ITGITM Facilita la Adopción de IS0/IEC 38500:2008

IT Governance Institute®
TM
El Instituto de Gobierno de TI (ITGI ) (www.itgi.org) es una entidad de investigación independiente y sin
fines de lucro, que brinda orientación a la comunidad empresarial global sobre aspectos relacionados con
el gobierno de los activos de Tecnologías de la Información (TI). ITGI fue fundado en 1998 por ISACA,
asociación sin fines de lucro, para ayudar a ejecutivos y profesionales de TI a garantizar que las TI
entreguen valor y mitiguen sus riesgos a través del alineamiento con los objetivos del negocio, que los
recursos de TI se gestionen adecuadamente y se mida su rendimiento. ITGI desarrolló los Objetivos de
® TM
Control para la Información y Tecnologías Relacionadas (COBIT ) y Val IT , y ofrece investigación
original y casos de estudio para ayudar a líderes empresariales y consejos de administración a cumplir
con sus responsabilidades en el gobierno de TI y a los profesionales de TI a entregar servicios de valor
añadido.

Límite de responsabilidad
TM
ITGI ha diseñado y creado esta publicación, titulada en su versión española “ITGI Facilita la Adopción
de ISO/IEC 38500:2008” (la Obra), principalmente como un recurso educativo. ITGI no afirma que el uso
de cualquier parte de la obra asegurará un resultado exitoso. No debe considerarse que la Obra incluya
cualquier información, procedimientos y pruebas adecuadas o excluya otra información, procedimientos y
pruebas que estén razonablemente dirigidos a la obtención de los mismos resultados. En la determinación
de la adecuación de cualquier procedimiento de información o de prueba, los profesionales del control
deben aplicar su propio criterio profesional a las circunstancias de control específicas presentadas por el
entorno concreto de sistemas o de TI.

Reserva de derechos
© 2009 ITGI. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada,
copiada, modificada, distribuida, visualizada o almacenada en un sistema de recuperación o transmitida
en cualquier forma por cualquier medio (electrónico, mecánico, fotocopia, grabación o de otro tipo) sin la
previa autorización por escrito de ITGI. La reproducción y el uso de cualquier parte de esta publicación se
permiten únicamente para uso académico, interno y no comercial y para encargos de consulta y
asesoramiento, y debe incluir plena atribución de la fuente del material. No se concede ningún otro
derecho o permiso respecto a esta obra.

IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 EE.UU.
Teléfono: +1.847.660.5700
Fax: +1.847.253.1443
E-mail: info@itgi.org
Sitio Web: www.itgi.org

ITGITM Facilita la Adopción de IS0/IEC 38500:2008

Impreso en Estados Unidos de América

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 2

ITGITM Facilita la Adopción de IS0/IEC 38500:2008

Agradecimientos
ITGI desea reconocer a:
Investigador
Gary Hardy, CGEIT, IT Winners, South Africa

Revisores Expertos
Gregory T. Grocholski, CISA, The Dow Chemical Company, USA
Tony Hayes, FCPA, Queensland Government, Australia
John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia
Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia
Robert E. Stroud, CA Inc., USA
John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada
Wim Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment and
Governance Research Institute, Belgium
Vatsaraman Venkatakrishnan, CISA, CISM, CGEIT, ACA, Emirates Airlines, UAE

Patronato de ITGI
Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, UK, International President
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Belgium, Vice President
Yonosuke Harada, CISA, CISM, CAIS, InfoCom Research Inc., Japan, Vice President
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vice President
José Ángel Peña Ibarra, CGEIT, Consultoría en Comunicaciones e Info., SA & CV, México,
Vice President
Robert E. Stroud, CA Inc., USA, Vice President
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, Vice President
Frank Yam, CISA, CIA, CCP, CFE, CFSA, FFA, FHKCS, FHKIoD, Focus Strategic Group, Hong
Kong, VicePresident
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International
President
Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retired), USA, Past International President

Comité de Gobierno de TI
Tony Hayes, FCPA, Queensland Government, Australia, Chair
Sushil Chatterji, Edutech Enterprises, Singapore
Kyung-Tae Hwang, CISA, Dongguk University, Korea
John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA
Hugh Penri-Williams, CISA, CISM, CCSA, CIA, Accenture Technology Services, France
Gustavo Adolfo Solís Montes, CISA, CISM, Grupo Cynthus, México
Robert E. Stroud, CA Inc., USA
John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada
Wimp Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment
and Governance Research Institute, Belgium

Patrocinadores y afiliados a ITGI

American Institute of Certified Public Accountants
ASIS International
The Center for Internet Security
Common wealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Information Systems Security Association
Institut of Governance des Systems d’Information
Institute of Management Accountants Inc.
ISACA
ISACA Chapters
ITGI Japan

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 3

ITGITM Facilita la Adopción de IS0/IEC 38500:2008

Patrocinadores y afiliados a ITGI (continuación)

Norwich University
Socitm Performance Management Group
Solvay Brussels School of Economics and Management
University of Antwerp Management School
Aldion Consulting Pte. Ltd.
Analytix Holdings Pty. Ltd.
BWise B.V.
CA Inc.
Consult2Comply
IBM
IT preneurs Nederlands B.V.
Log Logic Inc.
Phoenix Business and Systems Process Inc.
Project Rx Inc.
Symantec Corp.
TruArx Inc.
Wolcott Group LLC
World Pass IT Solutions

Versión en español realizada por:

Manuel Ballester, PhD IEEE, MBA, CISA, CISM, CGEIT
Tomás Arroyo Salido. CISA
Manuel Palao, CISA, CISM, CGEIT

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 4

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

Introducción
1
En 1998, ISACA identificó la necesidad de mejorar la forma en que las
Nunca ha sido empresas gobernaban el uso de la información y las tecnologías
mayor la relacionadas (TI) y, en una iniciativa innovadora, creó el IT Governance
necesidad de
obtener más
Institute (ITGI) [Instituto de gobierno de las tecnologías de la información y
valor de las la comunicación], para incentivar la investigación y desarrollar guías en
inversiones este ámbito clave del gobierno corporativo. ITGI (www.itgi.org) fue creado
en TI y de para promover el pensamiento global y la orientación en la evaluación,
gestionar un dirección y la supervisión de la utilización de las Tecnologías de la
abanico cada Información en la empresa.
vez mayor de
riesgos ITGI dio la bienvenida a la publicación de un nuevo estándar, la norma
relacionados ISO/IEC ISO38500:2008 Corporate governance of information technology,
con TI. marcando un reconocimiento global de la importancia de este tópico y la
necesidad de formalizar su adopción. En una época en que la importancia
de la información y la tecnología está a nuestro alrededor, en cada aspecto
de los negocios y de la vida pública, nunca ha sido mayor la necesidad de
obtener más valor de las inversiones en TI y de gestionar un abanico cada
vez mayor de riesgos relacionados con TI. El aumento de la regulación
también provoca una mayor concienciación de los directores sobre la
importancia de un entorno TIC bien controlado y la necesidad de cumplir
las obligaciones legales, regulatorias y contractuales. Un gobierno
Un gobierno
empresarial eficaz de TI se traducirá en la mejora del desempeño y en el
empresarial
eficaz de TI se cumplimiento de requisitos externos.
traducirá en la ITGI considera que una norma internacional proporciona una base para el
mejora del posterior desarrollo del gobierno, sobre todo porque es aplicable a
desempeño y
en el
cualquier organización, desde las más pequeñas a las más grandes,
cumplimiento independientemente de su estructura o propósito. Sin embargo, para una
de requisitos adopción efectiva, la norma exige más apoyo a su implantación. La familia
externos. de productos ITGI puede ofrecer tal apoyo de forma adaptable a cualquier
empresa.

1
ISACA® fue fundada en 1969 y cuenta actualmente con más de 86.000 socios en más de 160 países.
ISACA es un reconocido líder mundial en gobierno de TI, el control, la seguridad y el aseguramiento. ISACA patrocina
conferencias internacionales, publica el ISACA Journal ®, y desarrolla normas internacionales de control y auditoría
de sistemas de información. También administra tres certificaciones de prestigio internacional: Certified Information
Systems Auditor™ (CISA®), Certified Information Security Manager® (CISM®) and Certified in the Governance of
Enterpriser IT™ (CGEIT™).

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 5

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

El enfoque de ITGI
A principios de 1990, ISACA reconoció que los auditores, quienes tenían
sus propias listas de comprobación para evaluar los controles y la eficacia
de TI, hablaban un lenguaje diferente del usado por los directores de
empresa y los profesionales de TI. Para salvar esta brecha en la
comunicación, se creó COBIT como un marco de control de TI para los
directores de empresa, los administradores de TI y los auditores, basado
en un grupo genérico de procesos significativos de TI tanto para
Las guías de profesionales de TI como para la dirección de la empresa.
ITGI, basadas
Aprovechando la base única de miembros de ISACA, profesionales de
en los marcos
de COBIT y gobierno, control, seguridad y aseguramiento de TI, y las experiencias
Val IT, prácticas de cientos de expertos globales, ITGI ha creado una guía líder en
permiten a el sector basada en el marco COBIT, incluyendo el marco recientemente
administrador publicado Val ITTM, proporcionando un lenguaje y enfoque comunes que
es y ayuden a miles de empresas alrededor del mundo a entender y poner en
directores de práctica los principios de gobierno de TI. Como organización no lucrativa,
empresa un ITGI ha creado amplias prácticas que son independientes de cualquier
mejor tecnología, vendedor o producto comercial específico, y ha puesto esta
entendimiento
guía a libre disposición. Esto ayuda a consejos de dirección, ejecutivos,
de cómo
dirigir y directores y gerentes a implementar estructuras, procesos y herramientas
gestionar el que les permitan entender y dirigir requisitos importantes relacionados con
uso de TI en TI, supervisar y evaluar actividades críticas de TI y tomar decisiones
la empresa. informadas.
Las empresas necesitan confiar en los sistemas de información y en la
información que estos producen. Necesitan poder contar con un
rendimiento positivo de las inversiones en TI. Las guías de ITGI, basadas
en los marcos de COBIT y Val IT, permiten a administradores y directores
de empresa un mejor entendimiento de cómo dirigir y gestionar el uso de
TI en la empresa y el estándar de buena práctica que debe esperarse de
los proveedores de TI. COBIT and Val IT aportan las herramientas para
dirigir y supervisar todas las actividades relacionadas con las TI.
Al final de esta publicación se incluye una descripción de todos los
productos de gobierno de TI suministrados por ITGI.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 6

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

Beneficios del estándar ISO/IEC 38500

ISO/IEC 38500 es beneficioso por las siguientes razones:
 Destaca la importancia del gobierno de TI debido a los riesgos
involucrados y a las significativas inversiones requeridas.
 Incentiva a las empresas a utilizar estándares apropiados para
apuntalar su gobierno de TI.
 Provee un marco de 6 principios básicos para que los directores lo
utilicen cuando evalúen, dirijan y supervisen el uso de las TI en sus
empresas. Seguir estos principios ayudará a los directores a balancear
riesgos y propiciar oportunidades derivadas del uso de las TI.
 Es aplicable a todas las empresas, desde las más pequeñas hasta las
más grandes, independientemente del propósito, diseño y estructura de
la propiedad.
 Aclara que un buen gobierno corporativo de TI puede ayudar a los
directivos a asegurar la conformidad con las obligaciones (regulatorias,
legales, contractuales y de derecho común) sobre el uso aceptable de
TI, y asegurar que este uso contribuya positivamente al desempeño de
la empresa.
 Asimismo, deja claro que los sistemas inadecuados de TI pueden
exponer a los directivos al riesgo de incumplimiento con una gama cada
vez más amplia de legislación.

La implementación de la norma y la respuesta a la dirección establecida

por el consejo de dirección están soportadas por guías adicionales del
ITGI.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 7

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

Cómo apoya ITGI al estándar

A continuación se resume cómo es que COBIT, Val IT y las guías
relacionadas apoyan la adopción de los principios y el enfoque de
implementación del estándar. Para mayor información, se incluye una lista
de productos disponibles y enlaces de la web al final de este documento.
El nuevo estándar ISO/IEC 38500:2008 – Gobierno corporativo de las
tecnologías de la información, se basa en seis principios fundamentales. A
continuación, se detallan las implicaciones prácticas de cada principio y
cómo es que las guías del ITGI facilitan las mejores prácticas.

Principios del estándar2

Principio 1-Responsabilidad
¿Qué significa en la práctica?: La empresa (cliente) y TI (proveedor)
Se requieren deberían colaborar en la utilización de comunicaciones efectivas basadas
estructuras de en una relación de confianza y positiva, demostrando claridad con respecto
organización a la responsabilidad y la rendición de cuentas. Para empresas más
de gobierno grandes, un comité ejecutivo de TI (generalmente referido como el comité
apropiadas, de estrategia de TI), actuando en nombre del consejo y presidido por un
así como
funciones y
miembro del consejo, es un mecanismo muy eficaz para la evaluación,
responsabili- dirección y supervisión de la utilización de TI en la empresa, y para
dades asesorar a la junta sobre cuestiones críticas de TI. Los directores de las
correctamente pequeñas y medianas empresas, con una estructura de mando más simple
asignadas por y mecanismos de comunicación más rápidos, necesitan utilizar un enfoque
la dirección, más directo para supervisar las actividades de TI. En todos los casos, se
que requieren estructuras de organización de gobierno apropiadas, así como
proporcionen funciones y responsabilidades correctamente asignadas por la dirección,
claridad en
que proporcionen claridad en cuanto a la autoría y la rendición de cuentas
cuanto a la
autoría y la
por las tareas y decisiones importantes. Esto debería incluir las relaciones
rendición de con proveedores críticos de servicios de TI.
cuentas por
las tareas y
decisiones ¿Cómo es que las guías de ITGI facilitan las mejores prácticas?
importantes.
 La publicación Board Briefing on IT Governance and Unlocking Value:
An Executive Primer on the Critical Role of IT Governance, 2nd Edition
proporciona orientación sobre los roles y responsabilidades para el
gobierno de TI en las empresas y para la función de TI, ya sea interna o
tercerizada, y describe la forma de establecer un eficaz comité ejecutivo
(estratégico) de TI.

3
Los marcos COBIT y Val IT incluyen tablas RACI que muestran
ejemplos de roles y responsabilidades para miembros del consejo y de
la gerencia para todos los procesos y actividades claves relacionados
con TI.
 La publicación IT Governance Implementation Guide: Using COBIT®
and Val IT™, 2nd Edition explica las responsabilidades de las partes
interesadas e involucradas en la aplicación o la mejora del esquema de
gobierno de TI.

2
Para las definiciones de los seis principios expuestos en esta sección, por favor refiérase al estándar IS0/IEC
38500-2008, que puede comprarse a Distribuidores Autorizados, tales como ANSI, 25 West 43rd Street, New York,
NY 10036, EE.UU., +1.212.642.4900, o http://webstore.ansi.org u otro vendedor autorizado.
3
Las tablas RACI identifican quiénes son los responsables, los que rinden cuentas, los consultados e informados
para una tarea.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 8

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

 El proceso Monitoreo y Evaluación (ME) de COBIT explica el rol del

director en la supervisión y evaluación del gobierno y el desempeño de
TI con un método genérico para establecer las metas, los objetivos y
sus métricas relacionadas.ME4 Monitoriza y evalúa el gobierno de TI se
focaliza específicamente en la supervisión de actividades del gobierno
de TI.

Principio 2-Estrategia

¿Qué significa en la práctica?: La planificación estratégica de TI es una

tarea compleja y crítica que requiere una estrecha coordinación a lo largo de
la empresa, unidades de negocio y planes estratégicos de TI. También es
fundamental priorizar los planes que tienen mayor probabilidad de lograr los
beneficios deseados y de asignar recursos de manera eficaz. Los objetivos
La meta es de alto nivel tienen que ser traducidos en planes tácticos alcanzables,
entregar valor asegurando un mínimo de fallas y sorpresas. La meta es entregar valor en
en apoyo de apoyo de los objetivos estratégicos, considerando los riesgos asociados en
los objetivos relación con el apetito de riesgo del consejo de dirección. Si bien es
estratégicos, importante que los planes se trasladen en cascada de forma descendente
considerando
(top-down), los planes también deben tener un grado razonable de
los riesgos
asociados en flexibilidad y adaptabilidad para satisfacer rápidamente las cambiantes
relación con necesidades empresariales y las oportunidades de TI.
el apetito de
riesgo del Además, la presencia o ausencia de capacidades de TI puede permitir o
consejo de dificultar las estrategias de negocio; por tanto, la planificación estratégica de
dirección. TI debería incluir una planificación adecuada y transparente de sus
capacidades Esto debería incluir la evaluación de la capacidad de la actual
infraestructura de TI y de los recursos humanos para apoyar las futuras
necesidades empresariales así como la consideración de futuros avances
tecnológicos que podrían permitir ventajas competitivas y/o la optimización
de costos. Los recursos de TI incluyen relaciones con muchos vendedores
de productos y proveedores de servicios, algunos de los cuales
probablemente jueguen un papel fundamental en el apoyo a la empresa. El
gobierno del abastecimiento estratégico se constituye en una actividad muy
importante de la planificación estratégica que requiere supervisión y
dirección a nivel ejecutivo.

¿Cómo es que las guías de ITGI facilitan las mejores prácticas?

 La publicación Board Briefing on IT Governance and Unlocking Value:
An Executive Primer on the Critical Role of IT Governance, 2nd Edition
explica cómo el comité ejecutivo de TI debería implementar una
planificación estratégica efectiva alineada con la planificación
estratégica de toda la empresa, y cómo la dirección del negocio y la de
TI deberían cooperar para lograr resultados exitosos.
 Val IT proporciona guías específicas en la gestión de inversiones de TI
(específicamente en el dominio IM – Investment Management) y cómo
es que los objetivos estratégicos deberían ser sustentados por
apropiados casos de negocio.
 El dominio Planificar y Organizar (PO) de COBIT explica los procesos
requeridos para una planificación efectiva y la organización de los
recursos internos y externos, incluyendo la planificación estratégica, la
planificación de la arquitectura y la tecnología, la planificación
organizacional y de inversiones, así como la administración de los
riesgos, la calidad y de proyectos. También se explica el alineamiento
de las metas de negocio y de TI con ejemplos genéricos, mostrando
cómo se apoyan a los objetivos estratégicos para todos los procesos
relacionados a TI basados en investigaciones de la industria.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 9

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

 La publicación Identifying and Aligning Business Goals and IT Goals

presenta una mejor interpretación de la relación en cascada entre
objetivos de negocio, objetivos de TI y procesos de TI. Presenta una
lista consolidada de 17 objetivos de negocio genéricos y 18 objetivos
genéricos de TI, validada y priorizada para diferentes sectores. Junto a
la información que las relaciona, proporciona una buena base sobre la
cual construir una relación en cascada entre los objetivos de negocio y
los objetivos de TI. Se identificó una relación completa de las más
importantes metas de negocio y de TI en los diferentes sectores. Un
exhaustivo análisis por sector y localización geográfica permitió
identificar significativas desviaciones, lo cual enfatiza la relevancia
práctica para las empresas que operan en un sector específico que
quieran utilizar estas listas para ayudarlas a identificar un buen conjunto
de objetivos de negocio y de TI.
 El documento Understanding How Business Goals Drive IT Goals
resume el contenido del reporte de investigación Identifying and Aligning
Business Goals and IT Goals.

Principio 3-Adquisición

¿Qué significa en la práctica?: Existen soluciones de TI para apoyar los

La puesta en procesos de negocio y, por tanto, se debe tener cuidado de no considerar a
práctica no es
sólo una
las soluciones de TI de forma aislada o sólo como un servicio o proyecto
cuestión de "tecnológico". Por otra parte, una elección inadecuada de arquitectura de
tecnología, tecnología, una falla al mantener una infraestructura técnica apropiada, o la
sino más bien falta de recursos humanos calificados puede causar el fracaso del proyecto,
de una una incapacidad de mantener las operaciones del negocio o una reducción
combinación del valor del negocio. Las adquisiciones de recursos de TI deberían ser
de cambio consideradas como una parte del cambio en el negocio viabilizado por TI.
organizacional, La tecnología adquirida también debe apoyar y operar con los procesos de
procesos de negocio e infraestructura de TI existentes. La puesta en práctica no es sólo
negocio
una cuestión de tecnología, sino más bien de una combinación de cambio
revisados,
entrenamiento organizacional, procesos de negocio revisados, entrenamiento y posibilitar
y posibilitar el el cambio. Por lo tanto, se deberían emprender proyectos de TI como parte
cambio. de programas de cambio a lo largo de la empresa que incluyen otros
proyectos que satisfacen la gama completa de actividades exigidas para
ayudar a asegurar un resultado exitoso.

¿Cómo las guías de ITGI facilitan las mejores prácticas?

 En el dominio Gestión de la inversión (IM), Val IT proporciona
orientación sobre el gobierno y la gestión de inversiones de negocio
viabilizadas por TI a través de su ciclo de vida completo (adquisición,
implementación, funcionamiento y desmantelamiento). El dominio
Gestión de portafolio (PM) establece cómo aplicar una gestión eficaz de
programa y portafolio de dichas inversiones para ayudar a garantizar
que se obtengan los beneficios y se optimicen los costos.
 El dominio PO (Planear y organizar) de COBIT proporciona orientación
para la planificación de adquisiciones, incluyendo el plan de inversión,
la gestión de riesgos, la planificación de programas y proyectos y la
planificación de calidad.
 El dominio AI (Adquirir e implementar) de COBIT proporciona orientación
sobre los procesos necesarios para adquirir e implementar soluciones
de TI, que abarca la definición de requisitos, la identificación de
soluciones viables, la preparación de la documentación, y la formación y
entrenamiento a los usuarios y las operaciones para ejecutar los nuevos
sistemas. Además, se ofrece orientación para ayudar a asegurar que las
soluciones se prueban y controlan adecuadamente puesto que los

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 10

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

cambios pueden afectar a las operaciones de negocio y al entorno de

TI.
 El dominio ME (Monitorizar y evaluar) de C OBIT incluye orientación
sobre cómo es que los directores pueden supervisar y evaluar el
proceso de adquisición, así como los controles internos para ayudar a
asegurar que las adquisiciones están bien gestionadas y ejecutadas.

Principio 4-Desempeño

¿Qué significa en la práctica?: La medición efectiva del desempeño

Dos factores
depende de dos aspectos claves: La definición clara de objetivos de
críticos de éxito desempeño y el establecimiento de métricas efectivas para supervisar el
del gobierno son logro de objetivos. Un proceso de medición del desempeño también es
la aprobación de necesario para ayudar a asegurar que se supervisa en forma consistente y
objetivos por las fiable. Un gobierno eficaz se consigue cuando se establecen objetivos de
partes arriba hacia abajo y son alineados con objetivos de negocio de alto nivel, se
interesadas, y la establecen parámetros de abajo hacia arriba y se alinean de manera que
aceptación de la permitan el logro de los objetivos en todos los niveles que se supervisa por
rendición de
cada capa de la gestión. Dos factores críticos de éxito del gobierno son la
cuentas para el
logro de los
aprobación de objetivos por las partes interesadas, y la aceptación de la
objetivos por rendición de cuentas para el logro de los objetivos por parte de los
parte de los directores y administradores. TI es un tema complejo y técnico, por tanto, es
directores y importante lograr la transparencia expresando los objetivos, indicadores y
administradores. reportes de desempeño en un lenguaje asequible a los interesados de modo
que se tomen las medidas apropiadas.

¿Cómo las guías de ITGI facilitan las mejores prácticas?

 COBIT y Val IT proporcionan ejemplos genéricos de objetivos y métricas
para la gama completa de los procesos relacionados con TI y nos
enseñan cómo se relacionan con los objetivos de negocio, permitiendo
a las empresas adaptarlos para su propio uso específico.
 COBIT proporciona orientación sobre el establecimiento de objetivos,
alineados con los objetivos de negocio y describe cómo supervisar el
desempeño de estos objetivos mediante la utilización de indicadores y
métricas. La capacidad puede ser comparada utilizando modelos de
madurez y los objetivos de control.

Dos de los principales procesos de COBIT ofrecen orientación

específica:
 PO1 Definir un plan estratégico de TI, que se focaliza en la
definición de metas.
 DS1 Definir y gestionar los niveles de servicio, que se centra en
la definición de servicios apropiados y de objetivos de los
servicios, así como en la documentación en acuerdos de niveles
de servicio.

En el proceso ME1 Monitorizar y Evaluar el desempeño de TI, COBIT

proporciona orientación sobre las responsabilidades de la dirección
ejecutiva para esta actividad.

COBIT ofrece orientación sobre el propio gobierno de TI en el proceso

ME4 Supervisar y Evaluar el Gobierno de TI.

 Val IT proporciona orientación específica y ejemplos concretos para el

seguimiento del desempeño de una inversión de TI a través de todo su
ciclo de vida económico, desde el caso de negocio hasta la realización
de beneficios.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 11

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

 La publicación IT Assurance Guide: Using COBIT explica cómo es que

los profesionales de aseguramiento pueden proporcionar un enfoque
independiente de aseguramiento a la dirección, en cuanto al
desempeño de TI.

Principio 5-Conformidad

¿Qué significa en la práctica?: En el actual mercado global, gracias a

Internet y a las avanzadas tecnologías, las empresas necesitan cumplir con
un número creciente de requisitos legales y regulatorios. Debido a los
escándalos corporativos y las anomalías financieras en años recientes, los
consejos directivos tienen plena conciencia de la existencia y las
implicaciones de las leyes y los reglamentos cada vez más estrictos. Las
partes interesadas requieren una mayor garantía de que las empresas están
cumpliendo con las leyes y regulaciones y que se ajusten a las mejores
prácticas del gobierno corporativo en su entorno operativo. Además, debido
a que las TI han facilitado procesos de negocio perfectamente integrados
entre empresas, también hay una creciente necesidad de ayudar a
garantizar que los contratos incluyen importantes requisitos relacionados
con TI en áreas como la privacidad, la confidencialidad, la propiedad
intelectual y la seguridad.

Los directores necesitan asegurar que el cumplimiento de requisitos

externos se considera como parte de la planificación estratégica y no como
una costosa ocurrencia de último momento. Ellos también necesitan marcar
la pauta en la alta dirección, estableciendo políticas y procedimientos a
seguir por su gerencia y staff, para asegurar que se logren los objetivos de
la empresa, se minimicen los riesgos y se superen los cumplimientos. La
alta dirección debe lograr un equilibrio adecuado entre el desempeño y la
conformidad, asegurando que los objetivos de desempeño no pongan en
peligro el cumplimiento y, por el contrario, que el régimen de cumplimiento
es adecuado y no restringe demasiado el funcionamiento de la empresa.

¿Cómo las guías de ITGI facilitan las mejores prácticas?

 Los objetivos de control y las prácticas de control de C OBIT
proporcionan una base para el establecimiento de un ambiente de
control apropiado y para la evaluación de la idoneidad de los controles
de TI en la empresa. Los modelos de madurez permiten a la dirección
evaluar y comparar la capacidad de los procesos de TI.
 El proceso COBIT PO1 Definir un plan estratégico de TI, ayuda a
asegurar la alineación entre los planes de TI y los objetivos estratégicos
del negocio, incluyendo los requisitos enfocados al gobierno.
 El proceso COBIT ME2 Monitorizar y evaluar los controles de TI,
permite que los directores valoren si los controles son adecuados para
satisfacer los requisitos de conformidad.
 El proceso COBIT ME3 Asegurar el cumplimiento de los requisitos
externos, ayuda a asegurar que se identifiquen los requerimientos
externos, que los directores definan el enfoque para el cumplimiento, y
que el propio cumplimiento de TI sea supervisado, evaluado e integrado
como una parte de la conformidad general de los requerimientos de la
empresa.
 La publicación IT Assurance Guide: Using COBIT explica cómo es que
los auditores pueden proporcionar garantía independiente de
cumplimiento y adhesión a las políticas internas derivadas de directivas
internas o requerimientos legales, regulatorios o contractuales,
confirmando que se tomen las acciones correctivas para enfrentar

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 12

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

cualquier incumplimiento por el propietario responsable del proceso de

una manera oportuna.
 La conformidad también implica decisiones de inversión. Val IT,
específicamente a través del Gobierno del Valor VG1 y 3, PM1 y 4, y
Gestión de las Inversiones IM4, asegura que las inversiones
relacionadas a la conformidad equilibren la conformidad con el riesgo y
con el costo de la no conformidad.

Cualquier cambio
Principio 6-El comportamiento humano.
viabilizado por TI,
incluyendo el ¿Qué significa en la práctica?: La implementación de cualquier cambio
mismo gobierno viabilizado por TI, incluyendo el mismo gobierno de TI, generalmente
de TI, requiere significativos cambios culturales y de comportamiento en las
generalmente empresas, los clientes y los socios de negocios. Esto puede crear temor y
requiere malentendidos entre el personal, de modo que la implementación necesita
significativos ser gestionada con cuidado, sobre todo si el personal debe permanecer
cambios
altamente comprometido. Los directores deben comunicar claramente los
culturales y de
comportamiento objetivos, y ser percibidos como los abanderados en el apoyo de los
en las empresas, cambios propuestos. Los aspectos clave del cambio son el entrenamiento y
los clientes y los la mejora de habilidades del personal, especialmente dada la veloz
socios de naturaleza evolutiva de la tecnología. Las personas están impactadas por
negocios. las TI en todos los niveles de la empresa, sean partes interesadas,
gerentes, usuarios o especialistas que proporcionan servicios y soluciones
de TI al negocio. Más allá de la empresa, las TI afectan a clientes y socios
de negocio, incrementando el autoservicio y las transacciones
Aspectos tales automatizadas entre compañías, dentro de los países y fuera de ellos. Si
como la bien es cierto los procesos de negocio facilitados por TI traen nuevas
privacidad y el ventajas y oportunidades, también incorporan un creciente número de
fraude son riesgos. Aspectos tales como la privacidad y el fraude son preocupaciones
preocupaciones crecientes para las personas; se requiere gestionar esos y otros riesgos
crecientes para para que la gente confíe en los sistemas de TI que utilizan. Los sistemas de
las personas; información también impactan dramáticamente en las prácticas laborales, a
se requiere
través de la automatización de procedimientos manuales.
gestionar esos
y otros riesgos
para que la ¿Cómo las guías de ITGI facilitan las mejores prácticas?
gente confíe en Siete procesos de Val IT y COBIT proporcionan orientación ante los
los sistemas de requerimientos que se relacionan con el comportamiento humano:
TI que utilizan.  El capítulo 6 de Val IT, Responsabilidades y rendición de cuentas,
acentúa la necesidad de entender los cambios relacionados con el
gobierno de las inversiones y para los mismos cambios facilitados por
TI.
 El proceso de COBIT PO4 Definir la organización y relaciones de TI,
explica cómo la organización de TI y sus procesos relacionados son
Un gobierno
desarrollados y mantenidos apropiadamente para satisfacer las
empresarial necesidades y requerimientos del personal en todos los niveles.
eficaz de TI se  El proceso de COBIT PO6 Comunicar la dirección y objetivos de la
traducirá en la gerencia, se focaliza en asegurar que las metas y los objetivos son
mejora del comunicados claramente y que la cultura laboral fomenta la actitud
desempeño y
correcta del trabajador hacia el riesgo y el control.
en el
cumplimiento  El proceso de COBIT PO7 Gestión de los recursos humanos de TI
de requisitos explica cómo el desempeño de los individuos debería estar alineado con
externos. las metas corporativas, cómo deberían mantenerse las habilidades de
los especialistas de TI, y cómo deberían definirse los roles y
responsabilidades.
 El proceso COBIT AI2 Adquirir y mantener el software de aplicación,
ayuda a asegurar las especificaciones de diseño de las aplicaciones
que satisfacen los requerimientos de uso y operación del personal.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 13

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

 El proceso de COBIT T AI4 Permitir la operación y el uso, ayuda a

asegurar que los usuarios están capacitados para la utilización efectiva
de los sistemas.
 El proceso COBIT DS7 Educar y entrenar a los usuarios, explica cómo
se pueden identificar y responder a las necesidades de entrenamiento
de los usuarios, asegurando el uso eficaz de los sistemas de TI.
 El proceso COBIT ME2 Monitorizar y evaluar los controles internos,
permite que los directores puedan supervisar los controles internos y,
específicamente, supervisar el desempeño de las personas a través de
exámenes de control.

Además, ISACA ofrece tres certificaciones para los profesionales que

desempeñan roles críticos relacionados con el gobierno de TI:
 Certificación en el gobierno de TI de las empresas (CGEIT™).

®
Certificación de auditor de sistemas de información (CISA ).

®
Certificación de gerente de seguridad de la información (CISM ).

Los titulares de estas certificaciones han demostrado tanto capacidad como

experiencia en el desempeño de tales roles.

Las mejores
Adopción del estándar
prácticas en
COBIT son un
enfoque común
para un buen
control de TI
implementado
por gerentes de
TI y del negocio,
y evaluado en la
misma base por
auditores.

Fuente: © ISO. Este material es reproducido de ISO/IEC 38500:2008 con el permiso de

ANSI (American National Standards Institute) en representación de ISO (International
Organisation for Standardisation). Ninguna parte de este material puede ser copiado o
reproducido en cualquier forma, sistema de recuperación electrónica u otro, o estar
disponible en Internet, una red pública, satélite u otro, sin el previo permiso escrito de
ANSI u otra entidad autorizada.
Copias de este estándar pueden ser compradas en ANSI, 25 West 43rd Street, New York,
NY10036, USA, +1.212.642.4900, http://webstore.ansi.org u otro vendedor autorizado.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 14

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

ISO/IEC 38500 recomienda que los directores de TI deberían gobernar a

través de tres tareas principales, tal como se muestra en la figura 1:
 Evaluar.
 Dirigir.
 Monitorizar.

¿Qué significa en la práctica?: La implementación de un enfoque efectivo

de gobierno de TI se hace más fácil y es más efectivo cuando:
 Se alinea con estándares y practicas aceptadas de gobierno
corporativo.
 Se alinea con el enfoque de la empresa para el gobierno.
 Cubre todos los aspectos de las actividades relacionadas a TI en una
empresa.
 Está basado en principios y objetivos que pueden ser entendidos y
aplicados por todos los interesados.

La referencia a marcos completos, estándares y prácticas disponibles y su

adopción y utilización (adaptado para reflejar la cultura, los requisitos y las
capacidades), pueden apoyar eficiente y eficazmente a las empresas en el
establecimiento de un apropiado enfoque de gobierno de TI.

¿Cómo las guías de ITGI facilitan las mejores

prácticas?
Los siguientes materiales de ITGI apoyan las tres tareas principales
recomendadas en ISO/ IEC 38500.

Evaluar:
 Las publicaciones The Board Briefing on IT Governance, 2nd Edition y
Unlocking Value: An Executive Primer on the Critical Role of IT
Governance describen qué deberían hacer los consejos de dirección
acerca del gobierno de TI, qué cubre, qué cuestiones deben
preguntarse, y cómo comparar la propia empresa con las mejores
prácticas.
 COBIT and Val IT proporcionan una base para evaluar la idoneidad de
las prácticas de gestión y los controles de TI, permitiendo a la dirección
la evaluación y comparación de la capacidad de los procesos de TI.
 Las fases Identificación de necesidades y Visualizar la solución de la
®
publicación IT Governance Implementation Guide: Using COBIT and
Val IT, 2nd Edition, explican cómo focalizar la evaluación de TI en
necesidades de negocio y procesos críticos de TI, y luego, cómo
realizar un análisis de brecha respecto de las mejores prácticas.

®
COBIT QuickStart™, 2nd Edition, proporciona orientación a las
pequeñas o grandes empresas que desean evaluar su control y
gobierno de TI con referencia a una línea base predefinida.
 La publicación Enterprise Value: Governance of IT Investments, Getting
Started With Value Management, ayuda a identificar factores
desencadenantes y a evaluar necesidades de negocio para mejorar la
gestión de inversiones relacionadas con las TI.
 La publicación Enterprise Value: Governance of IT Investments, The
Business Case, ayuda a generar casos de negocio para el
mejoramiento del gobierno de TI.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 15

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008


®
La publicación IT Assurance Guide: Using COBIT permite que los
profesionales de aseguramiento brinden evaluaciones independientes a
la gerencia y proporcionen un método y ejemplos para conducir
auditorías y revisiones.

Dirigir:
 Las publicaciones The Board Briefing on IT Governance, 2nd Edition y
Unlocking Value: An Executive Primer on the Critical Role of IT
Governance, describen lo que los consejos de dirección pueden hacer
sobre el gobierno de TI y explican cómo se concretan.
 COBIT y Val IT proporcionan guías de implementación sobre objetivos
de control y prácticas clave de administración que se deberían
considerar, (basado en mejores prácticas y en estándares
internacionales generalmente aceptados), para implementar un buen
gobierno de TI.
 Las fases Planificar la solución e Implementar la solución de la
®
publicación IT Governance Implementation Guide: Using COBIT and
Val IT, 2nd Edition, explican cómo priorizar, planificar y diseñar mejoras
en el gobierno de TI.

®
COBIT QuickStart™, 2nd Edition, brinda una línea base recomendada
de controles para las pequeñas o grandes empresas que deseen dar un
paso inicial hacia el buen gobierno de TI.
 Para aquellas empresas donde la seguridad es el área clave que
®
necesita mejoras, COBIT Security Baseline™, 2nd Edition proporciona
una guía sencilla para dirigir la implementación de controles de
seguridad clave de TI, en alineamiento con el estándar de seguridad
ISO/IEC 27002.

Monitorizar:
 Las publicaciones The Board Briefing on IT Governance, 2nd Edition y
Unlocking Value: An Executive Primer on the Critical Role of IT
Governance, describen lo que los consejos de dirección deberían hacer
para supervisar efectivamente el gobierno corporativo.
 COBIT proporciona guías bajo la forma de procesos recomendados para
supervisar y evaluar las TI (dominio ME), cubriendo la medición del
desempeño, la efectividad del control interno, conformidad con
requisitos externos y la consecución de un eficaz gobierno corporativo.
 COBIT y Val IT incluyen ejemplos de metas y métricas para apoyar el
establecimiento de un proceso de supervisión efectivo alineado con
metas y objetivos de negocio.
 La fase Implementar la solución de la publicación IT Governance
®
Implementation Guide: Using COBIT and Val IT, 2nd Edition, explica
cómo introducir el gobierno de TI en las operaciones de negocio
normales y cómo supervisar y medir el éxito de las mejoras en el
gobierno de TI.

®
La publicación The IT Assurance Guide: Using COBIT permite que los
profesionales de aseguramiento proporcionen opiniones independientes
a la gerencia sobre el desempeño y la conformidad, brindando un
método y ejemplos para conducir auditorías y revisiones.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 16

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

¿Cómo los productos de ITGI apoyan en la

adopción de ISO/IEC 38500?
La figura 2 muestra cómo es que los productos de ITGI apoyan en la
adopción de ISO/IEC 38500.

Figura 2-Relación de productos ITGI e ISO/IEC 38500

COBIT está Áreas de ISO/IEC 38500

siendo
globalmente
adoptado de
Producto ITGI
modo creciente

Responsabilidades

Comportamiento

Monitorizar
Conformidad
como el modelo

Adquisición
Desempeño
Estrategias

humano
Evaluar
de control

Dirigir
estándar “de
facto”

Board Briefing on IT Governance, 2nd Edition

√ √ √ √ √ √
Val IT se Unlocking Value: An Executive Primer on
introdujo para the Critical Role of IT Governance √ √ √ √ √ √
ampliar la
orientación de
ITGI en el área
de inversiones
COBIT® √ √ √ √ √ √ √ √ √
viabilizadas por Val IT™ √ √ √ √ √ √ √ √ √
TI.
IT Governance Implementation Guide: Using √ √ √
COBIT® and Val IT, 2nd Edition

IT Assurance Guide: Using COBIT® √ √ √ √

La combinación
de Val IT y COBIT® Quickstart™, 2nd Edition √ √
COBIT
proporciona una Enterprise Value: Governance of IT √
base completa Investments, Getting Started With Value
para establecer Management
un esquema de
gobierno
efectivo sobre COBIT® Security Baseline™, 2nd Edition √ √ √
las actividades
relacionadas
Enterprise Value: Governance of IT √ √ √ √ √
Investments, The Business Case
con TI.

Las mejores prácticas en COBIT son un enfoque común para un buen

control de TI implementado por gerentes de TI y del negocio, y evaluado en
la misma base por auditores. En el transcurso de los años, COBIT ha sido
desarrollado como un marco libremente disponible y ahora está siendo
globalmente adoptado de modo creciente como el modelo de control
estándar “de facto” para implementar y demostrar una gestión y gobierno
efectivo de TI.

Recientemente, se introdujo Val IT para ampliar la orientación de ITGI en el

área de inversiones viabilizadas por TI. La combinación de Val IT y COBIT
proporciona una base completa para establecer un esquema de gobierno
efectivo sobre las actividades relacionadas con TI.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 17

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

El marco COBIT, en las versiones 4.0 y superiores, incluye lo siguiente:

 Marco de referencia: Explica cómo es que COBIT organiza la gestión del
gobierno de TI, los objetivos de control y las mejores prácticas mediante
procesos y dominios de TI, y cómo enlazar a éstos con los
requerimientos de la empresa.
 Descripciones de procesos: Incluyen 34 procesos que cubren todas las
áreas de responsabilidad de TI.
 Objetivos de control: Proporcionan los objetivos de gestión de las
mejores prácticas genéricas para los procesos de TI.
 Directrices de gestión: Ofrece herramientas para ayudar a asignar
responsabilidades y medir el desempeño.
 Modelos de madurez: Proporcionan perfiles de los procesos de TI
describiendo los posibles estados, el actual y el futuro.

En los años transcurridos desde su creación, el contenido básico de COBIT

ha seguido evolucionando y se ha incrementado el número de trabajos
derivados. A continuación, las publicaciones actuales derivadas de COBIT:
 Unlocking Value: An Executive Primer on the Critical Role of IT
Governance: Proporciona una visión a los ejecutivos de por qué el
gobierno de TI es importante y cómo puede añadir valor a la empresa.
 Board Briefing on IT Governance, 2nd Edition: Ayuda a los ejecutivos a
entender mejor los conceptos de gobierno de TI, y cómo hacer para que
se viabilicen.

®
COBIT Online : Permite a los usuarios personalizar una versión de
COBIT para su propia empresa y, a continuación, almacenar y manipular
la versión como se desee. Se ofrece encuestas en línea, las preguntas
más frecuentes, benchmarking, y un foro de debate para compartir
experiencias y preguntas.
 COBIT® Control Practices: Guidance to Achieve Control Objectives for
Successful IT Governance, 2nd Edition: Proporciona guías sobre los
riesgos a evitar y el valor a obtener cuando se implementa un objetivo
de control, así como las instrucciones para implementar el objetivo.

®
IT Assurance Guide: Using COBIT : Proporciona guías sobre cómo se
puede utilizar COBIT para apoyar una variedad de actividades de
aseguramiento y ofrece medidas de comprobación para todos los
procesos y objetivos de control de TI de COBIT. También es útil para
llevar a cabo auto-evaluaciones contra los objetivos de control en COBIT
4.1.
 IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design
and Implementation of Internal Control Over Financial Reporting, 2nd
Edition: Proporciona orientación sobre la manera de asegurar el
cumplimiento para el entorno de TI, basándose en los objetivos de
control de COBIT.
 IT Control Objectives for Basel II - The Importance of Governance and
Risk Management for Compliance: Proporciona orientación a los
bancos en relación a los riesgos operativos relacionados con TI.
 IT Governance Implementation Guide: Using C OBIT® and Val IT, 2nd
Edition: Proporciona una hoja de ruta genérica para implementar el
gobierno de TI utilizando los recursos de COBIT y Val IT y el apoyo de
su conjunto de herramientas.

®
COBIT QuickStart ™, 2nd Edition: Proporciona una línea base de
control para las pequeñas empresas y un posible primer paso para las
empresas más grandes.

®
COBIT Security Baseline™, 2nd Edition: Se focaliza en los pasos
esenciales para la implementación de la seguridad de la información
dentro de la empresa.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 18

 ITGITM Facilita la Adopción de IS0/IEC 38500:2008

 Mapeos con COBIT: Disponibles en www.isaca.org/downloads:

®
- Aligning COBIT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit.
®
- COBIT Mapping: Overview of International IT Guidance, 2nd Edition.
®
- COBIT Mapping: Mapping of CMMI® for Development V1.2 With
COBIT® 4.0.
® ®
- COBIT Mapping: Mapping of ISO/IEC 17799:2000 With COBIT 2nd
Edition.
® ®
- COBIT Mapping: Mapping of ISO/IEC 17799:2005 With COBIT 4.0.
® ®
- COBIT Mapping: Mapping of ITIL With COBIT 4.0.
® ®
- COBIT Mapping: Mapping of NIST SP800-53 With COBIT 4.1.
® ®
- COBIT Mapping: Mapping of PMBOK With COBIT 4.0.
® ®
- COBIT Mapping: Mapping of PRINCE2 With COBIT 4.0.
® ®
- COBIT Mapping: Mapping of SEI's CMM for Software With COBIT
4.0.
® ®
- COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0.
 Information Security Governance: Guidance for Boards of Directors and
Executive Management, 2nd Edition: Presenta la seguridad de
información en términos de negocio, conteniendo herramientas y
técnicas para ayudar a descubrir los problemas relacionados a la
seguridad.

Val IT es el término de paraguas utilizado para describir las publicaciones y

futuros productos y actividades adicionales que abarquen el marco Val IT.

Las publicaciones actuales relacionadas con Val IT son:

 Enterprise Value: Governance of IT Investments, Getting Started With
Value Management: Esta publicación proporciona una sencilla guía para
conseguir una iniciativa de la gestión del valor para el negocio, los
ejecutivos de IT y los líderes de la organización.
 Enterprise Value: Governance of IT Investments—The Val IT Framework
2.0, que explica cómo una empresa puede extraer valor óptimo de TI y
sus inversiones, basándose en el marco COBIT. Está organizada en:
- Tres procesos: Gobierno del valor, Gestión de portafolio y Gestión
de inversiones.
- Prácticas clave de gestión de TI: Prácticas esenciales de gestión
que influyen positivamente en el logro del resultado o propósito
deseado de una actividad particular. Estas prácticas apoyan los
procesos VAL IT y juegan más o menos el mismo rol como lo hacen
los objetivos de control de COBIT.
 Enterprise Value: Governance of IT Investments—The Business Case:
Se focaliza en un elemento clave del proceso de gestión de inversiones.

Para la más completa y actualizada información sobre COBIT y Val IT y sus

productos relacionados, casos de estudio, oportunidades de entrenamiento,
boletines de actualización y otro marco específico de información, visite
www.itgi.org, www.isaca.org/cobit o www.isaca.org/valit.

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 19