COBIT AN ISACA® FRAMEWORK Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ Procrsos CATALIZADORES Isaca® (Con 95.000 asociados en 160 paises, ISACA (wwv.istea org) es um lider global proveedor de conociniento,certifieaciones, conmmidad promocion y edueacion sobre aseguramieuto y seguridad de sistenns de informacion (SSI2), gobierno empresarial ¥y gestion de TT y riesgo relacionndo cou'T! y cumplimiento. Fundada en 1969, ISACA, independiente y sin imo de hneto, celebia conferencias infermeiones, publica el ISACA® Jourual y desurolla estandares infermiciones de coutrol y auxitoria de SIL que ayudana sus miembros a asegurar la confiauza en, yaportar valor desde, los sistemas de informacion. Taunbien avanza yy avala Inbilidades y conocimientos en'TT mediante los globalmente reconoeidos certificados (CISA®) Certified Luformation ‘Systems Audito:®, (CISM®) Certified Infornition Security Mamager®, (CGEIT*) Certified in the Governance of Enterprise IT? y (CRISC™) Certified in Risk and Information Systems Control ISACA actunliza coutimmmente el COBET®, el cua ayuda ‘los profesiounles de TI y lideres de ls organizacioues a evar a cabo sus responsabilidades eu la gestion y gobierno de’, particularmente en las reas de asegurauiento, seguridad riesgo y coutrol y proporcionar valor al negocio. Quality Statement: ‘This Work is translated into Spanish from the English language version of COBIT® 5 by the ISACA® Madrid Chapter with the permission of ISACA®. The ISACA® Madrid Chapter assumes sole responsibility for the accuracy and faithfulness of the uanslation, Declaracion de Calidad: Este Trabajo in sido traducido al espaiio! desde In versién en inglés de COBIT® 5 por el Capitulo de Madkid de ISACA® con permiso de ISACA?. E] capitulo de Mackid ISACA® asume responsabilidad tniea por la esactitud y la fidelidad de la waduccion. Copyright © 2012 ISACA. Allrights reserved. For usage guidelines, see wwsisaea.org/COBMTuse. Derechos de autor © 2012 ISACA. Todos los dereelios reservados. Para pautas de uso, ver wwwisaca.org/COBITuse. Disclaimer: ISACA has designed this publication, COBIT® $ Enabling Processes (tae Work’), primnily as au educational resource for governnce of enterprise IT (GET), assurance, risk and security professionals. ISACA mikes no claim tht use of auy of the Work vwillassure a successfil outcome. The Wark should not be considered inclusive ofall proper information, proce dures and tests or exclusive of other information, procedures and tests tt are reasonably directed to obtaining the same results. In determining the propriety ofauy specific information, procedure or est, readers should apply thei owm professional judgement to the specific GBT, assurance, risk aud security circumstances presented by the paticur systeuus or informmition technology environmet. Renuneia: ISACA ha disefiado esta publicacion, COBIT® $ Procesas Catalizadores (el Trabajo’) prineipalmente como wnt fuente de educacion pata profesionales del gobierno de Ins"TI empresariales (GEIT), del aseguramiento, del riesgo y de la seguridad, ISACA no afirma que el uso de cualquier parte del Trabajo garantice un resultado exitoso. No debe considerarse «qué ef Trabajo inchuya toda la informacion, procedimientos y pruebas correctas, ni que exchrya otro tipo de informacion, rocediniientos y pruebas tazonablemente dirigidos a obtener los mismos restitados. AI deternainar la conveniencia de ‘uniquier informacion, proce dimiento © prueba, el lector debe aplicar su propio juicio profesional alas citcanstancias GETT, de asegtramiento, de riesgo o de seguridad especificos preseutados por los sistemas particulives 0 auubito de TL. ISACA, 3701 Algonquin Road, Suite 1010 Rolling Meadows, TL 60008 BE.UU. Teléfono: +1.847.253.1545 Fax: 1.847.253.1443 E-mail: info@isaca.org Pagina Web: waewisace.org Comentarios: wvsisaca.org/eobit Pauticipar en el Centro de Conocimiento de ISACA: vwwwisaca.org/knowledge-cenier Sigue a ISACA en Twitter: ‘tips: /twitter.com/ISACANews Unete a la couversacion COBIT en Twitter: #COBIT Unete a ISACA en Linkedin: ISACA (Oficial), fa: /linkeh im ISACAO cial Me gusta ISACA en Facebook: wwnsfocebookcom/ISACAHO COBIT® 5: Procesas Catalizadores ISBN 978-1-60420.285.4 Impreso en los Estados Unidos 3 Personal Copy of: Ing. MARIO BERNABE RONRECONOCIMIENTOS RECONOCIMIENTOS ISACA quiere reconocer la labor: Fuerza de trabajo de COBIT 5 (2008-2011) John W. Lainhart, TV, CISA, CISM, CGETT, IBM Global Business Services, EEUU, Co-presidente Derek J Oliver, PD., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MlnstiSP, ‘Ravenswood Consultants Ltd., GB, Co-presidente Pippa G. Andrews, CISA, ACA, CIA, KPMG, Australia Elisabeth Judit Antonsson, CISM, Nordea Bank, Suecia Steven.A. Babb, CGEIT, CRISC, Betfait, GB Steven De Haes, PLD., University of Antwerp Management School, Belgica Peter Harrison, CGETT, FCPA, IBM Australia Ltd., Austialia Jimmy Heschl, CISA, CISM, CGEIT, ITT Expert, bwin.party digital entertainment ple, Austria Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, EE.UU. Erik HIM. Pols, CISA, CISM, Shell International-TTCT, Holanda Vernon Richard Poole, CISM, CGEIT, Sapphite, GB ‘Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, India Equipe de Desarrollo Flotis Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgica Gert du Preez, CGEIT, PwC, Canada Stefanie Grip, PwC, Belgica Gary Hardy, CGETT, TT Winners, Sudattiea Batt Peeters, PwC, Belgica Dirk Steuperaett, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgica Participantes de Talleres Gary Baker, CGEIT, CA, Canada Brian Barner, CGEIT, CRISC, ValueBridge Advisors, EE.UU. Johannes Hendrik Botin, MBCS-CITP, FSM, GEIT ‘Tright Skills Development, Sudiftica Ken Buechler, CGEIT, CRISC, PMP, Great-West Life, Camada Don Canigtia, CISA, CISM, CGEIT, FLMI, FE.UU. ‘Marks Chaplin, GB ‘Roger Debrecen, PhD., CGEIT, FCPA, University of Hawaii at Manoa, EE.UU, ‘Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, EE.UU. Uts Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Suiza Bob Frelinger, CISA, CGEIT, Oracle Corporation, EEUU. Janes Golden, CISM, CGETT, CRISC, CISSP. IBM, FE.UU. Meeim Gupta, CISA, CISM, CBP, CTPP, CISSP, Mittal Teclnologies, EE.UU. Gary Langham, CISA, CISM, CGEIT, CISSP, CPRA, Australia ‘Nicole Lanza, CGETT, IBM, BB.UU. Philip Le Grand, PRINCE2, Ideagen Ple, GB Debra Mallette, CISA, CGETT, CSSBB, Kaiser Permanente IT, EEUU. ‘Stuart MacGregor, Real IRM Solutions (Pty) Ltd, Sudifiica Christian Nissen, CISM, CGEIT, FSM, CFN People, Dinamarea Jamie Pasfield, ITIL V3, MSP, PRINCE?, Pfizer, GB Eddy J. Sclnermans, CGEIT, ESRAS bvba, Belgica Michiel Semau, RWE Germany, Alemania Max Shanahan, CISA, CGETT, FCPA, Max Shanahan & Associates, Australia ‘Alan Simmonds, TOGAF9, TCSA, PreterLex, GB Cathie Skoog, CISM, CGEIT, CRISC, IBM, FE.UU, Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada Roger Southgate, CISA, CISM, GB ‘Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, BE.UU. ‘Wim Van Grembergen, Ph D., University of Antwerp Management Sehool, Belgica Greet Volders, CGEIT, Voquals NV, Belgica Christopher Wilken, CISA, CGEIT, PwC, EE.UU. ‘Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, GB Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ Procrsos CATALIZADORES RECONOCIMIENTOS (CONT.) Revisores Expertos Mark Adler, CISA, CISM, CGEIT, CRISC, Commereial Metals Company, EEUU, ‘Wole Akpose, PhD. CGEIT, CISSP, Morgan State University, EE.UU. Kraysztof Baczkiewicz, CSAM, CSOX. Eracent, Polonia Roland Bab, CISA, MTN Camera, Camera Dave Barnett, CISSP, CSSLP. EE.UU, Max Blecher, CGEIT, Virtual Alliance, Sudaftica Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Argentina Ditk Bruyndoneks, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Belgica Donn Cardall, GB Debra Chiplin, Investors Group, Canna ‘Sata Cosentino, CA, Great-West Life, Canad Kamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, BE,UU. Philip de Picker, CISA, MCA, National Bank of Belgium, Belgica ‘Abe Deleon, CISA, IBM, FE.UU. Stephen Doyle, CISA, CGEIT, Department of Human Serviees, Australia Heidi L. Frchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., FE.UU. Rafael Fabius, CISA, CRISC, Uniguay Urs Fischer, CISA. CRISC, CPA (Swiss), Fiseher IT GRC Consulting & Training, Suiza Bob Frelinger, CISA, CGELT, Oracle Corporation, EE.UU, Yalein Gerek, CISA, CGEIT, CRISC, ITIL Expert, ITIL V3 Trainer, PRINCE2, ISOMEC 20000 Consultant, Tarewia Edson Gin, CISA, CISM, CFE, CIPP, SSCP, FE.UU. James Golden, CISM, CGEIT, CRISC, CISSP, IBM, EE-UU. Marcelo Hector Gonzalez, CISA, CRISC, Baneo Central Republic Argentina, Argentina Fri Guldentops, University of Antwerp Management School, Belgica Meeim Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, EE.UU. Angelica Haverblad, CGEIT, CRISC, ITIL, Verizon Business, Suecia Kim Haverblad, CISM, CRISC, PCT QSA, Verizon Business, Suecia J. Winston Hayden, CISA, CISM, CGEIT, CRISC, Sudifiica Eduardo Hernandez, ITTL V3, HEME Consuitores, Mexico Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistenns, Argentina Michelle Hoben, Media 24, Sudatrica Linda Horosko, Great-West Life, Canada Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, GB Grant Irvine, Great-West Life, Candi Monica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, BE.UU, John E. Jasinski, CISA, CGEIT, SSBB, ITIL Expert, EE.UU. Masatoshi Kajimoto, CISA, CRISC, Japon Joanna Karezewska, CISA, Polonia Kamal Khan, CISA, CISSP, CITP, Saudi Arameo, Arabia Saudi Fady Khoo S. K., Prudential Services Asin, Malasin Marty King, CISA, CGETT, CPA, Blue Cross Blue Shield NC, FE.UU, Alan S. Koch, ITIL Expert, PMP. ASK Process Ine., EE.UU. Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australia Jason D. Lannen, CISA, CISM, TurnKey IT Solutions, LLC, EEUU. ‘Nicole Lanza, CGEIT, IBM, EEUU. Philip Le Grand, PRINCE2, Ideagen Ple, GB. Kenmy Lee, CISA, CISM, CISSP. Bank of America, FEU. Brian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, Dinamarea Bjarne Lonberg, CISSP, ITIL, AP Moller - Maersk, Dinamarea ‘Stuart MacGregor, Real IRM Solutions (Pty) Ltd, Sudaiftiea Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, EEUU. (Charles Mansour, CISA, Charles Mansour Audit & Risk Service, GB Cindy Mareello, CISA, CPA, FLMI, Great-West Life & Anmiity, EEUU, ‘Naney MeCunig, CISSP, Great-West Life, Canad John A. Mitchell, PhD. CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, GB Makoto Miyazaki, CISA. CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd. Japon Lucio Augusto Molin Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Colombia (Cristian Nissen, CISM, CGEIT, FSM, ITIL Expert, CEN People, Dimumarea & Personal Copy of: Ing. MARIO BERNABE RONRECONOCIMIENTOS (CONT.) Revisores Expertos (cont.) “Tony Noblett, CISA, CISM, CGEIT, CISSP, EE.UU. ‘Emnest Pages, CISA, CGEIT, MCSE, ITIL, Seiens Consulting LLC, BE,UU. Jamie Pasfield, ITIL V3, MSP, PRINCE2, Prizer, GB “Tom Patterson, CISA. CGETT, CRISC, CPA, IBM, EE.UU. ‘Robert Payne, CGETT, MBL, MCSA. PrM, Lode Star Strategy Consulting, Sudittiea ‘Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barelays Bank Ple, GB ‘Andie Pitkowski, CGEIT, CRISC, OCTAVE, IS027000LA, IS031000LA, APIT Consulforia de Informatica Ltd., Brasil Geert Poels, Ghent University, Belgica Dirk Reimers, Hewlett-Packard Alemania Steve Reanik, CISA, ADP, Ine., EE.UU. Robert Riley, CISSP, University of Notte Dame, BE.UU. ‘Martin Rosenberg, Ph.D., Cloud Governance Ltd., GB Claus Rosenquist, CISA. CISSP. Nets Holding, Dinamarea Jeffiey Roth, CISA, CGEIT, CISSP, L-3 Communications, E-UU. Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, BE,UU. Eddy J. Sclmermans, CGEIT, ESRAS bvba, Belgica Miciiael Semau, RWE Germany, Alemania ‘Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australia ‘Alan Simmonds, TOGAF9, TCSA, PreterLex, GB Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada Jennifer Smith, CISA, CLA, Salt River Pima Maricopa Indian Comnnnity, EEUU. Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, Austialia Roger Southgate, CISA, CISM, GB Mark Stacey, CISA, FCA, BG Group Ple, GB Karen Stafford Gustin, MLIS, London Life Insurance Company, Canad Delton Sylvester, Silver Star IT Governance Consulting, Sudittiea Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Funeria Halina Tabacek, CGETT, Oracle Americas, FE-UU, ‘Naney Thompson, CISA, CISM, CGEIT, IBM, EE.UU. Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co.,Ltd, Japon. Rob van der Burg, Microsoft, Holanda Johan van Grieken, CISA, CGEIT, CRISC, Deloitte, Belgica Flip van Schallowyk, Centre for e-Innovation, Western Cape Government, Sudifiiea Jinn Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Canna Andre Viviers, MCSE, IT Project+, Media 24, Sudattica Greet Volders, CGEIT, Voquals N.V., Belgica David Williams, CISA, Westpac, Nueva Zelanda ‘Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, GB Amanda Xu, PMP. Southern California Edison, FE. UU. ‘Tichaona Zocoro, CISA, CISM, CGEIT, Standard Bank, Sudittiea Equipo de Traduecin ISACA Madrid José Fernando Carvajal-Vion, CISA, CISM, CGEIT, CRISC, Inda Sistemas, Espaiin Maria Jestis Casado Robledo, CISA, CGEIT, Interveneion General de la Administracion del Estado, Fspatia Carlos Cazorla, CISA, BAE Systems Detica, Espaia Ramon Codina, IT Governance Auditor, CISM Gold member and menthor, Expert in GRC Health Systems and Data Privacy Officer Advisor, Espaiin Jose Miguel Collantes Bellido, NEINVER, Espaiia Jose Ramon Caz Fermindez, Dr CISA, CISM, CGEIT, CRISC, COBITY, Ingenietia de Sistenns para ln Defensa de Espaiia, Espaiia Juan Davila Ramirez, Ing CISA, CISM, Telefonica del Pert, Pert Antonio Ramos Garcia, CISA, CISM, CRISC, Leet Security & r+ Intelligence & Research, Espaiia ‘vam de Antonio Tejado, CISA, CISM, Efron Consulting, Espaiia Raiil Delgndo Linares, CISA, CISM, Espaiin Isabel Diaz Pereira, Espaiin David Eeharri, CISA, Oesia Networks, Espaiin ‘Ana Belén Galin Lopez, Ing. CISA. CISM, CRISC, Bankinter, Espaiia Fernando Gémez-Alfonso, CISA, Hecate Proyectos, Espaiin Luis Diego Leon Barquero, CPA. CISA, Smart Governance, Costa Rica Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ Procrsos CATALIZADORES RECONOCIMIENTOS (CONT.) Equipo de Tradueién ISACA Madrid (cont.) Rafael Martinez Ranera, CISA, CISM, Pragmatiea Consultores, Espaiia David Montero Abujas, CISA, CISM, CRISC, Grupo iSolueiones, Espaiin Ramon Moutoya Benito, Ing., Espaiia Javier Auge! Moreno Monton, Lie. CISA, CISM, CGEIT, Espaiin Manel Moro, CISA, CRISC, ING Commercial Banking Spain, Espaiia Ariauy Auxilindora Pulido, Ing. CISA, Everis, Espaiia Eduardo Javier Rodriguez Ringach, CGEIT, CRISC Practia Consulting, Espaiia Xavier Rubitalta Costa, CISA, CISM, CGEIT, CRISC, Universitat Autonoma de Barcetons, Espaiia Juan Carlos Torres, CISM, CRISC Accenture, Espaiia Manel Jests Torres Sanchez, CISA, Espaiia Koldo Uskauliu Ortega, CISM. Indka Sistemas, Espaiia Joris Vredeling, ISACA Madrid, Espaiin Zulayka Vera, Ing. CISA, CISM, CGEIT, CRISC, Espaiin Consejo de Administracidn de ISACA Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), FE.UU,, Presidente Internacional Christos K. Dimitrindis, PhD, CISA, CISM, CRISC, INTRALOT'S.A., Grecia, Vice Presidente Gregory'T. Grocholski, CISA. The Dow Chemical Co., EE.UU., Viee Presidente ‘Tony Hayes, CGEIT, AFCHSE, CHE, PACS, FCPA, FILA, Queensland Government, Australia, Vice Presidente ‘Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd, India, Vice Presidente Jeff Spivey, CRISC, CPP PSP Security Risk Mangement, Inc., FE.UU., Vice Presidente Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia, Vice Presidente Emil D'Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFY Ltd (retirado), FE,UU,, ex Presidente Internacional Lynn C, Lawton, CISA, CRISC, FBCS CITP, FCA, FIA, KPMG Ltd., Russian Federation, ex Presidente Interniacional Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, GB, Director Mare Vael, Pi.D., CISA, CISM, CGEIT, CISSP, Vainendo, Belgica, Director Junta de Expertos Mare Vael, Pi.D., CISA, CISM, CGEIT, CISSP, Vatnendo, Belgica, Presidente Michael A. Berardi Jt, CISA, CGEIT, Bank of America, EEUU. Jolin Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapur Phillip J Lageschnlte, CGEIT, CPA, KPMG LLP, BE.UU. Jon Singleton, CISA, FCA, Auditor General of Manitoba (retirado), Canada Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Francia Comité Marco (2009-2012) Patrick Stachitchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Francia, Presidente Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Sohay Brussels School of Eeonomies and Management, Bélgica, Antiguo Vice Presidente Steven A. Babb, CGEIT, CRISC, Betfair, GB (CGEIT, Edutech Enterprises, Singapur Sergio Fleginsky, CISA, Akzo Nobel, Unugury John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, EEUU. Mario C. Micallef, CGEIT, CPAA, FIA, Malta Anthony P. Noble, CISA, CCP. Viacom, FE.UU. Derek J. Oliver, P.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MlustISP, Ravenswood Consultants Ltd. GB Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (retired), Canad Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, Suiza Jo Stewart Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia Robert E. Suoud CGEIT, CA Ine., EEUU. Afiliados y patrocinadores de ISACA ¢ Instituto para el Gobierno de TI® (TGI*) American Institute of Certified Public Accountants - Commonwealth Association for Corporate Governance Inc. + FIDA Inform + Information Security Forum + Institute of Management Accountants Inc. + Capitulos de ISACA + TTGI Francia + ITGI Japon + Universidad de Norwieh + Solvay Brussels School of Feonomics and Management + Strategic Technology Management Institute (STM de la Universidad Nacional de Singapur - Management School de la Universidad de Amberes + University of Antwerp Mamigement School + Enterprise GRC Solutions Ine. + Hewlett- Packard + IBM + Symantec Carp. s Personal Copy of: Ing. MARIO BERNABE RONTABLA DE CONTENIDO Lista de Figuras Capitulo 1, Introduccion .. Capitulo 2, la Cascada de Metas y Métricas para Metas Corporativas y Metas TI... Cascada de Metas COBIT 5 Paso 1. Los Motivos de las Partes Intercsadas influyen en las Necesidades de las Partes Interesadas... Paso 2. Las Necesidades de las Partes Interesadas ea Cascada hacia Metas Corporativas. Paso 3. Metas Corporativas en Caseada hacia Metas TI Paso 4. Metas TI en Cascada hacia Metas de los Catalizadores Utilizar la Cascada de Metas de COBIT 5. : Beneficios de In Cascada de Metas de COBIT 5 Utilizar la Cascada de Metas COBIT 5 Cuidadosamente.. Utilizar la Caseada de Metas COBIT 5 en la Practica Metricas ‘Métrieas de Metas Corporativas Métricas de Metas TE Capitulo 3. El Modelo de Procesos de COBIT S Gestion del Rendimiento del Catalizador Capitulo 4. EI Modelo de Referencia de Procesos COBIT'S, Procesos de Gobierno y Gestion... Modelo. a Capitulo 5. Contenidos de la Guia de Referencia de Procesos de COBIT 5. Entradas ¥ Salicas.. cs Seen Guin Gentriea de Proces08.... Evaluar, Orientar y Supetvisar (EDM). linear, Planificar y Organizar (APO)... ‘Constr, adquirit ¢ implementar (BAD... Entega, Servicio y Soporte (DSS). ‘Supervisar, Evahuar y Valorar (MEA) Apéndice A. Mapeo entre COBIT 5 y los Marcos Pre-existentes de ISACA. Apéndice B. Mapeo Detallado Metas de la Empresa ~ Metas Relacionadas ¢08 TT... Apéndice C. Mapeo Detallado Metas Relacionadas con TI—Procesos Relacionados con TI AIT ATL 201 207 25 27 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@: Proce 98 CATAL ADORES: Pagina dejada en blanco intencionadamente Personal Copy of: Ing. MARIO BERNABE RONLista DE Ficuras Lista DE FIGURAS Figura 1—Familia de Productos COBIT S... Figura 2—Objetivo de Gobierno: Creacion de Valor Figura 3—Vision General de la Caseada de Metas COBIT 5, Figura 4—Objetivos de la Empresa de COBIT 5 Figura S—Objetivos de las TL. = ‘Figura 6—Muestra de Metricas de Metas Corporativas. Figura 7—Figura 7—Fjemplos de Metricas de Metas TL Figura 8—Catalizadores de COBIT 5: Procesos... Figura 9—Las Areas Clave de Gobiero y Gestion de COBIT 5. Figura 10—Modelo de Referencia de Procesos de COBIT $ Figura 11 —Salid08 ooo Figura 12—Controles dle Procesos de COBIT 4.1 y Atributos de Capacnd de Proceso de ISO/ TEC 15504 Relacionndos....27 Figura 13—Marcos de Trabajo de ISACA Tnehuidos ett COBIT $...0. si 217 Figura 14—Correspondencia entre Objetivos de Control de COBIT 4.1 y COBITS...... 217 Figura 15—Practicas de Gestion Claves de VAL IT 2.0 cubiertas por COBIT 5 snaenennnnaennnnen DDD Figura 16—Practicas de Gestion Claves de Risk IT Cubiertas por COBIT 5 Da Figura 17—Mapeando los objetivos corparativos dle COBIT 5 con los objetivos de TL 26 Figura 18—Mapeo entre Objetivos relacionados con'TI en COBIT 5 con pt0€€808..0.nnenemnnsinnnsnnsnsnanioned2 8 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@: Proce 98 CATAL ADORES: Pagina dejada en blanco intencionadamente 2 Personal Copy of: Ing. MARIO BERNABE RONCapiruto 1 InrropucciOn Capiruto 1 INTRODUCCION COBIT 5: Procesos Catalizadores complementa a COBIT 5 (figura 1). Esta publicacion contiene wna guia de referencia detallada de 1os procesos que estin definidos en ¢1 modelo de procesos de referencia de COBIT. ie eee) BIT? S Guias de Catalizadores de COBIT 5 Preeti Guias Profesionales COBIT 5 iT tas. | eee C z 0 : => i Entorno Colaborativo Online de COBIT 5 El mareo COBIT 5 s¢ coustruye sobre cinco prineipios basicos, que quedan eubiertos en detalle ¢ inetuyen uma guia cexhustiva sobre 1os catalizadores para el gobierno y Ia gestion de Ins'TI de In empresa. La familia de productos de COBIT 5 inchuye los siguientes productos: + COBIT 5 (¢1 marco de trabajo) + Guias de catalizadores de COBIT 5, en las que se discuten en detalle los catalizadores para el gobierno y gestion, estas ineluyen: =COBIT $: Informacion Catalizadora — Informacion posibilitadora (en desarrollo) = Ons puis de catalizadores (visitar wwn:isoca.org/cobit) + Guias profesionales de COBIT 5, incinyendo: —Inmplementacién de COBIT 5 —COBIT 5 para Seguridad de la Informacion (en desatrollo) —COBITS paia Aseguramiento (en desarrollo) —COBIT 5 para Riesgos (en desarrollo) = Ottas puis profesionales (visitar wwvisaca.org/cobit) + Un entorno colaborativo online, que estata disponible para dar soporte al uso de COBIT 5 Esta publicacion se estructura de la siguiente forma +En el Capitulo 2, se recapitula y complementa la cascada de metas de COBIT 5- tambien explicadas en el Marco de Referencia COBIT 5— con un conjuuto de metricas de ejemplo para las metas corporativas y metas TI. + Enel Capitulo 3, se explica el modelo de procesos de COBIT 5 y se definen sus componentes, Este capitulo explica que informacion se incluye en la seccion de informacion de procesos detallados. El modelo de procesos COBIT 5 incluye 37 procesos de gobierno y gestion; este conjunto de procesos es el sueesor de los procesos de CORIT 4.1, Val IT y Risk IT; y comprende todos los procesos necesarios para un tratamiento extremo a extremo del gobierno y gestion ce TI de Ia empresa. + Enel Capitulo se mest el diagrania del modelo de referencia de procesos, que In sido desarrollndo sobre la base de estindares, buenas practicas y la opinion de expertos. Es importante entender que el modelo y sts coufenidos son genericos YY no prescriptivos, y tienen que ser adaptados paza ajustarse a las necesiciades de ln empresa. También las directtices definen. ‘Practicas y actividades a alto nivel y no deseriben como tienen que definirse los procediientos de proceso. + El Capitulo 5~ la seccién prineipal en esta publicacion- contiene la informacion detallada para las 37 procesos de COBIT 5 enel modelo de referencia de procesos, + Tambien se inehuye tuna serie de Apendices: — Elapendice A contiene la comparativa entre los procesos de COBIT 4.1, Val IT 2.0 y Risk IT (y sus objetivos de control o practicas de gestion) y sus equivalentes de COBIT 5, — Los apéndices B y C contienen las tablas comparativas de las metas en easeada, es decir; compara las metas corporativas con las metas‘TI y las metas TI eon los procesos, Personal Copy of: Ing. MARIO BERNABE RONCOBIT@: Proce 98 CATAL ADORES: Pagina dejada en blanco intencionadamente Personal Copy of: Ing. MARIO BERNABE RONCapiruo 2. La Cascapa DE Metas Y MErricas para Metas Corporativas Y Metas TI CapiruLo 2 La Cascaba DE Meras y MErricas para Meras Corporativas Y Metas TL Cascada de Metas COBIT 5 ‘Las empresas existen para crear valor para sus partes inferesadas. En consecuencia, cualquier empresa—comertial © 0 — ‘tended Ia creacion de valor como objetivo de gobierno. La ereacién de valor significa obtener beneficios a un coste optino de recursos mientras se optimiza el riesgo. (Ver figura 2) Los beneficios pueden tomar nels formas p.¢j.,financieros ‘para empresas comerciales o de servicio publico pata entidades del gobierno. ee ed Tee ot ay Cea cei e ry conievan ‘Objetivo de Gobierno: Creacién de Valor Las empresas tienen nmichas partes interesadns, y ‘crear valor’ significa cosas diferentes—y a veces cootradictotias—para «cada tno de ellos. El gobierno trata sobre negociacion y decision entre los diferentes intereses en el valor de las partes interesadas, En consecuencia, el sistem de gobierno deberia tener en cuenta a todas las partes inferesadas cuando se tomen decisiones relacionadas con la evaluncion de beneficios,riesgos y recursos. Para cada decision, Ins siguientes preguntas ‘pueden y deberian hacerse: {Para quien son los beneficios? {Quien asuune el riesgo? ,Qué recursos se requieren?? Las necesidades de las partes interesadas tienen que transformarse en estrategia corporativa practicable, es decir, que s€ ‘pueda poner en marcha, La eascada de metas de COBIT 5 es el mecanismo para traducir las necesicades de las partes inferesadas en metas corporativas especificas, practicables y personnlizadas, metas de TI y metas de los eatalizadores. Esta ‘adnecion permite establecer metas especificas a cunlquier nivel y en toda area de la empresa como apoyo a las metas slobales y los requerimientos de las partes interesadas, La cascada de metas COBIT 5 se nmestra en la figura 3 Paso 1. Los Motivos de Jas Partes interesadas Influyen en las Necesidades de las Partes interesadas Las necesidades de las partes inferesadas son influenciadas por una serie de coutroladores, p.¢j., cambios en la estrategia, ‘un entorno de negocio y regulatario eambiante y mevas tecnologias. Paso 2. Las Necesidades de las Partes Interesadas en Cascada hacla Metas Corporativas Las necesidades de Ins partes interesadas pueden estar relacionadas con na conjunto de metas genéricas corporativas. Estas ‘metas corporativas se han desarrollado tilizando ns dimensiones del cundro ce mando integral (CMI. En ingles BSC: Bolanced Seore Cave)’, y representan uum lista de metas uilizadas habitualmente y que una empresa puede definir par st ‘isin. Aungue esta lista no es exhaustiva, a mayoria de metas espeeifieas de empresa pueden ser mapeadas facilmente contm o mis de las metas corporativas genericas. COBIT’S define 17 metas genéricas, como se nuestra en la figura 4, que ineluyen la siguiente informacion: + Dimension CMI a la cual se ajusta la meta corporativa ~ Matas eorporativas - Relacion con las tres metas de gobiernos prineipales ~ obtencidn de beneficios, optimizacion de riesgos y optimizacion de recursos. (‘D’ significa relacion principal y “S' relacion secundaria, ¢s decir, wa relacion, menos fuerte). TRaplan, Raber By David F Norton, The Balanced Surecond) Tonaarig Svan ho davon, Harvard Uniay Pees BE UU, 1556 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ Procrsos CATALIZADORES foe est eo ESy {Entorno, Evolucién de la Tecnologia, .. Ce Cee Objetivos de ta Empresa —> (ras) ee (Fs) —— ome) Cente CUR ez T CLL} ee ee Retacién con ls Objetives de Gobiero Realizacion de | Optimizacion de | Optimizacin de Dimension del CMI Objetivo de fa Empresa Beneficios Riesgos Recursos Financia 1. Valor para as Partes Inleresaias de las Inversones de Negocio P s 2 Carlera de products y servicios competts P P 8 3 Riesoos de negocio gestonades(slvaquarda de activos) P s + Cumpliiento de eyes yreguaciones externas P 5 Transparencia fnancera P s lente Cultura de servicio ofentada al dente G 7. Continuidad y dspenbildad del servicio de negocio P 8 Respueslas dls aun entorno de negocio cambiante P s -Toma exratgioa de Decsiones basada en inlormacion P P P 10. Oplmizacin de costes de entrega del senco Fr P Tre 7. Oplizacin dela uncinaldad de as procesos de negocio P P "2 Oplizacin dels costes de los procesos de negocio P P 13. Programas gestonados de cambio en el negocio Fr P s 14, Productvidad operaconal y de fs empeados P P 75, Cumplimiento on las pollicas Internas P ‘orendizaje y 16. Personas preparadasy mativadas s P P Geeanieat 17 Ctra de inovacién de producto y negocio P 14 Personal Copy of: Ing. MARIO BERNABE RONCapiruo 2. La Cascapa DE Metas Y MErricas para Metas Corporativas Y Metas TI Paso 3. Metas Corporativas en Cascada hacia Metas TI El logro de las metas corporativas requiere vin serie de resultados TT’, represemtados por las metas relacionadas con TL. “TI significa relacionadas con la informacion y con la tecnologia y las metas relacionadas con‘TI se encuentran estructuradas enhs dimensiones del Cundro de Mando Integral TI (TT BSC), COBIT 5 define 17 metas'TI, listadas en la figura 5. ie eee Dimensién del OMITL Objtivo de Informacién y Teenologia relacionada Financia (1 [Aineamiento de ly estrategia de negocio (2 | Cumplnient y soporte de aT cumplimiento del negocio de las eyes yrequaciones externas (03, Compromiso de la drencién eecrva para tomar decisiones relacionadas con TI (04 | Riesoos de negocio relacionados con las Tgestionados (05, | Realvaciin de beneicios del portfolio de Inersiones y Services relacionados con las T (06 | Transparencia dels costes, beneticesy respes de las T lente (7 | Enivoga de servicios de de azverde a las requsito del negocio (06 Uso adecuado de aplicaciones, informacién ysoluciones tecnoligicas Ine (| Aida de tas T 10_[ Seguridad dei nformacién,niraestructura de procesamient yapicaciones| 11 [Optimizacién de actvs, recursos y canecldades deta T 12 | Capactacony soparte de procesos de negocio integrand aplicaciones y tecnologia en procesos denegocio 13 | Entrega de Programas que propocionen beneicios aiempo dentro del presupuesto y satstaciendo os requstos y ormas de calidad, 14 [Dispontidad de informacion ii y relevant parala toma de decsiones 15_[ cumplimienio de las potas intemas por pare de las T ‘Aprondizae y 16_[ Personal del negocio y de is I competent y motvado erent 17_[ Gonocimient, experiencia e iniialivas para lannovacion de negocio La tabla de relacion entre metas TLy metas corporativas se encuentra en el anexo B, y nuestra como cada meta corporativa es soportada por varias metas TI Paso 4. Metas TI en Cascada hacla Metas de los Catalizadores Logear las metas TI requiere la aplicacion y uso exitoso de unm serie de catalizadores. Estos eatalizadores incluyen: + Prineipios, politicas y murcos de referencia = Procesos + Estructuras organizativas + Cultura, ética, y comportamiento + Tnformacion + Servicios, infiaestructuras y aplicaciones + Personas, habilidades y competencias ‘Para cada catalizador se puede definir un conjunto de metas especificas y relevantes en apoyo a las metas TL En este documento, s¢ proporcionan metas de proceso en las deseripciones detalladas de proceso. Los procesos son tino de los ‘atalizadores y el anexo C contiene tun mapeo entre metas TT y procesos COBIT 5. Utilizar la Cascada de Metas de COBIT 5 Beneficios de la Cascada de Metas de COBIT 5 ‘La cascada de metas’ es importante, porque permite definir prioridades para la implementacion, mejora y aseguranmiento del gobierno de TT corporativa basad en metas (estratépicas) de la empresa y el riesgo relacionado. Bi la practica, la cascada de metas: + Define metas y objetivos pertinentes y tangibles a varios niveles de responsabilidad + Filtra la base de conocimiento de COBIT 5, basada en metas corporativas, para extraer orientacion pertinente a incluir en proyectos especificos de implementacion, mejora o aseguramiento. + Claramente ideutifica y commmica (a veees a nivel my operativo) la importancia de los catalizadores para alcanzar las metas corporativas. a ‘envunaorgmizacign, tales como financiers 5 marketing tariienconribnyen 2 logo as meta ourderan a actvadacke 9 lar TL 2 TLaomoda deme ar bes en inven esl por ls Uninet de Abeta Manageoent School yel Inn de lie sestoT y Gobiemn de Bélge. =ctascorporninos Todos Lowa ew Funceak= ports, peroenelcontews de COBIT Se 15 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ : Proc ESOS CATALIZADORES Utllizar la Cascada de Metas COBIT 5 Culdadosamente La cascada de metas—con sus tablas de mapeo entre metas corporativas y metas TI y entre metas TI y catalizadores COBIT 5 (inctuyendo procesos)—no son una verdad universal, y los usuarios no deberian utilizaria de forma puramente mecéniea, sino como guia. Hay varias razones para esto, entre otras * Cada empresa tiene priotidades diferentes en sus metas, y las prioridades cambian cou el paso del tiempo. + Las tablas de mapeo no distinguen entre el tamaiio y/o negocio de In empresa. Representa un tipo de denominador comin de como, en general, se encuentran interrelacionados los diferentes niveles de metas. + Los indicadores utilizados en el mapeo vtilizan dos niveles de importancia o relevaneia, sugiriendo que hay niveles “ diseretos” de relevaneia, cvando, en realidad, e1 mapeo se acercara un coutimmo de grados de correspoudeneia. Utilizar la Cascada de Metas COBIT 5 en la Practica ‘Tras la anterior aclaracion, es obvio que el primer paso que tuna empresa debiera dar siempre al uriizar la cascada de metas ¢s personalizar e1 mapeo, teniendo en cuenta su situacion especifica. En otras palabras, cada empresa debiera construir su propia cascada de metas, compararla con COBIT y despues refinarla Por ejemplo, la empresa puede desear: «Traducir as prioridades estrategicas a “pesos” o importancias especificas para cada tm de las metas corporativas. + Validar los mapeos de 1a cascada de metas, teniendo en cuenta su entorno especifico, negocio, ete Métricas Las siguicntes piginas coutienen las metas corporativas y metas TI, con metricas de muestra que pueden ser utilizadas para medir el logro de cada meta. Estas métricas son muesteas, y cada empresa deberia revisar cuidadosamente la lista, decidir cules son métricas pertinentes y alcanzables para su propio entorno, y disefinr su propio sistema de cuadro de mando, Adems de estas métricas, las descripciones detalladas de los procesos coutienen metas de proceso y métrcas. Métricas de Metas Corporativas La figura 6 contiene todas las metas corporativas sem se han identificado en la publicacion sobre ¢1 marco, con métricas dde mmestra para cada una, Pe oo oe cn Meta Corporativa, Metrica Firanciera | Valor paralas partes | « Porcentje do inversions en las qué la antrega cumple con las expectatvas de as eresados Interesadas de las Potcenae de productos yservcas en los que s realizar os beers esperacos Inversiones de Negocio | « Pocentae de inversions en las queso cumple 0 superan los Deneticossstabecios 2.Cartea de productos y | « Porcentaj ce proaucts y servicios que aleanzano exceden los objt¥os de Inresusyocuote ce setvieios competitvos | mercado + eialn de productos y services por fase del cco de vida ‘+ Forcentae Ge products y servicios que alcanzano exceden los objetvos de satstaccién al cente + Forcentae de products y servicios que proporcionan ventaja competi 3 Riesgos de negocio = Porcentae de objelives de negocio creas servicios cublrtos por gestin del lesga (gestionados [salvaquarda| « Relackn ds incidentessignificatives quo no fueron dantticados en las evaluaciones de rasg0 e actives) especial nme oil decides + Frecuencia de acualizacin de perl de riesgos 4. Cumpliiento de leyesy_ | » Coste de num plimentos regulatoros natuyende acusrdes y sanciones requacions externas | « Nimero de incumpamlents reguiatoros causantes de comentarios pcs 0 pubcidad negatwa ‘* Numero ge incumplmlents regulatoros en relacin con acverds conractales con sales de negocios 5. Transparencia fiancira | » Porcentae de casos de negocta de Inversion con oustesy Denetcosexperados caramente dericos| Yyaprobados ‘= Porcentae de products y servis can enstes operatvas y beneticis esperados dena y aprobados ‘+ Encuestas desaistaccn a interesas clave enrelacin conf rensparencia, comprensiény ‘resin dela informaeidn finnciera corpora + Pocentae del cust del servic que puede ser asignado a usuarios lente 1 Guitura de servo | Nimeto de rastomos del servico a dete deol aincientes reaconades can elsendcio fabldad) orentada a ciente | « Prventaje do intoresagus dl nogoio quo se enovntransaistechos con quo la erirega de sarviio de cle cumpla con ls veles acrdados ‘= Numero db queas de clones ‘Tondencia do las resultados do las encunstas do satsaccin al onta a Personal Copy of: Ing. MARIO BERNABE RONLo 2. La Cascaba DE Metas y MErricas para Metas Corporativas Y Metas TI Capitul Dimensin MI Mota Corporativa Métrica Cliente (cont) | 7. Coninidad y Nimera de nterruplones de servi lent causantes de nedents Signficatves| cisponibilidad det * costo de nagoco da los ncaentas servicio de negocio | # Nimera de horas de procesam enlo peridasdebdo a Interuprones dl servicio no plniticadas = Porcentae de auelas en tuncén de las objelvos de dsponiblbdad del servicio comprometios 8. Respuesias ales a |» Nel de setistaclén del Consejo ce Adminisracin con la capaci de respuesta corporatva & ‘unertomo de negocio | nuevos requeimientos cambiante ‘= Nimer de productos y services erties sustntados por proceses de negodo actualzades ‘Tiempo meda oe convarsen de obetvosesra¥égcns corporates en neatvasacercadasyaprobadas 9.Toma estratégica de |» Grado de salisfacelin del Consejo de Administvacin y a ala dreccién con la toma de dentiones Decisones basada en | » hdmero de incidentes causados pr declsones de negocio Ineoectas basades e ntormacin imprectsa Informacion + Tiempo requerido para orecer intormacin de apaye que perma decisones de negotoefectvas| 0. Optimizacion de costes Frecuancia do las evatvaclonas da optimlzaion dal cosa de enraga del sarvico ce entrega del servito | « Tenencia do la evaluaien do costes rospocio a ins rsultados de valde sarvico ‘hve do stetacclon cel Cnsao de Adminisracion ia ata dreclén cone casts ae enrega dl servicio Interna 1 Optimizacin dela | « Frecuencia de las evaluaciones de macurez ce la capacitad ae los process de negocio ‘uncinaldad delos | # Nvees de sasfaccidn del Consejo de Administraciény la ata dreccIin con las capacidades de os rocesos de negocio | procesos de negocio 12. Optimizaciin de los |» Frecunoe de evaluaciones de oplmizacin de cases do os process de negocio costes de ls procesos | # Tendsnca do la avaluacion do costes rospocio a ins rsultados dol nial do savico de negocio = Niveles de stisteccin del Consejo de Admistrcién y ls la dreccén con os castes de procesamien de negocio 13, Programas gestinados | « Nimero Ge programas cumplos en tempo yen presupuesto de cambio en el negocio | « Pocentae de interesadossalisachos can a ejecc ony resultados del programa * Nel de conclncianin de cambies en sl negocto nducldes por T itvas de negocio pesos 14, Produetvidad eraconal |» Nimo de programasvprayecios en tiempo y presupuesto yde los empead ‘= Nvels de cast y ce personal comparades con ls ands comperatves 75, Cumplimiento con as | * Nimrod Inelders rladonados con el ncumplmient da pitas polticas temas = Porontae de nteresados que entenden as policas = Poccontaa de policas apayads por estndares y pica: da trabajo atctas ‘Aprendlaaley | 16. Personas preparadas y | Nvel de salstacién de las inteesados con el conocimlenoy a cualcacon del personel Crecimiento | motvadas ‘ Porcente ce personal cya cuaicacldn es msufclente para la competencarequerda por su rol + Porcentae de personal satsterno 77. Calura de innevacin de | Nvol de condlancacin y compransion da las opartuniades da nnovadin del iagocio roductoy negocio | « Sallfaclen de las nteresados con los niveles de conocmientoe eas de imovacin yproductas © Nimora de iicatvas de productos y sanices aprobaas resutantas do doasinnovadoras Métricas de Metas TI ‘La figura 7 contiene todas las metas TI segiin se han definido en la cascada de metas ¢ incluye métricas de nmestra para cada uma de ellas. Figura 7—Ejemplos de Métricas de Metas TI Dimon: cM Objetivas de las T1 Métrica Financiera D1 Alieamienfo de Tly | « Pocentae cz metas esratgias yrequenmlentos ooporatwos apayados por metas Tesraegicas esratgia de negocio | e hvel ae satstaccin de os nteres2dos con el lcance del portol Ge programas y services panficado = Porcentae os factores de valor TI mapeacos 2 factres oe Valor dal nagocio (02 Cumplimientoy soporte | Coste de incumpmientos Tl Intwyendo aevedos ysancines eimpzeto en pérada de reputacién dela Thal cumpimienio | ¢ Nimera de incumpinienias I eportados al Conseo de Administracien o causantes de comentarios 0 ‘el negocio dela leyesy | _verguenza pbs regulaciones exleras. | © Nimera de Incumplmientosrelactonads con proveedores de servis TI > Cobertura de evaluaciones de cumimlento 103 Compromiso de a = Porcntae de roles de a deoain eoctiva con responsabilidad claramente defini on decislones TI ‘reccn ejecutva ‘ Nimora do vocas que Tas an a aganda dl Conse da Adminetralén da manara proactva para tomar decisones |» Frocuonca d reunianas del cant ejpctva do strategia dT relacionadas con |_|» Tasa de ojecuclan 6 dacssones Tl eocutvas (04 Riesgos de negocio |» Porcetae de procesas TI de negocio eens, servile TI y programas de negocio habitades por 71 relacionados con as! | cubierios por evaluacones de riesgo ‘gestonados ‘ Nimero oe mlsentes I signatvos que no Tueron oenticedos en evalaciones de esgos + Porcentae de evauaciones de lesyo corpora aueIncuyenrlesgoT + Fecusrica de actualzaciin de perf deiesgo a7 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ : Proce: 08 CATALIZADORES Dimensién ML Objetives de las TL Metrica Franciora | 05 Realizacén de benefiécs | « Porcentaje de Inversion T donde la abtencion del benefico se supervise al largo de ta el eo de (cont) el prtafbio de vida economico Inyersiones y Servicios | « Pocenafe de servicios 71 dande se oenen ls beneiios esperados relacionados con es Tl_| « Pocentafe de invesiones T donde se cumplen oexceden los bene esperades (06 Transparencia de los | « Porcentae de casos de negocio de versiones icon costes Tly Benes esperadosearamente costes, bene y Aefncos yaprobados Fiesgos de las T ‘= Porcentale deserves con costes operatvasybenaielos asperads caramontsdetndos yaprobachss «+ Encuesta de satstac cn de interesacos cave en elacin cane nivel de transparencia, camnpransién y Drecsin de informacion Ananciera Tl lente O7 Entrega de servos | * Numero de Interupciones de negocio debides a incidents de servicios T eT de acuerdoaios | « Porcenaje ae partes inieresadas ene! negocio salltechas de que la errege de services cumpla Fequstos del negocio | los niveles de servicio acordados ‘= Porcentae de usuarios salstecos con a calidad do la enrega de servicos TL (08 Uso adecuado de = Pocentae de propitaros de procascs de negocio sastechas can el apoyo do products servis TI aplicaciones infrmacsén | « Nivel do antandiianto da los usuarios de negocio sabre cém las sellcanes eenoiglcasapoyan Y'solucones teenoogicas | sus procesos ‘© Nvol d satsfacelén do los usuares do nagaci conf formactény los manualas da usuario ‘Valor presente neta (NPV) masrando el nivel de-sllsfaclén del n2goci con a alia ywlldad de as soluconestecnligicas Trtemo (Oo Aglidad de las T ‘= Nvel de sitistaclén oe la aa Gecoiin de! nepod0 con a eapacioad de respuesta de T1 a nuevas requetiientos| ‘ Numero de procesos de nagoctoerlcos soportados por inraestructuray aplicaciones actualzaoas ‘Tiempo medio ge conversin de objtvesTestratélcos en una niciatva acordada y aprobada “0 Seguridad de “= Numer do Ineldontes de soguidad eausantes de peraldasfnanceras,itertupelén dal nagacke a ln informacion, vergienza piblca inraestucturas de |» Numero de services T1sin requermients de seguriad destacabes Procesamiento y ‘Tiempo de concesién, cambio y eliminacién de prviegias de acceso comparado con ls rivles de aplicaciones service acordads 1 Fecuencia de las evalaciones de seguridad en elcid ales Uitimos estindaresy las “7 Optimizacion de achwos, | « Frecuencia de avaluacones ae a macurez dea capacidas y ob fa opamzacdn Ge costes recursos ycapacidades’ | « Tandencia do os rsuttados fo as vaivaconas delasT ‘= Nees oe satisfacien de aaa arecién enegocoy de TI con os castes y capacisades 71 2 Capacitacon y soporte» Nimero de indents del procesamiento de negocio causados pr erores de ntegraién de Is teonoogia de procesos de negocio | # Nimero de cambios en ies procesos de negocio que tnen que ser rerasados o revisadas debido @ Ilegrando aplicaciones | problemas de iteoracion dela tecnologia y tecnologia en procesos | # Nimero de programas de negect facilades por Tretrasados 0 Incuend en costs adlconales| de negocio debido a problemas de integacién dela tecnologa ‘ Nimero de aleacones o raestuturas cfleas operando aksadamente ynontegradas 71 Enea de Programas | NUmora do programasiproyectas en tompa yen presupueso ‘que progorionen ‘ Porcentse e rtresadas Salsfechas con la clad del programaysrayecto Denes tiempo, |e Nimero de programas que nacatanrevisonessigticetas debido a dafactas da calla dentro de presupuesto | « Coste de mantenimient de fas apleaciones expecta al cate T global Y satisfac os Feu y norma de calidad “4 Disponibiidad de “= Nel de sitistacelén del usuario ae negocin con a ealéaay la purtuldad(o aspontblcad) dea informacion tly informacion de gestion relevant para a toma de | « Nimero de ncidentes de procesos de negaco causados pr la nalsponibidad de a iformaciin decisones « Rela y acance de dacisones de negocio enéneas donde la informacion erénea oo csponile fe un factor cave 15 Cumplimiento de las | © NUmero de Incdents relacionados cone incumplimlento de paltcas policasintemas por | « Porcentafe ae interesados que enienden las pofieas parte de ls T ‘= Porcentae de pofieas apoyadas por estndaresy ordctcas de trabajo etectvas 1 Frecuencia de revsin y acualzacion de poltcas ‘Aprendizaje y | 76 Personal del negocio y | » Porcentajs de persona ayas hablldades TI son sufclentes para a competencia requerlda por sus roles Crecimiento | detasTleompetentey | « Prceniaje ao personal satstecho con sus roles en T| motvad + Numoro do noas de aprenczae/formacion por miombxo del personal 17 Conociniento, ‘= Nvel de conclenelacén y comprensin dela alta arecoén del negocio sob as postldades de experiencia iniciatvas | inmovacion 7. parala inovacién de | # Nivel de ststaccin des interesages con losmnveles de experienc ideas de Innovacién dl negocio ‘Numero deiilatvas aprobadas rasurtentes dese Tnnavadoras 18 Personal Copy of: Ing. MARIO BERNABE RONCapiruLo 3 Ex Mobo bE Procrsos pe COBIT 5 Capiruo 3 ; EL MobELo bE Procesos bE GOBIT 5 ‘Los procesos son uno de las siete categorias catalizadoras del gobierno y la gestion de la TI de la empresa, como se explied en COBIT'S, capitulo 5. Los detalles especificos para el catalizador procesos en comparacion con la descripcion ‘gentrica de catalizador se muestran en ka figura 8, Figura 8—Catalizadores de COBIT 5: Procesos Dimension del catalizador = de los Catalizadores Py eae ec} ern ‘Un proceso se define como ‘unt coleccion de practicas influidas por las politcas y procedimieutos de empresa que ‘tomm entradas de un serie de recursos (incluyendo otros procesos), manipula las entradas y proche salidas (p. ¢.. productos, servicios)’. El modelo de procesos nmestra: + Partes Interesadas—Los procesos tienen partes interesadas internas y externas, con sus propios roles: las partes interesadas ¥ sus niveles de responsabilidad se allan documentados en matrices que minestran quien realiza, quit es responsable, a quien se consulta 0 a quién se informa (RACI). Las partes interesadas externas incluyen clientes, socios de negocio, accionistas y entidades reguladoras. Las partes interesadas internas inchuyen al Consejo de Adininistracion, la direecion, el personal y los voluntarios. + Metas—Las metas del proceso se definen como ‘una declaracion que describe el resultado deseado de in proceso. Un resultado puede ser cualquier elemento, un cambio significative de estado ona mejora significativa de ln capacidad de otros procesos’, Son pate de la cascada de metas, es decir, las metas de proceso apoyan las metas TT, que a st vez apoyan las metas corporativas, Las metas de proceso se pueden categotizar ast: ~Metas intrinsecas—iEl proceso tiene calidad inttinseca? 2Es preciso y esta en linea con las buenas practicas? ¢Cumple con las regias internas y externas? —Metas contextuales—jEsta el proceso adaptado al cliente y ala siruacion especifica de la empresa? 2El proceso es pertinente, entendible y facil de aplicar? —Metas de accesibilidad y sepuridad—Bl proceso mantiene la confidencialidad, cuando se requiere, y es conocido y accesible por aquellos que lo necesitan En cada nivel de la cascada de metas, y por ende también en los procesos, se definen métricas para medir hasta que punto dichas metas son alcanzadas, Las métricas se pueden definir como “una entidad cuantificable que permite medir el logro de las metas de proceso. Las metticas deberian ser SMART—especificas, medibles, practicables, pertinentes y oportunas’ 19 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ Procrsos CATALIZADORES Para gestionar con eficacia y eficiencia los catalizadores, es necesario definir métricas que mican en que medica se consiguieron los resnitados esperados. Adicionalmente, un segundo aspecto de ln gestion del rendimiento del eatalizador deseribe el grado al que se aplicaron las buenas prictieas. Aqui tambien, se pueden definir metricas asoeiadas para ayudar a la gestion del catalizador + Ciclo de vida—Cada proceso tiene umn ciclo de vida. Se define, erea, opera, supervisa y ajusta/actunliza o retira Las practicas de procesos gentricos como las definidas en el modelo de evaluacion de procesos COBIT basado en ISOMEC 15504 pueden ayudar en los procesos de definieién, ejecueion, supervision y optimizacion, + Buemss pricticas—COBIT 5: Procesos Catalizadores contiene un modelo de referencia de procesos, donde las buenas pricticas intermas de proceso se deseriben enum nivel creciente de detalle: practicas, actividades y actividades detalladas* Practieas: + Para eadh proceso COBIT 5, las prictieas de gobierno/gestion proporcionan todo un conjunto de requerimientos de alto nivel para un gobierno y gestion de la TI corporativa eficaces y pricticos. Estas son: ~ Declaraciones de acciones para obtener beneficios, optimizar el nivel de riesgo y optimizar el uso de recursos ~ Alineadas con los pertinentes estandares y buenas praeticas generalmente aceptados - Genérieas y en consecuencia, con necesidad de ser adaptadas a cada compaiiia - Que den cobertura a aquellos que desempeiian un cargo de negocio y de TI en el proceso (extremo a extremo) + EL organo de gobierno de Ia compailia y la direecion tienen que tomar decisiones relativas a estas practicas de gobierno y gestion de la siguiente forma: ~ Seleecionando aquéllas que son aplicables y decidiendo sobre aquéllas que seri implantadas - Aidiendo y/o adaptando practieas donde sea necesario - Definiendo y aiiadiendo prietieas no relacionadas con TI para su integracion en los procesos de negocio - Eligiendo como implantarlas (frecuencia, alcance, automatizacion, ete.) ~ Aceptando el riesgo de no implantar aquellas que puedan aplicar Actividades—En COBIT las principales acciones para operar el proceso + Se definen como ‘orientacién para alcanzar pricticas de gestion para un gobierno y gestibn exitosos de la'TI de Jn compaitia’. Las actividades de COBIT 5 proporcionan el eomo, porqué y que imiplantar para eada practica de gobierno o gestion para mejorar el desempetio de TI y/o tratar el riesgo en la entrega de soluciones y servicios TL. Este material es de utilidad para: ~La direecion, proveedores de servicio, usuarios finales y profesionales TI que necesitan planificar, construir, éjecutar o supervisar (PBRM) la TI eorporativa -Profesionales de aseguramieuto a quien se les puede pedir opinibn en relacién con implantaciones actuales propuestas o mejoras necesarias + Todo un conjunto de actividades gentricas y especifieas que proporcionan un enfoque consistente en todos los pasos que son necesarios y suficieutes pata la practica de gobierno (GP)’practica de gestion (MP) clave. Offecen orientacion de alto nivel, a un nivel bajo la GP*MP, para evahuar el rendimiento real y cousiderar mejoras potenciales. Las actividades: —Describen im conjuto de pasos de implautacion orientados ala accion, nevesarios y suficientes para aleanzar ia GP/MP —Consideran Ins entradas ¥ salidas de los procesos —Se basan en estandares y buenns prictieas generalmente aceptadas —Apoyan el establecimiento de catgos y responsabilidades claros —No son prescriptivas y necesitan ser adaptadas y desarrolladas como procedimientos especificos adaptados a la compan Actividades detalladas—Las actividades pueden no encontrarse a un nivel suficiente de detalle para su implantacion y puede necesitarse waa mayor orieutacion: — Obtenidas de estandares y buenss practieas especificas relevantes como Infornation Technology Infrastructure Library (TIL), las series 27000 de la International Organization for Standardization Laternational Electroteelmical Commission (ISO/IEC) y PRojects IN Controlled Environments 2 (PRINCE2) —Desarrolladas como actividades ms detalladas 0 especificas como desarrollos adicionales en ln propia familia de productos de COBIT 5 Entradas y salidas—Las entradas y salidas de COBIT 5 son los productos/artefactos de trabajo de los procesos que se consideran necesatios para apoyar la operacién del proceso. Posibilitan las decisiones clave, proveen wn registro ‘y taza de auditoria de las actividades de los procesos y posibilitan el seguimiento en caso de incidemte, Se definen al nivel de practica clave de gobierno’gestion, pueden inclnir algunos productos de trabajo utilizados en el proceso ‘¥,4 menudo, son entradas eseneiales para otros provesos.” {Silpw deoarolln prictnce yeetnwadea en elproygeo wal Loe risen detalldoe se ensvemranmijeee a deeorlle(e) alionaleny pe), ae [Blips temas Pace pope oe nl coe deals porn man Grae Urey pu terres mae gu poeta ceri y ‘areca normative, como a indiraen lan deserigcionra deviance proces, * Caventeedary slain inutetnas de COBIT 5m den connierume como uaa lsteexhauniva ya que a pocrian defini fue abinnaleade wformeciin, Aependiendo celentoro parivulr yore de roceene de una compan 2. Personal Copy of: Ing. MARIO BERNABE RONCapiruLo 3 Ex JopELO DE PRocesos I Puecen existir buenas pricticas externas en enalguier forma o nivel de detalle, y la mayoria de las veces hacen referencia a otras estindares vy marcos. Los usuarios pueden referirse a estas buenas préetioas externas en todo momento, sabienco que COBIT esti alineado eon estos estindares cuando es ‘pertinente y se proporeionaré informacién de mapeo. Gestion del Rendimiento de! Catalizador Las empresas esperan resultados positivos de la aplicacion y uso de catalizadores, Pata gestionar el rendimiento de los catalizadores, las siguientes cuestiones tendran que ser coniestadas y supervisadns —basachs en métrieas- de forma regular: + Se atienden las necesidades de Ins partes interesadas? + {Se aleanzan las metas de los eatalizadores? + Se gestiona el ciclo de vida del catalizador? + Se aplican buenas practicas? En el easo del eatalizador proceso, los dos primeros puntos tienen que ver cou la salida actual del proceso. Las métrieas utilizadas para medir el grado en que los objetives son logrados pueden Uamarse “indicadores de retraso”’. En COBIT 5: Procesos Catalizadores, se definen Varins métvicas para eada meta del proceso. Los dos tiltimos puntos tienen que ver con el funcionamiento actual del propio eatalizador y Jas métricas pain éste pueden amarse "indieadores de avance”. ‘Nivel de capacidad del proceso—COBIT S inehuye un esquema de evahuaei6n de la eapacidad del proceso basado en ISO/IEC 15504. Esto se trata en el capitulo 8 de COBIT 5 y se dispone de mais orientaeion en otras publicaciones de ISACA. En resumen, el nivel de capaeidad del proceso mide tanto la consecueion de metas como la aplicacion de buens practicas Relaciones con otros catalizadores—Existen conexiones entre los procesos y otras eategorins de catalizadores a traves de las siguientes relaciones: +_Los procesos necesitan informacion (como uno de los tipos de entrada) y pueden produeir informacion (como produeto del trabajo). + Los procesos necesitan estructuras organizativas y roles para operar, como se expresa a través de ln matriz RACT, pj, Comite de supervision IT, comite de gestion de riesgos de la empresa, Consejo, auditoria, director de informatica’sistemas (CIO), Director General Ejecutive (CEO). + Los procesos producen, y también requieren, capacidades de servicio (infraestructura, aplicaciones, ete.). + Los procesos pueden y dependerin de otros provesos, + Los procesos producen, 0 necesitan, politicas y procedimieufos para asegurar una implementacion y ejecueion consistent. + Los aspectos culturales y de comportamiento determina la ejecucion adecuada de los procesos. Personal Copy of: Ing. MARIO BERNABE RONCOBIT@: Proce 98 CATAL ADORES: Pagina dejada en blanco intencionadamente Personal Copy of: Ing. MARIO BERNABE RONCapiruLo 4 EL Mopbeto be REFERENCIA DE Procesos COBIT 5 CariruLo 4 EL MobELo DE REFERENCIA DE Procesos COBIT 5 Procesos de Gobierno y Gestion ‘Una de las directivas en COBIT ¢s ln distincion heci entre gobierno y gestion. En linea con este principio, se espera que todas las empresas implementen varios procesos de gobierno y varios procesos de gestion para proporcionar um gobierno y ‘um gestion del enforno IT exhimustivos. Al considerar los procesos para gobierno y gestidn en el coutexto de la empresa, Ia diferencia entre 1os tipos de procesos se ‘encuentra en los objetives: + Procesos de Gobierno—Los procesos de gobierno tratan de los objetivos de gobierno de las partes interesadas — entrega de valor, optimizacion del riesgo y de recursos — ¢ ineluye pricticas y actividades orientadas a evaluar opciones estratégicas, proporcionando Ia direceion de TI y supervisando la salida (Evaluar, orientar y supervisor [EDM] - en linea con los coneeptos del estindar ISO/IEC 38500). +Procesos de Gestiin—Eu linea con la definicion de gestion (ver COBIT 5, Resumen Ejecutivo), las practicas y actividades de los procesos de gestion cubren las areas de responsabilidad de PBRM de TI de la empresa y tienen que proporcionar cobertura de TI extremo a extremo, Auunque las salidas de ambos tipos de procesos es diferente y esta destinada a distinta audiencia, internamente, en el contexto del proceso, todos los procesos requieren actividades de ‘planificacion’, ‘construccidu o implementacion’ ejecucion’ y ‘supervision’ del proceso. Modelo COBIT 5 no es preceptivo, pero por lo mencionado anteriormente esti claro que aboga por que las empresas implementen ‘un gobierno y una gestion de los procesos de forma que las Areas clave estén cubiertas, como se muestra en la figura 9. ‘Enteoria, una empresa puede organizar sus procesos como estimie couvenicute siempre y cuando los objetivos basicos de gobierno y gestion esten cubiertos. Las pequeiias empresas quizas tengan menos procesos; empresas mas prandes y complejas quizts tengan mas procesos, todos para cubrir los mismos objetivos. eee 1 Necesidades de negocio ¥ cord EIT Petroaimentacién de gestion i daulials Planificar Construir a) Co Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ Procrsos CATALIZADORES COBIT 5 incluye un modelo de referencia de procesos que define y describe en detalle varios procesos de gobierno yy de gestion. Esto proparciona un modelo de referencia de procesos que representa todos los procesos encontrados ormmlmente en una empresa respecto a las actividades de IT, ofreciendo un modelo de referencia contin entendible para gerentes de operativa TI y de negocio. El modelo de procesos propuesto es completo, exhmustivo, pero no es el tmico modelo posible. Cada empresa debe definir su propio conjunto de procesos, teniendo en cuenta su siticion especifiea. La incorporacion de tm modelo operacional y un lenguaje conniua todas las partes de la empresa involucradas en actividades de‘Tl es to de los pasos ms importantes y criticos hacia el buen gobierno. Esto tambien proporcioua un marco para medi y supervisar el desempeiio IT, conmmiear con proveedores de servicio e inteprar las mejores practicas de gestion. EL modelo de referencia de procesos de COBIT 5 subdivide los procesos de gobierno y de gestion de TI de la empresa en. dos principales treas de actividad — gobierno y gestion — divididas en dominios de procesos: + Gobierno—Este dominio contiene cinco procesos de gobierno: dentro de eada proceso, se han definido las practicas EDM. + Gestién—Estos cuatro dominios estan en linea con las areas de responsabilidad de PBRM (una evolucién de Jos dominios COBIT 4.1), que proporcionan cobertura de TI extremo a extremo. Cada dominio contiene varios procesos, como en COBIT 4.1 y versiones anteriores, Aunque, como se laa descrito previamente, nnuchos de los procesos requieren actividades de ‘planificacidn’, ‘implementacion’,’ ejecucion’ y ‘supervision’ del proceso o del caso especifico acometido — p.¢j., calidad, seguridad — estos son colocados en dominios en linea con lo que son generalmente las Areas de actividad mis relevantes en cuanto al nivel TI de la empresa. EL modelo de referencia de proceso de COBIT 5 ¢s sueesor del modelo de proceso de COBIT 4.1, con los modelos de proceso de Risk IT y Val IT tambitn integrados. La figura 10 nuestra el conjunto completo de los 37 procesos de ‘gobierno y gestion dentro de COBIT 5. Figura 10—Modelo de Referencia de Procesos de COBIT 5 Procesos de Gobierno de TI Empresarial Evaluar, Orientary Supervisar Cae a ee Td ar an ceo Momre0n-r | ayant SS Pe en Seog "Narerenee | oct rien | Se ae en froin] wnecanar | ampennn | wogscioe me "aia pesca) esa | oma een | ote = Coe cad Entrega, dar Servicio y Soporte sone | RSE | eee [ese = to ee Procesos para la Gestién de la Tl Empresarial a Personal Copy of: Ing. MARIO BERNABE RONCapiruLo 5 ConTENIDOS DE LA GuiA DE REFERENCIA DE Procesos pe COBIT 5 CapiruLo 5 CoNTENIDOS DE LA GUA DE REFERENCIA DE PRocEsOs DE COBIT 5 Este capitulo describe el contenido detallado y relacionado con los procesos de gobierno y gestion de COBIT 5. Para cada roceso se incluye la siguiente informacion, en linea con el modelo de proceso explicado en el capitulo previo! + Tdentificacion del proceso—En Ia primera pagina: —Etiqueta de proceso—E. prefijo del dominio (EDM, APO, BAI, DSS, MBA) y el nnmero de proceso —Nomibie del proceso—Breve descripcion, indicando el astnto prineipal del proceso — Area del proceso—Gobierno 0 gestion Nombre de Dominio + Descripcion del proceso— Vision genetal de 1o que hace el proceso y un vision a alto nivel de como el proceso Lleva a cabo su proposito + Declaracion del propesito del proceso—Una completa descripcion del propdsito general del proceso + Tnformacion de la cascada de metas—Refereneia y deseripcion de las metas'TI relacionadas que son soportadas principalmente por el proceso® y metvicas para medi el logro de las metas TT relacionadas + Metas y metricas del proceso—Conjunto de metas del proceso y nunero limitado de métticas de ejemplo + Matri RACT—Asignacion sugerida del nivel de responsabilidad para practicas de proceso a diferentes roles yy estructuras. Los roles de empresa listados estan mis sombreados que los roles de TI. Los distintos niveles de implicacion son: —Reesponsable)—i Quin esta haciendo ln tarea? Hace referencia a los roles que se encargan de la actividad principal para completar la actividad y produit la salida espetada —A(eesponsable de que se haga) [del inglés, accountable] —:Quien rinde cuentas sobre el éxito de la tarea? Asigna la responsabilidad de consecucion de la tarea (conde termina la responsabilidad), Tenga en cuenta que el rol mencionndo ‘esel nivel mis bajo apropiado para rendir cuentas; hy por supuesto, mis altos niveles de rendieion de cuentas tambien. Para activar la potenciacion de la empresa, la responsabilidad! de rendir cuentas se descompone con la mayor ‘pranularidad posible. La rendicion de cuentas no indica que el rol no tenga actividades operativas: es probable que el rol se involnere en la tarea. Como principio, la rendicion de cuentas no puede ser compartida. —Cionsulindo}—,Quién proporciona entradas? Estos roles que proporcionan entradas son clave. Tenga en cuenta que corresponde a los roles de responsable y de rendir cuentas obtener informacion de otras unidades o, también de, interesados externos. En cualquier caso, las entradas de estos roles enumerados deben ser consideracas y, si se requiere, tomar Ins medidas necesarias para que se escalen, ineluyendo Ia informacion del propietario del proceso y/o del Comite de Direceion. —K(nformado)—j Quien recibe la informacién? Estos son los roles que son informados de los logros y/o entregables de las tareas. Por supuesto, el rol del ‘responsable de hncer’ debe recibir siempre informacion apropiada para supervisar la {area, al igual que los roles responsables del rea de interes + Informneién detallada de las prietieas de proceso—Para cada prictiea: —Titulo y deseripein de la prictica — Entradas y salidas de la practica, con indicaciones de origen y destino — Actividades del proceso, deseripeién mis detallada de las prictieas + Guia relacionada—Referencias a otros estindares y direcciones a guias adicionales Entradas y Salidas Las deseripeiones detalladas del proceso coutienen — en el ambito de las practicas de gobierno y gestion— entradas y salidas. En general, cada salica es euviada a uno oa un munero limitado de destinatarios, normalmente a otra prictica de proceso COBIT. Esta salida se convierte en entrada para su destino, Sin embargo, hay varias salidas que tienen nmichos destinos, pj. todos los procesos COBIT 0 todos los procesos enum dominio, Por razones de legibilidad, estas salidas NO son emumeradas como entradas en estos procesos. Se incluye un listado completo de estas salidas en la figuua 11. Para algunas entradas/salidas, se menciona el destino ‘interno’. Esto significa que Ia entrada/salida es entre actividades dentro del mismo proceso. © Gol eatin Ladin aqui ao mein eloionsdia con lan Fl qe comensan por Pena ablade mapeo ene la metan elas ioedan con lp ly paoeeaoo eer) 25 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@: Procesos C.vrauizpores ‘Salldas a todos los Procesos Desde Practica Clave Descripoin de Salida Destino 7013.02 | Plan de tratamiento del iesgo de seguridad dela ntormacién | Todo EDM: todo APO, todo BA; todo DSS; todo MEA ‘Salidas a todos ls Procesos de Gobierno Desde Practica Clave Descripein de Salida Destino EDMO'.O1 | Principios ula del gobiemo dela empresa Todo EDM EDMOT.01 | Modelo de toma de decision Too EDM, EDMOLO1 | Niveles de autoridad Todo EDM EDMOT.02 | Comunicaciones de oobiena de empresa Todo EDM. EDMOT.03 [Resultados de efectvidad y efeaca del goblemo Todo EDM ‘Salidas a todos ls Procesos de Gestin Desde Practica Clave Descripeiin de Salida Destino ap001.01 | Reias base de comunicaién “Toto APO; todo BA todo DSS; todo MEA ‘APOOI.OG | Polticas relacionadas con “Todo APO; todo BA; todo DSS; todo MEA 'APOOI.04 | Comunicaciones relatvasaobjelvos Todo APO; todo BAI todo DSS; todo MEA ‘APOOI.O7 | Oportunidades ce mejora de proceso “Todo APO; todo BA todo DSS; todo MEA '8P002.06 | Paquete de comunicacones| “Todo APO; todo BA todo DSS; todo MEA APOt1.02 | Estindares de getin de calidad “Toto APO; todo BA todo DSS; todo MEA ‘APOTI.O4 | Metas y metricas de calidad de servicio de proceso Todo APO; todo BAL todo DSS; todo MEA ‘APO11.06 | Comunicaciones eatvas a mejora continua y mejores précticas | Todo APO; todo BA ted DSS; todo MEA ‘APOTT.OG | Ejempio de buenas practicas a compartir Todo APO; todo BA todo DSS; todo MEA ‘APOTT.06 | Resultados do revstn de referencia de calidad “Todo APO; todo BA todo DSS; todo MEA MEAD'.02 —[ Objetves de sequimiento “Too APO; too Bl todo DSS; todo MER MEAD'.04 _[Informes de desompeto “Todo APO; todo BAI todo DSS; todo MEA MEADI.O5 | Aacionesyasighasones carectivas "Tato APO; too Bl todo DSS; todo MER (MEAG2.07 | Resultads de seguimiento y revisions de control ntemo Todo APO; todo BA todo DSS; todo MEA MEND2.01 | Rasutados de benchmarking otras avauaciones| “Tato APO; todo BA todo DSS; todo MEA TMENI2.03 | Panes yonteros de auto evluacion Todo APO; todo BA; todo DSS; todo MEA MEA02.03 | Resultados de auto evaluaciones “Todo APO; todo BA todo DSS; todo MEA MENIO4 | Deficiencias de contol “Todo APO; todo BAI todo DSS; todo MEA MEMG2.04 | Aociones comecivas “Todo APO; todo BA todo DSS; todo MEA MENI2.06 | Panes de garanta “Todo APO; todo BAI todo DSS; todo MEA wEN2.08 | Acance afinado “Todo APO; todo BAI todo DSS; todo MEA ‘MeAn2.08 | Resultados de revision de asequraminto “Todo APO; todo BA todo DSS; todo MEA MENI2.08 [Informe derevisn de aseguramiento Todo APO; todo BAI todo DSS; todo MEA 1MEADS.02 | Comunicaciones de cambio do requisoe do cumplimlento “Todo APO; todo BA todo DSS; todo MEA 26 Personal Copy of: Ing. MARIO BERNABE RONCapiruLo 5 COBIT 5 ConTENIDOS DE LA Guia DE REFERENCIA DE PROcESOs I Guia Genérica de Procesos Las actividades describen el proposite funcional del proceso en la descripcion detallada— lo que se supone que entrega el proceso. Esto sera diferente para cada proceso, dado que los procesos tienen diferentes metas Hay tambien orientacion sobre como sera ejecutado el proceso, p.¢., una orientacion genética sobre como constr, ejecurtar, supervisar y mejorar el proceso en si. Esta orientacion es genrica — identica para cada proceso. Eu COBIT 4.1, los controles del proceso contenian buenas praeticas que no eran especificas de ningiin proceso, sino que eran genericas y aplieables a todos los procesos. Los controles de proceso eran similares a algunos atributos genérieos en el modelo de mandurez, de COBIT 4.1, En COBIT 5, se usa un esquema de evalnacion de la capacidad de proceso que cumple con la ISOMEC 15504, En este cesquema, los atributos de eapacidad que pertenecen a los niveles nxis altos de capacidad de proceso deseriben como pheden construirse procesos mejores y ms capaces, reemplazando eficazmente los controles de los procesos de COBIT Ad Esta es una importante guia relativa a los procesos y por esia razon la figura 12 contiene una vision de alto nivel tanto de los controles de proceso de COBIT 4.1 como su equivalentes atributos de capacidad de proceso basados en ISOTEC 15504 de los que son fundacionales los buenos proeesos. ‘CoB 4. ‘Alributos de Capacidad de Proceso de ISO/IEC 15504 Relacionados (OPI _[ Mets y Objelias del Proceso 2924 [ Atrbuto de geston del desempeno (oP2 | Propieiaro de Proceso 7° 2.1_| Atbuto de geston del desempeno (0P3_| Rentabdad det Proceso 49.3.1 | Atrbuto de defnctn del proceso (GPA | Roles y Responsabiades 72.1 | Atbuto de geston del desempeno 4232 | Atsbutode despliague del proceso (OPS: | Police, Panes y Procedimientos| P21 | Aibuto de geston del desemperio (0P6 | eora de Desempero del Proceso 4°21 | Atrbuto de geston dl desempeno 4952 | Atrbuto de oplimizacién del proceso 27 Personal Copy of: Ing. MARIO BERNABE RONCOBIT@: Proce 98 CATAL ADORES: Pagina dejada en blanco intencionadamente e Personal Copy of: Ing. MARIO BERNABE RONCapiruLo 5 ConTENIDOs DE. LA Guia DE REFERENCIA DE Procrsos bE COBIT 5 Fy -| EvaLuar, ORIENTAR Y SUPERVISAR (EDM) 04 —Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno. 02 —Asegurar la entrega de beneficios. 03 Asegurar la optimizacién del riesgo. 04 —Asegurar la optimizacion de recursos. 05 —Asegurar la transparencia hacia las parles interesadas, Personal Copy of: Ing. MARIO BERNABE RONCOBIT@ Procrsos CATALIZADORES Pagina dejada en blanco intencionadamente H Ei a F 3 i Personal Copy of: Ing. MARIO BERNABE RONCapiruto 5 ConTENIDOS DE LA GuiA DE REFERENCIA DE Procrsos bE COBIT 5 Descripeién del Proceso ‘valzayarticua los raquerimlents para ol gublemo de Td a empresa y pona en marcha y mantle ects as asructuras,procasasyprcficas ‘eciiaores, cn dardad dels espansabldades y a aulordad para alcanzar la mis, tas mets y objetivs de la empresa. Decaracion del Propdsito del Proceso Proporionar un enfeque consistent, integra yaineaco con el acance del goiemo de la empresa, Para garantzar qu las éecisones relativas a Tse nan adoptado en linea con las estrateglas y objets de la empresa, garantzando la supersin de os procesos de manera etectvay ‘Yansparentemente i cur plmiento can les requrimlentos reuitoris legaes y que se han alcanzado ls requetmentos dz gobiemo de ls miembros del Consejo de Administra. Elproceso apoya la consecucién de un conjunto de principales metas Ti: z z Fy Meta Métricas relacionadas. ‘01 Alneamiento de TI y estrategia de negocio. ‘* Porcenae de las metas y requerimlenus esatélcos de a empresa sopotados par las melas estratégicas para ‘* Niel de satistaciGn oe as partes nteresadas con el alcance de portafaa de programas y ‘serves planeados ‘ Porcenta de los faclitacores de velar de TI mapeatos con facttadores de valr del negocio 1 Compromise de fa declan ejecutva para tomar | Porcanaj do los oles da a gstonejeutva con responsabldadscaramente dena ‘decisions relacionadas con T! para las decisiones de T ‘mero de oeaiones en qu oo forma preactvaast on a agenda del Conse de Adinstacen ‘ Frecuencia de las reunones del Comité ecuto) de T ‘ato ae acucon do as docisonasoecutvas lavas aT ‘7 Entrega de servicios deT de acuerdo aos “hme ae Inferugeiones del negocio debias a noentes en el servicio = 1 ‘equsts de! negocio + Porcentale de pats irteresadas saisfctas canal cumplimento del servicio 71 ‘entregaco respect los nieles de servicio aordados «+ Foxcortale oo usvtessatsfecos con a calad de os Servis ee | etregados ‘Metas y Métricas del Proceso Meta del Proceso Métricas Retaclonadas 1. Modelo esraljco de toma de decsones para que | + Tempo de cio actus vs objelivo pare las decislones clave las Tlsean etectvesyestn alineadas con el enlorno | « ve de salstacidn meslanteencuestas de las personas irteresadas eterno e intermode a empresa y los requeriniens es partes inleresadas 2, Garanizar que ol sstema de goblemo para Testa | « Nimero do oes responsabldades autondades que estan denis, aslgnadasy avaptades incoxporado al gobierno corporatvo, agestores para una gestion del negoco y de las Tapropiados. ‘+ Graco en qu os prc ce gobismoacordados para las estén evgencades en procesos Y’praccasjporcenaje de procesos y practicas con clara razabiidad als pancpas) + Mimero de casos 08 no-cumplimiento con as drectrices de comportamiento coy profesional 3. Obtenergarantas de que el sistema de gobierno | « Frecuencia a revsanes Inepenclentes dei goDerno dT para Tesi opetando de manera elective, Frecuencia del teparte del qobleia de lal Com Eecutvo y ala dreceién “Nieto de aspects de gobiema de nticados [ie a) |Z a ells allel lel. (fl Wl i ‘elk 8 Ells] (£18 = El sls ayelEG) ele ete3lelztatelelal (ele) lel (eles les Hels|slelg\4 alel/glgle eletalelelaleleValaleletelelelal (2/38: E\g(Sleld ABBE EERE REBEBREHE vctncon ncaa (ELE LEELAIEIELSLELEIEIEUAIEIEIEE# [|| a) 8 [2 (8131 Fubar el tema goieme, |] ®] ©] &] 8 R c] |clcjc}clclalc|cic coUot a wenaceoooerm (NRCP LRT RLY fe]fefefefefefafe] ef fefefef fe COMED evnseoosonn. |AFPLELE {Af fel fefefeleffefrfefefafefrl fi fefafifia a Personal Copy of: Ing. MARIO BERNABE RON5 a i 3 COBIT@: Proc 08 CATALIZADORES Cn Pec option oo sais TDNGTOT Ear ena ties ve vein Desc x \ngrimias veomororetras contents con 2 MEA03.02 ‘Comunicaciones de Principios directrices del | Todo EDM Rare brseaseas cs nerreress mocmergac Jos requerimientos de ‘gobierno de laempresa | APOD1.01 Sorntnartutaatontey mor re sete sna estimacion del actual y futuro disefio del gobierno de TI “ Sherwss Tada | Teaeriser sens amaromate | tn Ambito de del negocio decisiones APO01.OT fare |. eames TEktramaod [Meeedeaibid [icky Saat cone -tngtosnnomes ‘Sthnesel cena Taine 1. Analzare identifier ls factores del enlom infor y extern (ebligaciones legeles, cntractualesy regulator) y tendencis ene enforn del negocio que pueden influ en el die del gobierno, 2 Determinar la elevancia de Tl supapel con respecin al negocio. 3. Conaldear les reglaiones externas, oblgaciones legals ycorracusesy determina cémo deben ser aplicadas en del goblemo de Ti dela empresa “Hinear el uso el procesamiento tice dela informacion y su impacto en la sociedad en el entomo natural en os itereses de as partes intresadasinteras yextemas con fos objetivos, sin y drecién de la empresa 5 Detoinar las iplicacianes del antomo de corel conjunta del empresa con espacto aT. 6 Artculr los prncpios que guaran €lciseo dela toma de decisones sobre el gobierno de Tl 7-Comprender la cultura empresaria de la toma de decsiones y determinar un modelo épfimo ena toma de decisiones para. 3B Deerminar ls ivelesaproniads para a delegacén de aulorad,ncuyendo relas de umbraes, ara las deisones dT Pri de iene Tas Sa See wes ee ee : = = r eae ee ee aces ones ener Gpenieies sc Oy SS eT ec evaritaenereetiaaid Eka tine | AOTSE a es aoe eis Sees 1 Comunica os pincipios del gobierno de Ty acordar con el gestor secu la manera de eslablecer un iderazgo infrmad y comprometido. 2. stablecero delegar el establecmiento de las estructura, proceso yprticas del gobierno en nea con os prncpios de diseno acodads. 8 Asigna responsabdad,aulordad y la responsabidad de que se apiquen las princpios de diss de gobierno, ls modelos de toma de decsin y de dlegacién acordados “ Garantzar que los mecanismes de notiicatcn y de eomunicacin proporcionan ormacin adecuaca a aqua con a resporsanlidad do a Supenvsny oma de decisions. 5. Oriental personal para que sga ls dreccesretevantes para un comporlamieno Gio y profesional y gaanlar que las consecuencias del no cumpliminto se coracon y se resetan 6 Drientar el establecmienio de un esta de recompensa para promoverel cambio cultural deseable = Personal Copy of: Ing. MARIO BERNABE RONCapiruto 5 ConTENIDOS DE LA GuiA DE REFERENCIA DE Procrsos bE COBIT 5 Practica de gobierno Entradas Salidas EDMO1.03 Supervisar el sistema de gobierno. De Descripcin Descripcién A Spartan Geouotyilonica tet ino de TWdetengretaArersectea gpiena ye [MATA [ome ered _[etalimetann tet | on ‘mecanismos implementados(incuyendo esrucuras, TWWEAGT.05 | Estado yresulladbe de as | “ROMTIEMOY principos y pracesos) estan operando de forma efectiva ee ‘gobierno Yrgrconne spr ape conyers os aco, Rune ia ratty feared ctl fae TERETE | tas dots reales is Siehncbess WEAGZO6 | Planes de aseguramiento E8022 | Confrmaciones do camplimiento WENGE 04 |= intormas sabre aspactos ‘de no cumplimieto ye ‘igen de Sus causas ‘Informes de ‘aseguramiento del ceumplinien'a Fura del | obigaciones Ambtode | « inormes de avotoria coBiT Aotividades 1. alia a efecawica yrenaimlento de as partes Ineresadas en las que sea delegado responsabidad y autora para el goberno G2 TI 8a empresa. 2. Evaluar periicamente los mecanismes para el gobierno de Tl acordados estructura, principios, rocesos, et. eslinestablecdos y operando electivamente 3 valvar a eectvidad del ese del gobiemo e denticar las acciones para rectcar cualquier desviacon, “4 Mantener la supervisin sobre el punto hasta el que Ti satsace las obigaciones (epuatores legislecién, lees comunes,corractules polices internas, esténdaresy dectrces profesional. 5 Proporconar supenaison dea elecivdad dey el cumlimientocon el sistema de contol dela empresa 6. Supensar los mecanismos runaris yreglares para geranizar que el uso de TI cumple con ls obigaciones relevartes Wegulaoris, legsiacon, leyes comunes,conractuales),estandaresy directrices. EDMOT Guia retacionada Estndar Relacionado Reforencia Detallada Commitee of Sponsoring Organizations of ‘he Treadway Commision(COSO} ISONEC 98500 King “5:7 El Consejo deberla sr responsable del goblero dela tecnotogra ala nrormacin + 53. Consoo daberiadelogar la responsabilidad de a ston para la mpiomontacion do un marco de trabajo del gobiema deT Orgarizacin parala Cooperacionycl | rincipos Corporatwos ce Goble Deserrllo Econ (OCDE) Personal Copy of: Ing. MARIO BERNABE RON z z FyCOBIT@ Procrsos CATALIZADORES Pagina dejada en blanco intencionadamente H Ei a F 3 i Personal Copy of: Ing. MARIO BERNABE RONConTENIDOS DE LA GuiA DE REFERENCIA DE Procrsos bE COBIT 5 Capiruto 5 EDMO2 Asegurar la Entrega de Beneficios Descripeén del Proceso en Pesta COptirizar la cntrauctcn al valor dl negoclo desde os procesas da nagadl, ds ls services Tly actives do TI rasutlado do aversion hacha por 1a os costes aeptables. Decaracion del Propdsito del Proceso Asegurar un valor opti dela inciativas deT, servicios yactivs csponibies; una entega cote efciente de los servicios ysolcions yuna visén confab y precisa els costes de os benefccs probable de manera que as necesidades del negoci sean soportadasefectvay efcientemente Elproceso apoya la consecuoién de un conjunto de principales metas Ti: Meta Métrieasretacionadas ‘0 Alneamiento de TI esrategia de negocio. ' Porcena de las metas y requermiertes esatégiecs de a empresa soportados por as melas esbatéicas para T! "Nivel de satstaciGn de as partes ieresadas con el acance de potato de programas y servicios planeados * Porcentae ae los facltadores de veor 42TI mapeades con tacltzdores do valor del nogocio ‘5 Realzacen de benefcos del portafoio de iversiones y servicios relacionados con fas T) “ Porcertaje do inversions 0719 os que la relzacton del benofico ea ‘moniera a raves oe ciclo de ida ecanamico comgleto, ‘* Porcontaj ds sericios Ten los que se roalizan os benetcos esperaios ‘* Porcenta de las inversiones en TI donde los benefcos demandados sn aleazados 0 exces, ‘06 Transparencia de los costes, beneicos y esgos de las TI "* Foroentajé de inversén en casos de negocio con costes y bane esperaios relatos aI caramente detndos yaprobades. ‘* Foroentaje de sericios TI con costes opatvos y benaticosesperados Claramente defines y aprobacs. ‘= Encueste de salisaccln alas partes meresades lave relat nivel e transparencia,comprensién y precsin de ia nformacién‘nanciera eT {7 Entroga de servicios dT de aauerde aoa roquslos del nogoco| "> Nimero de interupelones del negocio debs ancientesen el servicio etl ‘* Porcenafe de partes ineresadassalfecnas cone! cumplmlento de servicio de Tl enregado respect alos niveles de servicio acordados ‘ Porcentaje de usuares satstechos con la calidad de os servis de entegads 17 Conocimient, experiencia niciatvas para lainnovacion de negocio * Nel de conclnciaclony comprensicn de as posilidades 2 imovaciin 6 TI del negocio gjecutvo. *Nvel de satstacién a las partes irteresadas con ls ves experiencia ideas de la innovacn TL ‘= Nimrod inlatvas aprobadasresuiantes do ideas nnovadoras do (Metas y Méticas del Proceso Meta del Proceso Métrioas Retaconadas, 1 La empresa estd segundo un valor dplimo de su portfolio de iniciatvas T servicios y actvos arooados. "hel desalstaccén de la gestion electra con a entrega de valry los costes de TI + Desvlacén entre a comtinacién objeto e inversién actual ‘Nivel de satstaciGn ce las partes interesadas con la habla de a empresa para obtener valor e as iniciatvasT. 2, Se detva un valor Spline deta inversion Tl mada pracoas de ‘gestion del valor en a empresa, “Niro de nedontes que ocuren dato ala actual o tonatva vast de ls pincipins yprcticas de gestin del valor estblecdos ‘ Porcenta de iniiatvas Ten el portaolo general en las que el valor es slendo gesting através del cca de vida completo Las invesionesindvidvales en conrouyen aun valor Spine. “Nivel de satstaciGn Ge tas parts meresadas basado en enreistas con ol progresn hacia las metas Idntficadascon al valor obtenio + Porcemajeoaivalor espera realzaao Personal Copy of: Ing. MARIO BERNABE RON z z Fy4 Fi Hi 3 COBIT@: Procesos Caruzavor [need J ‘ Hd, alt Selg| lelalelile|_/leleleve| (Ele ale| 21) Ta ete ele a] (els) Jets IE Hilal ale|z UL 5] lelgle/élzlelEla Tee TERMITE: Falele eelelsleleials\_lgislsisle/sle|eiel: rte de caserm |e EEE Lele ELe|TElElelELelele\ cle) ale # {88121 Fae mzacén devo |] 8/8 [6] 8] |B cfc] |cfcfc/clc}alc/cle CMe rican evans [PREP ERE PAL PP fepefifefefefefelefep pep afefe woe cnanael l*l lela] lal | laleleleleleelel@lelele Ec ee eed Practica de gobo Enivadas Salidas EDMO2.OFEvauar la optimizacin de valor De Desorpcin Deserncion A Eval cotnuanent x nersones, eras 5: 700205 | Hojade uta estalégica | Evluacén dela aenacin | APOT2 04 ¥ clas del prs de para determina tn probabidad de alanzar os jtves dela empresa y — pg Qporiarvaara uncnsteazonableientcary wget [APOO5O2 | Expeciahas dl rer de | Evahacion de wersones | APOO5.03 Chelle cambio en ls reocn que nest ser data ior ‘rain de servicios | APOOS 04 2 gsin para optimiza fa ceacion Ge valor 9008 02 '8P005.03 | Programas seleccionados can tos para al etorno de ieersion (RO) "8705.08 | Resuilados de beneficioy ‘comunicacénrlaconada BADT.OG | Resultados de tas revisiones en los cambios do tasa ftage-gats) ‘atvidades 1. Comprender los requerimienios de as partes inleresadas; eras atralaycos de tales comola dependenicia de lary comprender la tecnologia y ‘5 capaciaes consierando la_impotancia actualy pencil de Tl paral esiraiegia de la empresa, 2. Comprender os elementos clave de goblemo necesarios para la entrega ible, seguraycosle elective de un valor pio pore so de los servicios, actos y recursos de Tl extents y potencies. 3. Comprender y diseulrregularmente las oporunidades que podran suri €2 los cambios hablitados en a empresa por las teeolonlas actuals, ruevaso emergentes y aptimizar el valor creado pr estas oportunidad. “ Comprender fo que se etiende por valor en fa ampresay considera cm de ben se Na comunicago, comprenadoy aplicado a ravas 02 10s proceso de a empresa. 5. Evaluar la efectvidad de ia integracin yalineamento dela estrategias de Ten la empresa y con les objetvas de a empresa para aporta valor 5 Oomprender y consderar Como de eectvos son ls oes responsabiidades, asignaciones y orgaismos de toma de decisones actuales asequrando lacreacion de valor dels inversiones, servicios y actives eT 7. Considerar cimo de bien alineada est a gestiOn de las versions, servicios yaclvas de Tcon la gesion de valor y las pracioas de gestion ‘nancira 1 Evaluar la alineacion del portfolio de versiones, servicios y actvos con los objelvesesratgioos dela empress, con e valor dela empresa Financier yno financier; con el riesgo, lnfo de servicio como al dl benetco; cn les procesas Ge negci; la efecivdad en tami de usabilad, \isponbiliad y respansabidedy eficiencia en tminas de cote, redundancy salud eoica Personal Copy of: Ing. MARIO BERNABE RONCapiruto 5 ConTENIDOS DE LA GuiA DE REFERENCIA DE Procrsos bE COBIT 5 eed Practica de Gobi Entates Salas ‘EDM02.02 Orientar la optimizacién del valor. De Descripcién Deseripcion A (venta os principio y ls précticas de gestén de Tatas? eT "lr pr por tcl var epi de Texcivenionsy: [eos lsimersones Talo de osu oo dea economic. Tequtnierssparalas | BAOT I resones de canbe de fase (siage-gate) ". Defy comunicar la carteray 1s tpos de inversion, calegrias, crteriosyponderacions relatvas als fteros que permitan puntuaciones de lores relatives, 2 Definirios equerimientos para los cambios de fase (stage gay tras revsenes por la importancia dela invesin para la empresey el riesgo ‘azociado,cronograma del programa, planes de nanciacion y la enlrega de eapaciiedes clave y benef y ln conbucién confinad a var 5. Oientar ala drecein para consderar uses potencales dT innovadoras que posite que la empresa esponda a nuevas oportunidad y esas, leva cabo nuevos negocis, increment la competivdaco mejore sus procesos, “4 Orienia os cambios necesarios en a asignacon de imputaciones y responsablidades en la eecucién del portfolio de inversions yi entrega de Valor apart de los servicios y procesos de negocia 5, Defy comunicar a nivel de empresa os cbjeivos de enrega de valor y las medidas de resutads para permir un contol ca. 6 rlentar os vamblosnecesaros en a carter de iversonesy Servicios pare eainearos con as objets dela emoresa actuaesy esperads yo sus limtacones. 7, Recomendar fa consideracion de nnavaciones polendales, cambios ganizaliveso ejoras operalvas que desde las Wiciatvas T pudioran impulsar tun increment de valor paral empresa Practica de Gobierno Entradas Salidas EDMO2.06 Supervisar la oplimizacion de valor. De Descripién Deseripcion A Supervisar las ndicadores clave y sus mereas art Tapo95 04 | infermes de rendimiento | Comentarios sobre el | APO05.04 determina el grado en que el negocio est generando ‘ : de lacarterade rendimiento delacarteray | APOO6.05 Inacio ot incest y meron ¢e poana BAO. considera las aocionescerectias Acciones para mejorar EDMOS.C1 enttege de valor ‘APO05.04 ‘APO06.02 BAI.O1 Ratividades 1. Defi un conjnto equlibrado de objetos de desempefi, métcas, metas y puntos de referencia. Las méveas deberian cubrirlaacthdad y lamerida de resultados, inuyendo los Indicadores deretardoy de avance dels resullads, es como un enuliro adecuado de las merlidas financeras y no fnancieras Revisarosy aorderos con las urciones de Ty de negocio, oas partes intresadas relevant, 2 Recoger les datos pertnentes,oportunos,completos, fables y peciss para infrmar sobre las avances en la efrega de valor especto alos objets. Obtener una sucnla, de ato rive, completa vista de la carera, programa y desempeao T (capandades tecnicas yoperativas) que saparien latoma de decisions y aseguren que los resutadhs esperados se estan logranco. 3 Consegur informs nabtualesy elevantes dela cetera, crograma y aesempefo o= Ti (emnoléice yTunclonab, Reser progres dela emoresa hacia los oojtwos ienticacs yal grado en al que os chetWos press son alcanzades, ls etregabis obtenios, los atv de renamlento alcanzados ye riesgo miligado, Tras a revi dels informs, tomar las medidas de gestion apropads sogin sea necesaro para asegurar que el velr sea optimizado, 5 Tras a revision de los informe, asegirese de qu ls medidas correcnas apropiadas son iniiaas y conoladas. Referencia Detallada Isonee 38500 eng ‘52. T| debora estar alread con Ios objetvos do rondinoto y sostonibiidad de a empresa ‘© 54. £! Consao do Adminitracen daperta supervisarycvaluar fas Iversenos sign iatvas y los gastes eal 37 Personal Copy of: Ing. MARIO BERNABE RON z z FyCOBIT@ Procrsos CATALIZADORES Pagina dejada en blanco intencionadamente H Ei a F 3 i Personal Copy of: Ing. MARIO BERNABE RONCapiruLc ConTENIDOS DE LA GuiA DE REFERENCIA DE Procrsos bE COBIT 5 ed Eee eed oul Descripeién del Proceso segura que el apelf y atolerancia al riesgo dela empresa son entencidos,aticuladosy comunicadosy que e riesgo para el valor de a empresa relasionada con ol uso de las Tes idenbficade y gostionado Decaracion del Propdsito del Proceso Asegurar que fs resgos relacionados con TI dela empresa no exceden ie apetto nia tleracin de riesgo que e! impacto de los resgns de Tenet valor de la empresa se identfcay se gestiona y que el potencil fal en el cumplimiento se reduce al minim, Elproceso apoya la consecuoién de un conjunto de principales metas Ti: Meta (Métricas Relaconadas ‘04 Riesges de negocio relacionados © Porcentae de procesos de negocio creos, services Tly programas de negocio habits con las Ti gestonados or las TI cubierto por evaluaciones de resgos * Mlmero de incidentessigncatvos relacionadas con las que no TueranWdenticados en la cevaluacdn do ieagos + Porentoe de evauaciunes de eso de a emeres que Incuyen os espos retaconads con Tl Frecuencia de ecualzacin de perl de riesgo z z 3 ‘6 Transparencia de los costes, beneiis * Porcontae do inversion en casos de nagocio con cess yboneicos esporados relatos aT _yfesgos elas T ‘laramente defrdos y aprobadas. + Porcantale do servicks TI con castes opsratwesy benetils esperadescarament denies yaprobads. + Encuesta de sallstaccén a las partes infeesadas dave rlata al nivel de ransparencia, cmprensiony precstn de la informacion financira de Tl 10 Seguridad dela informacion, nreestuctra * Miméro de incidenes de cegur dad causentes de péaicas manceras, mterupciones a3] e procesamienioy aplicaciones Negocio o pércida de imagen pica * mero de seticos 1271 con is requis de seguicas penaertes ‘Tiempo para oiorgar, modtcar y alininar ls priiegis de acceso, comparado con is niles e servicio acordados * Frecuencia oe la evluacion ge seguridad rene as Uitmos esténaaresygulas 15 Cumplimiento de as policasintemas * wimero de incidenes relacionados con eIneumpimlento de a poliea or pate de as TL * Porcenisje de partes interesadas que comprenten las polis * Porcentale de poltieas sopertacas por esténdares y prticas de traveloefectvas + Fresvencia de revision y actualaclon dels pois (Metas y Métricas del Proceso Mota del Proceso Métricas Relacionadas 1. Los umbraes de riesgo son defnidos y comunicados | + Nvel de alineamiento entre esgo Tiy reso d= negocio ‘ylos nesgos clave relacionados conf Tl son * Niméro de potenciales nesges Tl oenteades y gestonados conocido, * recuencla de retTesco de [a avaluacion de fs acres de resgo 2, La empresa geslona el riesgo crlco emoresaral | Porcentaje de prayectes dela empresa que conslieranelriesgoT relacionado con ls Tlefiazy efcentemente. * Porcentae de panes de accion de resgo Tl lecutados en tempo *Porcentale de legos ees que han sido eflezmente mtigados 3 Ls iesgas empresarales reacionads con Tas TV | » Nivel do impacto ar presaralnesparado excede el apetio disco y elimpactadelriesgo Tl J» Porcntse de riesgosT que exceden lresgo empresata tlerado ene valor dela empresa es Heriicad y gesnado, Eine = a 4) | Ele s ell fe Hye a) 8, slalaie alEls| lel elelgl. Hn an elElElé s|2|2|& Slel2]s|lElsleiel&| lz _lsEl2|5 Hil elesle|Elalale ele) 1\3) /glslelelag HS/ElAIE s// ale |ele El] lelgle|glels/sleig alae lay eiel ele avelelelz|gigle|e 3) B/E/E)s|3/s]2|8|2|2/3|2/2) ele ele elElelelals le eas /esyeelele el slelae isle elelelelglelele/2 3 : £ B/B5/ 5/5 vacteacoetmom [HEE (e|] 8] 6|£|E1a]2/ 8] || 4] a)2| || #|2| 3] 8] 13 EDM sndeiocom (48 [6] c]n]c] a ifefe] Jrfefefealec ¢ COMED oaeresoos —[4{®fefefefefalifrfrlalififrlefofcfafefifififili fil Fouts aineoreams [4/8 [olefelclalififulalalr)ifcfefefalefifi fifi] ifrle 39 Personal Copy of: Ing. MARIO BERNABE RON