GOBIERNO DE TI

“Gobierno/Gobernanza: Acción o efecto de gobernar o gobernarse.

Gobernar: Mandar con autoridad o regir algo” (RAE)

VICTOR GODOY B

LA SERENA, 2020
 INDICE

1. Gobierno de TI ________________________________________________ 3

1.1. ISO/IEC 38.500/2008 – Gobierno corporativo de las Tecnologías de la

Información. ________________________________________________________ 5
Objetivos _________________________________________________________________5
Alcance___________________________________________________________________5
Principios _________________________________________________________________6
Beneficios ________________________________________________________________8
Modelo __________________________________________________________________10
Orientación para el gobierno corporativo de la empresa. _________________________12

1.2. Marco de referencia COBIT 2019. _________________________________ 17

Gobierno empresarial de la Información y Tecnología (GETI). _____________________17
Beneficios del Gobierno de tecnologías de la Información. _______________________17

COBIT como marco de gobierno de I&T. ________________________________ 19

Principios ________________________________________________________________21
Modelo CORE de COBIT ____________________________________________________24

Página 2 de 24
1. Gobierno de TI

No cabe duda del rol que las tecnologías de la información juegan en la

sociedad actual, todos individualmente, en las empresas y en el gobierno dependen
de ella para su funcionamiento y desarrollo. Pero a pesar de su constante evolución
y desarrollo de marcos de referencia para la gestión de las TIC, aún se puede
apreciar una “desconexión” entre los objetivos del negocio y los objetivos de las
TICs, en la organización. “Las TI se ven en muchas organizaciones como un gasto
o un mal necesario y debido al carácter demasiado técnico de sus directores el área
de TI es incapaz de demostrar el valor agregado que presta a la organización”
(Muñioz Ingrid, Ulloa Gonzalo, 2011).

Pero el “problema” de la gestión de las TICs, no solo es alinear su desarrollo

con los objetivos del Negocios, sino también debe mantenerse actualizada en
relación con las nuevas tecnologías emergentes (por ejemplo, Machine Learning,
IA, IoT, Big Data, Cloud Computing, Metodologías ágiles), además los
requerimientos de seguridad de la información para garantizar la confidencialidad,
la integridad y la disponibilidad de la misma. Además de las presiones regulatorias
y comerciales.

El área de TI dentro de una organización tiene relación con todos los

departamentos y/o unidades que la componen y que aportan al logro de los objetivos
estratégicos. Por tanto, la coordinación con cada uno en particular y con todos en
general es fundamental para lograr la optimización de las inversiones de tal manera
de agregar valor al negocio.

“El Gobierno de TI se refiere, en la práctica, a la combinación estructurada

de un conjunto de directrices, responsabilidades, habilidades y capacidades,
compartida y asumida dentro de las empresas por los ejecutivos, gerentes, técnicos
y usuarios de TI, con el objetivo de controlar eficazmente los procesos, garantizar
la seguridad de la información, optimizar el uso de recursos y dar apoyo para la
toma de decisiones, todo eso alineado con la visión, misión y objetivos estratégicos
de las organizaciones” ( https://www.heflo.com/es/blog/gobernanza/gobierno-ti/).

Página 3 de 24
“…la principal función del Gobierno de TI es el alineamiento de las TI con la visión
integral del negocio heredando las metas y estrategias a todas las áreas de la
empresa.”(tomada de https://www.rsm.global/mexico/es/perspectivas/special-
reports/implementando-un-gobierno-de-ti-en-6-fases-parte-1).

Figura 1 (tomada de ataki.es/wordpress/isoiec-38500-y-el-buen-gobierno-de-las-ti/)

Página 4 de 24
1.1. ISO/IEC 38.500/2008 – Gobierno corporativo de las Tecnologías de la
Información.

Objetivos
El propósito de esta norma es promover la eficacia, la eficiencia y uso
aceptable de la tecnología de la información en todas las organizaciones:

• Asegurando a las partes interesadas (incluidos los consumidores, los

accionistas y empleados) que, si se sigue la norma, pueden tener confianza
en la organización de la gobernanza corporativa de las TI;
• Informar y orientar a los directores en el gobierno del uso de la TI en su
organización; y
• Proporcionar una base para la evaluación objetiva de la gestión empresarial
de TI.

Alcance
• Esta norma proporciona los principios rectores para los directores de las
organizaciones (incluidos los propietarios, miembros de la junta, directores,
socios, altos ejecutivos, o similar) sobre el uso eficaz, eficiente y aceptable
de la tecnología de la información (TI) dentro de sus organizaciones.

• Esta norma se aplica a la gobernanza de los procesos de gestión (y

decisiones) relativas a los servicios de información y comunicación utilizados
por una organización. Estos procesos podrían ser controlados por
especialistas en tecnología de la información dentro de la empresa,
proveedores de servicios externos, o por unidades comerciales dentro de la

Organización. También proporciona orientación a los que aconsejan,

informan o ayudan a los directores.

Entre ellos se incluyen:

• los altos directivos;

Página 5 de 24
 • miembros de grupos que vigilan los recursos dentro de la
organización;
• especialistas comerciales o técnicos externos, como los juristas o los
contables;
• especialistas, asociaciones de minoristas u organismos profesionales;
• vendedores de hardware, software, comunicaciones y otros productos
informáticos;
• proveedores de servicios internos y externos (incluidos los
consultores);
• auditores de TI.

Principios
Esta norma establece seis principios para la buena gestión empresarial de
las tecnologías de la información. Aplicables a la mayoría de las organizaciones.

Los principios expresan el comportamiento preferido para guiar la toma de

decisiones y se refiere a lo que debería suceder, pero no prescriben cómo, cuándo
o por quién se aplicarían los principios – como estos aspectos dependen de la
naturaleza de la organización que aplica los principios.

Los directores deben exigir que se apliquen estos principios.

• Principio 1: Responsabilidad

Los individuos y grupos de la organización entienden y aceptan sus

responsabilidades con respecto tanto a la oferta como a la demanda de TI.
Aquellos con responsabilidad de las acciones también tienen la autoridad
para realizar esas acciones.

• Principio 2: Estrategia

La estrategia comercial de la organización tiene en cuenta las capacidades

actuales y futuras de las TI y si el plan estratégico para las TI satisfacen las
necesidades actuales y futuras reflejadas en la Planificación estratégica de
la empresa.

Página 6 de 24
• Principio 3: Adquisición

Las adquisiciones de TI se realizan por razones válidas, sobre la base de un

análisis continuos, con una toma de decisiones clara y transparente. Hay

un equilibrio adecuado entre los beneficios, las oportunidades, los costos y

los riesgos, tanto a corto y largo plazo.

• Principio 4: Rendimiento

La tecnología de la información es adecuada para apoyar a la organización,

proporcionar los servicios, los niveles de servicio y la calidad de servicio
requerida para cumplir con las necesidades del negocios actuales y
futuras.

• Principio 5: Conformidad

Las TI cumplen con todas las leyes y reglamentos obligatorios. Las políticas
y Las prácticas se definen, aplican y hacen cumplir claramente.

• Principio 6: Comportamiento humano

Las políticas, prácticas y decisiones en materia de tecnología de la

información demuestran el respeto por el comportamiento humano,
incluyendo las necesidades actuales y en evolución de todas las "personas
en el proceso".

Página 7 de 24
Beneficios
Esta norma establece los principios para el uso efectivo, eficiente y aceptable
de las TI. Asegurarse que las organizaciones siguen estos principios les ayudará a
los directores a equilibrar los riesgos y fomentar las oportunidades que surjan del
uso

de TI.

Esta norma establece un modelo para el gobierno de la TI. En donde el riesgo

del incumplimiento de las obligaciones de los directores se mitiga prestando la
debida atención a el modelo en la aplicación adecuada de los principios.

La norma establece un vocabulario para el gobierno de la TI.

Conformidad de la organización

La correcta gestión corporativa de la TI puede ayudar a los directores a asegurar la

conformidad con obligaciones (reglamentarias, legislativas, de derecho común,
contractuales) relativas a el uso aceptable de la informática.

Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no

cumplir con la legislación. Por ejemplo, en algunas jurisdicciones, los directores
podrían ser retenidos personalmente como responsable si un sistema de
contabilidad inadecuado da lugar a que los impuestos no se paguen.

Los procesos relacionados con la tecnología de la información incorporan riesgos

específicos que deben ser abordados apropiadamente. Por ejemplo, los directores
podrían ser responsables de las violaciones de las normas de seguridad;

• la legislación sobre privacidad;

• la legislación sobre el spam;
• legislación sobre prácticas comerciales;
• derechos de propiedad intelectual, incluidos los acuerdos de licencia de
software;
• requisitos de mantenimiento de registros;

Página 8 de 24
 • legislación y reglamentos ambientales;
• legislación sobre salud y seguridad;
• legislación sobre accesibilidad;
• normas de responsabilidad social

Los directores que utilizan las directrices de esta norma tienen más probabilidades
de cumplir sus obligaciones.

Desempeño de la organización

La adecuada gestión corporativa de la TI ayuda a los directores a asegurar que el

uso de la TI contribuye positivamente al desempeño de la organización, a través de:

- la aplicación y el funcionamiento adecuados de los activos de la tecnología

de la información;
- la claridad de la responsabilidad y la rendición de cuentas tanto por el uso
como por el suministro de la TI en el logro de los objetivos de la organización;
- la continuidad y la sostenibilidad del negocio;
- la alineación de la TI con las necesidades del negocio;
- la asignación eficiente de los recursos;
- la innovación en los servicios, los mercados y los negocios;
- buenas prácticas en las relaciones con las partes interesadas;
- reducción de los costos de una organización; y
- la realización efectiva de los beneficios aprobados de cada inversión en
tecnología de la información.

Página 9 de 24
Modelo
Los directores deben gobernar las TI a través de tres tareas principales:

• Evaluar el uso actual y futuro de la TI. Los directores deben examinar y

emitir un juicio sobre la utilización actual y futura de IT, incluyendo
estrategias, propuestas y acuerdos de suministro (ya sean internos, externo,
o ambos). Al evaluar el uso de la tecnología de la información, los consejeros
deben considerar el uso externo o interno, presiones que actúan sobre el
negocio, tales como el cambio tecnológico, la economía y las tendencias
sociales, y las influencias políticas. Los directores deben llevar a cabo una
evaluación continua, ya que las presiones cambian. Los directores también
deben tener en cuenta las necesidades comerciales actuales y futuras - los
objetivos organizativos actuales y futuros que deben alcanzar, como
mantener la ventaja competitiva, así como los objetivos específicos de la
estrategias y propuestas que están evaluando.

• Dirigir Los directores deben asignar la responsabilidad y dirigir la

preparación y aplicación de planes y políticas. Los planes deben establecer
la dirección para inversiones en proyectos y operaciones de TI. Las políticas
deben establecer sólidos comportamiento en el uso de la tecnología de la
información. Los directores deben asegurarse de que la transición de los
proyectos a la fase operativa sea correctamente planificado y gestionado,
teniendo en cuenta las repercusiones en las empresas y prácticas
operacionales, así como los sistemas e infraestructura de TI existentes. Los
directores deben fomentar una cultura de buen gobierno de la TI en su
organización exigiendo a los administradores que proporcionen información
oportuna, para cumplir con dirección y para cumplir con los seis principios de
buen gobierno. Si es necesario, los directores deben dirigir la presentación
de propuestas para su aprobación a abordar las necesidades identificadas.

Página 10 de 24
• Supervisar la conformidad con las políticas y el rendimiento con respecto a
los planes. Los directores deben supervisar, mediante sistemas de medición
adecuados, el rendimiento de las TI. Deberían asegurarse de que el
rendimiento está de acuerdo con los planes, en particular en lo que respecta
a los objetivos comerciales. Los directores también deben asegurarse de que
la tecnología de la información se ajuste a las obligaciones externas
(reglamentación, legislación, derecho consuetudinario, contractual) y las
prácticas de trabajo internas.

Figura 2 Modelo gobierno corporativo TI iso 38.500

Página 11 de 24
Orientación para el gobierno corporativo de la empresa.
Generalidades

En las siguientes secciones se ofrece una orientación sobre las prácticas

necesarias para aplicar los principios a las Tecnologías de la Información.

Las prácticas descritas no son exhaustivas, pero proporcionan un punto de

partida para discusión de las responsabilidades de los directores para el gobierno
de la TI. Es decir, las prácticas descritas son una guía sugerida para el gobierno de
la tecnología de la información.

Es responsabilidad de cada organización, individualmente, identificar las

medidas necesarias para aplicar los principios, teniendo debidamente en cuenta la
naturaleza de la organización, y un análisis adecuado de los riesgos y oportunidades
del uso de la tecnología de la información.

PRINCIPIO TAREAS
Evaluar
Los directores deben evaluar:
• Las opciones para asignar responsabilidades con
respecto al uso actual y futuro de la tecnología de la
información de la organización. Al evaluar las
opciones, los directores deben tratar de asegurar un
uso y entrega efectivos, eficientes y aceptables de la
tecnología de la información en apoyo de los objetivos
comerciales actuales y futuros.
• Las competencias de los responsables de tomar las
decisiones relativas a la informática. Generalmente,
estas personas deberían ser gerentes de negocios que
también son responsables de los objetivos
Responsabilidad comerciales de la organización y rendimiento, asistido
por especialistas en tecnología de la información que
entienden los valores de los negocios y procesos.
Dirigir
Los directores deben:
• Ordenar que los planes se lleven a cabo de acuerdo
con las responsabilidades asignadas a TI y
• Ordenar que reciban la información que necesitan
para cumplir sus responsabilidades y para la rendición
de cuentas.
Monitorear
Los directores deben supervisar:

Página 12 de 24
 • Que los mecanismos adecuados de gobernanza de la
TI estén establecidos y vigilar que los responsables
reconozcan y entiendan sus responsabilidades.
• El desempeño de los responsables del gobierno de TI
(por ejemplo, las personas que forman parte de los
comités directivos o en la presentación de propuestas
a los directores).

Evaluar
Los directores deben evaluar:
• La evolución de la tecnología de la información y los
procesos comerciales para garantizar que la
tecnología de la información proporcionará apoyo para
las futuras necesidades comerciales.
• Las actividades de TI para asegurar que se alinean
con los objetivos de la organización para las
circunstancias cambiantes, tomando en consideración
las mejores prácticas y la satisfacción de requisitos de
los stakeholders.
• Y asegurar que el uso de la tecnología de la
información esté sujeto a una evaluación de riesgos
adecuada como se describe en las normas
Estrategia internacionales y nacionales pertinentes.
Dirigir
Los directores deben:
• Dirigir la preparación y el uso de planes y políticas que
aseguren la organización se beneficia de los avances
en la tecnología de la información.
• Alentar la presentación de propuestas para usos
innovadores de TI que permiten a la organización
responder a nuevas oportunidades o desafíos,
emprender nuevos negocios o mejorar los procesos.
Monitorear
Los directores deben:
• Supervisar el progreso de las propuestas de TI
aprobadas para asegurar que están logrando los
objetivos en los plazos requeridos, utilizando los
recursos asignados.
• Supervisar el uso de la tecnología de la información
para asegurarse de que está logrando los beneficios
esperados.
Evaluar
Los directores deben evaluar:
• Las opciones de suministro de TI para realizar las
propuestas aprobadas, equilibrando los riesgos y la
relación calidad-precio de las inversiones propuestas.

Página 13 de 24
 Dirigir
Los directores deben:
• Ordenar que se adquieran los activos de la tecnología
de la información (sistemas e infraestructura) de
manera adecuada, incluida la preparación de
documentación apropiada, al tiempo que se asegura
de que se proporcionen las capacidades necesarias.
• Dirigir que los acuerdos de suministro (tanto internos
como de suministro externo) apoyan las necesidades
comerciales de la organización.
Adquisición Monitorear
Los directores deben supervisar:
• Las inversiones en tecnología de la información para
asegurarse de que proporcionan las capacidades
requeridas.
• La medida en que su organización y sus proveedores
mantienen un acuerdo en la intención de la
organización de realizar cualquier adquisición en TI.
Evaluar
Los directores deben evaluar:
• Los medios propuestos por los administradores para
garantizar que la tecnología de la información apoyará
los procesos comerciales con la capacidad y la
habilidad necesarias. Estas propuestas deben abordar
la continuidad del funcionamiento normal de la
empresa y el tratamiento del riesgo asociado al uso de
la tecnología de la información.
• Los riesgos para la continuidad de la operación del
negocio derivadas de las actividades de la tecnología
Rendimiento de la información.
• Los riesgos para la integridad de la información y la
protección de los activos de la tecnología de la
información, incluida la propiedad intelectual asociada
y de propiedad de la organización.
• Las opciones para asegurar decisiones efectivas y
oportunas sobre uso de la tecnología de la información
en apoyo de los objetivos empresariales, y
• Regularmente la eficacia y el rendimiento del sistema
de la organización para el gobierno de las tecnologías
de la información.
Dirigir
Los directores deben:
• Asegurar la asignación de recursos suficientes para
que la TI cumpla con las necesidades de la
organización, de acuerdo con las prioridades y las
restricciones de presupuesto acordados.

Página 14 de 24
 • Ordenar a los responsables que se aseguren de que
la tecnología de la información apoye al negocio,
cuando sea necesario por razones comerciales, con
datos correctos y actualizados, protegidos de la
pérdida o el mal uso.
Monitorear
Los directores deben:
• Supervisar la medida en que la tecnología de la
información apoya el negocio.
• Supervisar la medida en que los recursos y
presupuestos asignados se priorizan de acuerdo con
los objetivos de la empresa.
• Supervisar la medida en que las políticas, la precisión
de los datos y el uso eficiente de la informática, son
seguidos adecuadamente.
Evaluar
Los directores deben evaluar:

• Periódicamente el grado en que la TI satisface las

obligaciones (reglamentarias, legislativas, de derecho
común, contractuales), políticas internas, normas y
directrices profesionales.
• Regularmente la conformidad interna de la
organización con su sistema de gobierno de las
tecnologías de la información.
Dirigir
Los directores deben:
Conformidad • Ordenar a los responsables que establezcan una
rutina y una regularidad de mecanismos para
asegurar que el uso de la tecnología de la información
cumpla con las obligaciones pertinentes
(reglamentarias, legislativas, de derecho común,
contractuales), normas y directrices.
• Ordenar que se establezcan y apliquen políticas que
permitan a la organización cumplir sus obligaciones
internas en el uso de la tecnología de la información.
• Ordenar que el personal de TI siga las directrices
pertinentes en el comportamiento y desarrollo
profesional.
• Ordenar que todas las acciones relacionadas con la
tecnología de la información sean éticas.
Monitorear
Los directores deben supervisar:
• El cumplimiento y la conformidad de la tecnología de
la información a través de las prácticas de
presentación de informes y de auditoría, asegurando

Página 15 de 24
 que los exámenes sean oportunos y exhaustivos, y
adecuado para la evaluación del grado de satisfacción
del negocio.
• Las actividades de la tecnología de la información,
incluida la eliminación de activos y datos, para
asegurar que la gestión ambiental, de privacidad, de
conocimiento estratégico, la preservación de la
memoria de la organización y otras obligaciones
pertinentes se cumplen.
Evaluar
Los directores deben:
• Evaluar las actividades de la tecnología de la
información para asegurarse de que los
comportamientos humanos son identificados y
debidamente considerados.
Dirigir
Los directores deben:
Comportamiento
Humano • Ordenar que las actividades de tecnología de la
información sean coherentes con las actividades
realizadas por las personas.
• Indicar que los riesgos, oportunidades, cuestiones y
preocupaciones pueden ser identificadas y reportadas
por cualquier persona en cualquier momento. Estos
riesgos deben ser manejados de conformidad con las
políticas y procedimientos publicados y derivadas a los
responsables de las decisiones pertinentes
Monitorear
Los directores deben supervisar:
• Las actividades de tecnología de la información para
asegurar que los comportamientos humanos
identificados siguen siendo pertinentes y se les presta
la debida atención.
• El trabajo

Página 16 de 24
1.2. Marco de referencia COBIT 2019.

Gobierno empresarial de la Información y Tecnología (GETI).

Dada la importancia de las TI para la gestión del riesgo empresarial y la generación

de valor, en las últimas tres décadas se ha prestado una atención especial al
gobierno empresarial de tecnologías de la información (GETI).

La GETI es una parte fundamental del gobierno corporativo. Esta la ejerce el

consejo de administración, que supervisa la definición e implementación de
procesos, estructuras y mecanismos relacionados en la organización para permitir
a la empresa y al personal de TI desempeñar sus responsabilidades de soporte al
negocio/alineamiento de TI y la creación de valor de negocio derivado de las
inversiones empresariales posibles gracias a las I&T (Información y Tecnología).

Beneficios del Gobierno de tecnologías de la Información.

Fundamentalmente la GETI se preocupa de la creación de valor a partir de la
transformación digital y la mitigación del riesgo de negocio derivado de dicha
transformación. Más concretamente, tras la adopción satisfactoria de la GETI cabe
esperar tres resultados principales:

Obtención de beneficios—Consiste en crear valor para la empresa a través de

I&T, con el mantenimiento y el incremento del valor derivado de las inversiones
actuales en I&T y eliminando las iniciativas de TI y los activos que no están creando
suficiente valor. El principio básico del valor de la I&T consiste en ofrecer servicios
y soluciones adecuados, a tiempo y dentro del presupuesto, que generen los
beneficios financieros y no financieros esperados. El valor que la I&T ofrecen

Página 17 de 24
debería estar directamente alineado con los valores en los que se centra el negocio.
El valor de las TI también debería medirse de forma que muestre el impacto y las
contribuciones de las inversiones posibles gracias a las TI en el proceso de creación
de valor de la empresa.

Optimización de riesgos. Esto implica tener en cuenta el riesgo empresarial

asociado al uso, propiedad, cooperación, involucramiento, influencia y adopción de
I&T dentro de una empresa. El riesgo empresarial asociado a la información y la
tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un
impacto en el negocio. Mientras que aportar valor se centra en la creación de valor,
la gestión de riesgos se centra en la preservación del valor. La gestión de riesgos
relacionados con la I&T debería integrarse en la estrategia de gestión de riesgos de
la empresa para garantizar que se enfoca en las TI para la empresa. También
debería medirse de forma que muestre el impacto y la contribución derivados de la
optimización de riesgos empresariales relacionados con la I&T a la hora de
preservar el valor.

Optimización de recursos. Esto asegura que se cuente con las capacidades

adecuadas para ejecutar el plan estratégico y que se proporcionen recursos
suficientes, adecuados y eficaces. La optimización de recursos asegura la dotación
de una integrada y económica infraestructura de TI. La introducción de nueva
tecnología conforme lo requiera el negocio y la actualización o sustitución de
sistemas obsoletos. Porque reconoce la importancia de las personas, además del
hardware y software, se centra en proporcionar formación, fomentar la retención y
garantizar la competencia del personal clave de TI. Recursos importantes son los
datos y la información, y su explotación para obtener un valor óptimo es otro
elemento esencial de la optimización de recursos.

Página 18 de 24
 Figura 3 COBIT 2019

COBIT como marco de gobierno de I&T.

COBIT es un marco para el gobierno y la gestión de las tecnologías de la
información dirigido a toda la empresa.

La I&T empresarial significa toda la tecnología y procesamiento de la

información que la empresa utiliza para lograr sus objetivos, independientemente
de dónde ocurra. En otras palabras, la I&T empresarial no se limita al departamento
de TI de una organización, aunque este está indudablemente incluido.

El marco de referencia COBIT hace una distinción clara entre gobierno y

gestión. Estas dos disciplinas abarcan distintos tipos de actividades, requieren
distintas estructuras organizativas y sirven diferentes propósitos.

El gobierno asegura que:

• Las necesidades, condiciones y opciones de las partes interesadas se

evalúan para determinar objetivos empresariales equilibrados y acordados.
• La dirección se establece a través de la priorización y la toma de decisiones.
• El desempeño y el cumplimiento se monitorean en relación con la dirección
y los objetivos acordados.

Página 19 de 24
En la mayoría de las empresas, el gobierno en general es responsabilidad del
consejo de dirección bajo el liderazgo del presidente. Responsabilidades
específicas de gobierno se pueden delegar a estructuras organizativas especiales
a un nivel adecuado, en particular, en empresas más grandes y complejas.

La gerencia (gestión) planifica, construye, ejecuta y monitorea actividades en línea

con la dirección establecida por el órgano de gobierno para alcanzar los objetivos
de la empresa. En la mayoría de las empresas, la gerencia es responsabilidad de la
dirección ejecutiva bajo el liderazgo del director general ejecutivo (CEO).

COBIT :

• define los componentes para crear y sostener un sistema de gobierno:

procesos, estructuras organizativas, políticas y procedimientos, flujos de
información, cultura y comportamientos, habilidades e infraestructura.
• Define los factores de diseño que deberían ser considerados por la empresa
para crear un sistema de gobierno más adecuado.
• Trata asuntos de gobierno mediante la agrupación de componentes de
gobierno relevantes dentro de objetivos de gobierno y gestión que pueden
gestionarse según los niveles de capacidad requeridos.

Que NO ES COBIT:

• No es una descripción completa de todo el entorno de TI de una empresa.

• No es un marco para organizar procesos de negocio.
• No es un marco Técnico de TI gestionar toda la tecnología.
• no toma ni prescribe ninguna decisión relacionada con la TI. No decidirá cuál
es la mejor estrategia de TI, cuál es la mejor arquitectura, o cuánto puede o
debería costar la TI. Por el contrario, COBIT define todos los componentes
que describen qué decisiones deberían tomarse, cómo deberían tomarse y
quién debería tomarlas.
• No toma ni prescribe ninguna decisión relacionada con la TI. No decidirá cuál
es la mejor estrategia de TI, cuál es la mejor arquitectura, o cuánto puede o
debería costar la TI.

Página 20 de 24
Principios
COBIT 2019 se desarrolló en base a dos series de principios.

• Principios que describen los requisitos fundamentales de un sistema de

gobierno para la Información y la Tecnología de la empresa.
• Principios para un marco de gobierno que pueda usarse para crear un
sistema de gobierno para la empresa.

Seis principios para un sistema de gobierno

1. Cada empresa necesita un sistema de gobierno para satisfacer las

necesidades de las partes interesadas y generar valor del uso de la I&T. El
valor refleja un equilibrio entre el beneficio, el riesgo y los recursos, y las
empresas necesitan una estrategia y un sistema de gobierno práctico para
materializar este valor.
2. Un sistema de gobierno para la I&T de la empresa se crea a partir de una
serie de componentes que pueden ser de distinto tipo y que funcionan
conjuntamente de forma holística.
3. Un sistema de gobierno debería ser dinámico. Esto significa que cada vez
que se cambian uno o más factores del diseño (p. ej. un cambio de estrategia
o tecnología), debe considerarse el impacto de estos cambios en el sistema
GETI. Una visión dinámica de la GETI llevará a un sistema de GETI
preparado para el futuro.
4. Un sistema de gobierno debería distinguir claramente entre actividades de
gobierno y gestión, y estructuras.
5. Un sistema de gobierno debería personalizarse de acuerdo con las
necesidades de la empresa, utilizando una serie de factores de diseño como
parámetros para personalizar y priorizar los componentes del sistema de
gobierno.
6. Un sistema de gobierno debería cubrir la empresa de principio a fin,
centrándose no solo en la función de TI, sino en todo el procesamiento de
tecnología e información que la empresa pone en funcionamiento para lograr

Página 21 de 24
sus objetivos, independientemente de dónde se realice el procesamiento en
la empresa.

Figura 4 Principios de un sistema de gobierno COBIT 2019

Página 22 de 24
Tres principios para un Marco de Gobierno

1. Un marco de gobierno se debería basar en un modelo conceptual que

identifique los componentes principales y las relaciones entre componentes
para maximizar la uniformidad y permitir la automatización.
2. Un marco de gobierno debería ser abierto y flexible. Debería permitir la
incorporación de nuevo contenido y la capacidad para abordar nuevos
asuntos de la forma más flexible, mientras mantiene la integridad y
uniformidad.
3. Un marco de gobierno debería alinearse con los principales estándares,
marcos y regulaciones relacionados.

Figura 5 Principios para un marco de gobierno TI

Página 23 de 24
Modelo CORE de COBIT

Figura 6 Modelo CORE de COBIT 2019

Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y

Monitorizar (EDM). En este dominio, el organismo de gobierno evalúa las opciones
estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas
elegidas y monitoriza la consecución de la estrategia.

Página 24 de 24