COBIT 2019

Auditoria de Sistemas
Universidad Rafael Landívar
MBA. Josue Gomez
 ¿Que es COBIT?

COBIT (Control Objectives Control Objectives for Information and

related Technology) es el marco aceptado internacionalmente como
una buena práctica para el control de la información, TI y los riesgos
que conllevan. COBIT se utiliza para implementar el gobierno de IT
y mejorar los controles de IT. Contiene objetivos de control,
directivas de aseguramiento, medidas de desempeño y resultados,
factores críticos de éxito y modelos de madurez.
 ¿Que es COBIT?

Para ayudar a las organizaciones a satisfacer con éxito los desafíos

de los negocios actualmente, el IT Governance Institute® (ITGI) ha
publicado la versión de COBIT® 2019

COBIT es un framework de Gobierno de TI y un conjunto de

herramientas de soporte para el gobierno de T.I. que les permite a
los gerentes cubrir la brecha entre los requerimientos de control, los
aspectos técnicos y riesgos de negocio.
COBIT hace posible el desarrollo de una política clara y las buenas
prácticas para los controles de T.I. a través de las organizaciones.
COBIT enfatiza en la conformidad a regulaciones, ayuda a las
organizaciones a incrementar el valor alcanzado desde la TI,
permite el alineamiento y simplifica la implementación de la
estructura COBIT.
Linea del tiempo
Arquitectura COBIT
Interesados Internos
Interesados Externos
Conceptos clave
Principios (Sistema de Gobierno y de Marco
de gobierno)
Principios (Sistema de Gobierno)
 Principios (Sistema de Gobierno)

Los seis (6) principios son los requisitos básicos para un sistema de
gobierno de la información y la tecnología de la empresa.

1. Cada empresa necesita un sistema de gobierno para satisfacer

las necesidades de las partes interesadas y generar valor a partir
del uso de I&T.

2. Un sistema de gobierno para I&T empresarial se construye a

partir de una serie de componentes que pueden ser de diferentes
tipos y que funcionan juntos de una manera integral.

3. Un sistema de gobierno debe ser dinámico. Esto significa que

cada vez que se cambien uno o más de los factores de diseño, se
debe considerar el impacto de estos cambios en el sistema EGIT.
 Principios (Sistema de Gobierno)

4. Un sistema de gobierno debe distinguir claramente entre las

actividades y estructuras de gobierno y administración.

5. Un sistema de gobierno debe adaptarse a las necesidades de la

empresa, utilizando un conjunto de factores de diseño como
parámetros para personalizar y priorizar los componentes del
sistema de gobierno.

6. Un sistema de gobierno debe cubrir el extremo a extremo de la

empresa, centrándose no solo en la función de TI sino en toda la
tecnología y el procesamiento de la información que la empresa
pone en práctica para lograr sus objetivos.
Principios (Marco de Gobierno)
 Principios (Marco de Gobierno)

Los tres (3) principios identifican los principios subyacentes para un

marco de gobernabilidad que pueden usarse para construir un
sistema de gobernabilidad para la empresa.

1. Un marco de gobernanza debe basarse en un modelo

conceptual, identificando los componentes clave y las relaciones
entre los componentes, para maximizar la coherencia y permitir la
automatización.
2. Un marco de gobierno debe ser abierto y flexible. Debería
permitir la adición de nuevo contenido y la capacidad de abordar
nuevos problemas de la manera más flexible, al tiempo que se
mantiene la integridad y la coherencia.

3. Un marco de gobernanza debe alinearse con las principales

normas, marcos y reglamentos relacionados relevantes
 Objetivos de Gobierno y Gestión

Para que la información y la tecnología contribuyan a los objetivos

de la empresa, se deben lograr una serie de objetivos de gobierno y
gestión.

• Un objetivo de gobierno o gestión siempre se relaciona con un

proceso y una serie de componentes relacionados de otros tipos
para ayudar a lograr el objetivo.

• Un objetivo de gobierno se relaciona con un proceso de gobierno,

mientras que un objetivo de gestión se relaciona con un proceso de
gestión.
 Objetivos de Gobierno y Gestión

De manera similar a COBIT 5, los objetivos de gobierno y gestión

en COBIT® 2019 se agrupan en cinco dominios. Los dominios
tienen nombres que expresan el propósito clave y las áreas de
actividad de los objetivos contenidos en ellos.
Modelo de referencia de procesos
 Objetivos de Gobierno y Gestión

Información
Vestibulumde
nec
alto Objetivos
Vestibulum
en cascada
nec Vestibulum
Componentes
nec Vestibulum
Orientación
nec
congue
nivel
tempus congue tempus congue
relacionados
tempus congue
relacionada
tempus

• Nombre
Lorem ipsum de dolor
dominio
sit dolor • Objetivos
Lorem ipsum dedolor
alineación
sit dolor • Procesos,
Lorem ipsum prácticas
dolor sit
y dolor Cuando
Lorem ipsum
se aplican
dolor sit
enlaces
dolor y
• Áreaamet,
deconsectetur
enfoque nec aplicables
amet, consectetur nec actividades
amet, consectetur nec referencias
amet, consectetur
cruzadas,nec se
adipiscing elit,
• Gobierno sed do ipsum
o nombre de • adipiscing
Objetivoselit, sed do ipsum adipiscing elit,
• Estructuras sed do ipsum
organizativas proporcionan
adipiscing elit,
otros
sed estándares
do ipsum
eiusmod tempor. Donec eiusmod tempor. Donec • Flujos y elementos
eiusmod tempor.deDonec y marcos
eiusmod para
tempor.
cada uno
Donecde los
objetivo de gestión empresariales aplicables
facilisis lacus eget sit nec facilisis lacus eget sit nec información
facilisis lacus eget sit nec componentes
facilisis lacus de
eget sit
gobierno
nec
• Descripción • Métricas de ejemplo
lorem mauris. lorem mauris. • Personas,lorem
habilidades
mauris. y dentro de loremcada
mauris.
objetivo de
• Declaración de
competencias gobierno y gestión.
propósito. • Políticas y marcos
• Cultura, ética y comportamiento
• Servicios, infraestructura y
aplicaciones
 Objetivos en cascada
● Los objetivos empresariales se han
consolidado, reducido, actualizado y
clarificado.
● Los objetivos de alineación enfatizan la
alineación de todos los esfuerzos de TI con
los objetivos de negocios.
○ Estos fueron objetivos relacionados con
TI en COBIT 5.
○ La actualización busca evitar el
malentendido frecuente de que estos
objetivos indican objetivos puramente
internos del departamento de TI dentro de
una empresa.
○ Los objetivos de alineación tienen
También se ha consolidado, reducido,
actualizado y aclarado cuando sea
necesario.
 Componentes del sistema de gobierno
● El sistema de gobierno de cada
empresa se construye a partir de
una serie de componentes.

● Los componentes pueden ser de

diferentes tipos.

● Los componentes interactúan

entre sí, dando como resultado un
sistema de gobierno holístico para
I&T.

● Estos fueron conocidos como

habilitadores en COBIT 5
 Componentes del sistema de gobierno
Los componentes pueden ser genéricos o
variantes de componentes genéricos:
● Los componentes genéricos se
describen en el modelo central de
COBIT:
○ Se aplican en principio a cualquier
situación.
○ Sin embargo, son de naturaleza
genérica y generalmente necesitan
personalización antes de ser
implementados en la práctica

● Las variantes se basan en componentes

genéricos pero :
○ Se adaptan a un propósito o
contexto específico un área de
enfoque (por ejemplo, para
seguridad de la información,
DevOps, una regulación particular)
 Áreas de Enfoque
● Un área de enfoque describe un
determinado tema de gobierno, dominio o
problema que puede ser abordado por una
colección de objetivos de gobierno y
gestión y sus componentes.

● Las áreas de enfoque pueden contener

una combinación de componentes de
gobierno genéricos y variantes.

● El número de áreas de enfoque es

prácticamente ilimitado. Eso es lo que hace
abierto a COBIT. Se pueden agregar
nuevas áreas de enfoque según sea
necesario o como contribuyan expertos y
profesionales en la materia.
 Factores de Diseño
Los factores de diseño son
factores que:

● Influyen en el diseño del

sistema de gobierno de una
empresa.

● Colóquelo para tener éxito

en el uso de I&T.

● Puede encontrar más

información y orientación
detallada sobre cómo usar
los factores de diseño para
diseñar un sistema de
gobierno en la publiacion
“Guia de diseño” Diseño de
COBIT
Factores de Diseño ( ejemplo )
Diseño de sistema de gobierno a la medida

Prioridad de
objetivo de
gestión y
niveles de
capacidad
de destino

Impacto de factores de diseño

Los factores de diseño influyen

de diferentes maneras en la Impacto de
los factores
adaptación del sistema de
de diseño
gobierno de una empresa
Áreas de Variaciones de
enfoque los
específico componentes
 Diseño de sistema de gobierno a la medida
Prioridad de objetivo de gestión y
niveles de capacidad de destino Prioridad de
objetivo de
gestión y
niveles de
● La influencia del factor de capacidad
de destino
diseño puede hacer que algunos
objetivos de gestión y gobierno
sean más importantes que
otros, a veces en la medida en Impacto de
que se vuelven insignificantes los factores
● En la práctica, esta mayor de diseño
importancia se traduce en
Áreas de Variaciones de
establecer niveles más altos de enfoque los
específico componentes
capacidad objetivo.
 Diseño de sistema de gobierno a la medida

Prioridad de
objetivo de
gestión y
Variaciones de los componentes. niveles de
capacidad
de destino
● Los componentes son
necesarios para lograr los
objetivos de gobierno y gestión.
Algunos factores de diseño Impacto de
pueden influir en la importancia los factores
de uno o más componentes o de diseño
pueden requerir variaciones Áreas de Variaciones de
específicas enfoque
específico
los
componentes
 Diseño de sistema de gobierno a la medida

Prioridad de
objetivo de
gestión y
Áreas de enfoque específicas niveles de
capacidad
de destino
● Algunos factores de diseño,
como el panorama de
amenazas, el riesgo específico,
los métodos de desarrollo de Impacto de
objetivos y la configuración de la los factores
infraestructura, impulsarán la de diseño
necesidad de la variación del Áreas de Variaciones de
contenido del modelo de núcleo enfoque
específico
los
componentes
de COBIT a un contexto
específico
 Diseño de sistema de gobierno a la medida

Flujo de trabajo de diseño de sistema de gobierno

● Las diferentes etapas y pasos en el proceso de diseño

darán como resultado recomendaciones para priorizar los
objetivos de gobierno y gestión o los componentes del
sistema de gobierno relacionados, para los niveles de
capacidad objetivo, o para adoptar variantes específicas de
un componente del sistema de gobierno.
 Diseño de sistema de gobierno a la medida
1. Comprender el contexto 2. Determinar el 3. Refinar el alcance 4. concluir el diseño
de empresa y la alcance inicial del del sistema de del sistema de
estrategia sistema de gobierno gobierno gobierno

1. Comprender el 1. Considerar la 1. Considerar el 1. Resolver los

riesgo de la estrategia panorama de conflictos de
empresa. empresarial. amenazas. prioridad
2. Comprender las 2. Considerar las 2. Considerar los inherentes.
requerimientos de
metas de la metas de empresa 2. Concluir el diseño
cumplimiento.
empresa. en la aplicación de del sistema de
3. Considerar el rol de
3. comprender el las metas de TI.
gobierno.
perfil de riesgo. cascada de 4. Considerar el modelo
4. Comprender los COBIT. de abastecimiento.
problemas 3. Considerar el 5. Considerar los
actuales perfil de riesgo de métodos de
relacionados con la empresa. implementación de TI.
TI. 4. Considerar los 6. Considerar la
problemas estrategia de
actuales adopción de TI.
7. Considerar el tamaño
relacionados con
de la empresa.
TI.
 Diseño de sistema de gobierno a la medida

El enfoque de implementación se basa en empoderar a las

partes interesadas de negocios y de TI, así como a los actores
de rol para que se responsabilicen de las decisiones y
actividades de gobierno y gestión relacionadas con la TI,
facilitando y permitiendo el cambio.

● La guia de implementacion es un enfoque por fases con 3

perspectivas:
○ Mejora Continua
○ Gestión de programas
○ Habilitación del cambio.
 Implementación

La Guía de
implementación COBIT®
2019 hace hincapié en
una visión de la
gobernanza de I&T en
toda la empresa.

Reconoce que las

actividades de I&T son
dominantes en las
empresas y que no es
posible ni es una buena
práctica separar las
actividades comerciales y
relacionadas con TI.
 Gestión del desempeño

Capacidad y Madurez

● COBIT 2019 admite un esquema de

capacidad de proceso basado en CMMI.
● El proceso dentro de cada objetivo de
gobierno y gestión puede operar a
niveles de capacidad, entre 0 y 5.
● El nivel de capacidad es una medida de
qué tan bien se implementa y realiza un
proceso.
● Cada actividad del proceso es
asociado con un nivel de
capacidad
 Gestión del desempeño

Capacidad y Madurez

● Cada actividad de proceso está asociada con un nivel de capacidad:

○ Ayuda a los usuarios a implementar procesos a un nivel
fundamental.
○ Identifica actividades futuras para lograr un nivel más alto.
 Gestión del desempeño

Capacidad y Madurez

● Cada actividad de proceso está asociada con un nivel de capacidad:

○ Ayuda a los usuarios a implementar procesos a un nivel
fundamental.
○ Identifica actividades futuras para lograr un nivel más alto.
 Gestión del desempeño

Capacidad y Madurez

● A veces se requiere un nivel más alto

para expresar el rendimiento, menos
granular que las capacidades de
capacidad de proceso individual: Niveles
de madurez.
● Definimos los niveles de madurez en la
actualización de COBIT 2019 como una
medida de rendimiento en el
nivel del Área de enfoque
 Guia para auditar COBIT 2019

● Planificar basado en el alcance.

● Acordar la agenda de las reuniones
● Identificar un lugar para almacenar evidencias
● Reservar tiempo para el análisis de datos
● Utilizar entrevistas guiadas
● Ponderar los resultados
● Generar el informe
● Entregar el Informe.