débil
 Percepción de un rendimiento deficiente heredado que lleva a TI y al CIO a actuar a la defensiva
 CIO y dirección de TI en una posición vulnerable, no dispuestos a revelar debilidades internas
Factores de éxito  Mejorar la credibilidad basándose en los éxitos y el rendimiento del personal respetado de TI.
 Hacer que la dirección de TI sea miembro permanente del comité ejecutivo de la empresa (si fuera
posible), para garantizar que la dirección de TI tenga una visión adecuada del negocio y se involucre en
nuevas iniciativas desde el principio
 Implementar un proceso de relaciones empresariales eficaces con el negocio
 Invitar a la participación e involucramiento con el negocio Considerar la inclusión de personal del
negocio en TI y viceversa para aumentar su experiencia y mejorar las comunicaciones.
 Si fuera necesario, reorganizar los roles de la dirección de TI e implementar vínculos formales con otras
funciones del negocio, como finanzas y RR. HH.
 Asegurarse de que el CIO tenga experiencia de negocio. Considerar el nombramiento de un CIO que
provenga del negocio.
 Usar consultores para crear una estrategia de GEIT sólida y orientada al negocio.
 Crear mecanismos de gobierno, como gestores de relaciones con el negocio dentro de TI, para facilitar
un mayor conocimiento del negocio.
36

CAPÍTULO 4

Retos  Falta de política y dirección de la empresa
 Débil gobierno de la empresa
Causas raíz  Problemas de compromiso y liderazgo, probablemente debidos a falta de madurez de la organización
 Liderazgo autocrático basado en órdenes individuales en lugar de en política empresarial
 Promoción de la cultura del libre pensamiento y estrategias informales en lugar de un entorno de control
 Débil gestión de riesgos empresariales
Factores de éxito  Poner en conocimiento de ejecutivos del consejo de administración, y de los no ejecutivos, de los
problemas y preocupaciones sobre el riesgo de tener un pobre gobierno, basado en problemas reales
relacionados con el cumplimiento y el desempeño de la empresa.
 Poner los problemas en conocimiento del comité de auditoría o de la auditoría interna.
 Obtener aportaciones y orientación de auditores externos.
 Considerar cómo podría ser necesario cambiar la cultura para permitir mejores prácticas de gobierno.
 Poner el problema en conocimiento del CEO y el consejo de directores
 Asegurar que la gestión de riesgos se aplica en toda la empresa
4.2.2 Fase 2: ¿Dónde estamos ahora? y Fase 3: ¿Dónde queremos estar?

La figura 4.2 enumera los retos, sus causas raíz y los factores de éxito de las fases 2 y 3.
Figura 4.2—Retos, causas raíz y factores de éxito de las fases 2 y 3

Fase 2: ¿Dónde estamos ahora?
Fase 3: ¿Dónde queremos estar?
Retos  Incapacidad de obtener y mantener el respaldo para mejorar los objetivos
 Brecha de comunicación entre TI y el negocio
Causas raíz  Razones de peso para actuar no articuladas claramente o inexistentes
 Fallo de los beneficios percibidos para justificar de forma suficiente la inversión requerida (coste)
 Preocupación sobre la pérdida de productividad o eficiencia debido al cambio
 Falta de rendición de cuentas clara para el patrocinio y compromiso con los objetivos de mejora
 Falta de estructuras adecuadas con el involucramiento del negocio, desde la estrategia hasta niveles tácticos y
operativos
 Forma inadecuada de comunicación (ni lo bastante simple, ni lo bastante resumida, ni comunicada en lenguaje
que entienda el negocio, ni acorde con las políticas y cultura) o falta de adaptación del estilo a distintas
audiencias
 Caso de negocio para mejoras mal desarrollado mal articulado
 Foco insuficiente en la facilitación del cambio y en la obtención de la aceptación de todos los niveles
requeridos
Factores de éxito  Desarrollar una comprensión acordada del valor de un GEIT mejorado.
 Contar con las estructuras adecuadas, como un comité de dirección de TI y un comité de auditoría, facilitar la
comunicación y el acuerdo de objetivos y establecer calendarios de reuniones para intercambiar el estado de la
estrategia, aclarar malentendidos y compartir información.
 Implementar un proceso efectivo de relaciones con el negocio.
 Desarrollar y ejecutar una estrategia de facilitación del cambio y un plan de comunicación que explique la
necesidad de alcanzar un mayor nivel de madurez.
 Usar el lenguaje correcto y una terminología común con un estilo adaptado a subgrupos de audiencia. Hacer
que sea interesante, utilizar elementos visuales.
 Desarrollar el caso de negocio inicial del GEIT en un caso de negocio detallado para mejoras específicas con
una clara articulación del riesgo. Enfocarse en el valor agregado para el negocio (expresado en términos de
negocio) así como en los costes.
 Educar y formar en COBIT y este método de implementación.
Reto  Coste de mejoras superior a beneficios percibidos
Causas raíz  Tendencia a centrarse solamente en los controles y mejoras del rendimiento y no en mejoras de la eficiencia e
innovación
 Programa de mejoras dividido inadecuadamente en fases y que no asocia claramente los beneficios y costes
de esas mejoras
 Priorización de soluciones caras y complejas en lugar de soluciones más sencillas y con un coste más bajo
 Un presupuesto significativo de TI y personal ya comprometido para el mantenimiento de la infraestructura
actual, lo que conduce a un apetito limitado a la hora de dirigir fondos o el tiempo restante del personal para
tratar con el GEIT
37

Figura 4.2—Retos, causas raíz y factores de éxito de las fases 2 y 3 (cont.)

Fase 2: ¿Dónde estamos ahora?
Fase 3: ¿Dónde queremos estar?
Factores de éxito  Identificar áreas en infraestructura, procesos y RR. HH. (como la estandarización, niveles de madurez más altos
y menos incidentes) en los que las ineficiencias y el ahorro directo en costes puedan lograrse gracias a un
mejor gobierno.
 Establecer prioridades basándose en el beneficio y la facilidad de implementación, especialmente ganancias
rápidas.
Reto  Falta de confianza y buenas relaciones entre TI y la empresa
Causas raíz  Problemas heredados apoyados por un pobre rendimiento de TI en la entrega de proyectos y servicios
 Falta de conocimiento de TI de los problemas de la empresa y viceversa
 Alcance y expectativas articulados y gestionados de forma inadecuada
 Roles, responsabilidades y rendición de cuentas poco claros en el negocio, lo que deriva en la renuncia a tomar
decisiones clave
 Falta de información de apoyo y métricas que ilustren la necesidad de mejorar
 Reticencia a aceptar que no se está en lo cierto, resistencia general al cambio
Factores de éxito  Fomentar una comunicación abierta y transparente acerca del desempeño, vinculada a la gestión del
rendimiento corporativo.
 Enfocarse en las interfaces del negocio y la mentalidad de servicio.
 Publicar los resultados positivos y lecciones aprendidas para contribuir a establecer y mantener la credibilidad.
 Garantizar que el CIO tiene credibilidad y liderazgo a la hora de construir confianza y relaciones.
 Formalizar los roles y responsabilidades de gobierno en el negocio para que quede clara la rendición de
cuentas por las decisiones.
 Identificar y comunicar la evidencia de problemas reales, riesgos que deben evitarse y beneficios que deben
obtenerse (en términos de negocio) relacionados con las mejoras propuestas.
 Enfocarse en una planificación que facilite los cambios.
4.2.3 Fase 4: ¿Qué es preciso hacer?

La figura 4.3 enumera los retos, sus causas raíz y los factores de éxito de la fase 4.
Figura 4.3—Retos, causas raíz y factores de éxito de la fase 4

Fase 4: ¿Qué es preciso hacer?
Reto  Fracaso a la hora de entender el entorno
Causas raíz  Consideración insuficiente de los cambios necesarios en la organización y su cultura, así como en las
percepciones de las partes interesadas
 Consideración insuficiente de las fortalezas del gobierno actual y de las prácticas dentro de TI y la empresa en
general
Factores de éxito  Realizar una evaluación de las partes interesadas y centrarse en el desarrollo de un plan de habilitación del
cambio.
 Aprovechar y usar las fortalezas actuales y las buenas prácticas dentro de TI y la empresa en general. Evitar
reinventar la rueda solo para TI.
 Entender a los distintos grupos representados, sus objetivos y mentalidades.
Reto  Distintos niveles de complejidad (técnica, organizativa, modelo operativo)
Causas raíz  Deficiente comprensión de los requisitos del GEIT
 Intentar implementar demasiadas cosas a la vez
 Priorizar las mejoras críticas y difíciles con poca experiencia práctica
 Modelos operativos corporativos complejos y/o múltiples
Factores de éxito  Educar y formar en COBIT y este método de implementación.
 Desglosar en proyectos más pequeños, para ir paso a paso Priorizar las ganancias rápidas.
 Recolectar las necesidades de mejora de los distintos grupos representados. Correlacionarlas y priorizarlas y
asignarlas al programa de facilitación del cambio.
 Centrarse en las prioridades del negocio para ejecutar la implementación por fases.
Reto  Dificultad a la hora de entender COBIT y los marcos, los procedimientos y las prácticas asociadas
Causas raíz  Habilidades y conocimiento inadecuados
 Copiar buenas prácticas, no adaptarlas
 Centrarse solo en procedimientos no en otros habilitadores como roles y responsabilidades y habilidades
aplicadas
38

CAPÍTULO 4

Fase 4: ¿Qué es preciso hacer?
Factores de éxito  Educar y formar en COBIT, otros estándares relacionados y buenas prácticas y este método de implementación.
 Si fuera necesario, obtener orientación y ayuda externa experta y calificada.
 Adaptar y personalizar las buenas prácticas para que encajen en el entorno de la empresa.
 A la hora de diseñar los procesos, considerar y contar con las habilidades necesarias, roles y responsabilidades,
dueños de procesos, metas y objetivos y otros componentes de gobierno.
Reto  Resistencia al cambio
Causas raíz  La resistencia es una respuesta de comportamiento natural cuando el estatus quo se ve amenazado, pero
también podría indicar preocupaciones subyacentes como:
 Malentendidos de lo que se requiere y por qué es útil
 Percepción de que la carga de trabajo y el coste aumentarán
 Reticencia a admitir defectos
 Síndrome de «no se ha inventado aquí» apoyado por la imposición de marcos de gobierno genéricos en la
empresa
 Pensamientos arraigados, amenaza al rol o poder, no entender «qué gano yo con esto»
Factores de éxito  Centrar las comunicaciones de concienciación en puntos de dolor y factores específicos.
 Crear concienciación educando a directores de negocio y de TI y a las partes interesadas.
 Usar un agente del cambio experto con competencias de negocio y de TI.
 Hacer un seguimiento de hitos de manera regular para garantizar que los beneficios de la implementación son
percibidos por las partes involucradas.
 Optar por ganancias rápidas y relativamente fáciles para potenciar el reconocimiento del valor aportado.
 Hacer que los marcos de referencia genéricos como COBIT sean aplicables en el contexto de la empresa.
 Enfocarse en una planificación que facilite los cambios como:
 Desarrollo
 Capacitación
 Coaching
 Tutoría (Mentoring)
 Transferencia de habilidades
 Organizar sesiones de comunicación/road shows y encontrar a campeones que promuevan los beneficios.
Reto  Fallo en la adopción de mejoras
Causas raíz  Expertos externos que diseñan soluciones aisladamente o imponiéndolas sin la explicación adecuada
 Equipo interno de GEIT que opera de manera aislada y actúa como un representante informal de los
verdaderos dueños de procesos, causando malentendidos y resistencia al cambio
 Soporte y dirección inadecuados de las partes interesadas clave que deriva en proyectos de GEIT que
producen nuevas políticas y procedimientos sin un dueño válido.
Factores de éxito  Involucrar a los dueños de los procesos y a otras partes interesadas durante el diseño.
 Usar pilotos y demos, cuando corresponda, para educar y obtener aceptación y apoyo.
 Empezar con ganancias rápidas, demostrar los beneficios y construir desde ahí.
 Buscar campeones que entiendan la resistencia y quieran mejorar en lugar de obligar a las personas que se
resisten.
 Fomentar una estructura de dirección que asigne roles y responsabilidades, se comprometa con su operación
continua y supervisar el cumplimiento.
 Reforzar la transferencia de conocimientos de los expertos externos a los dueños del proceso.
 Delegar la responsabilidad y empoderar a los dueños del proceso.
Reto  Dificultad para integrar un enfoque interno de gobierno con los modelos de gobierno de socios de outsourcing
Causas raíz  Miedo a revelar prácticas inadecuadas

 Fallo para definir y/o compartir los requisitos de GEIT con el proveedor externo
 División de roles y responsabilidades poco clara
 Diferencias en estrategia y expectativas
 Acuerdos contractuales en contratos de outsourcing
Factores de éxito  Involucrar a proveedores/terceros en actividades operativas y de implementación donde corresponda.
 Incorporar condiciones y el derecho a auditar en los contratos.
 Buscar formas para integrar marcos de referencia y estrategias.
 Abordar roles, responsabilidades y estructuras de gobierno con terceros de forma anticipada, no a posteriori.
 Hacer corresponder las evidencias (mediante auditorías y revisión de documentos) de los procesos, personal y
tecnología de los proveedores de servicios con las prácticas y niveles requeridos por el GEIT.
39


Figura 4.4 enumera los retos, sus causas raíz y los factores de éxito de la fase 5.
Figura 4.4—Retos, causas raíz y factores de éxito de la fase 5

Fase 5: ¿Cómo conseguiremos llegar?
Reto  Fallo a la hora de cumplir con los compromisos de implementación
Causas raíz  Metas demasiado optimistas, subestimar el trabajo requerido
 TI en modo "apaga fuegos" y centrada en problemas operativos
 Falta de recursos o capacidades especializadas
 Prioridades asignadas de forma incorrecta
 Alcance no alineado con los requisitos o malinterpretado por los implementadores
 Principios de gestión de programas, como el caso de negocio, incorrectamente aplicados
 Visión insuficiente sobre el entorno del negocio (por ejemplo, modelo operativo)
Factores de éxito  Gestionar las expectativas.
 Seguir los principios rectores.
 Hacerlo simple, realista y práctico.
 Desglosar el proyecto global en proyectos pequeños alcanzables. Construir experiencia y beneficios.
 Garantizar que el alcance de implementación se soporta en los requisitos y que todas las partes
interesadas entienden lo mismo sobre el alcance del entregable.
 Centrarse en implementaciones que generan valor de negocio.
 Garantizar que se han asignado recursos dedicados.
 Aplicar gestión de programas y principios de gobierno.
 Aprovechar los mecanismos actuales y las formas de trabajo.
 Garantizar una visión adecuada del entorno del negocio.
Reto  Intentar no hacer demasiadas cosas a la vez; resolver problemas extremadamente complejos, difíciles o
simplemente demasiados problemas
Causas raíz  Falta de conocimiento del alcance y esfuerzo (también para los aspectos humanos, falta de lenguaje
común)
 No entender la capacidad para absorber el cambio (demasiadas iniciativas distintas)
 Falta de una planificación y gestión formal del programa; sin crear una base y madurar el esfuerzo a partir
de ahí
 Presión indebida para la implementación
 No capitalizar las ganancias rápidas
 Reinventar la rueda y no usar como base lo que ya hay
 Falta de visión dentro de la estructura organizativa
 Falta de habilidades
Factores de éxito  Aplicar principios de gestión de programas y proyectos.

 Usar hitos.
 Priorizar tareas 80/20 (80 por ciento de beneficio con 20 por ciento de esfuerzo) y tener cuidado a la hora
de establecer secuencias en el orden correcto. Capitalizar las ganancias rápidas.
 Generar confianza/credibilidad. Contar con las habilidades y experiencias para simplificar y ser prácticos.
 Reutilizar lo que ya se tiene como base.
Reto  TI y/o el negocio en modo "apaga fuegos"

Causas raíz  Falta de recursos o habilidades
 Falta de procesos internos, ineficiencias internas
 Falta de liderazgo sólido en TI
 Demasiadas soluciones alternativas (workarounds)
Factores de éxito  Aplicar buenas habilidades de gestión.
 Obtener el compromiso e impulsar desde la alta dirección para que los empleados puedan centrase en el
GEIT.
 Abordar las causas raíz del entorno operativo (intervención externa, dirección priorizando TI).
 Aplicar una disciplina más férrea y una mayor gestión de las peticiones del negocio.
 Uso de recursos externos donde corresponda.
 Obtener ayuda externa.
40

CAPÍTULO 4

Fase 5: ¿Cómo conseguiremos llegar?
Reto  Falta de las habilidades y competencias de TI requeridas, como comprender el gobierno, la gestión, el
negocio, los procesos, las habilidades blandas
Causas raíz  Conocimiento insuficiente de COBIT y buenas prácticas en la gestión de TI
 Habilidades de gestión y del negocio frecuentemente no incluidas en la formación
 Personal de TI no interesado en las áreas de negocio
 Personal del negocio no interesado en TI
Factores de éxito  Priorizar una planificación que facilite los cambios:
 Desarrollo
 Capacitación
 Coaching
 Mentoring
 Retroalimentación al proceso de reclutamiento
 Habilidades transversales
4.2.5 Fase 6: ¿Hemos conseguido llegar? y Fase 7: ¿Cómo mantenemos el impulso?
La figura 4.5 enumera los retos, causas raíz y factores de éxito de las fases 6 y 7.

Fase 6: ¿Hemos conseguido llegar?
Fase 7: ¿Cómo mantenemos el impulso?
Reto  Fallo en la adopción o aplicación de mejoras
Causas raíz  Soluciones demasiado complejas o inviables
 Soluciones desarrolladas de forma aislada por consultores o un equipo de expertos
 Buenas prácticas copiadas, aunque no personalizadas para adaptarse a la operación de la empresa
 Soluciones no aceptadas por los dueños del proceso/equipo
 Falta de roles y responsabilidades claros en la organización
 Dirección que no ordena ni respalda el cambio
 Resistencia al cambio
 Pobre comprensión sobre cómo se aplican los nuevos procesos o herramientas que han sido
desarrolladas
 Las habilidades y perfiles no se corresponden con los requisitos del rol
Factores de éxito  Centrarse en las ganancias rápidas y en los proyectos gestionables.
 Hacer pequeñas mejoras para poner a prueba la estrategia y asegurarse de que funcione.
 Involucrar a los responsables del proceso y a otras partes interesadas en el desarrollo de la mejora.
 Asegurarse de que los roles y las responsabilidades son claros y se han aceptado. Cambiar los roles
y las descripciones de cargos, si fuera necesario.
 Impulsar la mejora desde la dirección a toda la empresa.
 Aplicar capacitación adecuada cuando sea necesario.
 Desarrollar procesos antes de intentar la automatización.
 Reorganizar para posibilitar la mejor propiedad de los procesos, si es necesario.
 Hacer que los roles encajen (especialmente aquellos que son clave para la adopción exitosa) con las
capacidades y características individuales.
 Proporcionar una educación y capacitación efectivas.
Reto  Dificultad para mostrar y proveer los beneficios
Causas raíz  Las metas y métricas no se han establecido ni funcionan de forma eficaz
 Seguimiento de beneficios no aplicados luego de la implementación
 Pérdida de foco en los beneficios y el valor a obtener
 Deficiente comunicación de los éxitos
41


Fase 6: ¿Hemos conseguido llegar?
Fase 7: ¿Cómo mantenemos el impulso?
Factores de éxito  Establecer metas claras, medibles y realistas (resultado esperado de la mejora).
 Establecer métricas de desempeño prácticas (para monitorizar si la mejora está conduciendo al logro
de las metas).
 Producir sistemas de puntuación (Scorecard) que muestren cómo se está midiendo el desempeño.
 Comunicar, en términos de impacto para el negocio, los resultados y los beneficios que se están
obteniendo.
 Implementar ganancias rápidas y ofrecer soluciones a corto plazo.
Reto  Pérdida de interés y el impulso, cansancio ante los cambios
Causas raíz  La mejora continua no forma parte de la cultura
 La dirección no obtiene resultados sostenibles
 Recursos centrados en apagar incendios y prestar servicios, no en mejorar
 Personal no motivado, que no puede ver el beneficio personal de adoptar e impulsar cambios
Factores de éxito  Asegurar que, la dirección se comunique regularmente y refuerce la necesidad de contar con
servicios sólidos y confiables, soluciones y un buen gobierno. Comunicar a todas las partes
interesadas las mejoras que ya se han implementado satisfactoriamente.
 Volver a consultar con las partes interesadas y obtener su apoyo para alimentar el impulso.
 Dedicar oportunidades a implementar mejoras en la tarea, si los recursos son escasos, como parte
de la rutina.
 Centrarse en tareas de mejora regulares y manejables.
 Obtener ayuda externa, pero seguir comprometido.
 Alinear los sistemas de recompensa personales con las métricas y objetivos de la mejora de
desempeño de procesos y organización
42

CAPÍTULO 5
HABILITAR EL CAMBIO
Capítulo 5
Habilitar el cambio
5.1 La necesidad de habilitar el cambio
Para que una implementación o mejora se hagan de forma satisfactoria depende de que a la hora de implementar el
cambio adecuado se haga de forma correcta. En muchas empresas, hay un enfoque significativo en el primer aspecto
(implementar las buenas prácticas), pero no el suficiente en el segundo aspecto, implementar el cambio de forma
correcta, poniendo el énfasis en la gestión de las personas, aspectos culturales y de comportamiento del cambio y
motivando a las partes interesadas a respaldar el cambio. La habilitación del cambio, que incluye la gestión de las
partes interesadas, es una de los mayores retos de la implementación del GEIT.
No debería asumirse que las distintas partes interesadas involucradas, o afectadas por compromisos de gobierno
nuevos o revisados estarán dispuestas necesariamente a aceptar y adoptar el cambio. Debe considerarse la posibilidad
de ignorancia, resistencia al cambio o cansancio frente a los cambios con una estrategia estructurada y proactiva.11 1
Además, debería lograrse una concienciación óptima sobre el programa a través de un plan de comunicación que
defina qué se comunicará, de qué forma, por quién y a quién, a través de las distintas fases del programa.
COBIT define la habilitación del cambio como un proceso holístico y sistemático para garantizar que las partes
interesadas relevantes están preparadas y comprometidas para involucrarse en los cambios que se requieren para
pasar del estado actual al estado futuro deseado.
Todas las partes interesadas clave deberían involucrarse. A alto nivel, la habilitación del cambio suele llevar consigo:
 Evaluar el impacto del cambio en la empresa, sus empleados y otras partes interesadas
 Establecer el estado futuro (visión) en términos humanos/de comportamiento y las medidas asociadas que lo
describen
 Crear planes de respuesta ante los cambios para gestionar los impactos del cambio de forma proactiva y maximizar
el compromiso a lo largo del proceso. Estos planes podrían incluir capacitación, comunicación, diseño de
organización (contenido del trabajo, estructura organizativa), rediseño del proceso y sistemas actualizados de
gestión del desempeño.
 Medir continuamente el progreso del cambio hacia el estado futuro deseado.
Aunque cada implementación del GEIT es distinta, un objetivo común de habilitación del cambio es que las partes
interesadas del negocio y de TI den ejemplo y animen al personal de todos los niveles a trabajar de acuerdo al nuevo
modo deseado. Entre los ejemplos de comportamiento deseado se incluyen:
 Seguir los procesos acordados
 Participar en las estructuras definidas del GEIT, como un comité para aprobar el cambio o un comité consultivo
 Hacer cumplir los principios rectores, las políticas, los estándares, los procesos o las prácticas definidas (como la
política relacionada con nuevas inversiones o seguridad)
Esto puede alcanzarse mejor si se logra el compromiso de las partes interesadas (diligencia y cuidado debido,
liderazgo y comunicación y respuesta a los empleados) y se venden los beneficios. Si fuera necesario, podría
requerirse reforzar el cumplimiento. En otras palabras, las barreras humanas, de comportamiento y cultura deben
superarse para establecer un interés común en adoptar adecuadamente esta nueva manera, inculcar la voluntad de
adoptarla y garantizar la habilidad de adoptarla. Podría ser útil aprovechar las habilidades de habilitación del cambio
dentro de la empresa o, si fuera necesario, de consultores externos para facilitar el cambio de comportamiento.
11
1
Cuando se revisó una iniciativa de transformación de TI importante, el Departamento de asuntos de veteranos (VA, por sus siglas en inglés) afirmó
que “el cambio principal al que el VA se enfrentará a la hora de lograr esta transformación será obtener la aceptación y el apoyo de todo el personal de
VA, incluidos los directivos, los cargos intermedios y el personal de campo”. Ver Walters, J.; “Transforming Information Technology at the
Department of Veterans Affairs,” IBM Center for the Business of Government, EE. UU., 2009, http://www.isaca.org/Knowledge-
Center/cobit/Documents/WaltersVAReport-June09.pdf. El VA ha afirmado que su esfuerzo no puede ser exitoso si aborda solo la transformación
tecnológica; reconoce que el factor humano es necesario para lograr la aceptación, cambiar la organización y cambiar la forma en que se llevan a
cabo los negocios es fundamental para el éxito.
43

5.1.1 Habilitación del cambio de la implementación del GEIT
Con el paso de los años se han definido varias estrategias para habilitar el cambio, que proporcionan una información
valiosa que podría utilizarse durante el ciclo de vida de la implementación. Una de las estrategias más ampliamente
aceptadas para habilitar el cambio es la desarrollada por John Kotter:12 2
1. Establecer un sentido de urgencia.

2. Formar una poderosa coalición de orientación .
3. Crear una visión clara que se exprese de forma simple.
4. Comunicar la visión.
5. Empoderar a otros a actuar conforme a la visión.
6. Planificar y crear ganancias a corto plazo.
7. Consolidar mejoras y producir más cambios.
8. Institucionalizar nuevas estrategias.
La estrategia de Kotter se eligió como ejemplo y se adaptó a los requisitos específicos de una implementación o
mejora del GEIT, como se describe en esta publicación. Los preceptos adaptados de Kotter se ilustran por el ciclo de
vida de la habilitación del cambio de la figura 5.1.
Figura 5.1—Ciclo de vida de habilitación del cambio
emos 1 ¿Cuáles so
anten ?
o m lso n lo
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un p do
la efe ro re
gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
nito nec esidr

Mo y r
im

Obtener ben
a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir

s
y
uar
(círculo medio)
I m p ej or
je s t a d i r
ti v o

fi n
De e
le m a
o
m
nt
el b
e
Ope
ult a r
o
ru ta
G e n e ra r
o
es u n ic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
los roles clave

mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
ll e ificar el programa ón
ga ¿D
r? 3
12
Kotter, J.; Leading Change, Harvard Business School Press, EE. UU., 1996, https://www.kotterinc.com/book/leading-change/
44

CAPÍTULO 5
HABILITAR EL CAMBIO
Las subsecciones siguientes crean una visión de alto nivel, si bien holística, comentando brevemente cada fase del
ciclo de vida de habilitación del cambio, de acuerdo a como se aplica a una implementación típica del GEIT.
5.2 Las fases del ciclo de vida de habilitación del cambio crean el entorno adecuado
Todo el entorno de la empresa debería analizarse para determinar la estrategia de habilitación del cambio más
adecuada. Esto incluye aspectos como el estilo de gestión, cultura, relaciones formales e informales y actitudes.
También es importante entender otras iniciativas empresariales o de I&T en curso o planificadas, para garantizar que
se están teniendo en cuenta las dependencias y los impactos.
Debería garantizarse desde el inicio que las habilidades, competencias y experiencia requeridas para la habilitación
del cambio estén disponibles y se utilicen. Por ejemplo, esto podría significar el involucramiento de recursos del área
de RR. HH. o la obtención de asistencia externa.
Como un resultado de esta fase, se puede diseñar un equilibrio adecuado entre las directivas y las actividades de
habilitación del cambio que se requieren para entregar beneficios sostenibles.
5.2.1 Fase 1: Establecer el deseo de cambiar
El propósito de esta fase es entender la amplitud y profundidad del cambio previsto, las partes interesadas que son
afectadas, la naturaleza del impacto, y el involucramiento requerido por cada grupo de partes interesadas, además de
la disponibilidad actual y la habilidad para adoptar el cambio.
Los puntos de dolor y los eventos desencadenantes actuales pueden proporcionar una buena base para establecer el
deseo de cambiar. La llamada de atención, una comunicación inicial sobre el programa puede estar relacionada con
problemas del mundo real que la empresa podría estar experimentando. Además, los beneficios iniciales pueden estar
relacionados con áreas que son muy visibles en la empresa, creando una plataforma para impulsar los cambios y así
tener un compromiso y una aceptación más amplios.
Mientras que, la comunicación es un hilo común a través de la iniciativa de implementación o mejora, la

comunicación inicial es una de las más importantes, y debería demostrar el compromiso de la alta dirección. Por ello,
la comunicación inicial debería hacerse idealmente por el comité ejecutivo o por el CEO.
5.2.2 Fase 2: Formar un equipo de implementación eficaz
Las dimensiones a considerar a la hora de conformar un equipo principal de implementación eficaz implican
involucrar a las áreas adecuadas del negocio y de TI e identificar el conocimiento y la pericia, la experiencia, la
credibilidad y la autoridad de los miembros del equipo. Obtener una visión independiente y objetiva, como la
proporcionada por terceros (como consultores y agentes de cambio) podría también ser muy beneficiosa, mediante su
contribución al proceso de implementación o cubrir brechas de habilidades que pudieran existir en la empresa. Por
Tanto, otra dimensión a considerar es la mezcla adecuada de recursos internos y externos.
La esencia del equipo debería ser un compromiso con:

 Una visión clara del éxito y las metas deseadas
 Involucrar lo mejor en todos los miembros del equipo, en todo momento
 Claridad y transparencia de los procesos, rendición de cuentas y comunicaciones del equipo
 Integridad, apoyo mutuo y compromiso con el éxito del otro
 Rendición de cuentas mutua y responsabilidad colectiva
45

 Medición continua de su propio desempeño y la forma en que se comporta como equipo

 Actuar fuera de su zona de confort, buscar siempre formas de mejorar, descubrir nuevas posibilidades y adoptar
los cambios
Es importante identificar a potenciales agentes de cambio dentro de las distintas partes del negocio con las que el
equipo principal pueda trabajar para respaldar la visión y los cambios en cascada.
5.2.3 Fase 3: Comunicar la visión deseada
En esta fase, se desarrolla un plan de habilitación del cambio de alto nivel junto con el plan general del programa. Un
componente clave del plan de habilitación del cambio es la estrategia de comunicación, que considera quiénes son
los grupos de audiencia principal, y sus perfiles de comportamiento y requisitos de información, canales de
comunicación y principios.
La visión deseada para el programa de implementación o mejora debería comunicarse en el idioma de aquellos que
se ven afectados. La comunicación debería incluir la justificación y beneficios del cambio, los impactos de no hacer
el cambio (propósito), así como la visión (perspectiva), el mapa de ruta para hacer realidad la visión (plan) y la
participación necesaria de las distintas partes interesadas (partes).13 La alta dirección debería comunicar mensajes
3
clave (como la visión deseada). La comunicación debería tomar nota de que se abordarán tanto aspectos de
comportamiento/culturales como lógicos y que el énfasis está en la comunicación bidireccional. Deberían captarse
las reacciones, sugerencias y otras retroalimentaciones y deberían tomarse las medidas oportunas.
5.2.4 Fase 4: Empoderar a los roles asignados e identificar las ganancias rápidas
A medida que se diseñan y crean las mejoras, los planes de respuesta al cambio se desarrollan para empoderar a
varios roles asignados. Su alcance podría incluir:
 Cambios de diseño organizativo, como el contenido de un puesto de trabajo o estructuras de equipos
 Cambios operativos, como flujos de procesos o logística
 Cambios en la gestión de personal, como formación y/o cambios requeridos en la gestión del desempeño y los
sistemas de recompensa
La obtención de ganancias rápidas es importante desde el punto de vista de una habilitación del cambio. Estos
podrían estar relacionados con los puntos de dolor y los eventos desencadenantes comentados en el capítulo 3. Las
ganancias rápidas visibles e inequívocas pueden generar una dinámica y una credibilidad para el programa y ayudar
a acabar con cualquier escepticismo que pudiera existir.
Es imprescindible usar una estrategia participativa en el diseño y construcción de las mejoras. Involucrar a los
afectados por el cambio en el diseño (por ejemplo, a través de talleres y sesiones de revisión) podría aumentar la
aceptación.
5.2.5 Fase 5: Habilitar la operación y el uso
Así como las iniciativas se implementan dentro del ciclo de vida de implementación principal, también se
implementan los planes de respuesta al cambio. Los éxitos rápidos que se han obtenido se construyen sobre los
aspectos culturales y de comportamiento abordándolos desde el sentido amplio de la transición (temas como el
manejo de los temores de pérdida de responsabilidad, nuevas expectativas y tareas desconocidas).
Es importante equilibrar las intervenciones de grupo e individuales para incrementar la aceptación e

involucramiento, y asegurar que todas las partes interesadas tengan una visión holística del cambio.
13
3
En relación a las cuatro «Ps» (propósito, perspectiva, plan y partes), ver Bridges, W.; Managing Transitions: Making the Most of Change, Addison-
Wesley, EE. UU., 1999.
46

CAPÍTULO 5
HABILITAR EL CAMBIO
Durante el proceso de despliegue de la solución, el mentoring y el coaching son fundamentales para garantizar la
aceptación en el entorno del usuario. Los requisitos y objetivos del cambio que se establecieron al inicio de la
iniciativa deberían volver a revisarse para garantizar que se abordan de forma adecuada.
Las medidas de éxito deberían definirse y deberían incluir tanto medidas difíciles de negocio como medidas de
percepción, que hacen seguimiento a cómo se sienten las personas ante un cambio.
5.2.6 Fase 6: Incorporar nuevas estrategias
A medida que se logran resultados tangibles, las nuevas formas de trabajo deberían formar parte de la cultura de la
empresa y enraizarse en sus normas y valores («la forma como hacemos las cosas por aquí»). Una forma de lograrlo
es implementar políticas, estándares y procedimientos adecuados. Debería hacerse un seguimiento de los cambios
implementados, debería evaluarse la eficacia de los planes de respuesta ante el cambio y deberían tomarse las
medidas correctivas según corresponda. Esto podría incluir reforzar el cumplimiento cuando aún sea preciso.
La estrategia de comunicación debería mantenerse para sostener una concienciación continua.
5.2.7 Fase 7: Sostenibilidad
Los cambios se sostienen gracias a un refuerzo consciente, una campaña de comunicación continua y un compromiso
continuo de la alta dirección.
En esta fase, se implementan los planes de acciones correctivas, se registran las lecciones aprendidas y se comparte
el conocimiento con toda la empresa.
47

48

CAPÍTULO 6
CICLO DE VIDA DE LA IMPLEMENTACIÓN
Capítulo 6
Ciclo de vida de la implementación
6.1 Introducción
La mejora continua del GEIT se logra usando el ciclo de vida de implementación de siete fases descrito en el
capítulo 3. Cada fase está sustentada en:
 Un cuadro que resume las responsabilidades de cada grupo de roles asignados en cada fase. Los roles definidos son
genéricos. No todos los roles deben necesariamente existir como una función específica.
 Una tabla que contiene:
 El objetivo de la fase
 La descripción de la fase
 Las tareas de mejora continua (CI, por sus siglas en inglés)
 Las tareas de habilitación del cambio (CE, por sus siglas en inglés)
 Las tareas de gestión del programa (PM, por sus siglas en inglés)
 Ejemplos de las entradas que probablemente van a requerirse
 Elementos sugeridos de ISACA y otros marcos de referencia que deben utilizarse
 Las salidas que deben producirse
 Una matriz (RACI, por sus siglas en inglés) que describe quién es responsable, quien rinde cuentas, quien es
consultado y quien es informado en actividades clave seleccionadas de las tareas de mejora continua (CI),
habilitación del cambio (CE) y gestión del programa (PM), con las correspondientes referencias cruzadas. Las
actividades consideradas en la matriz RACI son las más importantes: aquellas que producen entregables o salidas
para la fase siguiente, tienen un hito asociado con ellas o son críticas para el éxito de toda la iniciativa. Con objeto
de mantener esta guía concisa, no se incluyen todas las actividades.
Esta guía no pretende ser prescriptiva. Por el contrario, constituye un plan genérico por fases y tareas que debería
adaptarse para adecuarse a una implementación específica.
Este capítulo hace referencia a diversos pasos de la Guía de diseño COBIT® 2019 para las tareas de CI de las fases 1
a la 3. La Guía de diseño COBIT® 2019 incluye una guía más detallada de las tareas de CI descritas en este capítulo.
Ambas guías deberían usarse conjuntamente durante las fases iniciales de un programa de mejora del gobierno.
49

6.2 Fase 1: ¿Cuáles son los motivadores?
Figura 6.1—Fase 1 ¿Cuáles son los motivadores?
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un do
la efe pro
gra
re
ar
s?
ma
vis
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
ear Reconoc
nir p dades
itor neces er
on y id
im
M
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir

s
y
uar
(círculo medio)
I m p ejor
je s t a d i r
tiv o

fi n
De e
le m a
o
m
nt
el b
e
Ope
u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
l o s ro l e s c l a v e
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
Figura 6.2—Fase 1 Roles

Cuando usted es... Su rol en esta fase es...
Consejo de Proporcionar orientación en lo relativo a las necesidades de las partes interesadas (incluyendo
administración y las necesidades del cliente), la estrategia del negocio, las prioridades, los objetivos y los
directivos principios rectores con respecto al GEIT. Aprobar la estrategia de alto nivel.
Gestión del negocio Junto con TI, garantizar que se establezcan las necesidades de las partes interesadas y los
objetivos del negocio con la suficiente claridad como para permitir que se traduzcan en metas de
negocio para I&T. Realizar aportaciones para entender los riesgos y prioridades.
Gestión de TI Recopilar los requisitos y los objetivos de todas las partes interesadas, para lograr un consenso
sobre la estrategia y el alcance. Proporcionar asesoramiento y ayuda de expertos sobre asuntos
relacionados con las TI.
Auditoría interna Proporcionar consejos y cuestionar las actividades y acciones propuestas, garantizando que se
tomen decisiones objetivas y equilibradas. Proporcionar información sobre problemas actuales.
Proporcionar asesoría con respecto a los controles y las prácticas y estrategias de gestión de
riesgos.
Riesgo, cumplimiento y Proporcionar asesoría y guía con respecto al riesgo, cumplimiento y los asuntos legales. Asegurar
asuntos legales el enfoque propuesto por la dirección sea apropiado para cumplir con los requisitos legales, de
riesgo y cumplimiento.
50

CAPÍTULO 6
Figura 6.3—Fase 1 Objetivos, Descripciones, Tareas, Entradas, Recursos y Salidas

Descripción de la fase 1: ¿Cuáles son los motivadores?
Objetivo de la fase Obtener un entendimiento de los antecedentes y objetivos del programa y la estrategia de
gobierno actual. Definir el caso de negocio inicial del concepto del programa. Obtener la
aceptación y el compromiso de todas las partes interesadas clave.
Descripción de la fase Esta fase articula las razones de peso para actuar dentro del contexto de la organización. En este
contexto, se definen los antecedentes del programa, los objetivos y la cultura de gobierno actual.
Se define el caso de negocio inicial del concepto del programa. Se obtiene la aceptación y el
compromiso de todas las partes interesadas.
Tareas de mejora Algunas de las tareas de CI son equivalentes a las actividades definidas en la Guía de diseño
continua (CI) COBIT® 2019. Esta guía debería consultarse para obtener información más detallada sobre las
tres primeras tareas y, en concreto, los pasos de la guía de diseño 1.1 Entender la estrategia
empresarial, 1.2 Entender las metas empresariales, 1.3 Entender el perfil de riesgo y 1.4 Entender
los problemas actuales relacionados con I&T.
Reconocer la necesidad de actuar:
1. Identificar el contexto de gobierno actual, los puntos de dolor del negocio y de TI, los
eventos y los síntomas que provocan la necesidad de actuar.
2. Identificar los impulsores de negocio y de gobierno y los requisitos de cumplimiento para
mejorar el GEIT y evaluar las necesidades actuales de las partes interesadas.
3. Identificar prioridades del negocio y estrategia de negocio dependientes de TI, incluido
cualquier proyecto significativo en curso.
4. Alinearse con las políticas, las estrategias y los principios rectores de la empresa y cualquier
iniciativa en curso del gobierno actual.
5. Aumentar la concienciación de los directivos sobre la importancia de TI para la empresa y el
valor del GEIT.
6. Definir la política, los objetivos, los principios rectores y los objetivos de mejora de alto nivel
del GEIT.
7. Asegurar que, la dirección y el consejo de administración entienden y aprueban una
estrategia de alto nivel, y que aceptan el riesgo de no hacer nada ante problemas
significativos.
Tareas de habilitación Establecer el deseo de cambiar:
del cambio (CE) 1. Asegurar la integración con estrategias o programas de habilitación del cambio a nivel
empresarial, de existir alguno.
2. Analizar el entorno general de la organización en el que debe habilitarse el cambio. Esto
incluye la estructura organizativa, los estilos de gestión, la cultura, las formas de trabajo, las
relaciones formales e informales y las actitudes.
3. Determinar otras iniciativas empresariales en curso o planificadas para determinar
dependencias o impactos del cambio.
4. Entender la amplitud y la profundidad del cambio.
5. Identificar a las partes interesadas involucradas en la iniciativa desde distintas áreas de la
empresa (p. ej. negocio, TI, auditoría, gestión de riesgos), así como distintos niveles (p. ej.,
ejecutivos, niveles medios) y considerar sus necesidades.
6. Determinar el nivel de apoyo e involucramiento necesarios de cada parte interesada, grupo o
individuo, su influencia y el impacto de la iniciativa de cambio en ellos.
7. Determinar la disponibilidad y capacidad para implementar el cambio para cada parte
interesada, grupo o individuo.
8. Establecer una llamada de atención, usando los puntos de dolor y los eventos
desencadenantes como punto de partida. Utilizar el consejo de gobierno de I&T (o una
estructura de gobierno equivalente) para comunicar el mensaje para concienciar a las partes
interesadas acerca del programa, sus motivadores y sus objetivos
9. Eliminar cualquier señal de falsa seguridad o complacencia, y para ello resaltar, por ejemplo,
figuras de cumplimiento o de excepción.
10. Infundir el nivel de urgencia adecuado, dependiendo de la prioridad y el impacto del cambio.
Tareas de gestión del Iniciar el programa:
programa (PM) 1. Proporcionar direccionamiento estratégico de alto nivel y establecer objetivos de alto nivel del
programa de acuerdo con el comité de gobierno de I&T o equivalente (de existir alguno).
2. Definir y asignar roles y responsabilidades de alto nivel dentro del programa, comenzando con
el patrocinador ejecutivo e incluir al gestor del programa y todas las partes interesadas
importantes.
3. Desarrollar un esquema de caso de negocio que indique los factores de éxito que deben usarse
para permitir la supervisión del desempeño para informar sobre el éxito de la mejora de
gobierno.
4. Obtener el patrocinio ejecutivo.
51

Figura 6.3—Fase 1 Objetivos, Descripciones, Tareas, Entradas, Recursos y Salidas (cont.)

Descripción de la fase 1: ¿Cuáles son los motivadores?
Entrada  Políticas, estrategias, gobierno y planes de negocio de la empresa, e informes de auditoría
 Otras iniciativas empresariales importantes con las que podría haber dependencias o impactos
 Informes del Comité de gobierno de I&T, estadísticas de la Mesa de servicios, encuestas de
clientes de TI u otras entradas que indiquen los puntos de dolor actuales de TI.
 Cualquier perspectiva general útil y relevante de la industria, casos de estudio e historias de
éxito (ver www.isaca.org/cobitcasestudies)
 Requisitos específicos del cliente, estrategia de marketing y de servicio, posicionamiento en el
mercado, declaración de la visión y la misión empresarial
Materiales de ISACA y  Guía de diseño COBIT® 2019 (factores de diseño)

otros marcos  Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (concretamente EDM01,
APO01, MEA01) y Marco de referencia COBIT® 2019: Introducción y metodología,, Capítulo 9,
Comenzando con COBIT: Elaborando el Caso www.isaca.org/cobit
 La matriz de decisiones de ejemplo del apéndice de esta publicación
 Los productos de soporte de ISACA incluidos actualmente en www.isaca.org
Salidas  Caso de negocio preliminar
 Roles y responsabilidades de alto nivel
 Mapa de las partes interesadas identificadas, incluyendo el soporte e implicación necesarias, la
influencia y el impacto, y el acuerdo de entendimiento sobre los esfuerzos requeridos para
gestionar el cambio humano
 Llamada de atención del programa (a todas las partes interesadas)
 Comunicación del kick-off del programa (a las partes interesadas clave)
Figura 6.4—Fase 1 Matriz RACI

T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
plim
ern
I
TI
T
eT
l pr
el n
Adm
obi
ces rio
e
e
cum
n de
es d
ía d
d
eg
proopieta
os
de
od
cció
itor
ent
utiv
o
go
sej
sej
Aud
s
Ger
Dire
CIO
Pr
C on
Con
Rie
Eje
Actividades Clave
Identificar problemas que desencadenen la necesidad de actuar (CI1).
Identificar las prioridades y estrategias empresariales que afectan a las TI (CI3).
Obtener el acuerdo de la dirección para actuar y obtener patrocinio ejecutivo (CI7). C
Inculcar el nivel apropiado de urgencia para el cambio (CE10).
Elaborar un caso de negocio preliminar convincente (PM3).
Una matriz RACI identifica quién es responsable, quien rinde cuentas,
es consultado y / o informado.
52

CAPÍTULO 6
6.3 Fase 2: ¿Dónde estamos ahora?
Figura 6.5—Fase 2 ¿Dónde estamos ahora?
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un pro
do
re
la e gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir

s
y
uar
(círculo medio)
Imp
je s t a d i r
tiv o

fi n
De e
l e m ra
o
me
nt
el b
e
j
Ope
o u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
mo
pl
el
on
la
an ir
se
fin e re
De
gu
qu
m
i re
de
os P la n
ga ¿D
r? 3

Consejo de Comprobar e interpretar los resultados/conclusiones de las evaluaciones.
administración y
directivos
Gestión del negocio Ayudar a TI a determinar la razonabilidad de las evaluaciones actuales aportando el punto de vista del
cliente.
Gestión de TI Garantizar una evaluación abierta y justa de las actividades de TI. Guiar la evaluación de la práctica
actual. Alcanzar un consenso.
Auditoría interna Proporcionar asesoramiento, aportaciones y asistencia a las evaluaciones del estado actual. Si fuera
necesario, comprobar de forma independiente los resultados de la evaluación.
Riesgo, cumplimiento y Revisar las evaluaciones para garantizar que el riesgo, el cumplimiento y los asuntos legales se han
asuntos legales considerado de forma adecuada.

Descripción de la Fase 2: ¿Dónde Estamos Ahora?
Objetivo de la fase Garantizar que el equipo del programa conozca y comprenda las metas empresariales y cómo las
áreas de negocio y de TI deben aportar valor de I&T para apoyar las metas empresariales,
incluyendo cualquier proyecto significativo en curso. Identificar los procesos críticos u otros
habilitadores que se abordarán en el plan de mejora. Identificar las prácticas de gestión
adecuadas para cada proceso seleccionado. Obtener un entendimiento de la actitud presente y
futura de la empresa frente al riesgo y de la posición respecto al riesgo de TI, y determinar cómo
va a impactar en el programa. Determinar la capacidad actual de los procesos seleccionados.
Entender la capacidad y la aptitud de la empresa para el cambio.
53


Descripción de la fase Esta fase identifica las metas empresariales y de alineamiento e ilustra cómo I&T contribuye a las
metas empresariales mediante soluciones y servicios.
El foco está en identificar y analizar cómo I&T crea valor para la empresa al permitir la transformación
del negocio de un modo ágil, haciendo que los procesos de negocio actuales sean más eficientes, que
la empresa sea más efectiva y que cumpla con los requisitos relacionados con el gobierno, como la
gestión del riesgo, garantizando la seguridad y cumpliendo con los requisitos legales y regulatorios.
Dependiendo del perfil de riesgo de la empresa, su historial y su apetito de riesgo, y del riesgo real de
habilitación de beneficio/valor, se crean definiciones para el riesgo de habilitación de beneficio/valor,
ejecución de programas/proyectos, y riesgos en la entrega de servicio /operaciones de TI para la
empresa y las metas de alineamiento La Guía de diseño COBIT® 2019 incluye una tabla que asigna
escenarios de riesgo genéricos a objetivos de gobierno y gestión de COBIT que pueden usarse para
sustentar este análisis.
La comprensión de los motivadores del negocio y del gobierno y una evaluación de riesgo se usan para
centrarse en los objetivos de gobierno y gestión críticos para garantizar que se satisfagan las metas de
alineamiento. A continuación, se establece el nivel de desempeño de los distintos componentes de
gobierno que respaldan cada uno de los objetivos de gobierno y gestión, basándose en las
descripciones del proceso, las políticas, los estándares, los procedimientos y las especificaciones
técnicas para determinar si es probable que éstos soporten los requisitos del negocio y de la I&T.
La presencia de problemas específicos relacionados con TI en una empresa también podría contribuir a
la selección de objetivos de gobierno y gestión en los que centrarse.
La Guía de diseño COBIT® 2019 incluye un ejemplo de asignación de problemas comunes relacionados
con TI (conforme a lo mencionado en el capítulo 3) a objetivos de gobierno y gestión de COBIT.
Tareas de mejora Determinar el estado actual:

continua (CI) Entender cómo la I&T debe respaldar las metas actuales del negocio. (Un análisis detallado de las
estrategias empresariales y la cascada de metas de COBIT se incluye en la Guía de Diseño COBIT®
2019)
Algunas de las tareas de CI son equivalentes a las actividades definidas en la Guía de diseño COBIT®
2019. Esta guía debería consultarse para obtener una orientación más detallada sobre la mayoría de
tareas de CI descritas a continuación -> Añadir un retorno de carro adicional <-.
Identificar las metas empresariales clave y las metas de alineamiento que las soportan—Para obtener
una guía más detallada, ver la Guía de diseño COBIT® 2019, Sección 4, Pasos 2.1 Tener en cuenta la
estrategia empresarial y 2.2 Tener en cuenta las metas del negocio y aplicar la cascada de metas de
COBIT.
1. Establecer la importancia y naturaleza de la contribución de I&T (soluciones y servicios)
requeridos para respaldar los objetivos de negocio.—Para obtener una guía más detallada, ver la
Guía de diseño COBIT® 2019, Sección 4, Pasos 2.2 Tener en cuenta las metas del negocio y aplicar
la cascada de metas de COBIT, Paso 3.1 Tener en cuenta el tamaño de la empresa, Paso 3.4 Tener
en cuenta el rol de TI, Paso 3.5 Tener en cuenta el modelo de abastecimiento de proveedores, Paso
3.6 Tener en cuenta los métodos de implementación de TI, y Paso 3.7 Tener en cuenta la estrategia
de adopción de TI.
2. Identificar los problemas y las debilidades claves de gobierno relacionadas con las soluciones y
servicios actuales y requeridas en el futuro, la arquitectura empresarial necesaria para respaldar
las metas relacionadas con TI—Para obtener una guía más detallada, ver la Guía de diseño COBIT®
2019, Sección 4, Paso 2.4 Tener en cuenta los problemas actuales relacionados con I&T.
3. Identificar y seleccionar los objetivos de gobierno y gestión críticos para respaldar las metas
relacionadas con TI y, de ser apropiado, las prácticas claves de gestión para cada proceso
seleccionado.—Para obtener una guía más detallada, ver la Guía de diseño COBIT® 2019, Sección 4,
Paso 2.1 Tener en cuenta la estrategia empresarial y 2.2 Tener en cuenta las metas del negocio y
aplicar la cascada de metas de COBIT.
4. Evaluar el riesgo de habilitación de beneficios/valor, el riesgo de ejecución de
programas/proyectos y el riesgo de prestación de servicios/operaciones de TI relacionados con
los objetivos críticos de gobierno y gestión—Para obtener una guía más detallada, ver la Guía de
diseño COBIT® 2019, Sección 4, Paso 2.3 Tener en cuenta el perfil de riesgo de la empresa.
5. Identificar y seleccionar los objetivos de gobierno y gestión críticos para garantizar que se evite
el riesgo—Para obtener una guía más detallada, ver la Guía de diseño COBIT® 2019, Sección 4,
Paso 2.3 Tener en cuenta el perfil de riesgo de la empresa.
6. Entender la posición de aceptación del riesgo conforme a lo definido por la dirección.—Para
obtener una guía más detallada, ver la Guía de diseño COBIT® 2019, Sección 4, Paso 1.3 Entender el
perfil de riesgo y 2.3 Tener en cuenta el perfil de riesgo de la empresa.
54

CAPÍTULO 6

Determinar el desempeño actual (consultar Marco de Referencia COBIT® 2019: Introducción y
metodología,, Capítulo 6, Gestión del Desempeño en COBIT):
1. Definir el método para realizar la evaluación. Ver Marco de referencia COBIT® 2019: Introducción y
metodología,, Capítulo 6, Gestión del Desempeño en COBIT.
2. Documentar el conocimiento sobre la forma en que los componentes actuales de gobierno
abordan las prácticas de gestión seleccionadas anteriormente. Ver la Guía de diseño COBIT® 2019,
todos los pasos 2 y 3.
3. Analizar el nivel de capacidad actual. Ver la Guía de Diseño COBIT® 2019, Sección 4, Paso 4, y
Marco de referencia COBIT® 2019: Introducción y metodología, Capítulo 6, Gestión del Desempeño
en COBIT.
4. Definir la valoración de la capacidad actual del proceso y los niveles de desempeño de otros
componentes. Ver la Guía de diseño COBIT® 2019, Sección 4, Paso 4, y Marco de referencia COBIT®
2019: Introducción y metodología,, Capítulo 6, Gestión del Desempeño en COBIT.
Tareas de habilitación Formar un equipo poderoso de implementación:
del cambio (CE) 1. Reunir un equipo principal incluyendo miembros de negocio y de TI con el conocimiento, la
especialización, el perfil, la experiencia, la credibilidad y la autoridad apropiados para impulsar la
iniciativa. Identificar a la persona más conveniente (líder efectivo y creíble para las partes
interesadas) para liderar este equipo. Considerar el uso de entidades externas, como consultores,
como parte del equipo para que proporcionen un punto de vista independiente y objetivo o para
abordar las deficiencias de competencias que pudiesen existir.
2. Identificar y gestionar cualquier posible interés oculto que pudiera haber dentro del equipo para
crear el nivel de confianza necesario.
3. Crear el entorno adecuado para un trabajo óptimo en equipo. Esto incluye garantizar que se pueda
dedicar el tiempo y el involucramiento necesario.
4. Realizar un taller para crear un consenso (una visión compartida) dentro del equipo y adoptar un
mandato para la iniciativa de cambio.
5. Identificar agentes del cambio con los que el equipo principal puede trabajar, usar el principio de
cascada de patrocinio (teniendo patrocinadores en varios niveles jerárquicos que apoyen la visión,
difundiendo las noticias sobre ganancias rápidas, propagando los cambios en cascada y
trabajando con cualquier bloqueador y cínico que pudiera haber). Esto ayudará a garantizar la
amplia aceptación de las partes interesadas durante cada fase del ciclo de vida.
6. Documentar las fortalezas identificadas durante la evaluación del estado actual que puedan
usarse como elementos positivos en las comunicaciones, así como posibles ganancias rápidas
que puedan extraerse desde una perspectiva de habilitación del cambio.
Tareas de gestión del Definir problemas y oportunidades:
programa (PM) 1. Revisar y evaluar el caso de negocio preliminar, la factibilidad del programa y el potencial retorno
de la inversión (ROI).
2. Asignar roles, responsabilidades y la propiedad del proceso. Garantizar el compromiso y el soporte
de las partes interesadas involucradas en la definición y ejecución del programa.
3. Identificar los retos y los factores de éxito
Entradas  Caso de negocio preliminar

 Roles y responsabilidades de alto nivel
 Mapa de las partes interesadas identificadas, incluyendo el soporte y la implicación necesarias, la
influencia y el impacto, y la disponibilidad y la habilidad para implementar o aceptar el cambio
 Llamada de atención del programa (a todas las partes interesadas)
 Comunicación de kick-off del programa (a las partes interesadas clave)
 Planes y estrategias de negocio y de TI
 Descripciones, políticas, estándares, procedimientos, especificaciones técnicas de procesos de TI
 Entendimiento de la contribución del negocio y de TI
 Informes de auditoría, política de gestión de riesgos, informes/paneles de indicadores/cuadros de
mando del desempeño de TI
 Planes de continuidad del negocio (BCPs), análisis de impacto, requisitos regulatorios, arquitecturas
de empresa, acuerdos de nivel de servicio (SLAs), acuerdos de nivel operativo (OLAs)
 Portafolios de programas y proyectos de inversión, planes de programas y proyectos, metodologías
de gestión de proyectos, informes de proyectos
55


Salidas  Metas de alineamiento acordadas e impacto en I&T
 Acuerdo de entendimiento sobre el riesgo y los impactos derivados de metas de alineamiento
desalineadas y los fallos en la entrega de servicios y proyectos
 Objetivos de gobierno y gestión seleccionados
 Niveles actuales de desempeño de los objetivos de gobierno y gestión seleccionados, incluyendo los
niveles de capacidad de los procesos
 Posición de aceptación del riesgo y perfil de riesgo
 Evaluaciones del riesgo de habilitación de beneficios/valor, el riesgo de ejecución de
programas/proyectos y el de prestación de servicios/operaciones de TI
 Fortalezas sobre las cuales construir
 Agentes del cambio en distintas partes y a distintos niveles de la empresa
 Equipo principal y roles y responsabilidades asignados
 Caso de negocio preliminar evaluado
 Acuerdo de entendimiento sobre los problemas y retos (incluidos los niveles de capacidad de los
procesos)
Recursos de ISACA  Marco de referencia COBIT® 2019: Introducción y metodología, (objetivos de gobierno y gestión,
cascada de metas, cascada de metas de negocio-metas de alineamiento) www.isaca.org/cobit
 Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (APO01, APO02, APO05, APO12,
BAI01, BAI11, MEA01, MEA02, MEA03, MEA04, usados para la selección de procesos y la valoración
de capacidades de los procesos, así como para la implementación y la planificación de programas)
 Capítulo 5, Habilitación del Cambio, en esta publicación
 Productos adicionales de soporte de ISACA incluidos actualmente en www.isaca.org

T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
Aud s de Tde
inis
lim
ern
I
I
T
eT
l pr
el n
s
Adm
mp
obi
ces rio
e
n de
es d
ía d
d
eg
y cu
pro pieta
os
de
o
od
cció
itor
ent
utiv
o
go
sej
sej
Pro
s
Ger
Dire
CIO
c
C on
Con
Rie
Eje
Revisar y evaluar el caso de negocio (PM1).

56

CAPÍTULO 6
6.4 Fase 3: ¿Dónde queremos estar?
Figura 6.9—Fase 3 ¿Dónde queremos estar?
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un do
efe pro re
r la gra
s?
visa ma
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
nito nec r
esid
Mo y r
im
Obtener ben
a
alua act de d
nuevas ar
la
tamos ahora?
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir
s
y
uar
(círculo medio)
Imp
je s t a d i r
tiv o

fi n
De e
l e m ra
o
me
nt
el b
e
j
Ope
u lt a r
o
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
pl l o s ro l e s c l a v e mo
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
ga ¿D
r? 3

Consejo de Establecer prioridades, plazos de tiempo y expectativas relacionados con la capacidad futura
administración y requerida para I&T.
directivos
Gestión del negocio Asistir a TI con el establecimiento de objetivos de capacidad. Garantizar que las soluciones
diseñadas estén alineadas con las metas empresariales.
Gestión de TI Aplicar el juicio profesional a la hora de formular planes e iniciativas prioritarias de mejora.
Obtener consenso acerca de un objetivo de capacidad requerido. Garantizar que la solución
prevista esté alineada con las metas de alineamiento.
Auditoría interna Proporcionar asesoría y asistencia a la propuesta del estado objetivo y las brechas prioritarias. Si
fuera necesario, comprobar de forma independiente los resultados de la evaluación.
Riesgo, cumplimiento y Revisar los planes para garantizar que el riesgo, el cumplimiento y los asuntos legales se han
asuntos legales considerado de forma adecuada.
57


Descripción de la Fase 3: ¿Dónde queremos estar?
Objetivo de la fase Determinar la capacidad objetivo para los procesos incluidos en cada uno de los objetivos de gobierno
y gestión seleccionados. Determinar las brechas entre la posición actual y la deseada en los procesos
seleccionados y traducir estas brechas en oportunidades de mejora. Usar esta información para crear
un caso de negocio detallado y un plan de programa de alto nivel.
Descripción de la fase Basándose en la valoración de los niveles actuales de capacidad de proceso, y usando el resultado del
análisis de metas del negocio a metas de alineamiento y la identificación de la importancia de los
procesos que se realizó anteriormente, se debe determinar un nivel de capacidad objetivo adecuado
para cada proceso. El nivel elegido debería considerar benchmarks externos e internos disponibles. Es
importante garantizar que el nivel elegido es apropiado para el negocio -> Añadir un retorno de carro
adicional <-.
Una vez se ha determinado la capacidad actual del proceso y se ha planificado la capacidad objetivo,
deben evaluarse las brechas entre el estado actual y el estado futuro deseado e identificarse
oportunidades de mejora. Una vez se han definido las brechas, deben determinarse las causas raíz, los
problemas comunes, el riesgo residual, las fortalezas existentes y las buenas prácticas para cerrar
esas brechas -> Añadir un retorno de carro adicional <-.
Esta fase puede identificar algunas mejoras relativamente fáciles de alcanzar, como una mejor
capacitación, compartir buenas prácticas y la estandarización de procedimientos. Sin embargo, es
probable que el análisis de las brechas requiera una experiencia considerable en técnicas de gestión de
negocios y de TI para desarrollar soluciones prácticas. También se necesitará experiencia en llevar a
cabo cambios organizacionales y de comportamiento -> Añadir un retorno de carro adicional <-.
Puede ser necesaria la comprensión de las técnicas de proceso, destrezas técnicas y de negocio
avanzadas, y conocimientos sobre aplicaciones y servicios de software de gestión de negocio y de
sistemas. Para asegurar que esta fase se ejecute de forma efectiva, es importante que el equipo
trabaje con los dueños de los procesos de negocio y de TI, así como con otras partes interesadas
necesarias, aprovechando la experiencia interna. De ser necesario, también debería obtenerse asesoría
externa. Los riesgos que no estarán mitigados después de cerrar las brechas deberían ser
identificados y aceptados formalmente por la dirección.
Tareas de mejora Las tareas 1 y 2 de CI, descritas a continuación, pueden aprovechar los resultados de la estrategia de
continua (CI) diseño del sistema de gobierno, tal y como se describe en la Guía de diseño COBIT® 2019. Esto es
particularmente cierto para el paso 4 del flujo de trabajo del diseño del sistema de gobierno (que
incluye los pasos 4.1 Resolver conflictos de prioridades inherentes y 4.2 Finalizar el diseño del sistema
de gobierno). Este paso describe de forma resumida la toma de una decisión informada y justificada
sobre la capacidad objetivo y los niveles de desempeño de los componentes del sistema de gobierno,
lo cual es equivalente a las tareas de CI siguientes.
1. Definir el objetivo de la mejora:
 Dependiendo de los requisitos de desempeño y conformidad de la empresa, decidir los niveles
iniciales de capacidad objetivo a corto y largo plazo, ideales para cada proceso.
 Hacer un benchmark interno (en la medida de lo posible) para identificar las mejores prácticas que
pueden adoptarse.
 Hacer un benchmark externo con competidores y con pares (en la medida de lo posible) que ayude a
determinar que el nivel objetivo elegido es adecuado.
 Hacer una «comprobación de validez» de la razonabilidad de los niveles objetivo (individualmente y
en su conjunto), considerando qué es alcanzable y deseable, y qué puede tener el mayor impacto
positivo en el intervalo de tiempo seleccionado.
2. Analizar brechas:
 Usar el conocimiento de la capacidad actual (por atributo) y compararlo con el nivel de capacidad
objetivo.
 Aprovechar las fortalezas actuales, siempre que sea posible, para lidiar con las brechas. Buscar
ayuda en las prácticas y actividades de gestión de COBIT y en otros estándares y buenas prácticas
específicos, tales como ITIL®, ISO/IEC 27000, El Marco de Arquitectura del Open Group (TOGAF®) y
el Cuerpo de Conocimiento de Gestión de Proyectos (PMBOK®) para cerrar las brechas.
 Buscar patrones que indiquen las causas raíz que deben abordarse.
3. Identificar mejoras potenciales:
 Combinar las brechas dentro de mejoras potenciales.
 Identificar el riesgo residual sin mitigar y asegurar su aceptación formal.
58

CAPÍTULO 6

Descripción de la fase 3: ¿Dónde queremos estar?
Tareas de habilitación del Describir y comunicar los resultados deseados:
cambio (CE) 1. Describir el plan de habilitación del cambio de alto nivel y sus objetivos, que incluirá las siguientes
tareas y componentes.
2. Desarrollar una estrategia de comunicación para optimizar la concienciación y la aceptación. La
estrategia debería incluir grupos principales de audiencia, un perfil de comportamiento y unos
requisitos de información para cada grupo, mensajes principales, canales óptimos de comunicación y
principios de comunicación.
3. Garantizar la disposición para participar (visión del cambio).
4. Articular las razones y beneficios del cambio para apoyar la visión. Describir el impacto de no llevar a
cabo el cambio (propósito del cambio).
5. Conectar de nuevo con los objetivos de la iniciativa en las comunicaciones y demostrar cómo el
cambio va a producir el beneficio.
6. Describir el mapa de ruta de alto nivel para lograr la visión (planificar el cambio) así como el
involucramiento requerido de las distintas partes interesadas (rol dentro del cambio).
7. Establecer el ambiente a alto nivel aprovechando a los altos directivos para comunicar los mensajes
clave.
8. Usar agentes del cambio para las comunicaciones informales, además de las comunicaciones
formales.
9. Comunicar a través de la acción. El equipo guía debería ser un ejemplo.
10. Apelar a las emociones de las personas para estimularlas a que cambien su comportamiento, cuando
sea necesario.
11. Captar la retroalimentación de comunicación inicial (reacciones y sugerencias) y adaptar la estrategia
de comunicación consecuentemente.
Tareas de gestión del Definir el mapa de ruta:
programa (PM) 1. Establecer la dirección del programa, alcance, beneficios y objetivos a alto nivel.
2. Garantizar el alineamiento de los objetivos con las estrategias del negocio y de TI.
3. Tener en cuenta el riesgo y ajustar el alcance consecuentemente.
4. Tener en cuenta las implicaciones de la habilitación del cambio.
5. Obtener los presupuestos necesarios y definir las rendiciones de cuentas y responsabilidades del
programa.
6. Crear y evaluar un caso de negocio detallado, un presupuesto, unos plazos y un plan de programa de
alto nivel.
Entradas  Metas del negocio acordadas e impacto en las metas de alineamiento
 Valoración de la capacidad actual de los procesos seleccionados
 Definición de las metas de alineamiento
 Procesos y metas seleccionados
 Posición de aceptación del riesgo y perfil de riesgo
 Evaluación del riesgo de habilitación de beneficios/valor, el riesgo de ejecución de programas/proyectos
y prestación de servicios/operaciones de TI
 Fortalezas sobre las cuales construir
 Agentes del cambio en distintas partes y a distintos niveles de la empresa
 Equipo principal y roles y responsabilidades asignados
 Caso de negocio preliminar evaluado
 Retos y factores de éxito
 Benchmarks internos y externos de la capacidad
 Buenas prácticas de COBIT y otras referencias
 Análisis de las partes interesadas
Salidas  Valoración de la capacidad objetivo para los procesos seleccionados
 Descripción de las oportunidades de mejora
 Documento de respuesta al riesgo, incluyendo los riesgos no mitigados
 Plan y objetivos de habilitación del cambio
 Estrategia de comunicación y comunicación de la visión del cambio que cubran las cuatro Ps»
(perspectiva, propósito, plan, partes)
 Caso de negocio detallado
 Plan del programa de alto nivel
 Métricas clave que se usarán para hacer el seguimiento del programa y el desempeño operativo
Recursos de ISACA  Marco de referencia COBIT® 2019: Introducción y metodología, (metas del negocio),
www.isaca.org/cobit
 Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (prácticas y actividades de gestión
para la definición del estado objetivo y el análisis de brecha, APO01, APO02)
59

T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
Aud s de Tde
inis
lim
ern
TI
I
T I
l pr
el n
s
Adm
mp
obi
ces rio
e
n de
es d
ía d
sd
eg
y cu
pro pieta
de
o
tivo
od
cció
itor
ent
o
go
sej
sej
cu
Pro
s
Ger
Dire
CIO
C on
Con
Rie
Eje
Analizar las brechas (CI2).
Comunicar la visión del cambio (CE3).

Establecer la dirección del cambio y preparar un caso de negocio detallado (PM1, PM6).
6.5 Fase 4: ¿Qué es preciso hacer?
Figura 6.13—Fase 4 ¿Qué es preciso hacer?
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un p do
la efe ro re
gra
ar
s?
ma
vis
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
r Recono
nir p dades
nit orea
neces er c
Mo y uar i
im
d dad • Gestión del programa

Obtener ben
nuevas ar
la
actu e
tamos ahora?
al
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
ar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir

s
y
uar
(círculo medio)
Imp
je s t a d i r
tiv o

fi n
De e
l e m ra
o
me
nt
el b
e
j
Ope
u lt a r
o
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
ga ¿D
r? 3
60

CAPÍTULO 6

Consejo de Tomar en cuenta y cuestionar las propuestas, apoyar las acciones justificadas, proporcionar
administración y presupuestos y fijar las prioridades como corresponda.
directivos
Gestión del negocio Junto con TI, garantizar que las acciones de mejora propuestas están alineadas con las metas
del negocio y de TI acordadas y que cualquier actividad que requiera la participación o acción del
negocio cuente con el apoyo necesario. Garantizar que los recursos del negocio necesarios se
encuentren asignados y disponibles. Acordar con TI las métricas para medir los resultados del
programa de mejora.
Gestión de TI Garantizar la viabilidad y razonabilidad del plan del programa. Garantizar que el plan sea
realizable y que haya recursos disponibles para ejecutarlo. Tener en cuenta el plan junto con las
prioridades del portafolio de inversiones habilitadas por I&T de la empresa para decidir una base
para la financiación de la inversión.
Auditoría interna Proporcionar una aseguramiento independiente de que los problemas identificados son válidos,
los casos de negocio se presentan de forma objetiva y precisa y los planes parecen viables.
Proporcionar el asesoramiento y ayuda de expertos cuando sea necesario.
Riesgo, cumplimiento y Garantizar que se aborde cualquier riesgo, asunto de cumplimiento y asunto legal identificado, y
asuntos legales que las propuestas sean conformes con cualquier política o regulación relevante.

Descripción de la Fase 4: ¿Qué es preciso hacer?
Objetivo de la fase Traducir las oportunidades de mejora en proyectos de contribución justificable. Priorizar y
centrarse en proyectos de alto impacto. Integrar los proyectos de mejora en el plan general del
programa. Ejecutar las ganancias rápidas.
Descripción de la fase Cuando se han identificado todas las posibles iniciativas de mejora, deberían priorizarse en
proyectos formales y justificables. Los proyectos que proporcionen grandes beneficios y sean
relativamente fáciles de implementar deberían seleccionarse primero, y traducirse en proyectos
formales y justificables. Cada uno debería contar con un plan de proyecto que incluya la
contribución del proyecto a los objetivos del programa. Es importante comprobar si los objetivos
aún se ajustan al valor y los factores de riesgo originales. Los proyectos se incluirán en un caso
de negocio actualizado para el programa. Deberían registrarse los detalles de cualquier propuesta
de proyecto no aprobada para su posible consideración en el futuro. Los patrocinadores podrán
revaluar los y, cuando sea apropiado, enviar nuevas recomendaciones en una fecha posterior.
Basándose en una matriz de oportunidades, las definiciones del proyecto, el plan de recursos y el
presupuesto de I&T, las mejoras identificadas y priorizadas se convierten ahora en una serie de
proyectos documentados que respaldan el programa general de mejoras. Se determina el
impacto en la empresa de la ejecución del programa y se prepara un plan de cambio que describa
las actividades del programa que garantizarán, en términos prácticos, que las mejoras aportadas
por los proyectos se desplegarán en la empresa de forma sostenible. Un elemento importante de
esta fase es la definición de métricas -es decir, las métricas de éxito del programa- que medirán si
es probable que con las mejoras del proceso se obtengan los beneficios originales para el
negocio. El calendario completo del programa de mejoras debería documentarse en un diagrama
de Gantt.
Nuevos proyectos podrían identificar la necesidad de cambiar o mejorar las estructuras
organizativas u otros habilitadores necesarios para sostener un gobierno eficaz. Si fuera preciso,
podría ser necesario incluir acciones para mejorar el entorno (conforme a lo descrito en el
Capítulo 5).
61


Tareas de mejora Diseñar y construir mejoras:
continua (CI) 1. Tener en cuenta los beneficios potenciales y la facilidad de implementación (coste, esfuerzo y
sostenibilidad) de cada mejora.
2. Disponer las mejoras en una matriz de oportunidades para identificar las acciones prioritarias
(dependiendo del beneficio y la facilidad de implementación).
3. Centrarse en alternativas que muestren alto beneficio/alta facilidad de implementación.
4. Considerar las alternativas que muestren un alto beneficio/baja facilidad de implementación para
posibles mejoras con escala reducida. Dividirlas en mejoras más pequeñas y volver a estudiar sus
beneficios y su facilidad de implementación.
5. Priorizar y seleccionar mejoras.
6. Analizar las mejoras seleccionadas con el nivel de detalle necesario para la definición de un
proyecto de alto nivel. Tener en cuenta el enfoque, los entregables, los recursos necesarios, los
costes estimados, los plazos estimados, las dependencias y el riesgo del proyecto. Usar las
mejores prácticas y estándares disponibles para refinar más los requisitos de mejora detallados.
Discutir con los gestores y los equipos responsables del área de procesos.
7. Tener en cuenta la factibilidad, vincular de nuevo con los impulsores originales de valor y riesgo, y
acordar los proyectos que se incluirán en el caso de negocio para su aprobación.
8. Incluir los proyectos e iniciativas no aprobados en un registro para su posible consideración
futura.
Tareas de habilitación Empoderar a los roles asignados e identificar las ganancias rápidas:
del cambio (CE) 1. Conseguir la aceptación, involucrando a los usuarios afectados a través de mecanismos, como
talleres o procesos de revisión. Darles la responsabilidad de aceptar la calidad de los resultados.
2. Diseñar planes de respuesta ante los cambios para gestionar los impactos del cambio de forma
proactiva y maximizar el compromiso a lo largo del proceso de implementación. Esto podría incluir
cambios organizativos, como contenido del trabajo o estructura organizativa; cambios en la
gestión del personal, como la formación; sistemas de gestión del desempeño; o sistemas de
incentivos/remuneración y de recompensas.
3. Identificar ganancias rápidas que demuestran el concepto del programa de mejoras. Éstas
deberían ser visibles e inequívocas, construir el impulso y proporcionar un refuerzo positivo al
proceso.
4. Aprovechar cualquier fortaleza actual identificada en la fase 2 para obtener ganancias rápidas,
cuando sea posible.
5. Identificar fortalezas en los procesos existentes del negocio que pudieran aprovecharse. Por
ejemplo, podrían existir fortalezas en la gestión de proyectos en otras áreas del negocio, como en
la de desarrollo de productos. Evitar reinventar la rueda y alinearse siempre que sea posible con
las estrategias globales de la empresa.
Tareas de gestión del Desarrollar el plan del programa.
programa (PM) 1. Organizar los posibles proyectos en el programa general, en el orden preferido, teniendo en cuenta
su contribución a los resultados deseados, sus necesidades de recursos y sus dependencias.
2. Usar técnicas de gestión de portafolio para garantizar que el programa cumpla con las metas
estratégicas y que I&T tenga un conjunto equilibrado de iniciativas.
3. Identificar el impacto del programa de mejoras en las organizaciones del negocio y de TI e indicar
cómo va a mantenerse la dinámica de mejora .
4. Desarrollar un plan de cambios que documente cualquier migración, conversión, pruebas,
capacitación, proceso u otras actividades que deban incluirse dentro del programa como parte de
la implementación.
5. Identificar y acordar métricas para medir los resultados del programa de mejora en términos de los
factores de éxito del programa original.
6. Dirigir la asignación y priorización de recursos del negocio, de TI y de auditoría necesarios para
lograr los objetivos del programa y del proyecto.
7. Definir un portafolio de proyectos que proporcionará los resultados requeridos para el programa.
8. Definir los entregables requeridos, considerando el alcance completo de las actividades
necesarias para alcanzar los objetivos.
9. Nominar a los comités de dirección del proyecto para proyectos específicos dentro del programa,
si fuera necesario.
10. Establecer planes de proyecto y procedimientos de reporte para permitir la monitorización del
progreso.
62

CAPÍTULO 6

Entradas  Valoración del objetivo de madurez de los procesos seleccionados
 Descripción de las oportunidades de mejora
 Documento de respuesta al riesgo
 Plan y objetivos de la habilitación del cambio
 Estrategia de comunicación y comunicación de la visión del cambio que cubran las cuatro «P»
(perspectiva, propósito, plan, partes)
 Caso de negocio detallado
 Hoja de trabajo de oportunidades, buenas prácticas y estándares, evaluaciones externas,
evaluaciones técnicas
 Matriz de oportunidades, definiciones del proyecto, plan de gestión del portafolio de proyectos, plan
de recursos, presupuesto de I&T
 Fortalezas identificadas en fases anteriores
Salidas  Definiciones del proyecto de mejoras
 Planes definidos de respuesta al cambio
 Ganancias rápidas identificadas
 Registro de proyectos sin aprobar
 Plan del programa que secuencia los planes individuales con los recursos asignados, las prioridades
y los entregables
 Planes de proyecto y procedimientos de reporte habilitados a través de los recursos comprometidos,
tales como habilidades e inversión
 Métricas de éxito
Recursos de ISACA  Marco de referencia COBIT® 2019: Introducción y metodología, (objetivos de gobierno y gestión,
componentes del sistema de gobierno), www.isaca.org/cobit
 Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (APO05, APO12, BAI01, BAI11,
metas y métricas)

T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
plim
ern
I
eT
eT
l pr
TI
el n
Adm
obi
ces rio
cum
e
n de
es d
d
ía d
eg
pro pieta
os
de
od
cció
ent
utiv
itor
o
go
sej
sej
Pro
s
Ger
Dire
CIO
Aud
C on
Con
Rie
Eje

63

6.6 Fase 5: ¿Cómo conseguiremos llegar?
Figura 6.17—Fase 5 ¿Cómo conseguiremos llegar?
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un pro
do
re
la e gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir

s
y
uar
(círculo medio)
I m p ejor
je s t a d i r
tiv o

fi n
De e
le m a
o
m
nt
el b
e
Ope
u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
ga ¿D
r? 3

Consejo de Supervisar la implementación y proporcionar ayuda y dirección cuando se requiera.
administración y
directivos
Gestión del negocio Responsabilizarse de la participación del negocio en la implementación, especialmente cuando los
procesos del negocio se vean afectados y los procesos de TI requieren el involucramiento del
usuario/cliente.
Gestión de TI Garantizar que la implementación incluya la totalidad de las actividades requeridas (p. ej., cambios de
políticas y procesos, soluciones tecnológicas, cambios organizativos, nuevos roles y
responsabilidades, otros habilitadores); garantizar que las implementaciones sean prácticas,
alcanzables y que se puedan adoptar y usar. Asegurar que los dueños de proceso se involucren,
participen en la nueva estrategia y se responsabilicen de los procesos resultantes. Resolver problemas
y gestionar el riesgo conforme vayan surgiendo durante la implementación.
Auditoría interna Revisar y proporcionar aportes durante la implementación para evitar la identificación a posteriori de
habilitadores omitidos y, especialmente, de controles clave. Proporcionar orientación en la
implementación de los aspectos de control. Si fuera necesario, proporcionar un servicio de revisión de
riesgos del proyecto/implementación, monitorizando el riesgo que podría perjudicar dicha
implementación, y proporcionando retroalimentación independiente a los equipos del programa y del
proyecto.
Riesgo, cumplimiento y Proporcionar la orientación necesaria sobre aspectos relacionados con el riesgo, cumplimiento y
asuntos legales aspectos legales durante la implementación.
64

CAPÍTULO 6

Descripción de la fase 5: ¿Cómo conseguiremos llegar?
Objetivo de la fase Implementar los proyectos detallados de mejora, aprovechando el programa de la empresa, y las
capacidades, estándares y prácticas de gestión del proyecto. Supervisar, medir e informar sobre el
progreso del proyecto.
Descripción de la fase Los proyectos de mejora aprobados, incluidas las actividades de cambio requeridas, están listos para su
implementación, por lo que las soluciones definidas por el programa pueden ser ya adquiridas o
desarrolladas, e implementadas en la empresa. De esta forma, los proyectos pasan a formar parte del
ciclo de vida de desarrollo normal, y deberían gobernarse según el programa establecido y los métodos
de gestión de proyecto. La implementación de la solución debería estar en línea con las definiciones de
proyecto establecidas y el plan de cambio para respaldar la sostenibilidad de las mejoras.
Esta fase suele conllevar mayor tiempo y esfuerzo que todas las fases del ciclo de vida. Sin embargo, es
importante garantizar que la fase pueda gestionarse y que los beneficios se obtengan en un plazo de
tiempo razonable, por lo que debe evitarse un tamaño o tiempo total excesivo. Esto es particularmente
cierto en el caso de las primeras iteraciones, que también supondrán una experiencia de aprendizaje
para todos los involucrados.
Debe supervisarse el desempeño de cada proyecto para garantizar que todas las metas están siendo
logradas. El reporte a las partes interesadas a intervalos regulares garantiza que se conoce el progreso y
que se cumple con los plazos.
Tareas de mejora Implementar mejoras:
continua (CI) 1. Desarrollar y, cuando sea necesario, adquirir soluciones que incluyan el alcance completo de las
actividades requeridas. Estas podrían incluir cultura, ética y comportamiento; estructuras
organizativas; principios y políticas; procesos; capacidades de servicio; habilidades y competencias;
e información.
2. Cuando se usen buenas prácticas, adoptar y adaptar las guías disponibles para que se adecúen a la
estrategia de la empresa con respecto a políticas y procedimientos.
3. Poner a prueba la funcionalidad e idoneidad de las soluciones en un entorno de trabajo real.
4. Implementar las soluciones, teniendo en cuenta los procesos actuales y los requisitos de
migración.
Tareas de habilitación Habilitar la operación y el uso:
del cambio (CE) 1. Aprovechar el impulso y la credibilidad que pueden generarse por las ganancias rápidas, e introducir
entonces aspectos de cambio más amplios y complejos.
2. Comunicar los éxitos de las ganancias rápidas y reconocer y recompensar a todos los involucrados
en ellas.
3. Implementar planes de respuesta al cambio.
4. Garantizar que la mayoría de roles asignados cuentan con las habilidades, recursos y
conocimientos, así como la aceptación y el compromiso con respecto al cambio.
5. Equilibrar las intervenciones de grupo e individuales para asegurar que las partes interesadas clave
tengan una visión holística del cambio.
6. Planificar los aspectos de cultura y comportamiento de la transición más amplia (cómo tratar con
los temores de pérdida de responsabilidad/independencia/autoridad en cuanto a toma de
decisiones, nuevas expectativas y tareas desconocidas).
7. Comunicar roles y responsabilidades para su uso.
8. Definir medidas de éxito, incluidas aquellas desde el punto de vista del negocio y medidas de
percepción.
9. Establecer tutorías y coaching para garantizar la aceptación y el convencimiento.
10. Cerrar el círculo y garantizar que se han abordado todos los requisitos del cambio.
11. Supervisar la eficacia de la habilitación del cambio y tomar acciones correctivas donde sea
necesario.
Tareas de gestión del Ejecutar el plan:
programa (PM) 1. Garantizar que la ejecución del programa se base en un plan actualizado e integrado (IT y negocio)
de los proyectos que forman parte del programa.
2. Dirigir y monitorizar la contribución de todos los proyectos del programa para garantizar la
obtención de los resultados esperados.
3. Proporcionar informes regulares de actualización a las partes interesadas para garantizar que se
entienda el progreso y que se cumple con los plazos.
4. Documentar y supervisar el riesgo y problemas significativos del programa y acordar las acciones
correctivas.
5. Aprobar el inicio de cada fase importante del programa y comunicarlo a todas las partes
interesadas.
6. Aprobar cualquier cambio importante al programa y a los planes del proyecto.
65


Descripción de la fase 5: ¿Cómo conseguiremos llegar?
Entrada  Definiciones del proyecto de mejoras
 Planes definidos de respuesta al cambio
 Ganancias rápidas identificadas
 Registro de proyectos no aprobados
 Plan del programa con recursos asignados, prioridades y entregables
 Planes del proyecto y procedimientos de reporte
 Métricas de éxito
 Definiciones del proyecto, cuadro de Gantt del proyecto, planes de respuesta al cambio, estrategia de
cambio
 Programa y planes de proyecto integrados
Salidas  Mejoras implementadas
 Planes de respuesta al cambio implementados
 Ganancias rápidas obtenidas y visibilidad del éxito del cambio
 Comunicaciones del éxito
 Roles y responsabilidades definidos y comunicados en un entorno habitual del negocio
 Logs de cambios del proyecto y logs de problemas/riesgos
 Medidas de negocio y de percepción de éxito definidas
 Seguimiento de beneficios para supervisar su obtención
Recursos de ISACA  Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (todos los objetivos como entrada
de buenas prácticas, BAI01, BAI11), www.isaca.org/cobit
 Productos adicionales de ISACA incluidos actualmente en www.isaca.org

T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
lim
ern
I
I
I
eT
eT
eT
l pr
el n
Adm
mp
obi
ces rio
ía d
n de
es d
d
eg
y cu
pro pieta
os
de
od
itor
cció
ent
utiv
o
sgo
sej
sej
Pro
Aud
Ger
Dire
CIO
c
C on
Con
Rie
Eje
al cambio (CE3).

66

CAPÍTULO 6
6.7 Fase 6: ¿Hemos conseguido llegar?
Figura 6.21—Fase 6 ¿Hemos conseguido llegar?

6.7 Fase 6: ¿Lo logramos?
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un p do
la efe ro re
gra
ar
s?
ma
vis
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
nito nec r
esid
Mo y r
im
Obtener ben
a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir

s
y
uar
(círculo medio)
I m p ejor
je s t a d i r
tiv o
fi n
De e
le m a
o
m
nt
el b
e
Ope
u lt a r
o
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
l o s ro l e s c l a v e ho
mo
pl
el
on
la
an ir
se
fin e re
De
gu
qu
m
i re
de
os P la n
ga ¿D
r? 3

Consejo de Evaluar el desempeño a la hora de cumplir con los objetivos originales y confirmar la obtención
administración y de los resultados deseados. Considerar la necesidad de redirigir las actividades futuras y llevar a
directivos cabo acciones correctivas. Si es necesario, ayudar en la resolución de los problemas
significativos.
Gestión del negocio Proporcionar retroalimentación y considerar la eficacia de la contribución del negocio a la
iniciativa. Usar los resultados positivos para mejorar las actividades actuales relativas al negocio.
Usar las lecciones aprendidas para adaptar y mejorar la estrategia del negocio a futuras
iniciativas.
Gestión de TI Proporcionar retroalimentación y considerar la eficacia de la contribución de TI a la iniciativa.
Usar los resultados positivos para mejorar las actividades actuales relacionadas con TI.
Supervisar los proyectos dependiendo de la criticidad de los mismos, conforme se vayan
desarrollando, mediante el uso de técnicas de gestión de programas y de gestión de proyectos.
Estar preparados para cambiar el plan y/o cancelar uno o más proyectos o tomar otras acciones
correctivas, si las primeras indicaciones muestran que un proyecto se ha desviado y podría no
cumplir con hitos críticos. Usar las lecciones aprendidas para adaptar y mejorar la estrategia de
TI a iniciativas futuras.
Auditoría interna Proporcionar una evaluación independiente de la eficiencia y eficacia global de la iniciativa.
Proporcionar retroalimentación y considerar la eficacia de la contribución de la auditoría a la
iniciativa. Usar los resultados positivos para mejorar las actividades relacionadas con la auditoría
en curso. Usar las lecciones aprendidas para adaptar y mejorar la estrategia de la auditoría para
iniciativas futuras.
Riesgo, cumplimiento y Evaluar si la iniciativa ha mejorado la habilidad de la empresa para identificar y gestionar los
asuntos legales requisitos de riesgos y legales, regulatorios y contractuales. Proporcionar retroalimentación y
hacer las recomendaciones necesarias para las mejoras.
67


Descripción de la fase 6: ¿Hemos conseguido llegar?
Objetivo de la fase Integrar las métricas para el desempeño del proyecto y la obtención de beneficios del programa global
de mejoras de gobierno en el sistema de medición del desempeño para una supervisión regular y
continua.
Descripción de la fase Es esencial que las mejoras descritas en el programa se supervisen mediante metas de alineamiento y
metas del proceso, usando las técnicas adecuadas como un cuadro de mando (Balanced Scorecard)
de TI y el registro de beneficios para comprobar que se han logrado los resultados del cambio. Esto
garantiza que las iniciativas se mantengan de acuerdo con las metas del negocio y las metas de
alineamiento originales y continúen ofreciendo los beneficios deseados por el negocio. Para cada
métrica, deben establecerse los objetivos, compararlos de forma regular con la realidad y comunicarlos
usando un informe de desempeño.
Para garantizar el éxito es fundamental que se informe de los resultados positivos y negativos de las
mediciones de desempeño a todas las partes interesadas, para generar confianza y favorecer que
cualquier acción correctiva se realice dentro del plazo. Los proyectos deben supervisarse conforme se
vayan desarrollando, usando tanto técnicas de gestión de programas como de proyectos. Debería
realizarse una preparación para cambiar el plan y/o cancelar el proyecto, si las primeras indicaciones
muestran que un proyecto se ha desviado y podría no cumplir con hitos críticos.
Tareas de mejora Operar y medir:
continua (CI) 1. Establecer objetivos para cada métrica durante un periodo de tiempo acordado. Los objetivos
deberían facilitar la monitorización del desempeño de I&T y de las acciones de mejora y
determinar el éxito o fracaso.
2. Si fuera posible, obtener medidas reales actualizadas para estas métricas.
3. Recopilar medidas reales y compararlas con los objetivos de forma regular (p. ej., mensualmente).
Investigar cualquier variación significativa.
4. Desarrollar y acordar las medidas correctivas propuestas, cuando las variaciones indiquen que se
requieren acciones correctivas.
5. Si es necesario, ajustar los objetivos a largo plazo conforme a la experiencia adquirida.
6. Comunicar tanto los resultados positivos como negativos de la supervisión del desempeño a
todas las partes interesadas. Incluir recomendaciones para todas las medidas correctivas.
Tareas de habilitación Nuevas estrategias incorporadas:

del cambio (CE) 1. Garantizar que las nuevas formas de trabajo lleguen a ser parte de la cultura del negocio. Estas
deberían basarse en las normas y valores de la empresa. Esto es importante para que se logren
resultados concretos.
2. En la transición del modo proyecto a la realidad del negocio, conformar los comportamientos
mediante la revisión de las descripciones de los puestos de trabajo, los criterios de desempeño de
cargos y los sistemas de incentivos y recompensas asociados, los KPIs y los procedimientos
operativos, tal y como se implementaron mediante los planes de respuesta al cambio.
3. Supervisar si se han asumido los roles y responsabilidades asignados.
4. Hacer un seguimiento del cambio y evaluar la eficacia de los planes de respuesta al cambio,
vinculando los resultados a los objetivos y metas originales del cambio. Esto debería incluir tanto
mediciones difíciles de negocio como mediciones de percepción, con encuestas de percepción,
sesiones de retroalimentación y formularios de evaluación de capacitación.
5. Aprovechar los nichos de excelencia para proporcionar una fuente de inspiración.
6. Mantener una estrategia de comunicación para lograr una concienciación permanente y resaltar
los éxitos.
7. Asegurar que haya una comunicación abierta entre todas las partes interesadas para resolver
problemas.
8. Escalar los problemas a los patrocinadores si no se pueden resolver.
9. Donde aún sea preciso, reforzar el cambio a través de la autoridad de gestión.
10. Documentar las lecciones aprendidas en la habilitación del cambio para iniciativas de
implementación futuras.
Tareas de gestión del Obtención de beneficios:
programa (PM) 1. Supervisar el desempeño global del programa con respecto a los objetivos del caso de negocio.
2. Supervisar el desempeño de la inversión (coste frente a presupuesto, obtención de beneficios).
3. Documentar las lecciones aprendidas (tanto positivas como negativas) para las iniciativas de
mejora futuras.
68

CAPÍTULO 6
Figure 6.23—Fase 6 Objetivos, Descripciones, Tareas, Entradas, Recursos y Salidas (cont.)

Descripción de la fase 6: ¿Lo logramos?
Entrada  Mejoras implementadas
 Planes de respuesta al cambio implementados
 Comunicaciones del éxito y de las ganancias rápidas obtenidas
 Roles y responsabilidades definidos y comunicados en un entorno habitual de negocio
 Logs de cambios del proyecto y logs de problemas/riesgos
 Medidas del negocio y de percepción de éxito definidas
 Metas de alineamiento y metas del proceso de TI identificadas como resultado del análisis de
requisitos
 Medidas y/o sistemas de puntuación existentes
 Beneficios del caso de negocio
 Planes de respuesta al cambio y estrategia de comunicación
Salidas  Cuadros de mando del proyecto y programa actualizados

 Mediciones de eficacia del cambio (tanto de negocio como de percepción)
 Informe que explique los resultados del cuadro de mando
 Mejoras consolidadas en las operaciones
 Métricas clave añadidas a la estrategia de medición del desempeño de TI en curso
Recursos de ISACA  Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (como entrada de buenas prácticas
y EDM05, APO05, BAI01, BAI11, MEA01), www.isaca.org/cobit
T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
plim
iern
I
eT
eT
l pr
I
el n
eT
Adm
ces rio
gob
cum
n de
es d
d
ía d
pro ieta
os
de
de
cció
ent
utiv
itor
sejo
sejo
go
p
Pro
s
Ger
Dire
CIO
Aud
Con
Con
Rie
Eje
Operar
métricas de éxito
propiedad

69

6.8 Fase 7: ¿Cómo mantenemos el impulso?
Figura 6.25—Fase 7 ¿Cómo mantenemos el impulso?
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un pro
do
re
la e gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir

s
y
uar
(círculo medio)
Imp
je s t a d i r
tiv o

fi n
De e
l e m ra
o
me
nt
el b
e
j
Ope
u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
Identificar se
oc
ho
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
ga ¿D
r? 3

Consejo de Proporcionar la dirección, establecer los objetivos y asignar roles y responsabilidades para la
administración y estrategia y mejora continua del GEIT de la empresa. Continuar sentando las pautas desde la
directivos dirección, desarrollar estructuras organizativas y fomentar una cultura de buen gobierno y
rendición de cuentas para I&T entre los ejecutivos del negocio y de TI. Garantizar que TI sea
consciente y esté involucrado, conforme corresponda, con los nuevos objetivos y requisitos de
negocio de la forma más oportuna posible.
Gestión del negocio Proporcionar el soporte y compromiso para seguir trabajando de forma positiva con TI para
mejorar el GEIT y hacerlo habitual para el negocio. Comprobar que los nuevos objetivos del GEIT
estén alineados con los objetivos actuales de la empresa.
Gestión de TI Fomentar y proporcionar un liderazgo fuerte para mantener la dinámica del programa de mejoras.
Involucrarse en las actividades de gobierno como parte de la práctica empresarial normal. Crear
políticas, estándares y procesos para garantizar que el gobierno se convierte en algo habitual.
Auditoría interna Proporcionar contribuciones objetivas y constructivas, fomentar la autoevaluación y proporcionar
aseguramiento a la dirección de que el gobierno está funcionando de forma eficaz, para aumentar
la confianza en la I&T. Proporcionar auditorías continuas basadas en una estrategia integrada de
gobierno con los criterios compartidos con TI y el negocio, conforme al marco de referencia
COBIT® 2019.
Riesgo, cumplimiento y Trabajar con TI y el negocio para anticipar requisitos legales y regulatorios. Identificar y responder
asuntos legales al riesgo relacionado con la I&T como una actividad normal en el GEIT.
70

CAPÍTULO 6

Descripción de la fase 7: ¿Cómo mantenemos el impulso?
Objetivo de la fase Evaluar los resultados y experiencia ganados del programa. Registrar y compartir todas las lecciones
aprendidas. Mejorar las estructuras organizativas, procesos, roles y responsabilidades para cambiar el
comportamiento de la empresa para que el GEIT se convierta en algo habitual y se optimice de forma
continua. Garantizar que las nuevas acciones requeridas, impulsen futuras iteraciones del ciclo de
vida.
Supervisar continuamente el desempeño y garantizar que se informe de forma regular de los
resultados. Promover el compromiso y la propiedad de todas las responsabilidades y rendiciones de
cuentas.
Descripción de la fase Esta fase permite al equipo determinar si el programa resultó comparado con las expectativas. Esto
puede hacerse comparando los resultados con los criterios de éxito originales y obteniendo la
retroalimentación del equipo de implementación y las partes interesadas mediante entrevistas, talleres
y encuestas de satisfacción. Las lecciones aprendidas pueden contener información valiosa para los
miembros de los equipos y las partes interesadas del proyecto para su uso en iniciativas y proyectos de
mejora continua. Implica una supervisión continua, un reporte regular y transparente y la confirmación
de rendición de cuentas.
Se identifican mejoras adicionales y se usan a modo de entrada para la siguiente iteración del ciclo de
vida.
En esta fase, la empresa debería aprovechar los éxitos y lecciones aprendidas del proyecto(s) de
implementación del gobierno para generar y reforzar el compromiso de todas las partes interesadas de
la empresa y de TI para un gobierno de I&T que mejore de forma continua.
Las políticas, estructuras organizativas, roles y responsabilidades y procesos de gobierno deberían
desarrollarse y optimizarse para que el GEIT funcione de forma eficaz como parte de la práctica y la
cultura normal de negocio, demostrada por el apoyo de la dirección.
Tareas de mejora Monitorizar y evaluar:
continua (CI) 1. Identificar nuevos objetivos y requisitos de gobierno basados en las experiencias adquiridas,
objetivos de negocio actuales para I&T y otros eventos desencadenantes.
2. Recopilar la retroalimentación y realizar una encuesta de satisfacción a las partes interesadas.
3. Medir e informar de los resultados actuales con respecto a las medidas de éxito del proyecto
establecidas originalmente. Monitorización y reporte continua integrada.
4. Realizar un proceso de revisión asistida del proyecto con los miembros del equipo del proyecto y
las partes interesadas del proyecto para registrar y compartir las lecciones aprendidas.
5. Buscar oportunidades adicionales de bajo coste y alto impacto para mejorar aún más el GEIT.
6. Identificar las lecciones aprendidas.
7. Comunicar los requisitos para obtener más mejoras a las partes interesadas y documentarlos para
su uso a modo de entrada para la siguiente iteración del ciclo de vida.
Tareas de habilitación Sostenibilidad:

del cambio (CE) 1. Proporcionar un refuerzo consciente y una campaña de comunicación continua, así como
compromiso continuo manifestado por la dirección.
2. Confirmar la conformidad con los objetivos y requisitos.
3. Supervisar continuamente la eficacia del propio cambio, actividades de habilitación del cambio y
la aceptación de las partes interesadas.
4. Implementar planes de acciones correctivas cuando sea necesario.
5. Proporcionar retroalimentación sobre el desempeño, recompensar a las personas destacadas y
publicitar los éxitos.
6. Aprovechar las lecciones aprendidas
7. Compartir los conocimientos desde la iniciativa con toda la empresa.
Tareas de gestión del Revisar la eficacia del programa:

programa (PM) 1. Cuando se cierre el programa, garantizar que se lleve a cabo una revisión del mismo y que se
aprueben las conclusiones.
2. Revisar la eficacia del programa.
Entradas  Cuadros de mando del proyecto y programa actualizados
 Métricas de eficacia del cambio (tanto medidas del negocio como de percepción)
 Informe que explique los resultados del cuadro de mando
 Informe de revisión posterior a la implementación
 Informes de desempeño
 Estrategia de negocio y de TI
 Nuevos desencadenantes, como nuevos requisitos regulatorios
71


Descripción de la fase 7: ¿Cómo mantenemos el impulso?
Salidas  Recomendaciones para futuras actividades del GEIT luego de un periodo de normalización
 Encuesta de satisfacción de las partes interesadas
 Historias de éxito y lecciones aprendidas documentadas
 Plan de comunicación continua
 Esquema de recompensas por desempeño
Recursos de ISACA  Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (EDM01, APO01, BAI08, MEA01),
www.isaca.org/cobit
T
ión
e I&
ama
to
ci o
trac
ien
od
e go
Aud s de Tde
ogr
inis
plim
ern
TI
I
T I
el n
l pr
Adm
obi
ces rio
e
e
cum
es d
ía d
d
n de
de g
pro pieta
os
de
o
itor
oy
ent
utiv
cció
sejo
sejo
sg
Pro
Ger
CIO
Dire
Rie
Con
Eje
Co n

72

APENDICE A
EJEMPLO DE MATRIZ DE DECISIONES
APENDICE A
Ejemplo de matriz de decisiones
Este apéndice muestra un ejemplo sobre cómo identificar áreas de temas clave que requieren definir claramente roles
y responsabilidades de toma de decisiones. Se proporciona a modo de guía y puede modificarse y adaptarse para
adecuarse a una empresa con organización y requerimientos específicos.14 1
Figura A.1—Ejemplo de matriz de decisiones

Responsable, Quien rinde cuentas,
Consultado e Informado (RACI)
Comité estratégico (programas/proyectos)

Comité de riesgos empresariales
Dueños del proceso de negocio

Consejo de gobierno de I&T
Gestor de Portafolio
Comité ejecutivo
2
Dirección de TI15
Empleados
Tema de decisión Alcance
Gobierno  Integrando con gobierno corporativo A/R R C C R I
 Establecer principios, estructuras, objetivos
Estrategia de la  Definir metas y objetivos del negocio A/R R C C R I
empresa  Decidir cómo y dónde I&T puede habilitar y apoyar los
objetivos de la empresa
Políticas de I&T  Proporcionar políticas, procedimientos, guías y otra I A C R C C
documentación precisas, comprensibles y aprobadas a
las partes interesadas
 Desarrollar e implementar políticas de I&T
 Garantizar que las políticas deriven en resultados
beneficiosos conforme a los principios rectores
 Reforzando políticas de I&T
Estrategia de I&T  Incorporando la dirección de la empresa y de TI a la hora I A C I R C C
de trasladar los requisitos del negocio a ofertas de
servicio desarrollando estrategias para proporcionar
estos servicios de forma eficaz y transparente.
 Involucrando a la dirección del negocio y a la alta
dirección a la hora de alinear la planificación estratégica
de I&T con las necesidades del negocio actuales y
futuras.
 Entendiendo las capacidades actuales de I&T
 Proporcionar un esquema de priorización para los
objetivos del negocio que cuantifique los requisitos del
negocio
14
1
Este ejemplo se basa en la matriz de GEIT desarrollada por IT Winners. Se ha usado con su autorización.
2
15 La dirección de TI incluye todos los cargos dentro de la función de TI a nivel ejecutivo.
73

Figura A.1—Ejemplo de matriz de decisiones (cont.)



Comité ejecutivo
3
Dirección de TI15
Empleados
Dirección de I&T  Proporcionar las plataformas adecuadas para las I C C A/R C C
aplicaciones y servicios empresariales en línea con la
arquitectura de I&T definida y los estándares de
información y tecnología.
 Crear un plan de aprovisionamiento de información y
tecnología
Métodos y marcos  Estableciendo estructuras organizativas de TI I C C I I A/R I I
de referencia de I&T transparentes, flexibles y receptivas y definiendo e
implementando los procesos de I&T que integran a los
dueños, roles y responsabilidades en los procesos de
decisión y del negocio
 Definir un marco de referencia de procesos práctico para
I&T
 Establecer una estructura y órganos organizativos
adecuados
 Definir roles y responsabilidades
Arquitectura  Definiendo e implementando una arquitectura y A C C I I R R C

empresarial estándares que reconozcan y aprovechen las
oportunidades tecnológicas
 Estableciendo un foro para guiar la arquitectura y
comprobar el cumplimiento
 Estableciendo un plan de arquitectura equilibrado
teniendo en cuenta costes, riesgo y requisitos
 Definiendo la arquitectura de la información, incluido el
establecimiento de un modelo de datos empresarial que
incorpore un esquema de clasificación de datos
 Garantizar la precisión de la arquitectura de la
información y el modelo de datos
 Asignar a los propietarios de los datos
 Clasificando la información con un esquema de
clasificación acordado
Priorización del  Tomando decisiones de portafolio e inversiones I A C C R
portafolio e habilitadas por TI eficaces y eficientes
inversiones  Estimando y asignando presupuestos
habilitadas por I&T  Definiendo criterios de inversión formales
 Midiendo y evaluando el valor de negocio frente a la
estimación
74

APPENDIX A



Comité ejecutivo
3
Dirección de TI15
Empleados
Priorización de  Estableciendo y realizando un seguimiento de los I A R C C/I C/I C/I
inversiones y presupuestos de I&T conforme a las decisiones de
programas inversión y estrategia de I&T
habilitados por I&T  Midiendo y evaluando el valor de negocio frente a la
estimación
 Definiendo una estrategia de gestión de programas y
proyectos que se aplique a proyectos de negocio
habilitados por I&T, y permitir la participación de las
partes interesadas en, y la monitorización de, el riesgo y el
avance del proyecto
 Definiendo y haciendo cumplir los marcos de referencia y
estrategia de programas y proyectos
 Publicando guías de gestión de proyectos
 Realizando una planificación de proyecto para cada
proyecto detallado en el portafolio de proyectos
Gestionando,  Identificando los requisitos del servicio, acordando los I A R R R I

monitorizando y niveles de servicio y monitorizando el cumplimiento de
evaluando los los niveles de servicio
acuerdos de niveles  Formalizando acuerdos internos y externos en línea con
de servicio (SLA) los requisitos y capacidades de entrega
 Reportando sobre cumplimiento del nivel de servicio
(informes y reuniones)
 Identificando y comunicando requisitos del servicio,
nuevos y actualizados, a la planificación estratégica
 Cumpliendo con los niveles de servicio operativos para el
procesamiento programado de datos, protegiendo las
salidas sensibles y monitorizando y manteniendo la
infraestructura
15
75




Comité ejecutivo
5
Dirección de TI15
Empleados
Gestión de  Identificando soluciones técnicamente factibles y rentables I I C A/R C C
aplicaciones de TI  Definiendo los requisitos técnicos y de negocio
 Llevando a cabo estudios de factibilidad, conforme se
definen en los estándares de desarrollo
 Aprobando (o rechazando) los requisitos y resultados del
estudio de factibilidad
 Garantizando que haya un proceso de desarrollo o
adquisición oportuno y rentable
 Trasladando los requisitos del negocio a las especificaciones
de diseño
 Seleccionando los estándares de desarrollo y mantenimiento
adecuados (Waterfall, Agile, DevOps, etc.) y cumpliendo con
los estándares en todas las modificaciones
 Separando las actividades de desarrollo, pruebas y operativas
Gestión de  Operando el entorno de TI en línea con los niveles de I I C A/R C C
infraestructuras de TI servicio e instrucciones definidas
 Manteniendo la infraestructura de TI
Seguridad de I&T  Definiendo las políticas, planes y procedimientos de I A R R R C/I

seguridad de I&T, monitorizando, detectando, informando y
resolviendo las vulnerabilidades e incidentes de seguridad
 Entendiendo los requisitos de seguridad, incluidas la
privacidad y la ciberseguridad, las vulnerabilidades y
amenazas, en línea con los requisitos e impacto en el
negocio
 Gestionando las identidades de los usuarios y las
autorizaciones de forma estandarizada
 Probando la seguridad de forma regular
Adquisiciones y  Adquiriendo y manteniendo los recursos de I&T que I I C A/R C C

contratos respondan a la estrategia de entrega, mediante el
establecimiento de una infraestructura de TI integrada y
estandarizada, y reduciendo el riesgo de adquisición de TI
 Obteniendo asesoría profesional legal y contractual
 Definiendo los procedimientos y estándares de las
adquisiciones
 Procurando el hardware, software y servicios requeridos
conforme a los procedimientos definidos
15
5
76

APPENDIX A



Comité ejecutivo
3
Dirección de TI15
Empleados
Cumplimiento de I&T  Identificando todas las leyes aplicables, regulaciones y C/I A C A/R C C/I
contratos vigentes; definiendo el nivel de cumplimiento de
I&T correspondiente; y optimizando los procesos de TI
para reducir el riesgo de incumplimiento
 Identificando los requisitos legales, regulatorios y
contractuales relacionados con la I&T
 Evaluando el impacto de los requisitos de cumplimiento
 Monitorizando e informando sobre el cumplimiento con
estos requisitos
15
77

78

Libros Cobit 2019 Unificado

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Libros Cobit 2019 Unificado

Cargado por

Copyright:

Formatos disponibles

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

GUÍA DE DISEÑO COBIT® 2019

Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

In Memoriam: John Lainhart (1946-2018)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Consejo de dirección de ISACA

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Capítulo 2. Conceptos básicos: Sistema de Gobierno y

Capítulo 3. Impacto de factores de diseño ........................................................................29

Capítulo 4. Diseño de un sistema de gobierno personalizado ........................31

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Capítulo 5. Conectando con la Guía de implementación

Parte II - Ejecución y ejemplos .......................................................................................................51

Capítulo 7. Ejemplos .................................................................................................................................67

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Capítulo 3. Impacto de factores de diseño

Capítulo 4. Diseño de un sistema de gobierno personalizado

Capítulo 5. Conectando con la Guía de implementación COBIT® 2019

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

1.1 Sistemas de gobierno

1.2 Estructura de esta publicación

Esta publicación contiene las partes, capítulos y apéndices principales siguientes:

Parte I: Proceso de diseño

Parte II: Ejecución y ejemplos

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

1.3 Público objetivo de esta publicación

1.4 Documentación Relacionada: Guía de implementación de COBIT® 2019

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.1—Generalidades de COBIT

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

2.2 Objetivos de gobierno y gestión

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.2—Modelo Core de COBIT

2.3 Componentes del sistema de gobierno

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

2.4 Áreas prioritarias

2.5 Niveles de capacidad

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.3—Niveles de capacidad para los procesos

2.6 Factores de diseño

Los factores de diseño incluyen cualquier combinación de lo siguiente (figura 2.4):

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.4—Factores de diseño COBIT

Figura 2.5—Factor de diseño de estrategia empresarial

Innovación/Diferenciación La empresa debe centrarse en ofrecer productos y servicios

Liderazgo en costes La empresa debe centrarse en la minimización de costes a corto

Servicio al cliente/Estabilidad La empresa se centra en proporcionar un servicio estable y

Figura 2.6—Factor de diseño de metas empresariales

EG01 Finanzas Portafolio de productos y servicios competitivos

Review, enero/febrero 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines.

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.6—Factor de diseño de metas empresariales (cont.)