3 - COBIT 2019 - Libro Diseño Sol GTI

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
Acerca de ISACA
Con casi 50 años de vida, ISACA® (isaca.org) es una organización global que ayuda tanto a individuos como a
empresas a alcanzar el potencial positivo de la tecnología. La tecnología impulsa el mundo de hoy e ISACA
proporciona a los profesionales los conocimientos, credenciales, educación y comunidad para avanzar en sus carreras
profesionales y transformar sus organizaciones. ISACA aprovecha la experiencia de su medio millón de profesionales
dedicados a información y ciberseguridad, gobierno, aseguramiento, riesgo e innovación, así como su filial de
desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la tecnología.
ISACA está presente en más de 188 países, con más de 217 capítulos y oficinas, tanto en Estados Unidos como en
China.
Descargo de responsabilidad
ISACA ha diseñado y creado Guía de diseño COBIT® 2019 : Diseño de una solución de Gobierno de Información y
Tecnología (el «Trabajo») fundamentalmente como un recurso educativo para los profesionales del gobierno
empresarial de información y tecnología(GEIT), aseguramiento, riesgo y seguridad. ISACA no asume ninguna
responsabilidad acerca de que el uso de cualquier parte del Trabajo garantice un resultado exitoso. No debe
considerarse que el Trabajo incluye toda la información, procedimientos y pruebas correctas, ni que excluye otra
información, procedimientos y pruebas que estén orientadas razonablemente hacia la obtención de los mismos
resultados. Para determinar la propiedad de cualquier información, procedimiento o prueba específicos, los
profesionales del gobierno empresarial de información y tecnología (GEIT), aseguramiento, riesgo y seguridad deben
aplicar su propio criterio profesional a las circunstancias específicas de los sistemas o entorno de tecnología de la
información particular.
Copyright
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite
www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología
ISBN 978-1-60420-793-4

IN MEMORIAM: JOHN LAINHART (1946-2018)
In Memoriam: John Lainhart (1946-2018)
Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura
clave en la creación del marco COBIT® y en los últimos años ejerció como presidente del grupo de trabajo de
COBIT ® 2019, que culminó con la creación de este trabajo. Durante sus cuatro décadas en ISACA, John participó
en distintos aspectos de la organización, además de contar con las certificaciones CISA, CRISC, CISM y CGEIT de
ISACA. John deja un increíble legado personal y profesional, y su trabajo ha tenido un gran impacto en ISACA.

Página intencionalmente en blanco

AGRADECIMIENTOS
Agradecimientos
ISACA desea agradecer a:
COBIT Working Group (2017-2018)
John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU.
Matt Conboy, Cigna, EE. UU.
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Bélgica
Geert Poels, Ph.D., Ghent University, Bélgica
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Graciela Braga, CGEIT, Auditor and Advisor, Argentina
James L. Golden, Golden Consulting Associates, EE. UU.
J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica
Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India
Jo Stewart-Rattray, CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich, Australia
Consejo de dirección de ISACA

Rob Clyde, CISM, Clyde Consulting LLC, EE. UU., Presidente
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, EE. UU., Vicepresidente
Tracey Dedrick, Ex Director de Riesgo con Hudson City Bancorp, EE. UU.
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Implementador y Asesor, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapur
R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, México
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, EE. UU.
Ted Wolff, CISA, Vanguard, Inc., EE. UU.
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CIA, CRMA, EGIT | Enterprise Governance of
IT (Pty) Ltd, Sudáfrica
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, EE. UU.,
Presidenta del Consejo de Administración de ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grecia, Presidente del Consejo de Administración
de ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Director Ejecutivo, ISACA, EE. UU.
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., EE. UU, Presidente del Consejo de Administración
de ISACA, 2014-2015
ISACA lamenta profundamente el fallecimiento de Robert E. Stroud en septiembre de 2018.


ÍNDICE
ÍNDICE
Lista de Figuras ..............................................................................................................................................11
Parte I - Proceso de diseño ................................................................................................................15
Capítulo 1. Introducción y propósito .........................................................................................15
1.1 Sistemas de gobierno....................................................................................................................................15
1.2 Estructura de esta publicación ......................................................................................................................15
1.3 Público objetivo de esta publicación ............................................................................................................16
1.4 Documentación Relacionada: Guía de implementación de COBIT ® 2019 .......................................................16
Capítulo 2. Conceptos básicos: Sistema de Gobierno y

Componentes ...................................................................................................................................................17
2.1 Introducción.................................................................................................................................................17
2.2 Objetivos de gobierno y gestión....................................................................................................................18
2.3 Componentes del sistema de gobierno...........................................................................................................20
2.4 Áreas prioritarias .........................................................................................................................................20
2.5 Niveles de capacidad ....................................................................................................................................20
2.6 Factores de diseño........................................................................................................................................21
2.6.1 ¿Por qué no existe un factor de diseño del sector industrial? ....................................................................28
Capítulo 3. Impacto de factores de diseño ........................................................................29

3.1 Impacto de factores de diseño.......................................................................................................................29
Capítulo 4. Diseño de un sistema de gobierno personalizado ........................31

4.1 Introducción.................................................................................................................................................31
4.2 Paso 1: Entender el contexto y estrategia de la empresa ................................................................................32
4.2.1 Entender la estrategia empresarial .........................................................................................................32
4.2.2 Entender las metas empresariales ..........................................................................................................32
4.2.3 Entender el perfil de riesgo ...................................................................................................................33
4.2.4 Entender los problemas actuales relacionados con I&T ...........................................................................33
4.2.5 Conclusión ..........................................................................................................................................33
4.3 Paso 2: Determinar el alcance inicial del sistema de gobierno .......................................................................33
4.3.1 Trasladar los factores de diseño a prioridades de gobierno y gestión ........................................................34
4.3.2 Considerar la estrategia empresarial (Factor de diseño 1) ........................................................................34
4.3.3 Considerar las metas empresariales y aplicar la cascada de metas COBIT (Factor de diseño 2) ...................35
4.3.4 Considerar el perfil de riesgo de la empresa (Factor de diseño 3) .............................................................36
4.3.5 Considerar los problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) ..................36
4.3.6 Conclusión ..........................................................................................................................................36
4.4 Paso 3: Perfeccionar el alcance del sistema de gobierno ................................................................................37
4.4.1 Considerar el escenario de amenazas (Factor de diseño 5) .......................................................................37
4.4.2 Considerar los requisitos de cumplimiento (Factor de diseño 6) ...............................................................38
4.4.3 Considerar el rol de TI (Factor de diseño 7) ...........................................................................................38
4.4.4 Considerar el modelo de abastecimiento de proveedores para TI (Factor de diseño 8) ................................39
4.4.5 Considerar métodos de implementación de TI (Factor de diseño 9) ..........................................................39
4.4.6 Considerar la estrategia de adopción de tecnología (Factor de diseño 10) .................................................40
4.4.7 Considerar el tamaño de la empresa (Factor de diseño 11) .......................................................................40
4.4.8 Conclusión ..........................................................................................................................................41
4.5 Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno ......................................................41
4.5.1 Resolver conflictos de prioridades inherentes .........................................................................................42
4.5.1.1 Propósito ...................................................................................................................................42
4.5.1.2 Estrategias de resolución .............................................................................................................42
4.5.1.3 Enfoque de resolución .................................................................................................................42

4.5.2 Finalizar el diseño del sistema de gobierno ............................................................................................43
4.5.2.1 Finalizar el diseño .....................................................................................................................43
4.5.2.2 Sostener el sistema de gobierno ..................................................................................................43
Capítulo 5. Conectando con la Guía de implementación

COBIT ® 2019 ....................................................................................................................................................45
5.1 Propósito de la Guía de implementación COBIT ® 2019 ................................................................................45
5.2 Método de Implementación de COBIT ..........................................................................................................45
5.2.1 Fase 1: ¿Cuáles son los impulsores? ......................................................................................................46
5.2.2 Fase 2: ¿Dónde estamos ahora? .............................................................................................................46
5.2.3 Fase 3: ¿Dónde queremos estar? ............................................................................................................47
5.2.4 Fase 4: ¿Qué debe hacerse? ...................................................................................................................47
5.2.5 Fase 5: ¿Cómo conseguiremos llegar? ....................................................................................................47
5.2.6 Fase 6: ¿Lo logramos? ..........................................................................................................................47
5.2.7 Fase 7: ¿Cómo mantenemos el impulso? ................................................................................................47
5.3 Relación entre la Guía de diseño COBIT y la Guía de implementación COBIT .............................................47
Parte II - Ejecución y ejemplos .......................................................................................................51

Capítulo 6. Kit de herramientas de diseño del sistema de gobierno ........51
6.1 Introducción.................................................................................................................................................51
6.2 Elementos básicos del kit de herramientas ....................................................................................................51
6.3 Paso 1 y paso 2: Determinar el alcance inicial del sistema de gobierno..........................................................52
6.3.1 Estrategia empresarial (Factor de diseño 1) ............................................................................................52
6.3.2 Metas empresariales y la aplicación de la cascada de metas de COBIT (Factor de diseño 2) .......................53
6.3.3 Perfil de riesgo de la empresa (Factor de diseño 3) .................................................................................54
6.3.4 Problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) .......................................55
6.3.5 Conclusión ..........................................................................................................................................56
6.4 Paso 3: Perfeccionar el alcance del sistema de gobierno ................................................................................58
6.4.1 Escenario de amenazas (Factor de diseño 5) ...........................................................................................59
6.4.2 Requisitos de cumplimiento (Factor de diseño 6) ....................................................................................60
6.4.3 Rol de TI (Factor de diseño 7) ...............................................................................................................61
6.4.4 Modelo de abastecimiento de proveedores para TI (Factor de diseño 8) ....................................................64
6.4.5 Métodos de implementación de TI (Factor de diseño 9) ...........................................................................63
6.4.6 Estrategia de adopción de tecnología (Factor de diseño 10) .....................................................................64
6.4.7 Tamaño de la empresa (Factor de diseño 11) ...........................................................................................65
6.4.8 Conclusión ..........................................................................................................................................65
Capítulo 7. Ejemplos .................................................................................................................................67

7.1 Introducción.................................................................................................................................................67
7.2 Ejemplo 1: Empresa de manufactura .............................................................................................................67
7.2.1 Paso 1: Entender el contexto y estrategia de la empresa ..........................................................................67
7.2.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ..................................................................71
7.2.3 Paso 3: Perfeccionar el alcance del sistema de gobierno ..........................................................................80
7.2.4 Paso 4: Finalizar el Diseño de la Solución de Gobierno ...........................................................................89
7.2.4.1 Objetivos de gobierno y gestión ..................................................................................................89
7.2.4.2 Otros componentes ....................................................................................................................91
7.2.4.3 Directrices para áreas prioritarias específicas ..............................................................................91
7.3 Ejemplo 2: Empresa de innovación de tamaño mediano.................................................................................92
7.3.1 Paso 1: Entender el contexto y estrategia de la empresa ..........................................................................92
7.3.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ..................................................................96
7.3.3 Paso 3: Perfeccionar el alcance del sistema de gobierno ........................................................................105
7.3.4 Paso 4: Finalizar el diseño de la solución de gobierno ...........................................................................115
7.3.4.1 Objetivos de gobierno y gestión ................................................................................................115
7.3.4.2 Otros componentes ...................................................................................................................118
7.3.4.3 Directrices para áreas prioritarias específicas .............................................................................118

ÍNDICE
7.4 Ejemplo 3: Agencia gubernamental de perfil alto ........................................................................................119
7.4.1 Paso 1: Entender el contexto y estrategia de la empresa .........................................................................119
7.4.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ................................................................123
Apéndices .........................................................................................................................................................137
Apéndice A: Tabla de asignación—Estrategias empresariales a objetivos de gobierno y gestión .........................137
Apéndice B: Tabla de asignación—Metas empresariales a metas de alineamiento ..............................................139
Apéndice C: Tabla de asignación—Metas de alineamiento a objetivos de gobierno y gestión .............................140
Apéndice D: Tabla de asignación—Riesgo de TI a objetivos de gobierno y gestión............................................141
Apéndice E: Tabla de asignación—Problemas relacionados con I&T a objetivos de gobierno y gestión ..............143
Apéndice F: Tabla de asignación—Escenario de amenazas a objetivos de gobierno y gestión.............................145
Apéndice G: Tabla de asignación—Requisitos de cumplimiento a objetivos de gobierno y gestión.....................146
Apéndice H: Tabla de asignación—Rol de TI a objetivos de gobierno y gestión.................................................147
Apéndice I: Tabla de asignación—Modelo de abastecimiento de proveedores para TI a objetivos de gobierno
y gestión ..........................................................................................................................................................148
Apéndice J: Tabla de asignación—Métodos de implementación de TI a objetivos de gobierno y gestión ...........149
Apéndice K: Tabla de asignación—Estrategias de adopción de tecnología a objetivos de gobierno y gestión ......150

10

LISTA DE FIGURAS
LISTA DE FIGURAS
Capítulo 2. Conceptos básicos: Sistema de Gobierno y Componentes
Figura 2.1—Generalidades de COBIT .......................................................................................................................17
Figura 2.2—Modelo Core de COBIT.........................................................................................................................19
Figura 2.3—Niveles de capacidad para los procesos ..................................................................................................21
Figura 2.4—Factores de diseño de COBIT ................................................................................................................22
Figura 2.5—Factor de diseño de estrategia empresarial .............................................................................................22
Figura 2.6—Factor de diseño de metas empresariales ................................................................................................22
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) ...........................................................23
Figura 2.8—Factor de diseño de problemas relacionados con I&T .............................................................................26
Figura 2.9—Factor de diseño del escenario de amenazas ...........................................................................................26
Figura 2.10—Factor de diseño de los requisitos de cumplimiento ..............................................................................27
Figura 2.11—Factor de diseño del rol de TI ..............................................................................................................27
Figura 2.12—Factor de diseño de modelo de abastecimiento de proveedores para TI .................................................27
Figura 2.13—Factor de diseño de métodos de implementación de TI .........................................................................27
Figura 2.14—Factor de diseño de estrategia de adopción de tecnología......................................................................28
Figura 2.15—Factor de diseño de tamaño de la empresa ............................................................................................28
Capítulo 3. Impacto de factores de diseño

Figura 3.1—Impacto de factores de diseño en el sistema de gobierno ........................................................................29
Capítulo 4. Diseño de un sistema de gobierno personalizado

Figura 4.1—Flujo de trabajo del diseño del sistema de gobierno ..................................................................................31
Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de estrategia
empresarial..................................................................................................................................................................34
Figura 4.3—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de escenario de amenazas ..37
Figura 4.4—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de requisitos de
cumplimiento ..............................................................................................................................................................38
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de TI .......................38
Figura 4.6—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de modelo de
abastecimiento de proveedores para TI ........................................................................................................................39
Figura 4.7—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de métodos de
implementación de TI ..................................................................................................................................................40
Figura 4.8—Prioridad de los objetivos de gestión y gobierno asignada a un factor de diseño de estrategia de
adopción de tecnología ................................................................................................................................................40
Figura 4.9—Prioridad de los objetivos de gestión y gobierno asignada a un factor de diseño de tamaño de la empresa .41
Figura 4.10—Paso 4 del diseño del sistema de gobierno—Conclusión..........................................................................41
Capítulo 5. Conectando con la Guía de implementación COBIT® 2019

Figura 5.1—Hoja de ruta de implementación COBIT.................................................................................................46
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT ......................48
Capítulo 7. Ejemplos
Figura 7.1—Ejemplo 1, Paso 1.1: Estrategia empresarial ...........................................................................................67
Figura 7.2—Ejemplo 1, Paso 1.2: Metas empresariales ..............................................................................................68
Figura 7.3—Ejemplo 1, Paso 1.3: Riesgo Perfil .........................................................................................................69
Figura 7.4—Ejemplo 1, Paso 1.4: I&T-Problemas relacionados .................................................................................70
Figura 7.5—Ejemplo 1, Paso 2.1: Estrategia empresarial ...........................................................................................71
Figura 7.6—Ejemplo 1, Paso 2.1: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 1 Estrategia empresarial ..............................................................................................................72
Figura 7.7—Ejemplo 1, Paso 2.2: Metas empresariales ..............................................................................................73
Figura 7.8—Ejemplo 1, Paso 2.2: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 2 Metas empresariales.................................................................................................................74
Figura 7.9—Ejemplo 1, Paso 2.3: Perfil de riesgo .....................................................................................................75
11

Figura 7.10—Ejemplo 1, Paso 2.3: Importancia derivada de Objetivos de Gobierno/Gestión para el
Factor de diseño 3 Perfil de riesgo ............................................................................................................................76
Figura 7.11—Ejemplo 1, Paso 2.4: Problemas relacionados con I&T .........................................................................77
Factor de diseño 4 Problemas relacionados con I&T..................................................................................................78
Figura 7.13—Ejemplo 1, Paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión.......79
Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno.....................................................................80
Figura 7.15—Ejemplo 1, paso 3.1: Escenario de amenazas ........................................................................................82
Figura 7.16—Ejemplo 1, paso 3.1: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 5 Escenario de amenazas.............................................................................................................82
Figura 7.17—Ejemplo 1, paso 3.2: Requisitos de cumplimiento.................................................................................83
el Factor de diseño 6 Requisitos de cumplimiento .....................................................................................................84
Figura 7.19—Ejemplo 1, paso 3.3: Rol de TI.............................................................................................................84
el Factor de diseño 7 Rol de TI .................................................................................................................................85
Figura 7.21—Ejemplo 1, paso 3.4: Modelo de abastecimiento de proveedores para TI ...............................................86
el Factor de diseño 8 Modelo de abastecimiento de proveedores para TI ....................................................................86
Figura 7.23—Ejemplo 1, paso 3.5: Métodos de implementación de TI .......................................................................87
el Factor de diseño 9 Métodos de implementación de TI ............................................................................................87
Figura 7.25—Ejemplo 1, paso 3.6: Estrategia de Adopción de Tecnología..................................................................88
el Factor de diseño 10 Estrategia de Adopción de Tecnología ....................................................................................88
Figura 7.27—Ejemplo 1, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño)...89
Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de Proceso....................90
Figura 7.29—Ejemplo 2, paso 1.1: Estrategia empresarial .........................................................................................92
Figura 7.30—Ejemplo 2, paso 1.2: Metas empresariales ............................................................................................93
Figura 7.31—Ejemplo 2, paso 1.3: Perfil de riesgo....................................................................................................94
Figura 7.32—Ejemplo 2, paso 1.4: Problemas relacionados con I&T .........................................................................95
Figura 7.33—Ejemplo 2, paso 2.1: Estrategia empresarial .........................................................................................96
Figura 7.34—Ejemplo 2, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para
el Factor de Diseño 1 Estrategia empresarial .............................................................................................................97
Figura 7.35—Ejemplo 2, paso 2.2: Metas empresariales ............................................................................................98
el Factor de Diseño 2 Metas empresariales ...............................................................................................................99
Figura 7.37—Ejemplo 2, paso 2.3: Perfil de riesgo ..................................................................................................100
el Factor de Diseño 3 Perfil de riesgo......................................................................................................................101
Figura 7.39—Ejemplo 2, paso 2.4: Problemas relacionados con I&T........................................................................102
el Factor de Diseño 4 Problemas relacionados con I&T ...........................................................................................103
Figura 7.41—Ejemplo 2, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión .....104
Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 ................................105
Figura 7.43—Ejemplo 2, paso 3.1: Escenario de amenazas ......................................................................................107
el Factor de Diseño 5 Escenario de amenazas ..........................................................................................................107
Figura 7.45—Ejemplo 2, paso 3.2: Requisitos de cumplimiento ...............................................................................109
el Factor de Diseño 6 Requisitos de cumplimiento...................................................................................................109
Figura 7.47—Ejemplo 2, paso 3.3: Rol de TI ...........................................................................................................110
el Factor de Diseño 7 Rol de TI...............................................................................................................................110
Figura 7.49—Ejemplo 2, paso 3.4: Modelo de abastecimiento de proveedores para TI..............................................112
el Factor de Diseño 8 Modelo de abastecimiento de proveedores para TI..................................................................112
Figura 7.51—Ejemplo 2, paso 3.5: Métodos de implementación de TI......................................................................113
12

LISTA DE FIGURAS
Figura 7.52—Ejemplo 2, paso 3.5: Importancia derivada de los objetivos de gobierno/gestión para
el Factor de Diseño 9 Métodos de implementación de TI .........................................................................................113
Figura 7.53—Ejemplo 2, paso 3.6: Estrategia de adopción de tecnología..................................................................114
Figura 7.54—Ejemplo 2, paso 3.6: Importancia derivada de los objetivos de gobierno/gestión para
el Factor de Diseño 10 Estrategia de adopción de tecnología ...................................................................................114
Figura 7.55—Ejemplo 2, paso 4.1: Importancia de los objetivos de gobierno y gestión (Todos los factores
de diseño) ...............................................................................................................................................................116
Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de procesos .................117
Figura 7.57—Ejemplo 3, paso 1.1: Estrategia empresarial .......................................................................................119
Figura 7.58—Ejemplo 3, paso 1.2: Metas empresariales ..........................................................................................120
Figura 7.61—Ejemplo 3, paso 2.1: Estrategia empresarial .......................................................................................123
el Factor de diseño 1 Estrategia empresarial ............................................................................................................123
Figura 7.63—Ejemplo 3, paso 2.2: Metas empresariales ..........................................................................................124
el Factor de diseño 2 Metas empresariales ...............................................................................................................125
el Factor de diseño 3 Perfil de riesgo ......................................................................................................................127
el Factor de diseño 4 Problemas relacionados con I&T ...........................................................................................129
Figura 7.69—Ejemplo 3, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión .....130
Figura 7.70—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 3 ................................131
Figura 7.71—Ejemplo 3, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño) .132
Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso......................133
Figura 7.73—Ejemplo 3, paso 4: Estructuras organizativas ......................................................................................135
Apéndices
Figura A.1—Asignación de estrategia empresarial a objetivos de gobierno y gestión ...............................................137
Figura A.2—Asignación de metas empresariales a metas de alineamiento ................................................................139
Figura A.3—Asignación de metas de alineamiento a objetivos de gobierno y gestión ...............................................140
Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión ..............................................................141
Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión ...............................143
Figura A.6—Asignación de escenario de amenazas a objetivos de gobierno y gestión ..............................................145
Figura A.7—Asignación de requisitos de cumplimiento a objetivos de gobierno y gestión .......................................146
Figura A.8—Asignación del rol de TI a objetivos de gobierno y gestión ..................................................................147
Figura A.9—Asignación del modelo de abastecimiento de proveedores para TI a objetivos de gobierno y gestión ....148
Figura A.10—Asignación de métodos de implementación de TI a objetivos de gobierno y gestión ...........................149
Figura A.11—Asignación de estrategias de adopción de tecnología a objetivos de gobierno y gestión ......................150
13

14

CAPÍTULO 1
INTRODUCCIÓN Y PROPÓSITO
Parte I
Proceso de diseño
Capítulo 1
Introducción y propósito
1.1 Sistemas de gobierno
Esta publicación describe cómo una empresa puede diseñar una solución de gobierno empresarial para la
información y la tecnología (I&T). Un sistema de gobierno de I&T eficiente y eficaz es el punto de partida para
generar valor. Esto se aplica a todo tipo y tamaño de empresas. El gobierno de un dominio complejo, como la I&T,
requiere de multitud de componentes, incluyendo procesos, estructuras organizativas, flujos de información y
comportamientos. Todos estos elementos deben funcionar al unísono de forma sistémica; por ello, esta publicación
aborda la solución de gobierno personalizada que toda empresa debería crear como «el sistema de gobierno para I&T
de la empresa» o «sistema de gobierno», en su forma abreviada.
No hay un único sistema de gobierno apto para la I&T de todas las empresas. Cada empresa cuenta con su propio
perfil y carácter, que se diferenciarán de otras organizaciones en varios aspectos críticos: el tamaño de la empresa, el
sector industrial, el entorno regulatorio, el escenario de amenazas, el papel de TI en la organización y las opciones
tácticas relacionadas con la tecnología, entre otros. Todos estos aspectos, a los que COBIT® se refiere de forma
conjunta como los factores de diseño, precisan que las organizaciones personalicen sus sistemas de gobierno para
obtener el máximo valor de su uso de la I&T.
Dicha personalización significa que una empresa debe empezar con el modelo Core de COBIT® , y a partir de ahí,
aplicar cambios al marco genérico dependiendo de la relevancia e importancia de una serie de factores de diseño.
Este proceso se denomina «diseñar el sistema de gobierno para la I&T de la empresa».
1.2 Estructura de esta publicación
Esta publicación contiene las partes, capítulos y apéndices principales siguientes:
Parte I: Proceso de diseño

 El capítulo 1 proporciona una introducción en la que se indica la estructura y el público objetivo.
 El capítulo 2 revisa los conceptos y definiciones principales de la publicación Marco de referencia COBIT® 2019:
Introducción y metodología, incluido el concepto de factor de diseño.
 El capítulo 3 explora las implicaciones de los factores de diseño en el diseño de la solución de gobierno.
 El capítulo 4 es el núcleo de la publicación. Este capítulo presenta un flujo de trabajo para el diseño de una
solución de gobierno empresarial y para ello tiene en cuenta todos los posibles factores de diseño. El flujo de
trabajo consiste en cuatro pasos distintos y tiene como resultado una solución de gobierno personalizada.
 El capítulo 5 explica cómo se relaciona esta publicación con la Guía de implementación de COBIT® 2019, y cómo
deben usarse ambas conjuntamente.
Parte II: Ejecución y ejemplos

 El capítulo 6 introduce el kit de herramientas de la Guía de diseño COBIT® 2019, una herramienta de Excel® , que
facilita el flujo de trabajo del diseño del sistema de gobierno.
15

 El capítulo 7 ilustra cómo debe aplicarse el flujo de trabajo del capítulo 4 mediante el uso de la herramienta.
 Los apéndices de la A a la K contienen varias tablas de asignación usadas durante el proceso de diseño.
1.3 Público objetivo de esta publicación
El público objetivo de esta publicación incluye una serie de partes interesadas directas en el gobierno de I&T:
miembros del consejo de administración, ejecutivos y alta dirección y profesionales experimentados de la empresa,
no solo del negocio y las TI, sino también de las disciplinas de auditoría, aseguramiento, cumplimiento, seguridad,
privacidad y gestión de riesgos.
Otras partes interesadas indirectamente en el gobierno de I&T incluyen clientes, usuarios y ciudadanos; estos
constituyen los beneficiarios más importantes de un buen gobierno, aunque la mayoría de ellos casi nunca
consultarán esta publicación. Sus intereses los asumen las partes interesadas directas anteriormente mencionadas.
Se requiere un cierto nivel de experiencia y unos conocimientos profundos de la empresa para poder aprovechar esta
guía. Dicha experiencia y conocimientos permiten a los usuarios personalizar las directrices principales de COBIT®
2019 (cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa, mediante la
consideración del contexto de la empresa.
El público objetivo incluye a aquellos responsables durante todo el ciclo de vida de la solución de gobierno, desde el
diseño inicial a la ejecución y al aseguramiento. De hecho, los proveedores de aseguramiento pueden aplicar la
lógica y el flujo de trabajo desarrollado en esta publicación para crear un programa de aseguramiento bien soportado
para la empresa.
1.4 Documentación Relacionada: Guía de implementación de COBIT® 2019
La Guía de implementación COBIT® 2019 está relacionada con esta publicación. Dicha guía describe la hoja de
ruta para la mejora continua del gobierno de I&T en la empresa. El diseño (inicial) de dicho sistema de gobierno, que
en ella se describe, forma parte de las fases iniciales de dicha hoja de ruta.
El capítulo 5 de esta guía profundiza en los vínculos entre ambas publicaciones e ilustra cómo usarlas
conjuntamente.
16

CAPÍTULO 2
CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y
COMPONENTES
Capítulo 2
Conceptos básicos: Sistema de Gobierno y Componentes
2.1 Introducción
La figura 2.1 muestra las generalidades de COBIT® 2019 y cómo las distintas publicaciones cubren distintos
aspectos.
Figura 2.1—Generalidades de COBIT
COBIT® 2019 está basado en COBIT® 5 y otras fuentes fidedignas. COBIT está alineado con una serie de estándares
y marcos relacionados. La lista de estos estándares se incluye en el capítulo 10 del marco de referencia COBIT®
2019: Introducción y metodología. El análisis de estos estándares relacionados y el alineamiento de COBIT con ellos
sustentan la posición consolidada de COBIT de ser el paraguas del marco de gobierno de I&T.
En el futuro, COBIT acudirá a su comunidad de usuarios para que propongan actualizaciones de contenido, que serán
aplicadas como contribuciones controladas de forma continua, para que COBIT esté al día con las últimas
percepciones y evoluciones.
La familia de productos COBIT es abierta. En el momento de la publicación de esta guía, están disponibles las
publicaciones siguientes:
 Marco de Referencia COBIT® 2019: Introducción y metodología presenta los conceptos clave de COBIT® 2019.
 Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión describe de forma exhaustiva los 40
objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados.
Esta guía también hace referencia a otros estándares y marcos.
17

 La Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología explora
los factores de diseño que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un
sistema de gobierno personalizado para la empresa.
 La Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de
Información y Tecnología representa una evolución de la guía de Implementación de COBIT® 5 y desarrolla una
hoja de ruta para la mejora continua del gobierno. Puede usarse en combinación con la Guía de diseño COBIT®
2019.
El contenido identificado como áreas prioritarias en la figura 2.1 incluirá una guía más detallada sobre
determinados aspectos. Algunas de estas guías de contenido de áreas prioritarias ya están preparándose; y otras están
previstas. Esta serie de guías de áreas prioritarias es abierta y seguirá evolucionando. Para obtener la información
más reciente sobre publicaciones actualmente disponibles y previstas, así como otros contenidos, visite
www.isaca.org/cobit.
El resto de esta sección describe los conceptos básicos de COBIT® 2019, tal y como se definen en las publicaciones
del marco de referencia COBIT. Los factores de diseño, las áreas prioritarias y los conceptos de variantes se usarán
para diseñar un sistema de gobierno personalizado para la I&T empresarial. Un sistema de gobierno personalizado
basado en COBIT es un sistema que ha tomado los contenidos genéricos de COBIT y ha asignado prioridades
específicas y niveles de capacidad objetivos a los componentes de gobierno y gestión basados en el propio contexto
de la empresa y los valores del factor de diseño. Cuando se precisa, también se ponen en práctica variantes de
componentes de gobierno específicos.
2.2 Objetivos de gobierno y gestión
Para que la información y la tecnología contribuyan a los objetivos de la empresa, deben alcanzarse una serie de
objetivos de gobierno y gestión. Los conceptos básicos relacionados con los objetivos de gobierno y gestión son:
 Un objetivo de gobierno o gestión siempre está relacionado con un proceso (con un nombre idéntico o similar)
y una serie de componentes relacionados de otros tipos para contribuir a lograr el objetivo.
 Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo azul oscuro de la
figura 2.2), mientras que un objetivo de gestión está relacionado con un proceso de gestión (mostrado en el fondo
azul claro de la figura 2.2). Los consejos de administración y la dirección ejecutiva suelen ser responsables de los
procesos de gobierno, mientras que los procesos de gestión pertenecen al dominio de la alta y media gerencia.
18

CAPÍTULO 2
CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES
Figura 2.2—Modelo Core de COBIT
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante
verbos que expresan el propósito clave y las áreas de actividad del objetivo contenida en ellos:
 Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el
organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones
estratégicas elegidas y monitoriza la consecución de la estrategia.
 Los objetivos de gestión se agrupan en cuatro dominios:
 Alinear, Planificar y Organizar (APO) aborda la organización en su conjunto, la estrategia y las actividades de
apoyo para la I&T.
 Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de
soluciones de I&T y su integración en los procesos de negocio.
 Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de I&T,
incluida la seguridad.
 Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de I&T con los objetivos de
desempeño interno, los objetivos de control interno y los requisitos externos.
2.3 Componentes del sistema de gobierno
Para cumplir con los objetivos de gobierno y gestión, cada empresa debe establecer, personalizar y sostener un
sistema de gobierno creado a partir de una serie de componentes.
19

 Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del
sistema de gobierno de la empresa en cuanto a I&T.
 Los componentes interactúan entre sí, lo que da lugar a un sistema holístico de gobierno de I&T.
 Los componentes pueden ser de diversos tipos. Los más comunes son los procesos. Sin embargo, los componentes
de un sistema de gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de
información; cultura y comportamiento; habilidades y competencias; y servicios, infraestructura y aplicaciones.
 Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
 Los componentes Genéricos se describen en el modelo Core de COBIT (ver figura 2.2) y se aplican, en
principio, a cualquier situación. Sin embargo, su naturaleza es genérica y suelen requerir una adaptación antes de
que se puedan implementar en la práctica.
 Las variantes se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico
dentro de un área prioritaria (p. ej.: para seguridad de la información, DevOps, una regulación específica).
2.4 Áreas prioritarias
Un área prioritaria describe un tópico, dominio o asunto de gobierno determinado que puede abordarse como una
serie de objetivos de gobierno y gestión y sus componentes. Algunos de los ejemplos de áreas prioritarias son:
pequeñas y medianas empresas, ciberseguridad, transformación digital, computación en la nube, privacidad, y
DevOps.1 Las áreas prioritarias pueden incluir una combinación de componentes y variantes genéricos de gobierno.
1
La cantidad de áreas prioritarias es prácticamente ilimitada. Esto hace que COBIT sea abierto. Se pueden añadir
nuevas áreas prioritarias cuando se requiera o conforme los expertos y especialistas en la materia contribuyan al
modelo COBIT abierto.
2.5 Niveles de capacidad
COBIT® 2019 admite un esquema de capacidad de procesos basado en la Integración del modelo de madurez de
capacidad (CMMI®). El proceso dentro de cada objetivo de gobierno y gestión puede funcionar con distintos niveles
de capacidad, que van de 0 a 5. El nivel de capacidad es una medida de lo bien que se ha implementado y ejecuta un
proceso. La figura 2.3 muestra el modelo, los niveles de capacidad incrementales y las características generales de
cada uno.
1
1 DevOps es un ejemplo tanto de una variante de componente como de un área prioritaria. ¿Por qué? DevOPs es un tema de actualidad en el mercado y requiere indudablemente unas directrices específicas, lo que lo convierte en un área prioritaria.
DevOps incluye una serie de objetivos de gobierno y gestión genéricos del modelo Core de COBIT, junto con una serie de variantes de desarrollo, la operación y la monitorización relacionadas con procesos y estructuras organizativas.
20

CAPÍTULO 2
COMPONENTES
Figura 2.3—Niveles de capacidad para los procesos
El modelo Core de COBIT asigna niveles de capacidad a todas las actividades del proceso, permitiendo una clara
definición de los procesos a distintos niveles de capacidad. En esta guía, nos referiremos en ocasiones a niveles de
capacidad «inferiores» o «superiores». A modo de convención en esta guía, cualquier nivel mayor de tres se
denomina «superior» y cualquiera menor de 3 se denomina «inferior».
2.6 Factores de diseño
Los factores de diseño son factores que pueden influir en el diseño del sistema de gobierno de una empresa y
posicionarla para que tenga éxito al usar la I&T. Los factores de diseño se enumeran a continuación y su posible
impacto en el sistema de gobierno se comenta en el capítulo 3.
Los factores de diseño incluyen cualquier combinación de lo siguiente (figura 2.4):
21

Figura 2.4—Factores de diseño COBIT
1. Estrategia empresarial—Las empresas pueden contar con distintas estrategias, que pueden expresarse como uno
o más prototipos que se muestran en la figura 2.5. Las organizaciones suelen contar con una estrategia primaria y,
como mucho, una estrategia secundaria.
Figura 2.5—Factor de diseño de estrategia empresarial

Prototipo de la estrategia Explicación
Crecimiento/Adquisición La empresa se centra en el crecimiento (ingresos)2 2
Innovación/Diferenciación La empresa debe centrarse en ofrecer productos y servicios

diferentes y/o innovadores a sus clientes3 3
Liderazgo en costes La empresa debe centrarse en la minimización de costes a corto

plazo4 4
Servicio al cliente/Estabilidad La empresa se centra en proporcionar un servicio estable y

orientado al cliente.5 5
2. Las metas empresariales que apoyan la estrategia empresarial; la estrategia empresarial se logra mediante la
consecución de (una serie de) metas empresariales. Estos objetivos se definen en el marco de referencia COBIT, se
estructuran en torno a las dimensiones del cuadro de mando integral (balanced scorecard) e incluyen lo siguiente
(figura 2.6):
Figura 2.6—Factor de diseño de metas empresariales

Meta
Dimensión del BSC Meta empresarial
empresarial
EG01 Finanzas Portafolio de productos y servicios competitivos
2
2 Se corresponde con el prospector de la tipología Miles-Snow. Ver “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor,” Elibrary,
https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
3
3 Ver Reeves, Martin; Claire Love, Philipp Tillmanns, “Your Strategy Needs a Strategy”, Harvard Business Review, septiembre 2012, https://hbr.org/2012/09/your-strategy-needs-a-strategy, especialmente relacionado con la visión y el modelado.
4
4 Corresponde al liderazgo en costes; ver University of Cambridge, “Porter’s Generic Competitive Strategies (ways of competing),” Institute for Manufacturing (IfM) Management Technology Policy,
https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-strategies/. También corresponde a la excelencia operativa; ver Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines», Harvard Business
Review, enero/febrero 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines.
5
5 Corresponde a los defensores de la tipología Miles-Snow. Ver op cit “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor”.
22

CAPÍTULO 2
COMPONENTES
Figura 2.6—Factor de diseño de metas empresariales (cont.)

EG02 Finanzas Gestión de riesgo del negocio
EG03 Finanzas Cumplimiento de leyes y regulaciones externas
EG04 Finanzas Calidad de la información financiera
EG05 Cliente Cultura de servicio orientada al cliente
EG06 Cliente Continuidad y disponibilidad del servicio del negocio
EG07 Cliente Calidad de la información de gestión
EG08 Interno Optimización de la funcionalidad de los procesos internos del negocio
EG09 Interno Optimización de costes de los procesos del negocio
EG10 Interno Habilidades, motivación y productividad del personal
EG11 Interno Cumplimiento con las políticas internas
EG12 Crecimiento Gestión de programas de transformación digital
EG13 Crecimiento Innovación de producto y negocio
3. El perfil de riesgo de la empresa y los problemas actuales relacionados con la I&T—El perfil de riesgo identifica
los tipos de riesgos relacionados con la I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de
riesgo exceden el apetito al riesgo.
Las categorías de riesgo enumeradas en la figura 2.7 merecen cierta consideración.6 6
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI)

Referencia Categoría del riesgo Ejemplos de escenarios de riesgo
1 Toma de decisiones sobre A. Programas seleccionados para su implementación desalineados con la estrategia y las prioridades
inversiones en TI, definición corporativas.
y mantenimiento del B. Fallo de las inversiones relacionadas con TI para respaldar la estrategia digital de la empresa
portafolio C. Selección incorrecta del software (en términos de coste, rendimiento, funciones, compatibilidad,
redundancia, etc.) para su adquisición e implementación
D. Selección incorrecta de la infraestructura (en términos de coste, rendimiento, funciones,
compatibilidad, etc.) para su implementación
E. Duplicación o solapamiento importante entre las distintas iniciativas de inversión.
F. Incompatibilidad a largo plazo entre los nuevos programas de inversión y la arquitectura empresarial
G. Asignación inapropiada, gestión y/o competición ineficiente de los recursos sin que haya
alineamiento con las prioridades del negocio
2 Gestión del ciclo de vida de A. Fallo de la alta dirección a la hora de poner fin a proyectos que fracasan (debido a costes, retrasos
programas y proyectos excesivos, aumento descontrolado del alcance, cambios en las prioridades del negocio)
B. Déficit presupuestario para proyectos de I&T
C. Falta de calidad de los proyectos de I&T
D. Entrega fuera de plazo de los proyectos de I&T
E. Fallo de los proveedores externalizados para entregar proyectos conforme a los acuerdos
contractuales (cualquier combinación de exceso de presupuestos, problemas de calidad, falta de
funcionalidad, entrega fuera de plazo).
3 Coste y supervisión de TI A. Excesiva dependencia y uso de aplicaciones y soluciones ad hoc creadas, definidas y mantenidas
por los usuarios
B. Exceso de coste y/o ineficacia de compras relacionadas con I&T fuera del proceso de compras de
I&T
C. Requisitos inadecuados que derivan en acuerdos de nivel de servicio (SLA) ineficaces
D. Falta de fondos para inversiones relacionadas con I&T
4 Comportamiento, A. Falta o incompatibilidad de habilidades relacionadas con TI dentro del área de TI (p. ej., debido a las
habilidades y conocimiento nuevas tecnologías o métodos de trabajo)
de TI B. Falta de comprensión del negocio por parte del personal de TI, que afecta la calidad de la
prestación de servicios/proyectos
C. Incapacidad para contratar y retener personal de TI
D. Contratación de perfiles inadecuados debido a una falta de debida diligencia en el proceso de
reclutamiento
E. Falta de formación de I&T
F. Dependencia excesiva de personal clave para la prestación de los servicios de I&T
6
6 Modificada de ISACA, The Risk IT Practitioner Guide, EE. UU., 2009
23

Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.)
5 Arquitectura empresarial/TI A. Arquitectura empresarial (AE) compleja e inflexible, que obstaculiza una mayor evolución y
expansión y deriva en oportunidades de negocio perdidas
B. Falla en la adopción y explotación de nuevas infraestructuras o el abandono de infraestructura
obsoleta
B. Falla en adoptar y explotar software nuevo (funcionalidad, optimización, etc.) o al abandonar
aplicaciones obsoletas
D. Arquitectura empresarial no documentada, que conduce a ineficiencias y duplicaciones
E. Número excesivo de excepciones en los estándares de arquitectura empresarial
6 Incidentes de A. Daño accidental de equipos de TI
infraestructura operativa de B. Errores del personal de TI (durante la preparación de copias de seguridad, las actualizaciones de
TI sistemas, el mantenimiento de sistemas, etc.).
C. Información introducida de forma incorrecta por parte del personal de TI o los usuarios del sistema
D. Destrucción del centro de datos (sabotaje, etc.) ocasionado por el personal interno
E. Robo de dispositivo con datos sensibles
F. Robo de un componente clave de infraestructura
G. Configuración errónea de componentes de hardware
H. Manipulación intencional del hardware (dispositivos de seguridad, etc.)
I. Abuso de los derechos de acceso de roles preferentes para acceder a la infraestructura de TI
J. Pérdida de medios de copia de seguridad o no comprobación de la eficacia de las copias de
seguridad
K. Pérdida de la integridad de los datos por parte del proveedor de la nube
L. Interrupción de la operación del servicio por parte de los proveedores de la nube
7 Acciones no autorizadas A. Manipulación del software
B. Modificación intencionada o manipulación del software, que deriva en datos incorrectos
C. Modificación intencionada o manipulación del software, que deriva en acciones fraudulentas
D. Modificación no intencionada del software que deriva en resultados inexactos
E. Configuración no intencionada y errores en la gestión de cambios
8 Problemas de adopción/uso A. No adopción de nuevo software de aplicaciones por parte de los usuarios
de software B. Uso ineficiente de nuevo software por parte de los usuarios
9 Incidentes de hardware A. Inestabilidad del sistema al instalar nueva infraestructura, que deriva en incidentes operativos
(como el programa BYOD)
B. Incapacidad de los sistemas para manejar los volúmenes de transacciones cuando aumentan los
volúmenes de usuarios
C. Incapacidad de los sistemas para manejar la carga del sistema cuando se implementan nuevas
aplicaciones o iniciativas
D. Fallo de servicios (telecomunicaciones, electricidad)
E. Fallo de hardware debido a sobrecalentamiento y/u otras condiciones medioambientales, como la
humedad
F. Daño de los componentes de hardware, lo que lleva a la destrucción de datos por parte del personal
interno
G. Pérdida/divulgación de medios portátiles que contienen datos sensibles (CD, unidades USB, discos
portátiles, etc.)
H. Mayor tiempo de resolución o retraso de soporte en caso de incidentes de hardware
10 Fallos de software A. Incapacidad para usar el software con el fin de lograr los resultados deseados (p. ej., no hacer los
cambios necesarios al modelo de negocio o cambios organizativos)
B. Implementación de software inmaduro (usuarios pioneros, bugs, etc.)
C. Fallos operativos cuando se pone en funcionamiento un nuevo software
D. Falla en el funcionamiento del software regular de aplicaciones críticas
E. Software de aplicación obsoleto (p. ej., tecnología antigua, mal documentada, costosa de mantener,
difícil de expandir, no integrada a la arquitectura actual, etc.)
F. Incapacidad de volver a versiones anteriores en caso de problemas operativos con la nueva versión
G. Base de datos corrupta debido al software con pérdida de acceso a los datos
11 Ataques lógicos [hackeo, A. Usuarios (internos) no autorizados tratando de penetrar los sistemas
malware, etc.] B. Interrupción del servicio debido a un ataque de denegación de servicio (DoS)
C. Defacement del sitio web
D. Ataque de malware
E. Espionaje industrial
F. «Hacktivismo»
G. Un empleado descontento implementa una bomba de tiempo que deriva en la pérdida de datos
H. Los datos de la empresa son robados a través del acceso no autorizado obtenido por un ataque de
phishing
I. Ataques de gobiernos extranjeros a sistemas críticos
24

CAPÍTULO 2
CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.)
12 Incidentes de A. Rendimiento inadecuado del proveedor en acuerdos de outsourcing a largo plazo y a gran escala (p.
terceros/proveedores ej., por una falta de debida diligencia de los proveedores con respecto a la viabilidad financiera,
capacidad de entrega y sostenibilidad del servicio del proveedor)
B. Aceptación de términos de negocio irrazonables por parte de los proveedores de TI
C. Soporte inadecuado y servicios ofrecidos por los proveedores no alineados con el SLA
D. Incumplimiento con los acuerdos de licencia de software (uso y/o distribución de software sin
licencia)
E. Incapacidad para transferir funciones a proveedores alternativos debido a la dependencia excesiva
con el proveedor actual
F. Compra de servicios de TI (especialmente servicios en la nube) por parte del negocio sin la
consulta/participación del área de TI, lo que deriva en la incapacidad de integrar el servicio con los
servicios internos.
G. SLA inadecuado o incumplido para obtener los servicios acordados y multas en caso de
incumplimiento
13 Incumplimiento A. Incumplimiento de las regulaciones nacionales o internacionales (p. ej., privacidad, contables,
fabricación, medioambiente, etc.)
B. Falta de concienciación sobre los posibles cambios regulatorios que podrían tener un impacto
empresarial
C. Obstáculos operativos causados por las regulaciones
D. Incumplimiento con procedimientos internos
14 Problemas geopolíticos A. Falta de acceso debida a un incidente disruptivo en otras instalaciones
B. Interferencia gubernamental e impacto de políticas nacionales en el negocio
C. Acción dirigida por grupos o agencias auspiciados por el gobierno
15 Acción sindical A. Instalaciones y edificios inaccesibles debido a una huelga sindical

B. Incapacidad de terceros de proporcionar servicios debido a una huelga
C. El personal clave no está disponible por una acción sindical (p. ej., huelga de transporte o servicios
básicos)
16 Desastres naturales A. Terremoto que destruye o daña infraestructura importante de TI
B. Tsunami que destruye edificios críticos
C. Grandes tormentas y ciclones tropicales o tornados que dañan infraestructuras críticas
D. Gran incendio forestal
E. Inundación
F. Capa freática que deja una ubicación crítica inservible
G. Temperatura elevada que hace que no sea rentable mantener operativas ubicaciones críticas
17 Innovación tecnológica A. No identificar tendencias tecnológicas nuevas e importantes
B. No apreciar el valor y potencial de las nuevas tecnologías
C. No adoptar y explotar la nueva infraestructura de manera oportuna (funcionalidad, optimización de
procesos, etc.)
D. No proporcionar soporte tecnológico a nuevos modelos de negocio
18 Medio ambiente A. Equipo no ecológico (p. ej., consumo de energía, embalaje)

19 Gestión de información y A. Descubrimiento de información sensible por parte de personas no autorizadas debido a la
datos retención/archivado/disposición ineficiente de la información
B. Modificación intencional ilícita o maliciosa de datos
C. Divulgación no autorizada de información sensible a través de correo electrónico o redes sociales
D. Pérdida de propiedad intelectual (PI) y/o filtración de información competitiva
4. Problemas relacionados con I&T—Un método asociado para una valoración de riesgos de I&T de la empresa
consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo
relacionado con I&T se ha materializado. El problema más común de todos7 incluye la (figura 2.8): 7
7 7 Ver también la Sección 3.3.1 Puntos Típicos de Dolor en la Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología de ISACA, EE. UU., 2018.
25

Figura 2.8—Factor de diseño de problemas relacionados con I&T

Referencia Descripción
A Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja
contribución al valor del negocio
B Frustración entre unidades de TI y unidades de negocio en la organización debido a iniciativas fallidas o a una
percepción de baja contribución al valor del negocio
C Incidentes significativos relacionados con TI, como pérdida de datos, brechas de seguridad, fracaso de
proyectos, errores de aplicaciones, etc. relacionados con TI
D Problemas de entrega del servicio por parte de los terceros de TI
E Incumplimiento de los requisitos regulatorios o contractuales relacionados con TI
F Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o
notificación de problemas en la calidad o el servicio de TI
G Importantes gastos ocultos y fraudulentos en TI, es decir, gasto en TI por departamentos usuarios fuera del
control de los mecanismos normales de decisión de inversión y los presupuestos aprobados de TI
H Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos
I Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho
J Cambios o proyectos habilitados por TI no satisfacen a menudo las necesidades del negocio y se ejecutan
tarde o exceden el presupuesto
K Resistencia de los miembros del consejo de administración, ejecutivos o la alta gerencia a involucrarse con
las TI o una falta de patrocinadores empresariales comprometidos con TI
L Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con
TI
M Coste de TI excesivamente alto
N Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y
sistemas de TI actuales
O Brecha entre el conocimiento tecnológico y el empresarial, lo que lleva a que los usuarios del negocio y los
especialistas en TI y/o tecnología hablen idiomas distintos
P Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes
Q Alto nivel de computación de usuario final, lo que genera (entre otros problemas) una falta de supervisión y
control de calidad sobre las aplicaciones que se están desarrollado y colocando en operación
R Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna
participación del departamento de TI de la empresa. 8 8
S Ignorancia y/o incumplimiento de las regulaciones de seguridad y privacidad

T Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T
5. Escenario de amenazas—El escenario de amenazas bajo el cual opera la empresa puede clasificarse tal como se
muestra en la figura 2.9.
Figura 2.9—Factor de diseño del escenario de amenazas

Escenario de amenazas Explicación
Normal La empresa funciona bajo lo que se consideran niveles de amenaza normales
Alto Debido a su situación geopolítica, sector industrial o perfil específico, la empresa
funciona en un entorno de amenazas elevadas.
6. Requisitos de cumplimiento—Los requisitos de cumplimiento a los que la empresa está sujeta pueden
clasificarse conforme a las categorías enumeradas en la figura 2.10.
8
8 Este problema está relacionado con la computación de usuario final, que suele surgir de la insatisfacción con respecto a las soluciones y servicios de TI.
26

CAPÍTULO 2
COMPONENTES
Figura 2.10—Factor de diseño de los requerimientos de cumplimiento

Entornos regulatorios Explicación
Requerimientos de cumplimiento La empresa está sujeta a un conjunto de requerimientos de cumplimiento mínimos
bajo que son inferiores a la media.
Requerimientos de cumplimiento La empresa está sujeta a un conjunto de requerimientos de cumplimiento comunes a
normal las distintas industrias.
Requerimientos de cumplimiento La empresa está sujeta a requerimientos de cumplimiento más elevados de lo
alto normal, en la mayoría de los casos relacionados con el sector industrial y las
condiciones geopolíticas.
7. Rol de TI—-El rol de TI para la empresa puede clasificarse tal como se muestra en la figura 2.11.
Figura 2.11—Factor de diseño del rol de TI

Rol de TI9 9
Explicación
Soporte TI no es crucial para el funcionamiento y la continuidad de los procesos y servicios
del negocio ni para su innovación.
Fábrica Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y continuidad de
los procesos y servicios del negocio. Sin embargo, las TI no se consideran un factor
impulsor de la innovación de procesos y servicios del negocio.
Cambio Las TI se consideran un factor impulsor de la innovación de procesos y servicios del
negocio. En este momento, sin embargo, no hay una dependencia crítica en TI para el
funcionamiento y la continuidad actual de los procesos y servicios del negocio.
Estratégico Las TI son críticas para el funcionamiento e innovación de los procesos y servicios
del negocio de la organización.
8. Modelo de abastecimiento de proveedores para TI—El modelo de abastecimiento de proveedores (sourcing)

que la empresa adopta puede clasificarse tal como se muestra en la figura 2.12.
Figura 2.12—Factor de diseño de modelo de abastecimiento de proveedores para TI

Modelo de abastecimiento de
Explicación
proveedores
Externalización (outsourcing) La empresa requiere los servicios de un tercero para proporcionar servicios de TI.
Nube La empresa maximiza el uso de la nube para proporcionar servicios de TI a sus
usuarios.
Personal interno (Insourced) La empresa aporta su propio personal y servicios de TI.
Híbrido Se aplica un modelo híbrido que combina los otros tres modelos en distintos grados.
9. Métodos de implementación de TI—Los métodos que la empresa adopta pueden clasificarse tal como se muestra
en la figura 2.13.
Figura 2.13—Factor de diseño de métodos de implementación de TI

Método de implementación de TI Explicación
Agile La empresa utiliza los métodos de trabajo de desarrollo Agile para su desarrollo de
software.
DevOps La empresa usa los métodos de trabajo DevOps para la creación, despliegue y
operaciones de software.
9
9 Los roles incluídos en esta tabla se han extraído de McFarlan, F. Warren; James L. McKenney; Philip Pyburn; “The Information Archipelago—Plotting a Course,” Harvard Business Review, enero 1993, https://hbr.org/1983/01/the-information-
archipelago-plotting-a-course.
27

Figura 2.13—Factor de diseño de métodos de implementación de TI

Tradicional La empresa usa un método más clásico para el desarrollo de software (cascada) y
separa el desarrollo de software de las operaciones.
Híbrido La empresa usa una mezcla de implementación de TI tradicional y TI moderna, a la
que solemos referirnos como «TI bimodal».
10. Estrategia de adopción de tecnología—La estrategia de adopción de tecnología puede clasificarse tal como se
Figura 2.14—Factor de diseño de estrategia de adopción de tecnología

Estrategia de adopción de
Explicación
tecnología
Primero en reaccionar (First La empresa suele adoptar nuevas tecnologías lo antes posible e intenta lograr la
mover) «ventaja del primero en reaccionar».
Seguidor (Follower) La empresa suele esperar a que las nuevas tecnologías se generalicen y pongan a
prueba antes de adoptarlas.
Adoptadores lentos (Slow adopter) La empresa tarda mucho en adoptar las nuevas tecnologías.
11. Tamaño de la empresa—Se identifican dos categorías, tal como se muestra en la figura 2.15, para el diseño de
un sistema de gobierno de la empresa.10 10
Figura 2.15—Factor de diseño de tamaño de la empresa

Tamaño de la empresa Explicación
Empresa grande (predeterminada) Empresa con más de 250 empleados que trabajan a tiempo completo (FTE)
Pequeñas y medianas empresas Empresa con entre 50 y 250 empleados que trabajan a tiempo completo (FTE)
El impacto que los factores de diseño tienen en el diseño de la solución de gobierno se explican en el capítulo 3.
2.6.1 ¿Por qué no existe un factor de diseño del sector industrial?
Cada sector industrial posee su propia serie de requisitos en cuanto a las expectativas del uso de I&T. Sin embargo,
es posible captar las características principales de un sector de la industria mediante la combinación de los factores
de diseño que se enumeraron en las tablas anteriores. Por ejemplo:
 El sector financiero puede caracterizarse como sigue: TI es un sector altamente regulado, TI juega un rol
estratégico, está compuesto por lo general de grandes empresas y opera en un escenario de grandes amenazas
 Los proveedores de servicios de salud (p. ej. hospitales) suelen inclinarse por una combinación de servicio al
cliente/estabilidad y estrategia de innovación, están altamente regulados y son objeto de una serie de áreas de
riesgo específicas (salud, seguridad, privacidad, continuidad, etc.), operan en un escenario de amenazas moderado
(aunque creciente) y dependen estratégicamente cada vez más de TI.
 Las organizaciones sin ánimo de lucro son, por lo general, más pequeñas y están menos reguladas, se centran en
los costes y no son pioneros a la hora de innovar en cuanto a adopción de tecnología.
 Las agencias del sector público suelen ser organizaciones grandes, con estrategias de servicio al cliente y liderazgo
en costes. Tienen perfiles de riesgo de moderado a alto y están altamente reguladas debido a su propia naturaleza.
El rol de TI puede variar, desde el soporte en agencias conservadoras, a estratégico cuando se trata de iniciativas
gubernamentales digitales (e-government). Los modelos de abastecimiento de proveedores usan cada vez más
servicios externalizados, mientras que suelen seguir la corriente en adopción de tecnología.
10
10 En esta publicación no se han considerado las microempresas, es decir, empresas con menos de 50 empleados.
28

CAPÍTULO 3
IMPACTO DE LOS FACTORES DE DISEÑO
Capítulo 3
Impacto de factores de diseño
3.1 Impacto de los factores de diseño
Los factores de diseño influyen de modo distinto en la personalización del sistema de gobierno de una empresa. Esta
publicación distingue tres tipos distintos de impacto, ilustrados en la figura 3.1.
Figura 3.1—Impacto de los factores de diseño en un sistema de gobierno
1. Gestión de prioridad/selección del objetivo—El modelo Core COBIT incluye 40 objetivos de gobierno y
gestión; cada uno consiste en un proceso y una serie de componentes relacionados. Estos son intrínsecamente
equivalentes; no hay ningún orden de prioridad natural entre ellos. Sin embargo, los factores de diseño pueden
influir en esta equivalencia y hacer que algunos objetivos de gobierno y gestión sean más importantes que otros,
a veces hasta el extremo de que algunos objetivos de gobierno y gestión pasen a ser insignificantes. En la
práctica, esta mayor importancia se traduce en el establecimiento de unos niveles de capacidad objetivos más
altos para objetivos de gobierno y gestión importantes.
Ejemplo: Cuando una empresa identifica la(s) meta(s) más relevante(s) de la lista de metas empresariales y aplica la
cascada de metas, esto llevará a una selección de objetivos de gestión prioritarios. Por ejemplo, cuando EG01
Portafolio de productos y servicios competitivos se califica como muy alto por una empresa, hará que el objetivo de
gestión APO05 Gestionar el portafolio sea una parte importante de este sistema de gobierno de la empresa.
29

Ejemplo: Una empresa que es muy adversa al riesgo dará más prioridad a los objetivos de gestión que aspiren a
gobernar y gestionar el riesgo y la seguridad. Los objetivos de gobierno y gestión del EDM03 Garantizar la
optimización del riesgo, APO12 Gestionar riesgos, APO13 Gestionar la seguridad y DSS05 Gestionar los servicios
de seguridad se convertirán en una parte importante de ese sistema de gobierno de la empresa y tendrán unos niveles
de capacidad objetivos más altos definidos para ellos.
Ejemplo: Una empresa que opera en un escenario de grandes amenazas requerirá un alto nivel de capacidad de los
procesos relacionados con la seguridad: APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de
seguridad.
Ejemplo: Una empresa en la que el rol de TI es estratégico y crucial para el éxito del negocio requerirá una alta
participación de los roles relacionados con TI en las estructuras organizativas, un conocimiento profundo del negocio
por parte de los profesionales de TI (y viceversa) y un foco en procesos estratégicos como en APO02 Gestionar la
estrategia y APO08 Gestionar las relaciones.
2. Variación de componentes: Los componentes deben alcanzar los objetivos de gobierno y gestión. Algunos
factores de diseño pueden obligar a variaciones específicas de los componentes o pueden influir en la
importancia de los componentes.
Ejemplo: Las pequeñas y medianas empresas podrían no necesitar un conjunto completo de roles y estructuras
organizativas, como se presenta en el modelo Core COBIT, pero podrían usar un conjunto reducido. Este conjunto
reducido de objetivos de gobierno y gestión y los componentes incluidos se define en el área prioritaria de pequeñas
y medianas empresas.11 1
Ejemplo: Una empresa que opera en un entorno altamente regulado podría atribuir mayor importancia a productos
de trabajo y políticas y procedimientos documentados y algunos roles, como la función de director de cumplimiento.
Ejemplo: Una empresa que usa DevOps en el desarrollo y operación de soluciones requerirá actividades específicas,
estructuras organizativas, cultura, etc., centradas en BAI03 Gestionar la identificación y construcción de soluciones
y DSS01 Gestionar las operaciones.
3. Necesidad de directrices para áreas prioritarias específicas: algunos factores de diseño, como el escenario de
amenazas, riesgo específico, métodos de desarrollo a cumplir y configuración de la infraestructura, impulsará la
necesidad para variar el contenido del modelo Core de COBIT para un contexto determinado.
Ejemplo: Las empresas que adoptan un enfoque DevOps requieren un sistema de gobierno con una variante de
diversos procesos de COBIT genéricos, descritos en la guía del área prioritaria de DevOps12 para COBIT. 2
Ejemplo: Las pequeñas y medianas empresas tienen menos personal, menos recursos de TI y líneas de mando
jerárquicas más cortas y directas, además difieren en muchos aspectos de las empresas grandes. Por ese motivo, su
sistema de gobierno para I&T tendrá que ser menos oneroso, comparado con las grandes empresas. Esto se describe
en la guía del área prioritaria de PYMES de COBIT.13 3
1 11 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas
empresas estaba en desarrollo y no se había publicado aún.

12 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en
desarrollo y no se había publicado.

3 13 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas
empresas estaba en desarrollo y no se había publicado aún.
30

CAPÍTULO 4
DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO
Capítulo 4
Diseño de un sistema de gobierno personalizado
4.1 Introducción
La figura 4.1 ilustra el flujo propuesto para el diseño de un sistema de gobierno personalizado. Cada paso se
comenta con más detalle en los subsecciones siguientes.
Figura 4.1—Flujo de trabajo del diseño del sistema de gobierno
2. Determinar
1. Entender el alcance inicial 3. Perfeccionar 4. Finalizar el
el contexto del sistema el alcance del diseño del
y estrategia de gobierno. sistema de sistema de
de la empresa. gobierno. gobierno.
• 1.1 Entender la • 2.1 Considerar la • 3.1 Considerar el escenario • 4.1 Resolver conflictos
estrategia empresarial. estrategia empresarial. de amenazas. de prioridades
• 1.2 Entender las • 2.2 Considerar las • 3.2 Considerar los inherentes.
metas empresariales. metas empresariales requerimientos de • 4.2 Finalizar el diseño
• 1.3 Comprender el y aplicar la cascada cumplimiento. del sistema de
perfil de riesgo. de metas de COBIT. • 3.3 Considerar el rol de TI. gobierno.
• 1.4 Entender los • 2.3 Considerar el • 3.4 Considerar el modelo
problemas actuales perfil de riesgo de de abastecimiento.
relacionados con I&T. la empresa. • 3.5 Considerar los métodos de
• 2.4 Considerar los implementación de TI.
problemas actuales • 3.6 Considerar la estrategia
relacionados con I&T. de adopción de TI.
• 3.7 Considerar el tamaño de la empresa.
Las distintas etapas y pasos del proceso de diseño, como se ilustran en la figura 4.1, resultarán en recomendaciones
para priorizar los objetivos de gobierno y gestión o componentes del sistema de gobierno relacionados con estos,
para alcanzar niveles de capacidad, o para adoptar variantes específicas de un componente del sistema de gobierno.
Algunos de estos pasos o subpasos podría derivar en recomendaciones contradictorias, lo cual es inevitable cuando
se consideran un gran número de factores de diseño, la naturaleza genérica en su conjunto de la guía de factores de
diseño y las tablas de asignación utilizadas.
Se sugiere poner todas las recomendaciones obtenidas durante los distintos pasos en un Canvas de diseño y, en la
última etapa del proceso de diseño, resolver (hasta donde sea posible) los conflictos entre los elementos del Canvas
de diseño y acabar el diseño. No hay una fórmula mágica. El diseño final será una decisión que variará según el caso
y dependerá de todos los elementos del Canvas de diseño. Si siguen estos pasos, las empresas lograrán un sistema de
gobierno adaptado a sus necesidades.
31

Nota 1:: Antes de iniciar el flujo de trabajo del diseño de un sistema de gobierno, es importante articular la unidad
de análisis. Por ejemplo, ¿es la intención diseñar un sistema de gobierno para una unidad de negocio, una empresa
en su conjunto, una red de empresas, etc.?14 1
Nota 2: El flujo de trabajo que se presenta en esta publicación contiene cuatro pasos. Los subpasos dentro de cada
uno de los pasos no son obligatorios. Por ejemplo, una empresa puede decidir diseñar un sistema de gobierno para
abordar una elección estratégica específica (únicamente) o para abordar determinadas áreas de riesgo de TI
(únicamente), sin tener que seguir paso a paso toda la secuencia detallada del flujo de trabajo.
4.2 Paso 1: Entender el contexto y estrategia de la empresa
En el primer paso, la empresa examina su contexto, estrategia y entorno de negocio para lograr un mayor
conocimiento de cuatro dominios parcialmente superpuestos, interdependientes y, a menudo, complementarios. Las
siguientes subsecciones describen los subpasos críticos del paso 1:
 Estrategia empresarial
 Metas empresariales y metas de alineamiento derivadas
 Perfil de riesgo de I&T
 Problemas actuales relacionados con I&T
4.2.1 Entender la estrategia empresarial
La empresa debe decidir cuáles de las estrategias empresariales prototipo encajan mejor en su propia estrategia
empresarial. Las estrategias empresariales prototipo se definen en la sección 2.6, apartado 1 (ver la figura 2.5).
El mecanismo que traslada la estrategia de la empresa a una valoración relativa de la importancia de los objetivos de
gobierno y gestión funciona mejor cuando se eligen opciones claras para los prototipos estratégicos empresariales.
Generalmente, es mejor identificar un prototipo principal y seleccionar solo un prototipo secundario. Cuando se
define una estrategia empresarial como una mezcla de prototipos estratégicos igualmente importante, los objetivos de
gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o menos igual de importante,
haciendo que la priorización sea difícil.
4.2.2 Entender las metas empresariales
La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT define una
serie de 13 metas empresariales genéricas; cada empresa puede/debería priorizar las metas de su empresa alineadas
con la estrategia empresarial elegida. La lista de metas empresariales se define en la sección 2.6, apartado 2 (ver la
figura 2.6).
Para trasladar las metas empresariales a la valoración relativa de la importancia de los objetivos de gobierno y
gestión (ver la cascada de metas, sección 4.3.3), se deberían tomar decisiones claras a la hora de seleccionar las
metas empresariales. Se recomienda identificar solo unas pocas metas empresariales primarias y un número limitado
de metas empresariales secundarias. Cuando a todas las metas empresariales se asignan prioridades igualmente
importantes, los objetivos de gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o
menos igual de importante, haciendo que la priorización sea difícil.
1
14 Entender este alcance está completamente en línea con el diseño del sistema pensando en la recursividad, que se refiere al hecho de que «cualquier sistema de gobierno de TI empresarial viable incluye y es contenido en un sistema de gobierno de TI
empresarial viable»; ver Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study”, Actas de la Conferencia 51 Internacional de Hawái sobre Ciencias de Sistemas, 2018.
32

CAPÍTULO 4
4.2.3 Entender el perfil de riesgo
Otra aportación importante al diseño de un sistema de gobierno es entender el perfil de riesgo de la empresa; es decir,
entender qué escenarios de riesgo podrían afectar a la empresa y cómo evaluar su impacto y probabilidad de
materialización.
Para lograr este conocimiento debería realizarse un análisis de riesgos de alto nivel que incluya:
 La identificación de escenarios de riesgo relevantes (que podría basarse en la lista de categorías de escenarios de
riesgo definida en la sección 2.6, apartado 3; ver la figura 2.7)
 Evaluación del impacto y probabilidad de que se materialice el escenario, considerando el estado actual de los
controles de mitigación de riesgos
 Valoración íntegra del riesgo basada en entradas precedentes
Para ser más eficaz a la hora de decidir el perfil de riesgo adecuado para los propósitos de diseño de gobierno, se
debe hacer una diferenciación clara a la hora de evaluar el riesgo de I&T.
Cuando todo el riesgo de TI se valora como igualmente importante, los objetivos de gobierno y gestión del modelo
de referencia de COBIT tienden a convertirse en algo más o menos igual de importante, por lo que la priorización
será difícil.
4.2.4 Entender los problemas actuales relacionados con I&T
Los problemas relacionados con I&T (también denominados puntos de dolor) que sufre la empresa están
estrechamente relacionados con el riesgo de TI. (Estos problemas podrían considerarse riesgos que se han
materializado). Los problemas de TI pueden identificarse o reportarse a través de la gestión de riesgos, la auditoría,
la alta dirección o las partes interesadas externas. Una lista de problemas comunes se define en la sección 2.5,
apartado 4 (ver la figura 2.8).
Debe realizarse una clara diferenciación en la clasificación de problemas de I&T para poder proporcionar los aportes
necesarios para determinar las prioridades del diseño de gobierno.
Cuando todos los problemas de TI se clasifican como igual de graves, los objetivos de gobierno y gestión del modelo
Core de COBIT tienden a convertirse en algo más o menos igual de importante, haciendo que la priorización sea
difícil.
4.2.5 Conclusión
Al final del paso 1, la empresa tendrá una visión clara y consistente de la estrategia empresarial, las metas
empresariales, el riesgo de TI y los problemas actuales de I&T. En el paso siguiente (sección 4.3), esta información
se traducirá en objetivos de gobierno y gestión priorizados para un alcance inicial de un sistema de gobierno
personalizado para la empresa.
4.3 Paso 2: Determinar el alcance inicial del sistema de gobierno
Para determinar el alcance inicial del sistema de gobierno, el paso 2 resume la información recopilada durante el
paso 1. Los valores derivados para la estrategia empresarial, las metas empresariales, el perfil de riesgo y los
problemas relacionados con I&T se traducen en una serie de componentes de gobierno priorizados para producir el
sistema inicial de gobierno personalizado para la empresa.
33

4.3.1 Trasladar los factores de diseño a prioridades de gobierno y gestión
El paso 2 presenta una serie de factores de diseño relevantes y valores descriptivos asociados, cuya selección llevará
a la priorización de objetivos de gobierno y gestión. Hay dos opciones básicas para esta evaluación: un enfoque
cualitativo y un enfoque más cuantitativo.
El enfoque cualitativo considera los objetivos de gobierno y gestión más relevantes para los valores de cada factor
de diseño. Después del diseño inicial y los pasos de perfeccionamiento del diseño (para este último, ver la sección
4.4), se toma una decisión cualitativa sobre las prioridades de los objetivos de gobierno y gestión.
El enfoque más cuantitativo implica tablas numéricas de asignación creadas para cada factor de diseño. Las tablas
de asignación cuantifican los valores descriptivos asociados con cada factor de diseño para indicar su correlación con
los objetivos de gobierno y gestión.
 Las tablas de asignación de COBIT® 2019 suelen contener valores entre cero (0) y cuatro (4). Cuatro indica la
máxima relevancia de un objetivo de gobierno o gestión con ese valor del factor de diseño determinado; cero
indica que no es relevante.
 Trasladar los valores del factor de diseño a la importancia de un objetivo de gobierno y gestión implica el cálculo
de matrices que se deriva en una puntuación para cada objetivo de gobierno y gestión.
 Según el método actual preferido, estas puntuaciones pueden manipularse más para su presentación (p. ej.,
normalizarse con determinadas escalas fijas).
 Al final de los pasos 2 y 3, los resultados de varios de estos cálculos deben consolidarse. De nuevo, no hay ningún
método objetivamente necesario y fijo para su consolidación; sin embargo, se suele conseguir mejor si se usa una
suma.
El capítulo 7 de esta publicación incluye ejemplos del enfoque cuantitativo. Todos los ejemplos se refieren a un kit
de herramientas Excel® que está disponible en www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx y
acompaña a esta Guía de diseño COBIT® 2019.
4.3.2 Considerar la estrategia empresarial (Factor de diseño 1)
La figura 4.2 enumera para cada prototipo de estrategia empresarial, los objetivos de gobierno y gestión más
importantes, componentes de gobierno importantes y directrices del área prioritaria relevantes. Cuando la estrategia
empresarial se define como una estrategia híbrida, los objetivos de gobierno y gestión importantes reflejarán una
combinación de elementos.
Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de

estrategia empresarial
Valor del factor de Prioridad de los objetivos de Variantes del Area
Componentes
diseño gobierno y gestión Prioritaria
Crecimiento/ Objetivos de gestión Componentes importantes: Modelo Core de COBIT
adquisición importantes15 se incluyen: 2
 Estructuras organizativas
 APO02, APO03, APO05  Respaldar el rol de gestión del
 BAI01, BAI05, BAI11 portafolio con una oficina de
inversión
 Arquitecto empresarial
 Servicios, infraestructura y aplicaciones
 Facilitar la automatización y el
crecimiento y lograr economías de
escala
15 «Importantes» corresponde a un valor de 3 o más en la asignación de la tabla de este factor de diseño a los objetivos de gobierno y gestión
34

CAPÍTULO 4
Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de

estrategia empresarial (cont.)
Valor del factor de Prioridad de los objetivos de Variantes del Area
Componentes
diseño gobierno y gestión Prioritaria
Innovación/Diferenciac Los objetivos de gestión Componentes importantes: Modelo Core de COBIT
ión importantes incluyen:  Estructuras organizativas
 APO02, APO04, APO05  Director de tecnologías digitales y/o
 BAI08, BAI11 director de innovación
 Influencia importante del componente
de la cultura y del comportamiento en
la innovación
Liderazgo en costes Entre los objetivos de Componentes importantes: Modelo Core de COBIT
gobierno y gestión  Habilidades y competencias
importantes se incluyen:  Enfocado en habilidades
 EDM04 presupuestarias y de costes de TI
 APO06, APO10  Influencia importante del componente
de la cultura y del comportamiento
 Componente de servicios,
infraestructura y aplicaciones (p. ej.
para la automatización de controles,
mejora de la eficiencia)
Servicio al Entre los objetivos de Componente importante: Modelo Core de COBIT
cliente/estabilidad gobierno y gestión  Influencia importante del componente
importantes se incluyen: de la cultura y del comportamiento
 EDM02 (centrado en el cliente)
 APO08, APO09, APO11
 BAI04
 DSS02, DSS03, DSS04
4.3.3 Considerar las metas empresariales y aplicar la cascada de metas de COBIT (Factor de
diseño 2)
La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT® 2019
define 13 metas empresariales genéricas (ver sección 2.6, apartado 2 y figura 4.3); cada empresa debería priorizar
estas metas empresariales en consonancia con la estrategia empresarial.
Para trasladar las metas empresariales a objetivos de gobierno y gestión factibles:

1. Empezar con las metas empresariales genéricas y determinar las metas empresariales más importantes para la
organización. Seleccionar de tres a cinco metas empresariales más importantes; demasiadas metas de alta
prioridad producirían unos resultados menos significativos en la cascada de metas.
2. Encontrar las metas empresariales priorizadas en la tabla de asignación entre las metas empresariales y las metas
de alineamiento (Apéndice B). Usar la asignación para determinar las metas de alineamiento más importantes.
3. Encontrar las metas de alineamiento priorizadas en la tabla de asignación entre las metas de alineamiento y los
objetivos de gobierno y gestión (Apéndice C). Usar la asignación para determinar los objetivos de gobierno y
gestión más importantes.
Este subpaso identifica una serie de objetivos de gobierno y gestión que tienen una mayor importancia para la
empresa, basados en las metas empresariales priorizadas.
Nota: Esta técnica es puramente mecánica, usando tablas de asignación de naturaleza genérica. La empresa debe
interpretar los resultados con precaución, o adaptar las tablas de asignación con base en su propia experiencia y
contexto. En el flujo de trabajo descrito en esta guía, este ajuste se realiza en el paso 4 Finalizar el diseño del
sistema de gobierno.
35

Ejemplos de aplicación de la cascada de metas se incluyen en el Kit de herramientas que acompaña a esta Guía de
diseño COBIT® 2019.16 3
4.3.4 Considerar el perfil de riesgo de la empresa (Factor de diseño 3)

En el paso 1 (ver la sección 4.2.3 Entender el perfil de riesgo), la empresa realizó un análisis de riesgo de alto nivel
para identificar las categorías de riesgo que superaban el apetito de riesgo de la empresa. A continuación, los
resultados del análisis de riesgo se traducen en prioridades para los objetivos de gobierno y gestión. La respuesta más
común al riesgo que se usa en la gestión del riesgo es la mitigación del riesgo, lo que requiere la implementación de
una serie de controles (en lenguaje de riesgo), o (en el lenguaje de COBIT) objetivos de gobierno y gestión que
deben lograrse. El apéndice D contiene una correlación entre las 19 categorías de riesgo de TI en COBIT® 2019 y los
objetivos de gobierno y gestión, expresando hasta qué punto cada uno de los objetivos de gobierno y gestión puede
considerarse como un control para cada escenario de riesgo.
La tabla de asignación del apéndice D relaciona el perfil de riesgo de la empresa con los objetivos de gobierno y
gestión y sus prioridades, utilizando la misma técnica y método de valoración descrita anteriormente.
Ejemplo: El apéndice D ilustra que si la categoría 1 del escenario de riesgo de TI (RISKCAT01) Toma de decisiones
sobre inversiones en TI, definición y mantenimiento del portafolio es una preocupación, entonces los objetivos de
gobierno y gestión siguientes serán importantes:
 EDM01, EDM02, EDM04, EDM05

 APO05
4.3.5 Considerar los problemas actuales relacionados con la I&T de la empresa (Factor de
diseño 4)
En el paso 1 (ver la sección 4.2.4 Entender los problemas actuales relacionados con I&T), la empresa realizó un
diagnóstico a alto nivel de los problemas relacionados con I&T que experimenta. A continuación, los resultados de
dicho diagnóstico se traducen en prioridades para los objetivos de gobierno y gestión.
El apéndice E incluye una tabla de asignación entre los problemas de I&T y los objetivos de gobierno y gestión de
COBIT® 2019. Como muestra el apéndice E, cada problema relacionado con la I&T está asociado a uno o más
objetivos de gobierno o gestión que pueden influir en el problema relacionado con la I&T. Pueden usarse las mismas
técnicas y mecanismos de valoración descritos anteriormente.
Ejemplo: Cuando el problema relacionado con I&T, «Cambios o proyectos facilitados por TI que con frecuencia no
satisfacen las necesidades del negocio y que se entregan tarde o por encima del presupuesto», preocupa, son
importantes los siguientes objetivos de gobierno y gestión:
 APO03
 BAI01, BAI02, BAI03, BAI05, BAI11
4.3.6 Conclusión
Al final del paso 2, todos los elementos están disponibles para definir el alcance inicial de un sistema de gobierno
personalizado:
 Los objetivos de gobierno y gestión priorizados indican en qué objetivos de gobierno y gestión se debería
enfocar.
 Puede que también se incluyan directrices sobre componentes de gobierno específicos en el diseño inicial.
3 16 El kit de herramientas que acompaña a esta guía puede descargarse en www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx.
36

CAPÍTULO 4
La empresa puede elegir elaborar el diseño inicial actual y resolver todas las diferencias entre los distintos aportes, o
puede esperar hasta el paso 4 del flujo de trabajo y combinar los distintos aportes con los refinamientos del alcance
identificados en el paso 3.
4.4 Paso 3: Perfeccionar el alcance del sistema de gobierno
El paso 3 identifica los refinamientos / perfeccionamientos del alcance inicial del sistema de gobierno con base en el
conjunto de factores de diseño restantes, conforme se define en la sección 2.6. A lo largo de este capítulo, no todos
los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no aplicables pueden ignorarse.
En este paso, el diseñador del sistema de gobierno:

1. Explicará cada factor de diseño (DF) de DF5 Escenario de amenazas a DF11 Tamaño de la empresa.
2. Determinará si cada factor de diseño puede aplicarse o no.
3. Para los factores de diseño aplicables, determinará cuál de los posibles valores (o qué combinación de valores
posibles) es más aplicable a la empresa. Descripciones de referencia de los valores de factores de diseño
aplicables, junto con las tablas de asignación de los apéndices F a K, para determinar qué refinamientos del
sistema de gobierno están asociadas a estos valores.
El resultado de cada consideración de un factor de diseño es una lista clasificada de objetivos de gobierno y gestión,
similar al resultado obtenido en el paso 2. Con las tablas de asignación de los apéndices F a K, se pueden usar las
mismas técnicas y escalas, como se describió anteriormente.
4.4.1 Considerar el escenario de amenazas (Factor de diseño 5)
Cuando se considera este factor de diseño deben realizarse los siguientes pasos:
 Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas
definidas en la figura 4.3.
 Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e
incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
Figura 4.3—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de

escenario de amenazas
Valor del
Prioridad de los objetivos de Variantes del Area
factor de Componentes
gobierno y gestión Prioritaria
diseño
Alto Entre los objetivos de gobierno y Entre las estructuras organizativas importantes Área prioritaria de
gestión importantes se incluyen: se encuentran: seguridad de la
 EDM01, EDM03  Comité de estrategia de seguridad información17 4
 APO01, APO03, APO10, APO12,  Director de seguridad de la información

APO13, APO14 Entre los aspectos de cultura y comportamiento
 BAI06, BAI10 importantes se encuentran:
 DSS02, DSS04, DSS05, DSS06  Concienciación sobre seguridad
 MEA01, MEA03, MEA04 Los flujos de información incluyen:
 Política de seguridad
 Estrategia de seguridad
Normal  Según la definición de alcance  N/A Modelo Core de COBIT

inicial
4
17 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
37

4.4.2 Considerar los requisitos de cumplimiento (Factor de diseño 6)
A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:

requisitos de cumplimiento
Valor del
diseño
Alto Entre los objetivos de gobierno y Importancia de la función de cumplimiento: Modelo Core de COBIT
gestión importantes se incluyen:  Gran relevancia de documentación
 EDM01, EDM03 (elementos de información) y políticas y
 APO12 procedimientos
 MEA03, MEA04
Normal  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
Baja  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
4.4.3 Considerar el rol de TI (Factor de diseño 7)
A la hora de considerar este factor de diseño deben realizarse los pasos siguientes:
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de
TI
Valor del
diseño
Soporte  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
Fábrica Entre los objetivos de gobierno y  N/A Área prioritaria de
gestión importantes se incluyen: seguridad de la
 EDM03 información185
 DSS01, DSS02, DSS03, DSS04
Cambio Entre los objetivos de gobierno y  N/A Área prioritaria de
gestión importantes se incluyen: DevOPs196
 APO02, APO04
 BAI02, BAI03
5
6 19 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
38

CAPÍTULO 4
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de
TI
Valor del
diseño
Estratégico Entre los objetivos de gobierno y Los componentes bimodales típicos incluyen: Área prioritaria de
gestión importantes se incluyen:  Estructuras organizativas transformación digital207
 EDM01, EDM02, EDM03  Director de tecnologías digitales
 APO02, APO04, APO05, APO12,  Habilidades y competencias
APO13  Personal que puede trabajar en un entorno
 BAI02, BAI03 ambidiestro que combina tanto la exploración
 DSS01, DSS02, DSS03, DSS04, como la explotación
DSS05  Procesos
 Un portafolio y un proceso de innovación que
integra la exploración y explotación de las
oportunidades de transformación digitales
4.4.4 Considerar el modelo de abastecimiento de proveedores para TI (Factor de diseño 8)


modelo de abastecimiento de proveedores para TI
Valor del Prioridad de los objetivos de Componentes Variantes del Area
factor de gobierno y gestión Prioritaria
diseño
Externalizaci Entre los objetivos de gestión importantes  N/A Área prioritaria de gestión
ón se incluyen: de proveedores218
(outsourcing)  APO09, APO10
 MEA01
Nube Entre los objetivos de gestión importantes  N/A Área prioritaria de la nube229
se incluyen:
 APO09, APO10
 MEA01
Personal  Según la definición de alcance inicial  N/A Modelo Core de COBIT
interno
(Insourced)
Híbrido Combinación de directrices para las tres opciones específicas
4.4.5 Considerar métodos de implementación de TI (Factor de diseño 9)

7
20 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura.
8
21 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura.
9
22 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y tecnología, el área prioritaria de la nube se estaba considerando como una posible área prioritaria futura.
39


métodos de implementación de TI
Valor del Prioridad de los objetivos de Componentes Variantes del Area
factor de gobierno y gestión Prioritaria
diseño
Agile Entre los objetivos de gestión  Roles importantes y específicos conforme se Área prioritaria de
importantes se incluyen: identifican en las directrices del área Agile23 10
 BAI02, BAI03, BAI06 prioritaria de Agile

DevOps Entre los objetivos de gestión  Roles importantes y específicos conforme se Área prioritaria de
importantes se incluyen: identifican en las directrices del área DevOPs24 11
 BAI03 prioritaria de DevOPs

Tradicional  Según la definición de alcance  N/A Modelo Core de COBIT
inicial
Híbrido Combinación de directrices para las tres opciones específicas
4.4.6 Considerar la estrategia de adopción de tecnología (Factor de diseño 10)
Figura 4.8—Prioridad de los objetivos de gestión y gobierno asignada al factor de diseño de

estrategia de adopción de tecnología
Valor del factor de Prioridad de los objetivos de gobierno y gestión Componentes Variantes del Area
diseño Prioritaria
Primero en reaccionar Entre los objetivos de gobierno y gestión  N/A Área prioritaria de
(First mover) importantes se incluyen: DevOPs
 EDM01, EDM02 Área prioritaria de
 APO02, APO04, APO05, APO08 transformación
 BAI01, BAI02, BAI03, BAI05, BAI07, BAI11 digital25 12
 MEA01
Seguidor (Follower) Entre los objetivos de gobierno y gestión  N/A Modelo Core de COBIT
importantes se incluyen:
 APO02, APO04
 BAI01
Adoptadores lentos  Según la definición de alcance inicial  N/A Modelo Core de COBIT
(Slow adopter)
4.4.7 Considerar el tamaño de la empresa (Factor de diseño 11)
23 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de Agile se estaba considerando como una posible área prioritaria futura.
11
24 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
12
40

CAPÍTULO 4
Figura 4.9—Prioridad de los objetivos de gestión y gobierno asignada al factor de diseño de tamaño
de la empresa
Valor del factor de Prioridad de los objetivos de Variantes del
Componentes
diseño gobierno y gestión Area Prioritaria
Grande  Según la definición de  N/A Modelo Core de

alcance inicial COBIT
Pequeña/mediana  Según la definición de  Como corresponda a la descripción del área Área prioritaria
alcance inicial prioritaria de PyMEs de PyMEs26 13
Ejemplo: si la empresa es una PyME (p. ej., tiene 250 empleados a tiempo completo o menos), debería usar las
directrices contenidas en el área prioritaria de PyMEs para el diseño de su sistema de gobierno.
4.4.8 Conclusión
Al final del paso 3, la empresa habrá identificado una serie de posibles refinamientos para el sistema de gobierno
inicial y los habrá colocado en el canvas para su consolidación durante el paso 4 del flujo de trabajo del diseño.
Los siguientes refinamientos se suelen expresar de forma similar al resultado del paso 2: objetivos de gobierno y
gestión priorizados, componentes importantes para el sistema de gobierno y directrices del área prioritaria específica.
4.5 Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno
Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de los pasos anteriores para finalizar el
diseño del sistema de gobierno, como se muestra en la figura 4.10. El sistema de gobierno resultante debe reflejar
una cuidadosa consideración de todas las entradas; entender que estas entradas podrían en ocasiones presentar
conflicto.
Figura 4.10—Paso 4 del diseño del sistema de gobierno—Conclusión
Paso 1: Entender el Paso 2: Determinar el Paso 3: Perfeccionar el

contexto y la estrategia alcance inicial del sistema alcance del sistema
de la empresa de gobierno de gobierno
Perfeccionamiento
Alcance inicial
EDM01—Garantizar el EDM04—Asegurar la EDM05—Asegurar la
EDM02—Asegurar la
del alcance
establecimiento y el EDM03—Asegurar la
realización de beneficios optimización de los transparencia de las
mantenimiento del optimización del riesgo
recursos partes interesadas
marco de gobierno
EDM01—Garantizar el EDM04—Asegurar la EDM05—Asegurar la

EDM02—Asegurar la EDM03—Asegurar la
establecimiento y el optimización de los transparencia de las
EDM01—Garantizar el realización de
EDM04—Asegurar la EDM05—Asegurar la mantenimiento del
beneficios
optimización del riesgo
recursos partes interesadas APO01—Gestionar APO03—Gestionar APO06—Gestionar APO07—Gestionar
establecimiento y el
realización de optimización de los transparencia de las marco de gobierno APO02—Gestionar APO04—Gestionar APO05—Gestionar
mantenimiento del optimización del riesgo el marco de gestión la arquitectura de la el presupuesto y los los recursos
marco de gobierno
beneficios recursos partes interesadas la estrategia la innovación la cartera
de TI empresa costes humanos
MEA01—Gestionar la
supervisión del
cumplimiento y
rendimiento
APO09—Gestionar
APO01—Gestionar APO06—Gestionar APO07—Gestionar APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
APO02—Gestionar APO03—Gestionar
APO04—Gestionar APO05—Gestionar los acuerdos de
el marco de la arquitectura de el presupuesto y los recursos las relaciones los proveedores la calidad el riesgo la seguridad los datos
APO01—Gestionar
gestión de TI
la estrategia
la empresa
la innovación la cartera los costes humanos servicio
el marco de la arquitectura de el presupuesto y los recursos MEA01—Gestionar la
la estrategia la innovación la cartera
gestión de TI los costes humanos supervisión del
Paso 4: Finalizar el
la empresa
MEA01—Gestionar la cumplimiento y
supervisión del rendimiento
cumplimiento y
APO09—Gestionar
rendimiento APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
los acuerdos de
APO09—Gestionar las relaciones servicio los proveedores la calidad el riesgo la seguridad los datos MEA02—Gestionar el
APO08—Gestionar los acuerdos de APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
las relaciones servicio los proveedores la calidad el riesgo la seguridad los datos sistema de control
BAI02—Gestionar la BAI03—Gestionar la BAI07—Gestionar la interno
BAI01—Gestionar BAI04—Gestionar la BAI05—Gestionar
definición de identificación y BAI06—Gestionar aceptación y la
los programas disponibilidad y los cambios
diseño del sistema

EDM01—Garantizar el creación de los cambios de TI transición de los
establecimiento y el
EDM04—Asegurar la EDM05—Asegurar la MEA02—Gestionar el requisitos capacidad organizativos
realización de optimización de los transparencia de las sistema de control soluciones cambios de TI
MEA02—Gestionar el mantenimiento del optimización del riesgo
beneficios recursos
BAI02—Gestionar BAI03—Gestionarpartes interesadas BAI07—Gestionar interno
sistema de control marco de gobierno BAI01—Gestionar BAI03—Manage BAI04—Gestionar BAI05—Gestionar
interno BAI01—Managed BAI02—Managed
la definición de la identificación y BAI04—Managed
la disponibilidad y BAI05—Managed
los cambios
BAI06—Gestionar la aceptación y la
BAI02—Gestionar BAI03—Gestionar
BAI07—Gestionar los programas Solutions
creación de Availability los cambios de TI transición de los
BAI01—Gestionar
la definición de la identificación y BAI06—Gestionar la aceptación y la Programs Requirements
requisitos capacidad Organizational
organizativos
los programas la disponibilidad y los cambios soluciones cambios de TI
requisitos creación de los cambios de TI transición de los
capacidad organizativos
soluciones cambios de TI BAI08—Gestionar el BAI09—Gestionar BAI10—Gestionar la BAI11—Gestionar MEA03—Gestionar el
conocimiento los activos configuración los proyectos cumplimiento de los
requisitos externos
de gobierno
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar
MEA03— Managedel
BAI08—Managed BAI09—Managed BAI10—Managed
el conocimiento los activos la configuración
EDM01 —Ensured
EDM01—Garantizar el BAI11—Managed
los proyectos cumplimiento
Compliance Withde los
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar el APO01—Gestionar
APO02—Gestionar APO03—Gestionar Knowledge APO05—GestionarAssets APO06—Gestionar
APO04—Gestionar
APO07—Gestionar
el recursos Projects EDM02 —Ensured
EDM04—Asegurar larequisitos externos
External
EDM05—Asegurar la
el conocimiento los activos la configuración los proyectos cumplimiento de los el marco de la arquitectura de el presupuestoestablecimiento
y Governance ylos
realización de optimización de los transparencia de las
la estrategia la innovación la cartera mantenimiento delhumanos optimización del riesgo Requirements
requisitos externos gestión de TI la empresa los costes Framework Setting beneficios recursos partes interesadas
marco de gobierno MEA01—Gestionar la
and Maintenance
supervisión del
cumplimiento y
rendimiento
APO09—Gestionar
APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
las relaciones
los acuerdos de
los proveedores la calidad el riesgoDSS02—Gestionar la seguridad los datos DSS05—Gestionar DSS06—GGestiona DSS02—Gestionar DSS05—Gestionar DSS06—GGestionar
servicio DSS01—Gestionar DSS03—Gestionar DSS04—Gestionar
DSS02—Gestionar
DSS01—Gestionar las solicitudes e
DSS02—Managed DSS03—Gestionar DSS04—Gestionar DSS05—Managed
los servicios de r los controles de MEA04—Gestionar el las solicitudes e los servicios de los controles de MEA04—Gestionar el
DSS05—Gestionar DSS06—GGestiona DSS01—Managed
las operaciones incidentes de DSS03—Managed
los problemas DSS04—Managed
la continuidad seguridad procesos de
DSS01—Gestionar las solicitudes e DSS03—Gestionar DSS04—Gestionar los servicios de r los controles de Operations Service Requests
Problems Continuity
Security aseguramiento las operaciones incidentes de los problemas la continuidad seguridad procesos de negocio aseguramiento
MEA04—Gestionar el servicio negocio
las operaciones incidentes de los problemas la continuidad seguridad procesos de and Incidents APO01—Managed
APO01—Gestionar Services
APO03—Managed
APO03—Gestionar APO06—Gestionar APO07—Gestionar
servicio
aseguramiento APO02—Managed
APO02—Gestionar APO04—Gestionar APO05—Gestionar
servicio negocio el marco de
IT Management Enterprise
la arquitectura de el presupuesto y los recursos
la estrategia
Strategy la innovación la cartera
gestión de TI
Framework los costes humanos
la empresa
Architecture
MEA02—Gestionar el MEA01—Gestionar la
sistema de control supervisión del
BAI02—Gestionar BAI03—Gestionar BAI07—Gestionar interno cumplimiento y
BAI01—Gestionar BAI04—Gestionar BAI05—Gestionar rendimiento
la definición de la identificación y BAI06—Gestionar la aceptación y la
los programas la disponibilidad y los cambios
requisitos creación de los cambios de TI APO09—Gestionar
transición deAPO09—Managed
los
capacidad organizativos APO08—Gestionar
APO08—Managed APO010—Gestionar
APO10—Managed APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
soluciones cambios de TIlos acuerdos
Servicede
las relaciones
Relationships servicio los proveedores
Vendors la calidad el riesgo la seguridad los datos
Agreements
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar el

el conocimiento los activos la configuración los proyectos cumplimiento de los
Sistema de gobierno personalizado

requisitos externos MEA02—Gestionar el
sistema de control
BAI03—Manage BAI07—Gestionar interno
BAI01—Managed
BAI01—Gestionar BAI02—Managed BAI04—Gestionar BAI05—Gestionar
la definición de la identificación
Solutions y BAI06—Gestionar la aceptación y la
losPrograms
programas Requirements la disponibilidad y los cambios
requisitos creación de los cambios de TI transición de los
capacidad organizativos
soluciones
and Build cambios de TI
DSS02—Gestionar DSS05—Gestionar DSS06—GGestiona

DSS01—Gestionar las solicitudes e DSS03—Gestionar DSS04—Gestionar los servicios de r los controles de MEA04—Gestionar el
las operaciones incidentes de los problemas la continuidad seguridad BAI08—Gestionar
procesos deBAI08—Managed BAI09—Gestionar
BAI09—Managed BAI10—Gestionar
BAI10—Managed BAI11—Gestionar MEA03—Gestionar el
aseguramiento
servicio negocio elKnowledge
conocimiento losAssets
activos la configuración los proyectos cumplimiento de los
requisitos externos
DSS02—Gestionar DSS05—Gestionar DSS06—GGestiona

DSS01—Gestionar las solicitudes e DSS03—Gestionar DSS04—Gestionar los servicios de r los controles de MEA04—Gestionar el
las operaciones incidentes de los problemas la continuidad seguridad procesos de aseguramiento
servicio negocio
Cuadro del sistema de gobierno
26 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas
estaba en desarrollo y no se había publicado aún.
41

4.5.1 Resolver conflictos de prioridades inherentes
El paso 4 implica la resolución de cualquier conflicto para poder finalizar el diseño.
4.5.1.1 Propósito
Se considerarán los siguientes resultados de los pasos anteriores antes de llegar a cualquier conclusión:
 El diseño inicial del sistema de gobierno, se obtuvo en el paso 2, basado en la estrategia empresarial, las metas
empresariales, el perfil de riesgo y los problemas relacionados con I&T. El diseño inicial puede que refleje
algunas series divergentes de objetivos de gestión priorizados.
 Los refinamientos obtenidos en el alcance en el paso 3 a través del análisis de los factores de diseño restantes y
series de prioridades divergentes.
4.5.1.2 Estrategias de resolución
El flujo de trabajo descrito en esta guía puede aplicarse a distintas situaciones y precisa distintas estrategias para
llegar a una conclusión. En resumen, la empresa debe analizar los datos y resultados después de aplicar los factores
de diseño en el contexto de sus metas para implementar un programa de gobierno.
Ejemplo: si la empresa tiene una iniciativa importante y continua (p. ej. una inversión importante en una
aplicación de la empresa, programa de transformación digital, etc.) o quiere centrarse en un tema o asunto muy
específico (p. ej., resolver un problema de seguridad importante, adoptar una estrategia de DevOPs, alinearse o
cumplir con nuevas regulaciones de privacidad, etc.), no necesita aplicar todos los pasos del flujo de trabajo
propuesto con todos los detalles, sino centrarse en áreas específicas de interés.
 En el caso de una inversión de desarrollo importante, la empresa puede considerar su estrategia empresarial (factor
de diseño 1) como una estrategia de innovación/diferenciación y decidir, por tanto, trabajar solo en los objetivos de
gobierno y gestión destacados para este factor de diseño.
 En caso de nuevas regulaciones de privacidad, una empresa puede centrarse en objetivos de gobierno y gestión que
corresponden a requisitos de cumplimiento altos (factor de diseño 6). Estos objetivos son EDM01 Asegurar el
establecimiento y el mantenimiento del marco de gobierno, EDM03 Garantizar la optimización del riesgo, APO12
Gestionar los riesgos, MEA03 Gestionar el cumplimiento de los requisitos externos y MEA04 Gestionar el
aseguramiento. Además, la empresa deberá centrarse en los objetivos de gobierno y gestión que surjan del análisis
de requisitos de cumplimiento incluidos en MEA03.
Ejemplo: si la empresa requiere una visión amplia, holística y profunda de su sistema de gobierno, se
recomienda que aplique el flujo de trabajo completo, conforme se describe en esta guía, y considere
cuidadosamente todos los factores de diseño.
Cuando se define el diseño de un sistema de gobierno, la empresa debe revisar sus objetivos de gobierno y gestión, y
analizar su(s) nivel(es) de rendimiento actual(es) (como niveles de capacidad para procesos). La empresa entonces
debe tener en cuenta los resultados de estas evaluaciones a la hora de definir la hoja de ruta hacia el sistema de
gobierno objetivo, buscando primero todas las ganancias rápidas (como aquellas iniciativas que implican un esfuerzo
limitado, pero que generan grandes beneficios).
4.5.1.3 Enfoque de resolución
No hay directrices aplicables de forma universal para resolver prioridades contrapuestas o contradictorias, válidas en
todos los contextos empresariales. Sin embargo, algunas recomendaciones para abordar esto son:
42

CAPÍTULO 4
 Incluir a todas las partes interesadas en el debate sobre el diseño del sistema de gobierno: consejo de
administración y dirección ejecutiva, ejecutivos de negocio, dirección de la función de TI y director de
aseguramiento y riesgos.
 Considerar la naturaleza genérica de las directrices y las tablas de asignación de COBIT, que no pueden tener en
cuenta todas las especificidades de cada empresa. La empresa puede y debe prepararse para desviarse de algunas
de las prioridades identificadas si piensa que hay razones justificadas para dicho desvío.
 De igual modo, tenga en cuenta que el contexto específico de la empresa podría requerir desviarse de las
prioridades estrictamente cuantitativas para los objetivos de gobierno y gestión que se generan por computaciones
genéricas, preprogramadas (p. ej., resultados de cálculos de matrices matemáticas).
4.5.2 Finalizar el diseño del sistema de gobierno
4.5.2.1 Finalizar el diseño
La finalización de la fase de diseño debe producir un diseño para el sistema de gobierno para la I&T de la empresa.
Este diseño incluirá:
 Objetivos de gobierno y gestión priorizados en los que:
 El número de objetivos de alta prioridad se mantiene en un nivel razonable.
 Los niveles de capacidad objetivo (o requisitos de rendimiento equivalentes para no procesos) se definen con
niveles de capacidad objetivo más altos para los objetivos más críticos y niveles de capacidad objetivo más bajos
para objetivos menos críticos.
 Varios niveles de capacidad objetivo para los procesos (u objetivos de rendimiento equivalentes para otros
componentes). Cuando se definen esos objetivos, no se recomienda aspirar a la calificación más alta, porque:
 Para algunos procesos u otros componentes no es posible o no se define una capacidad de nivel cinco (5).
 Casi nunca es rentable ni justificable operar un sistema de gobierno con este alto nivel de capacidad en todos los
objetivos.
 A muchas organizaciones les parecerá casi imposible implementar la hoja de ruta de un sistema de gobierno con
un nivel de capacidad alto dentro de cualquier tipo de plazo razonable.
 Un componente de gobierno que requiera una atención específica debido a un problema o circunstancia
determinada (p. ej. si la privacidad es una preocupación primordial para una empresa, las políticas y
procedimientos de privacidad podrían requerir una atención especial)
 Las directrices del área prioritaria que complementan las directrices del Core de COBIT (cuando están
disponibles, son necesarias y son adecuadas)
Ejemplos de un diseño como este se incluyen en el capítulo 7.
4.5.2.2 Sostener el sistema de gobierno
El resultado del último paso en el flujo de trabajo del diseño de gobierno es un sistema de gobierno bien diseñado.
Sin embargo, un sistema de gobierno es inherentemente dinámico. Las estrategias pueden cambiar, se lanzan
programas de inversión importantes, los escenarios de amenazas cambian, las tecnologías cambian, etc. Esto
significa que el sistema de gobierno debe ser revisado periódicamente y que deben efectuarse cambios en el sistema
siempre que sea necesario.
Esta naturaleza dinámica de cualquier sistema de gobierno también conecta con la Guía de implementación de
COBIT® 2019, que señala un ciclo de mejora continua (ver también el capítulo 5 de esta publicación).
43

44

CAPÍTULO 5
CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT®
2019
Capítulo 5
Conectando con la Guía de implementación COBIT ® 2019
5.1 Propósito de la Guía de implementación COBIT® 2019
La Guía de implementación COBIT® 2019 destaca una visión de gobierno de I&T que abarca toda la empresa,
reconociendo que la I&T está en todas las áreas de las empresas y que no es ni posible ni es una buena práctica
separar las actividades empresariales de las de TI.
El gobierno y gestión de I&T de la empresa debe, por tanto, implementarse como una parte integral del gobierno de
la empresa y debe cubrir todas las áreas del negocio y las áreas funcionales de responsabilidad de TI.
Cuando las implementaciones del sistema de gobierno fallan, una de las razones habituales es que no se inician ni se
gestionan apropiadamente como programas para asegurar que se obtengan beneficios. Los programas de gobierno
deben estar patrocinados por la dirección ejecutiva y deben tener un alcance apropiado, y siempre deberían definir
objetivos que sean alcanzables. Estas provisiones permiten a la empresa asimilar el ritmo del cambio según lo
previsto. La gestión de programas se aborda, por tanto, como una parte íntegra del ciclo de vida de la
implementación.
Si bien se recomienda un enfoque de programa y proyecto para impulsar las iniciativas de mejora de una manera más
efectiva, el objetivo general es establecer una práctica normal de negocio y un enfoque sostenible para gobernar y
gestionar la I&T empresarial (como cualquier otro aspecto del gobierno de la empresa). Por este motivo, el método
de implementación se basa en empoderar a las partes interesadas de la empresa y de TI para que se apropien de las
decisiones y actividades de gobierno y gestión relacionados con I&T facilitando y permitiendo el cambio.
El programa de implementación se cierra cuando el proceso para centrarse en las prioridades relacionadas con TI y la
mejora del gobierno generan un beneficio medible, y cuando los resultados del programa se han integrado en la
actividad empresarial continua.
Puede encontrar más información sobre estas materias en la Guía de implementación de COBIT® 2019.
5.2 Método de Implementación de COBIT
El método de implementación de COBIT se resume en la figura 5.1.
45

Figura 5.1—Hoja de ruta de implementación COBIT
emos 1 ¿Cuáles s
nten
o ma lso? on l
óm pu os
¿C el im im
7 e ladd Iniciar pu
lso
ida un p re
ctiv visión ro gra
Efe re
s?
ma
Estab
ner le
de cer
2¿
ste
So de ca seo el
Dón
Defi portuni
os?
mb
ios
iar
de es
6 ¿Lo logram
efic
rear Identifica
nir p dades
ito n e
on y cesi r l
im
M d
• Gestión del programa
Obtener ben
r a
alua act de d
nuevos ar
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ev
Incorpor
uar
s
(círculo exterior)
y tar
enfoque
Det estado
Implemen
el tual
ar el
erminar
ac
medir
• Habilitación del cambio

(círculo medio)
I m p ej or
e sta ir
et lo s d o
• Mejora continua del ciclo de vida

fi n
De e
le m a
s
m
Imp
ivo
nt
el d j
e
s ar (círculo interior)
ult a r
C o n s tr u ir ob
ru ta
le m uso
o
es u n ic
5 ¿C
ad
Pla
m e j o ra s
en
y
ac
m
?
Co r
de
t
nd
star
ión
óm
el ja
ee
Identificar a
se
oc
ho
los r
jec
uc ole s asig n ad os mo
on
la
ión nir
se
e re
fi
De
gu
qu
m
i re
de
os
Progra ón
ll e
ga m a del pla n ¿D
r? 3
4 ¿ Q u é d e b e h a c er s e ?
5.2.1 Fase 1: ¿Cuáles son los impulsores?
La fase 1 del método de implementación identifica los impulsores de cambio actuales y crea, a nivel de la gestión
ejecutiva, el deseo de cambiar, que se expresa en un esquema de un caso de negocio. Un impulsor del cambio es un
evento interno o externo, una condición o problema importante que sirve como estímulo para el cambio. Eventos,
tendencias (industria, mercado o técnica), falta de rendimiento, implementaciones de software e incluso las metas
empresariales pueden actuar en su conjunto como impulsores del cambio.
El riesgo asociado a la implementación del programa en sí mismo se describe en el caso de negocio y se gestiona a lo
largo del ciclo de vida. La preparación, mantenimiento y monitorización de un caso de negocio son disciplinas
fundamentales e importantes para justificar, apoyar y, a continuación, garantizar resultados satisfactorios para
cualquier iniciativa, incluida la mejora del sistema de gobierno. Ellos aseguran un foco continuo en los beneficios del
programa y su realización.
5.2.2 Fase 2: ¿Dónde estamos ahora?
La fase 2 alinea los objetivos relacionados con I&T con las estrategias y el riesgo empresarial y prioriza las metas
empresariales, metas de alineamiento y procesos más importantes. La Guía de diseño COBIT® 2019 proporciona
distintos factores de diseño para contribuir a la selección.
Según las metas empresariales y las metas relacionadas con TI seleccionadas y otros factores de diseño, la empresa
debe identificar los objetivos críticos de gobierno y gestión y los procesos subyacentes que tengan la capacidad
suficiente para asegurar resultados satisfactorios. La dirección debe conocer su capacidad actual y dónde podría
haber deficiencias. Esto puede lograrse mediante una evaluación del estado actual de la capacidad de los procesos
seleccionados.
46

CAPÍTULO 5
CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT® 2019
5.2.3 Fase 3: ¿Dónde queremos estar?
La fase 3 establece un objetivo de mejora seguido de un análisis de brechas para identificar posibles soluciones.
Algunas soluciones serán ganancias rápidas y otras serán tareas más desafiantes a largo plazo. La prioridad debe
otorgarse a los proyectos cuya consecución resulte más fácil y que probablemente proporcionen los mayores
beneficios. Las tareas a más largo plazo deben desglosarse en piezas gestionables.
5.2.4 Fase 4: ¿Qué debe hacerse?
La fase 4 describe cómo planificar soluciones factibles y prácticas mediante la definición de proyectos apoyados por
casos de negocio justificables y un plan del cambio para la implementación. Un caso de negocio bien desarrollado
puede contribuir a garantizar que los beneficios del proyecto se identifiquen y monitoricen continuamente.
5.2.5 Fase 5: ¿Cómo conseguiremos llegar?
La fase 5 contempla la implementación de las soluciones propuestas a través de prácticas diarias y mediante el
establecimiento de medidas y sistemas de monitorización para garantizar que se logra el alineamiento con el negocio,
y poder medir el desempeño.
Para tener éxito se requiere dedicación, concienciación y comunicación, comprensión y compromiso de la alta
dirección, y compromiso de propiedad de los dueños de los procesos de negocio y de TI afectados.
5.2.6 Fase 6: ¿Lo logramos?
La fase 6 se centra en la transición sostenible de las prácticas mejoradas de gobierno y gestión a operaciones
empresariales normales. Se centra además en monitorizar la consecución de las mejoras usando las métricas de
desempeño y los beneficios esperados.
5.2.7 Fase 7: ¿Cómo mantenemos el impulso?
La fase 7 revisa el éxito global de la iniciativa, identifica otros requisitos de gobierno y gestión y refuerza la
necesidad de una mejora continua. También prioriza más oportunidades para mejorar el sistema de gobierno.
La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada una de las
siete fases, para garantizar que el desempeño del programa va por buen camino, el caso de negocio y el riesgo están
actualizados, y la planificación de la siguiente fase se ha ajustado como corresponde. Se asume que el enfoque
estándar de la empresa se seguirá.
Puede encontrarse más ayuda sobre la gestión de programas y proyectos en los objetivos de gestión de COBIT
BAI01 Gestionar los programas y BAI11 Gestionar los proyectos. Aunque la presentación de informes no se
menciona de forma explícita en ninguna de las fases, se trata de una tarea continua durante todas las fases e
iteraciones.
5.3 Relación entre la Guía de diseño COBIT y la Guía de implementación COBIT
La Guía de diseño COBIT® 2019 elabora una serie de tareas definidas en la Guía de implementación COBIT® 2019.
La figura 5.2 describe los elementos de conexión entre ambas guías y el propósito de esta tabla es que los usuarios
de la Guía de implementación COBIT® 2019 encuentren directrices más detalladas y adicionales, adecuadas para
determinadas fases y actividades en la Guía de diseño COBIT® 2019.
47

Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT
la Guía de implementación COBIT la Guía de diseño COBIT
Fase 1: ¿Cuáles son los impulsores? (Tareas de mejora Paso 1: Entender el contexto y estrategia de la empresa.
continua [CI], por sus siglas en inglés)
1 Identificar el contexto actual de gobierno, los puntos de dolor 1.4 Entender los problemas actuales relacionados con
de TI y TI del negocio, eventos y síntomas que desencadenan la I&T.
necesidad de actuar.
2 Identificar los impulsores del negocio y de gobierno y los 1.1 Entender la estrategia empresarial.
requisitos de cumplimiento para mejorar el gobierno 1.2 Entender las metas empresariales.
empresarial de información y tecnología (GEIT) y evaluar las 1.3 Entender el perfil de riesgo.
necesidades actuales de las partes interesadas.
3 Identificar prioridades del negocio y estrategia empresarial 1.1 Entender la estrategia empresarial.
dependientes de TI, incluido cualquier proyecto significativo 1.2 Entender las metas empresariales.
actual. 1.3 Entender el perfil de riesgo.
4 Alinearse con las políticas, estrategias y principios rectores de
la empresa y cualquier iniciativa de gobierno en curso.
5 Aumentar la concienciación a los directivos sobre la
importancia de TI para la empresa y el valor del GEIT. No son pasos de diseño de gobierno exclusivamente, estas
6 Definir la política, objetivos, principios rectores y objetivos de tareas están más relacionadas con tareas de habilitación
mejora de alto nivel del GEIT. del cambio en la Guía de implementación COBIT y están
7 Asegurar que la dirección y el consejo de administración cubiertas de forma adecuada aquí.
entiende y aprueba una estrategia de alto nivel, y aceptar el
riesgo de no tomar ninguna acción ante problemas
significativos.
Fase 2: ¿Dónde estamos ahora? (tareas CI) Paso 2—Determinar el alcance inicial del sistema de
gobierno.
Paso 3—Perfeccionar el alcance del sistema de gobierno.
Paso 4—Finalizar el diseño del sistema de gobierno.
1 Identificar metas empresariales clave y apoyar las metas 2.1 Considerar la estrategia empresarial.
relacionadas con TI claves. 2.2 Considerar las metas empresariales y aplicar la
cascada de metas de COBIT.
2 Establecer la importancia y naturaleza de la contribución de TI 2.2 Considerar las metas empresariales y aplicar la
(soluciones y servicios) requeridos para respaldar los objetivos 3.3 cascada de metas de COBIT.
de negocio. 3.4 Considerar el rol de TI.
3.5 Considerar el modelo de abastecimiento de
3.6 proveedores.
3.7 Considerar los métodos de implementación de TI.
Considerar la estrategia de adopción de
tecnología.
Considerar el tamaño de la empresa.
3 Identificar problemas y debilidades claves de gobierno 2.4 Considerar los problemas actuales relacionados
relacionadas con las soluciones y servicios actuales y con I&T.
requeridos en el futuro, la arquitectura empresarial necesaria
para respaldar las metas relacionadas con TI y cualquier
restricción o limitación.
4 Identificar y seleccionar los procesos críticos para respaldar las 2.1 Considerar la estrategia empresarial.
metas relacionadas con TI y, si corresponde, prácticas de 2.2 Considerar las metas empresariales y aplicar la
gestión clave para cada proceso seleccionado. cascada de metas de COBIT.
5 Evaluar el riesgo de habilitación de beneficios/valor, el riesgo de 2.3 Considerar el perfil de riesgo de la empresa.
realización de programa/proyecto y el riesgo de operaciones de
prestación de servicio/TI relacionados con procesos críticos de
TI.
6 Identificar y seleccionar procesos críticos de TI para 2.3 Considerar el perfil de riesgo de la empresa.
garantizar que se evite el riesgo.
7 Entender la posición de aceptación del riesgo conforme a lo 1.3 Entender el perfil de riesgo.
definido por la dirección. 2.3 Considerar el perfil de riesgo de la empresa.
48

CAPÍTULO 5
CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT®
2019
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.)

Fase 2: ¿Dónde estamos ahora? (tareas CI) Paso 2—Determinar el alcance inicial del sistema de
gobierno.
Paso 3—Perfeccionar el alcance del sistema de gobierno.
Paso 4—Finalizar el diseño del sistema de gobierno.
8 Definir el método para ejecutar la evaluación.
El método de evaluación para los procesos es el método
descrito en la publicación del Marco de referencia
COBIT® 2019: Introducción y metodología (basada en
los niveles de capacidad de CMMI).
9 Documentar el entendimiento de cómo el proceso actual 2.1 Considerar la estrategia empresarial.

aborda las prácticas de gestión seleccionadas 2.2 Considerar las metas empresariales y aplicar la
anteriormente. cascada de metas de COBIT.
2.3 Considerar el perfil de riesgo de la empresa.
2.4 Considerar los problemas actuales relacionados
con I&T.
3.1 Considerar el escenario de amenazas.
3.2 Considerar los requisitos de cumplimiento.
3.3 Considerar el rol de TI.
Considerar el modelo de abastecimiento de
3.4 proveedores.
3.5 Considerar los métodos de implementación de
3.6 TI.
Considerar la estrategia de adopción de
3.7 tecnología.
Considerar el tamaño de la empresa.
10 Analizar el nivel de capacidad actual. 4.1 Resolver conflictos de prioridades inherentes.
4.2 Finalizar el diseño del sistema de gobierno.
11 Definir la valoración de capacidad del proceso actual. 4.1 Resolver conflictos de prioridades inherentes.
4.2 Finalizar el diseño del sistema de gobierno.
Fase 3: ¿Dónde queremos estar? (tareas CI) Paso 4—Finalizar el diseño del sistema de gobierno.
1 Definir objetivos de mejora: 4.1 Resolver conflictos de prioridades inherentes.
 Según los requisitos de rendimiento y conformidad de la 4.2 Finalizar el diseño del sistema de gobierno.
empresa, decidir los niveles de capacidad objetivo ideales
a corto y largo plazo para cada proceso.
 Hasta donde sea posible, hacer un benchmark interno
para identificar las mejores prácticas que pueden
adoptarse.
 Hasta donde sea posible, hacer un benchmark externo
con competidores y homólogos que ayude a decidir la
idoneidad del nivel objetivo elegido.
 Realizar una «comprobación de juicio» de la razonabilidad
del nivel objetivo (individualmente y en su conjunto),
viendo qué es alcanzable y deseable y qué puede tener el
mayor impacto positivo dentro del intervalo de tiempo
deseado.
49

Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.)

2 Analizar brechas: 4.1 Resolver conflictos de prioridades inherentes.
 Usar el entendimiento de la capacidad actual (por 4.2 Finalizar el diseño del sistema de gobierno.
atributo) y compararlos con el nivel de capacidad objetivo.
 Aprovechar las fortalezas existentes siempre que sea
posible para solucionar las brechas y buscar ayuda en las
prácticas y actividades de gestión de COBIT y estándares
como ITIL, International Organization for
Standardization/International Electrotechnical
Commission (ISO/IEC) 27000, The Open Group
Architectural Framework (TOGAF®) y el Project
Management Body of Knowledge (PMBOK®), para acabar
con otras brechas.
 Buscar patrones que indiquen las causas raíz que deben
abordarse.
3 Identificar mejoras potenciales:
 Comparar las brechas con posibles mejoras.
 Identificar el riesgo residual no mitigado y garantizar una
aceptación formal.
50

CAPÍTULO 6
KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE
GOBIERNO
Parte II
Ejecución y ejemplos
Capítulo 6
Kit de herramientas de diseño del sistema de gobierno
6.1 Introducción
Este capítulo introduce el kit de herramientas que acompaña a la Guía de diseño COBIT, una herramienta basada en
hojas de cálculo Excel® , que facilita la aplicación del flujo de trabajo del diseño del sistema de gobierno explicado
en el capítulo 4.
El kit de herramientas se utilizó para ilustrar los tres ejemplos señalados en el capítulo 7 de esta publicación. Esta
introducción debería ayudar a los lectores a obtener un conocimiento básico del kit de herramientas y apreciar cómo
se generaron los resultados en el capítulo 7. Una vez descargado, el kit de herramientas muestra los valores
ilustrados en este capítulo. Para usar la herramienta, cambiar los valores para adaptarlos al contexto de la empresa.
Nota: Existen muchos métodos para cuantificar y clasificar las prioridades para los objetivos de gobierno y
gestión. En esta publicación y el kit de herramientas que la acompaña, se seleccionó un método, pero eso no
excluye otros métodos valiosos que sean capaces de lograr resultados confiables.
6.2 Elementos básicos del kit de herramientas
El kit de herramientas consiste en una hoja de cálculo Excel. La hoja de cálculo contiene:
 Una pestaña de introducción e instrucciones que proporciona información básica sobre cómo usar el kit de
herramientas
 Una pestaña del canvas que consolida todos los resultados del flujo de trabajo del diseño del sistema de gobierno
 Una pestaña para cada factor de diseño (DF), en la que:
 Los valores se pueden introducir y representar gráficamente
 Los puntajes de prioridad para los objetivos de gobierno y gestión se calculan y presentan en formato de tabla y
gráficamente en dos diagramas
 Dos pestañas de resumen (una después del paso 2 y otra después del paso 3 del flujo de trabajo de diseño del
sistema de gobierno) que representan gráficamente los resultados de cada paso completado
 Tablas de asignación para los factores de diseño con valores de entrada usados por otras pestañas (estas pestañas se
ocultan para mejorar la lectura de la hoja de cálculo)
 Las tablas de asignación (con la excepción del factor de diseño 2 Metas empresariales) contienen valores entre
cero (0) y cuatro (4), que indican la importancia de cada objetivo de gobierno/gestión para cada valor respectivo
del factor de diseño, escenario de riesgo o problema relacionado con I&T.
- Un valor de 4 significa la máxima relevancia, mientras que un valor de 0 significa que no es relevante.
- Los valores reflejan promedios establecidos por un panel de expertos. Los valores no pueden modelar, y no lo
hacen, cada situación individual y, por tanto, deben usarse con precaución. Sin embargo, pueden dar buenas
indicaciones representativas y pueden considerarse como una guía de orientación.
 La tabla de asignación para el factor de diseño 2 Metas empresariales es ligeramente distinta, puesto que
contiene dos tablas de asignación. Una tabla asigna las metas empresariales a las metas de alineamiento, y la otra
tabla asigna las metas de alineamiento a los objetivos de gobierno y gestión (ver los apéndices B y C).
51

6.3 Paso 1 y paso 2: Determinar el alcance inicial del sistema de gobierno
En estos pasos del flujo de trabajo de diseño del gobierno, se evalúan la estrategia, metas, perfil de riesgo y
problemas relacionados con la I&T de la empresa. Los pasos evalúan los primeros cuatro factores de diseño
(conforme se definen en el capítulo 4) para determinar su impacto en el diseño inicial de un sistema de gobierno:
1. Estrategia empresarial
2. Metas empresariales (a través de la cascada de metas)
3. Perfil de riesgo de TI
4. Problemas relacionados con I&T
6.3.1 Estrategia empresarial (Factor de diseño 1)
Entrada  Cada uno de los cuatro valores posibles para el factor de diseño de la estrategia empresarial
(crecimiento/adquisición, innovación/diferenciación, liderazgo en coste, servicios/estabilidad al cliente)
deben clasificarse entre 1 (nada importante) y 5 (más importante).
 Se recomienda mantener la suficiente distancia entre los valores.
Cálculo  El kit de herramientas realiza un cálculo de matrices de los valores introducidos para el factor de diseño 1
Estrategia empresarial con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje para
cada objetivo de gobierno/gestión.
 El kit de herramientas realiza un segundo cálculo de matrices de un conjunto de valores de referencia para
el factor de diseño 1 con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje de
referencia para cada objetivo de gobierno/gestión.
 El kit de herramientas calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión
como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y
redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión
es más o menos importante a la hora de hacer una comparación con el puntaje de referencia.
Salida  La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
 Los resultados se representan en formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada Ejemplo de gráfico de salida
52

CAPÍTULO 6
GOBIERNO
6.3.2 Metas empresariales y la aplicación de la cascada de metas de COBIT (Factor de diseño 2)
Entrada  Cada una de las trece metas empresariales deben clasificarse entre 1 (nada importante) y 5 (más
importante).
 Usando las metas empresariales genéricas se determinan las metas más importantes para la empresa. Es
aconsejable seleccionar las tres a cinco primeras metas empresariales más importantes; demasiadas
metas de alta prioridad producirán unos resultados de la cascada de metas menos significativos.
Cálculo  La herramienta realiza un doble cálculo de matrices entre (1) las metas empresariales clasificadas y la
tabla de asignación entre las metas empresariales y las metas de alineamiento de TI, y (2) el resultado del
primer cálculo de matrices y la tabla de asignación entre las metas de alineamiento de TI y los objetivos de
gobierno y gestión.
 La herramienta realiza una segunda serie de cálculos de matrices de una serie de valores de referencia para
el factor de diseño 2 Metas empresariales, lo que deriva en un puntaje de referencia para cada objetivo de
gobierno/gestión.
 La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con el puntaje de referencia.
Salida  La sección de Salida de esta hoja contiene la importancia relativa calculada para cada uno de los 40
Factor de diseño 2 Metas empresariales (Entrada)
EG01-Portafolio de productos y servicios competitivos
EG02-Gestion del riesgo de negocio
EG03—Cumplimiento con las leyes y regulaciones externas
EG04—Calidad de la información financiera
EG05—Cultura de servicio orientada al cliente
EG06—Continuidad y disponibilidad del servicio del negocio
EG07—Calidad de la información sobre gestión
EGO8—Optimización de la funcionalidad de procesos internos del negocio
EG09—Optimización de costes de procesos del negocio
EG10—Habilidades, motivación y productividad del personal
EG11-Cumplimiento con las políticas internas
EG12—Gestión de programas de transformación digital
EG13- Innovación de productos y negocios
53

6.3.3 Perfil de riesgo de la empresa (Factor de diseño 3)

Entrada  Cada una de las 19 categorías de riesgo contenidas en el factor de diseño de perfil de riesgo deben
clasificarse como sigue:
 Impacto del riesgo, en caso de que ocurra, como un valor entre 1 (nada importante) y 5 (crítico)
 Probabilidad de que el riesgo ocurra, como un valor entre 1 (muy poco probable) y 5 (muy probable)
 La herramienta asigna una clasificación de riesgo (muy alto, alto, normal, bajo) a cada categoría de riesgo,
según la combinación de las valoraciones del impacto y la probabilidad.
Cálculo  La herramienta realiza un cálculo de matrices de las clasificaciones de riesgo con la tabla de asignación
para el factor de diseño 3 El perfil de riesgo, lo que deriva en un puntaje para cada objetivo de
gobierno/gestión.
 La herramienta realiza un segundo cálculo de matrices de un conjunto de clasificaciones de referencia de
riesgo para el factor de diseño 3 con la tabla de asignación para el factor de diseño 3, lo que deriva en un
puntaje de referencia para cada objetivo de gobierno/gestión.
 La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión, como
Salida  La sección de Salida de esta herramienta contiene la importancia relativa calculada para cada uno de los
40 objetivos de gobierno y gestión de COBIT® 2019.
Ejemplo de tabla de entrada Ejemplo de gráfico de salida

I&T
Impacto Probabilidad Clasificación Línea base

Categoría del escenario de riesgo
(1-5) (1-5) de riesgos de referencia
Toma de decisiones sobre inversiones en TI, definición

y mantenimiento del portafolio
Gestión del ciclo de vida de los programas y proyectos
Coste y control de TI
Comportamiento, habilidades y conocimiento de TI
Arquitectura de la empresa/TI
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
Adopción de software/problemas de uso
Incidentes de hardware
Fallos de software
ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
Gestión de datos e información
Riesgo muy alto
Riesgo alto
Riesgo normal
Riesgo bajo
54

CAPÍTULO 6
GOBIERNO
6.3.4 Problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4)
Entrada  Cada uno de los 20 problemas relacionados con I&T para el factor de diseño de problemas relacionados
con I&T debe valorarse entre 1 (ningún problema) y 3 (problema grave). Los números 1, 2 y 3 deben
introducirse en la herramienta; ésta los traducirá automáticamente en un símbolo, según la tecla de la
herramienta para esa valoración.
Cálculo  La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 4
Problemas relacionados con I&T con la tabla de asignación para el factor de diseño 4, lo que deriva en una
valoración para cada objetivo de gobierno/gestión.
 La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 4 con la tabla de asignación para el factor de diseño 4, lo que deriva en una valoración de
 Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de tabla de entrada Ejemplo de gráfico de salida

I&T
Importancia
Problema relacionado con I&T (1-3)
Línea base de
referencia
Frustración entre distintas unidades de TI en toda la organización debido

Sin problema
a una percepción de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como el cliente de TI)

y el departamento de TI debido a iniciativas fracasadas o una percepción de Problema
baja contribución al valor del negocio
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones

de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problema grave
Problemas de ejecución del servicio por parte de los subcontratistas de TI
Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI

Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre
desempeño de TI o notificación de problemas de calidad y servicio de TI
Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por
departamentos de usuarios fuera del control de los mecanismos de
decisión de inversión en IT normales y los presupuestos aprobados
Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos

malgastados
Recursos de TI insuficientes, personal con habilidades

inadecuadas o personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las
necesidades del negocio y que se ejecutan tarde o por encima del presupuesto
Resistencia de los miembros del consejo de administración, ejecutivos

o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial
para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las
decisiones relacionadas con TI
Excesivamente alto coste de TI

Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones
causada por la arquitectura y sistemas de TI actuales
Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los

usuarios del negocio y/o los especialistas en TI hablen un idioma distinto
Problemas regulares con la calidad de los datos y la integración de datos de

distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros
problemas) una falta de supervisión y control de calidad de las aplicaciones
que se están desarrollando e implementando
Los departamentos del negocio implementan sus propias soluciones de
información con poca o ninguna participación del departamento de TI de la
empresa (relacionado con la computación de usuarios finales, que suele surgir
de la insatisfacción con los soluciones y servicios de TI)
Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad
Incapacidad para explotar nuevas tecnologías o innovar con las TI
55

6.3.5 Conclusión
Entrada  N/A
Cálculo  La herramienta realiza una suma ponderada de los puntajes importantes calculados de los objetivos
de gobierno/gestión relacionados con los cuatro primeros factores de diseño.
 Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La
ponderación puede cambiarse si, por ejemplo, la estrategia de la empresa es de mayor importancia
que los objetivos empresariales, el riesgo o los problemas relacionados con I&T.
 Los resultados logrados se normalizan entonces en una escala de 100 (tanto positiva como negativa)
y se reflejan en la pestaña de resumen del paso 2.
 El valor más alto (positivo o negativo) obtiene un puntaje de 100.
 Los demás valores se prorratean con respecto a este valor.
 La lista resultante de puntajes no sólo proporciona una visión confiable de la importancia relativa de
todos los objetivos de gobierno/gestión comparados unos con otros, sino que también da una
indicación de la importancia absoluta. Este resultado permite a la empresa no sólo priorizar los
objetivos de gobierno/gestión comparándolos unos con otros, sino también definir niveles de
capacidad objetivo adecuados.
Salida  La pestaña resumen del paso 2 contiene la importancia relativa calculada para cada uno de los 40
 Los resultados se representan en el formato de tabla (en la pestaña del canvas) y como un diagrama
de barras (pestaña de resumen del paso 2)
56

CAPÍTULO 6
GOBIERNO
Ejemplo de gráfico de salida
Paso 2 Diseño inicial

Importancia de los objetivos de gobierno y gestión
57

Nota: El gráfico de ejemplo anterior es consistente con los gráficos de ejemplo para cada factor de diseño, ya que
representa el resultado real si los factores del 1 al 4 se introdujeran conforme se muestra en las entradas de ejemplo
proporcionadas en este capítulo 6.
6.4 Paso 3: Perfeccionar el alcance del sistema de gobierno
En este paso, se mejora aún más el alcance inicial del sistema de gobierno según la evaluación de los factores de
diseño restantes:
1. Escenario de amenazas
2. Requisitos de cumplimiento
3. Rol de TI
4. Modelo de abastecimiento de proveedores para TI
5. Métodos de implementación de TI
6. Estrategia de adopción de tecnología
7. Tamaño de la empresa (tenga en cuenta que este factor de diseño no se incluye como parte de la herramienta; ver
la sección 6.4.7 para obtener más información)
58

CAPÍTULO 6
KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO
6.4.1 Escenario de amenazas (Factor de diseño 5)
Entrada  Cada uno de los dos valores posibles (alto y normal) para el factor de diseño de escenario de amenazas
debe valorarse entre 0% y 100%. La suma de ambos valores debe ser 100%.
 Para muchas empresas, 100% se asignará a una de las categorías. La opción está disponible para asignar
porcentajes cuando una parte de las operaciones de la empresa está sujeta a un escenario de amenazas
alto, mientras que otras están sujetas a un escenario de amenazas más normal.
Escenario de amenazas con la tabla de asignación para el factor de diseño 5, lo que deriva en una
importante a la hora de hacer una comparación con la valoración de referencia.
Salida  La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de
gobierno y gestión de COBIT® 2019.
59

6.4.2 Requisitos de cumplimiento (Factor de diseño 6)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de requisitos de cumplimiento debe valorarse
entre 0% y 100%. La suma de los tres valores debe ser 100%.
 Para muchas empresas, 100% se asignará a una de las categorías. Sin embargo, está disponible la opción
de asignar distintos porcentajes, si el entorno de TI empresarial es muy amplio y algunas partes están
sujetas a una regulación de cumplimiento estricta, mientras que otras partes están sujetas a una regulación
menos estricta.
Requisitos de cumplimiento con la tabla de asignación para el factor de diseño 6, lo que deriva en una
60

CAPÍTULO 6
GOBIERNO
6.4.3 Rol de TI (Factor de diseño 7)
Entrada  Cada uno de los cuatro valores posibles para el factor de diseño de rol de TI (soporte, fábrica, cambio y
estratégico) deben valorarse entre 1 (nada importante) y 5 (más importante).
Cálculo  La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 7 Rol de
TI con la tabla de asignación para el factor de diseño 7, lo que deriva en una valoración para cada objetivo
de gobierno/gestión.
61

6.4.4 Modelo de abastecimiento de proveedores para TI (Factor de diseño 8)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de modelo de abastecimiento de proveedores
para TI (externalización, nube y personal interno) debe valorarse entre 0% y 100%. La suma de los tres
valores debe ser 100%.
 Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque,
por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido.
Cálculo  La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 8 Modelo
de abastecimiento de proveedores para TI con su tabla de asignación correspondiente, lo que deriva en una
Factor de diseño 8 Modelo de abastecimiento de proveedores para TI

Importancia derivada de objetivos de gobierno/gestión
Factor de diseño 8 Modelo de abastecimiento de proveedores (Entrada)
Externalización Nube Personal interno
62

CAPÍTULO 6
GOBIERNO
6.4.5 Métodos de implementación de TI (Factor de diseño 9)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de métodos de implementación de TI (Agile,
DevOps y tradicional) debe valorarse entre 0% y 100%. La suma de los tres valores debe ser 100%.
 Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque,
por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido.
Cálculo  La herramienta realiza un cálculo de matrices de las valoraciones introducidas para el factor de diseño 9
Métodos de implementación de TI con la tabla de asignación para el factor de diseño 9, lo que deriva en un
puntaje para cada objetivo de gobierno/gestión.
factor de diseño 9 con la tabla de asignación para el factor de diseño 9, lo que deriva en un puntaje de
63

6.4.6 Estrategia de adopción de tecnología (Factor de diseño 10)
Entrada  Cada uno de los tres valores posibles para el factor de diseño de estrategia de adopción de tecnología
(primero en reaccionar, seguidor y adoptador lento) debe valorarse entre 0% y 100%. La suma de los tres
valores debe ser 100%.
 Para muchas empresas, 100% podría asignarse a una de las categorías. Sin embargo, está disponible la
opción de asignar distintos porcentajes si el entorno de TI empresarial es muy amplio, y distintas áreas
adoptan la tecnología a ritmos distintos.
Estrategia de adopción de tecnología con la tabla de asignación para el factor de diseño 10, lo que deriva en
un puntaje para cada objetivo de gobierno/gestión.
factor de diseño 10 con la tabla de asignación para el factor de diseño 10, lo que deriva en un puntaje de
Factor de diseño 10 Estrategia

de adopción de tecnología
Primero en reaccionar Seguidor Adoptadores lentos
64

CAPÍTULO 6
GOBIERNO
6.4.7 Tamaño de la empresa (Factor de diseño 11)
El factor de diseño del tamaño de la empresa únicamente indica si debe usarse la guía del área prioritaria de
pequeñas y medianas empresas, en lugar de la guía Core de COBIT.27 El tamaño de una empresa no tiene impacto en 1
la prioridad y los niveles de capacidad objetivo de los objetivos de gobierno y gestión.
6.4.8 Conclusión
Entrada  N/A
Cálculo  La herramienta realiza una suma ponderada de los puntajes de importancia de los objetivos de
gobierno/gestión calculadas relacionadas con los factores de diseño del 5 al 10 y la combina con los
resultados del paso 2 Diseño inicial del sistema de gobierno.
 Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La
ponderación puede cambiarse si, por ejemplo, los requisitos de cumplimiento son de mayor
importancia (porque la empresa opera en una industria altamente regulada).
 Los resultados logrados se normalizan entonces en una escala de 100.
 El valor más alto (positivo o negativo) obtiene un puntaje de 100.
 El resto de los valores se prorratea con respecto a este valor.
 La lista resultante de puntajes no solo proporciona una visión fiable de la importancia relativa de
todos los objetivos de gobierno/gestión comparados, sino que también da una indicación de la
importancia absoluta. Este resultado permite a la empresa no solo priorizar los objetivos de
gobierno/gestión comparándolos, sino también definir niveles de capacidad objetivo adecuados.
Salida  La pestaña resumen del paso 3 contiene la importancia relativa calculada para cada uno de los 40
 Los resultados se representan en el formato de tabla (en el canvas del cuadro) y como un diagrama
de barras (en la pestaña de resumen del paso 3)
Nota: El gráfico de ejemplo siguiente es consistente con los gráficos de ejemplo para cada factor de diseño, ya que
representa el resultado real si los factores del 5 al 10 se introdujeran conforme se muestra en los datos de entrada
de este capítulo 6.
1
27 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
65

Ejemplo de gráfico de salida
66

CAPÍTULO 7
EJEMPLOS
Capítulo 7
Ejemplos
7.1 Introducción
En este capítulo, el flujo de trabajo explicado en el capítulo 4 se aplica a los dos ejemplos ficticios y un estudio de
caso, para ilustrar el proceso de diseño del sistema de gobierno. Los ejemplos incluyen:
1. Empresa de manufactura (Sección 7.2)
2. Empresa de innovación de tamaño mediano (Sección 7.3)
3. Agencia gubernamental de alto perfil (Sección 7.4)
7.2 Ejemplo 1: Empresa de manufactura
La empresa fabrica bienes, es una empresa grande, muy preocupada por los costes y desea ser líder en costes en su
mercado. La empresa considera la I&T como una función puramente de soporte para lograr unas operaciones
eficientes y eficaces. Aunque TI es una función de soporte, la empresa depende críticamente de ella. La empresa
sigue una estrategia tradicional hacia desarrollos y operaciones nuevas y se muestra bastante indecisa a la hora de
adoptar nuevas tecnologías. Recientemente, la empresa se enfrentó a un ataque de malware y sufrió una serie de
problemas operativos de TI. La empresa alberga y opera equipos críticos de TI en sus instalaciones.
7.2.1 Paso 1: Entender el contexto y estrategia de la empresa
El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa.
Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en el liderazgo en costes y un enfoque
secundario en el servicio al cliente/estabilidad se muestran en la figura 7.1.
Figura 7.1—Ejemplo 1, Paso 1.1: Estrategia empresarial
67

Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, conforme se muestra en el diagrama siguiente. La figura 7.2 muestra que EG09 Optimización de
costes de los procesos del negocio es la meta empresarial con la clasificación más alta.
Figura 7.2—Ejemplo 1, Paso 1.2: Metas empresariales
Factor de diseño 2 Metas empresariales
EG01—Portafolio de productos y servicios competitivos 1 5
EG02—Gestión de riesgo de negocio 3
EG03—Cumplimiento de leyes y regulaciones externas 2
EG04—Calidad de la información financiera 2
EG05—Cultura de servicio orientada al cliente 4
EG06—Continuidad y disponibilidad del servicio del negocio 4
EG07—Calidad de la información sobre gestión 4

EG08—Optimización de la funcionalidad de procesos
internos del negocio 3
EG09—Optimización de costes de procesos del negocio 5
EG10—Habilidades, motivación y productividad del personal 2
EG11—Cumplimiento con las políticas internas 3
EG12—Gestión de programas de transformación digital 1 4
EG13—Innovación de productos y negocios 1
68

CAPÍTULO 7
EJEMPLOS
Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que
identifica las siguientes categorías de riesgo más altas (marcadas con puntos rojos en la columna de clasificación de
riesgos en la figura 7.3): Incidentes de infraestructura operativa de TI, acciones no autorizadas, adopción de
software/problemas de uso, incidentes de hardware, fallos de software y ataques lógicos. (Estas son categorías
amplias. Para obtener información detallada de escenarios de riesgo dentro de cada categoría, vea la sección 2.6)
Figura 7.3—Ejemplo 1, Paso 1.3: Riesgo Perfil
Factor de diseño 3 Perfil del riesgo
Impacto Probabilidad Clasificación

de riesgos
(1-5) (1-5)
Categoría del escenario de riesgo
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos Riesgo alto
Coste y auditoría de TI Riesgo normal
Comportamiento, habilidades y conocimiento de TI Riesgo bajo


Fallos de software
Ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incumplimiento
Acción industrial
Medio ambiente
Gestión de información y datos
69

Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala
de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura
7.4. Estos se perciben como problemas importantes para la empresa: incidentes significativos, problemas de
prestación de servicio por parte de proveedores, coste oculto de TI y coste general de TI.
Figura 7.4—Ejemplo 1, Paso 1.4: I&T-Problemas relacionados
Importancia Línea base

Valor de referencia
Frustración entre distintas unidades de TI en toda la organización debido a Sin problema

una percepción de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como el cliente Problema
de TI) y el departamento de TI debido a iniciativas fracasadas o una
Problema
grave
Incidentes significativos relacionados con TI, como pérdida de datos,
violaciones de seguridad, fallo del proyecto y errores de la aplicación,
relacionados con TI
Problemas de ejecución del servicio de los subcontratistas de TI
Incumplimiento de los requerimientos regulatorios o contractuales

relacionados con TI
Hallazgos de auditoría regulares u otros informes de evaluación
sobre un pobre desempeño de TI o notificación de problemas de
calidad y servicio de TI
Duplicaciones o coincidencias entre varias iniciativas u otras formas

de recursos malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas

o personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a
menudo las necesidades del negocio y que se ejecutan tarde o por
encima del presupuesto
Resistencia de los miembros del consejo de administración, ejecutivos o alta
gerencia involucrarse en las TI o una falta de compromiso empresarial para
patrocinar a TI, modelo operativo de TI
Modelo operativo de TI complejo y/o mecanismos de decisión
confusos para las decisiones relacionadas con TI
Implementación obstaculizada o fracasada de nuevas iniciativas o

innovaciones causada por la arquitectura y sistemas de TI actuales
Brecha entre conocimiento tecnológico y empresarial, lo que lleva a
que los usuarios del negocio y/o los especialistas en TI hablen un
idioma distinto
Problemas regulares con la calidad de los datos y la integración de

datos de distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera
(entre otros problemas) una falta de supervisión y control de calidad
de las aplicaciones que se están desarrollado e implementando
Los departamentos del negocio implementan sus propias soluciones
de información con poca o ninguna participación del departamento de
TI de la empresa
70

CAPÍTULO 7
EJEMPLOS
7.2.2 Paso 2: Determinar el alcance inicial del sistema de gobierno
El alcance inicial del sistema de gobierno se determina con la información (parcial o total) recopilada durante el paso
1. El paso 2 traslada esta información sobre las metas empresariales, la estrategia empresarial y el perfil de riesgo a
componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—La figura 7.5 representa la estrategia empresarial, como se identifica
en el paso 1.1. La figura 7.6 muestra la influencia relativa que estas estrategias tienen en los objetivos de gobierno y
gestión.
Figura 7.5—Ejemplo 1, Paso 2.1: Estrategia empresarial
71


Factor de diseño 1 Estrategia empresarial
Además de los procesos de gobierno y gestión destacados en la figura 7.6, también requieren atención los siguientes
componentes :
 Enfoque sobre habilidades presupuestarias y de costes de TI
 Influencia del componente de cultura y comportamiento
 Contribución del componente de los servicios, infraestructura y aplicaciones (p. ej. para la automatización de
controles, mejora de la eficiencia)
72

CAPÍTULO 7
EJEMPLOS
Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la
cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr
las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.7). La figura 7.8
muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión.
Figura 7.7—Ejemplo 1, Paso 2.2: Metas empresariales
EG01—Portafolio de productos y servicios competitivos 1 5
EG03—Cumplimiento de leyes y regulaciones externass 2

EG08—Optimización de la funcionalidad de procesos
internos del negocio 3
EG012—Gestión de programas de transformación digital 1 4

73


74

CAPÍTULO 7
EJEMPLOS
Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron
y analizaron en un nivel superior (figura 7.9). Dependiendo de la correspondencia entre el perfil de riesgo y los
objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación
incluida en el apéndice D), la figura 7.10 muestra la valoración relativa de los objetivos de gobierno y gestión,
basado de los resultados del análisis de riesgos.
Figura 7.9—Ejemplo 1, Paso 2.3: Perfil de riesgo
Impacto Probabilidad Clasifi-

(1-5) cación de
Categoría del escenario de riesgo (1-5) riesgos
Toma de decisiones sobre inversiones en TI, definición y
mantenimiento del portafolio Riesgo muy alto
Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
75

Figura 7.10—Ejemplo 1, Paso 2.3: Importancia derivada de Objetivos de

Gobierno/Gestión para el Factor de diseño 3 Perfil de riesgo
76

CAPÍTULO 7
EJEMPLOS
Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el
paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación
(Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese
problema. Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.12 muestra la valoración
relativa de los objetivos de gobierno y gestión, dependiendo del análisis empresarial de los problemas actuales
relacionados con la I&T. (figura 7.11).
Figura 7.11—Ejemplo 1, Paso 2.4: Problemas relacionados con I&T
Importancia Línea base de

Valor (1-3) referencia
Frustración entre distintas unidades de TI en toda la organización debido a una Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) Problema
y el departamento de TI debido a iniciativas fracasadas o una percepción de baja
Problema
contribución al valor del negocio grave
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones
de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI

Incumplimiento de los requerimientos regulatorios o contractuales relacionados
con TI
departamentos de usuarios fuera del control de los mecanismos de decisión de
inversión en IT normales y los presupuestos aprobados

malgastados
Resultados de auditoría regulares u otros informes de evaluación sobre un pobre
Resistencia por parte de los miembros del consejo de administración, ejecutivos
o alta gerencia a verse envueltos en las TI o una falta de mecenazgo empresarial
comprometido para las mismas



distintas fuentes
Nivel elevado de informática para usuarios finales, lo que genera (entre otros
problemas) una falta de supervisión y control de calidad de las aplicaciones que
se están desarrollado e implementando
Los departamentos del negocio implementan sus propias soluciones de información con poca o
ninguna participación del departamento de TI de la empresa (relacionado con la computación de
usuarios finales, que suele surgir de la insatisfacción con las soluciones y servicios de TI del
77


Factor de diseño 4 Problemas relacionados con I&T
78

CAPÍTULO 7
EJEMPLOS
Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los cuatro pasos anteriores para producir las prioridades iniciales siguientes para los
objetivos de gobierno y gestión en el sistema de gobierno (figura 7.13).
Figura 7.13—Ejemplo 1, Paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de
gobierno y gestión
Paso 2 Diseño inicial (Resumen) Importancia de

los objetivos de gobierno y gestión
-100 -50 0 50 100
-15 EDM01
-25 EDM02
EDM03 0
EDM04 0
EDM05 0
APO01 0
-40 APO02
-25 APO03
-75 APO04
-30 APO05
APO06 5
-10 APO07
-10 APO08
APO09 30
APO10 30
APO11 25
APO12 55
APO13 45
APO14 25
-40 BAI01
BAI02 0
BAI03 0
-25 BAI04
-25 BAI05
BAI06 25
BAI07 30
-10 BAI08
BAI09 100
BAI10 60
-60 BAI11
DSS01 40
DSS02 70
DSS03 60
DSS04 45
DSS05 45
DSS06 15
MEA01 0
MEA02 15
MEA03 0
MEA04 10
Es probable que los cinco principales objetivos de gestión siguientes sean importantes para el sistema de gobierno
de esta empresa:
 BAI09 Gestionar los activos
 DSS02 Gestionar las peticiones y los incidentes del servicio
 DSS03 Gestionar los problemas
 BAI10 Gestionar la configuración
 APO12 Gestionar los riesgos
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes:
79

 APO04 Gestionar la innovación

 BAI11 Gestionar los proyectos
 APO02 Gestionar la estrategia
 BAI01 Gestionar los programas
 APO05 Gestionar el portafolio
El paso siguiente determinará qué refinamientos se requieren todavía en este alcance inicial del sistema de gobierno.
7.2.3 Paso 3: Perfeccionar el alcance del sistema de gobierno
En el paso 3, se identifican los refinamientos al alcance inicial, según el conjunto de factores de diseño restantes que
deben analizarse. No todos los factores de diseño podrían aplicarse a todas las empresas, en cuyo caso pueden
ignorarse. La figura 7.14 muestra un resumen de los factores de diseño del 5 al 11 que se aplican a la empresa de
manufactura en este ejemplo. Cuando más de un valor era aplicable para un determinado factor de diseño, esto se
indicará en la columna de valor de la figura.
Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno

Factor de Prioridad de los objetivos de Directriz del área
Ref. Valor Componentes
diseño gobierno y gestión prioritaria
DF5 Escenario de amenazas
Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
gestión importantes se incluyen: organizativas importantes se seguridad de la
 EDM01, EDM03 encuentran: información292
 APO01, APO03, APO10, APO12,  Comité de estrategia de
APO13, APO14 seguridad
 BAI06, BAI10  CISO
 DSS02, DSS04, DSS05, DSS06 Entre los aspectos importantes
Alto 90%281
 MEA01, MEA03, MEA04 de cultura y comportamiento
se encuentran:
 Concienciación sobre
seguridad
Flujos de información:
 Según la definición de alcance  N/A Modelo Core de
Normal 10%
inicial COBIT
DF6 Requisitos de cumplimiento
Entre los objetivos de gestión más  N/A Modelo Core de
importantes, pero todavía moderados, COBIT
se encuentran:
Normal 75%
 EDM01, EDM03
 APO12
 MEA03
Baja 25%
inicial COBIT
DF7 Rol de TI
5 de Entre los objetivos de gobierno y  N/A Área prioritaria de
una gestión importantes se incluyen: seguridad de la
Fábrica
escala  EDM03 información303
de 5  DSS01, DSS02, DSS03, DSS04
Entre los objetivos de gobierno y  N/A Área prioritaria de
2 de
gestión importantes se incluyen: DevOPs314
una
Cambio  APO02, APO04,
escala
 BAI02, BAI03
de 5
80

CAPÍTULO 7
EJEMPLOS
Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno (cont.)

Ref. Valor Componentes
DF8 Modelo de abastecimiento de proveedores para TI
Entre los objetivos de gestión  N/A Área prioritaria de
Externalización importantes se incluyen: gestión de
20%
(outsourcing)  APO09, APO10 proveedores 325
 MEA01
Personal  Según la definición de alcance  N/A Modelo Core de
interno 80% inicial COBIT
DF9 Métodos de implementación de TI
Tradicional inicial COBIT
DF10 Estrategia de adopción de tecnología
Entre los objetivos de gobierno y Procesos que pueden Modelo Core de
Seguidor 90%336 gestión importantes se incluyen: ejecutarse a un ritmo más COBIT
 APO02, APO04 lento
 BAI01
Adoptadores  Según la definición de alcance  N/A Modelo Core de
Lentos 10%347 inicial COBIT
DF11 Tamaño de la Empresa
Grande inicial COBIT
Para cada factor de diseño de la figura 7.14, la situación actual evaluada puede combinarse con los objetivos de
gobierno y gestión asignados y otras directrices en la figura 7.14. Los siguientes ejemplos se produjeron usando los
cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno
y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de
araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia
relativos comparados con un nivel de referencia. Los niveles de importancia relativa se expresan en una escala de -
100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión
y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión.
1
28 Esta figura significa que el 90% de las operaciones y actividades de I&T de la empresa se realizan en un escenario de altas amenazas.
2 29 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
4 31 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
5 32 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura.
6 33 Esta cifra significa que un 90% de la organización se considera un seguidor en términos de adopción de tecnología.
7 34 Esta cifra significa que se considera que el 10% de las actividades de I&T de la empresa están a un ritmo de adoptadores lentos.
81

Paso 3.1—Considerar el escenario de amenazas —La figura 7.15 muestra el escenario de amenazas bajo el cual se cree que opera la empresa.
La figura 7.16 muestra el impacto en los objetivos de gobierno y gestión del escenario de amenazas evaluado.
Figura 7.15—Ejemplo 1, paso 3.1: Escenario de amenazas
Figura 7.16—Ejemplo 1, paso 3.1: Importancia derivada de Objetivos de Gobierno/Gestión para el

Factor de diseño 5 Escenario de amenazas
Factor de diseño 5 escenario de amenazas

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
82

CAPÍTULO 7
EJEMPLOS
Esta clasificación del escenario de amenazas hace que un número sustancial de objetivos de gobierno y gestión sean
más importantes, conforme a la entrada de la figura 7.14 relacionada con un escenario de altas amenazas. Las
directrices de estos objetivos de gobierno y gestión deberían obtenerse de las directrices del área prioritaria de
seguridad de la información,35 la cual contiene una guía más detallada y específica sobre seguridad de la
8
información que el modelo Core de COBIT.

Además, la empresa debe considerar (para su inclusión en su diseño del sistema de gobierno) la presencia y
rendimiento de lo siguiente:
 Entre las estructuras organizativas importantes se encuentran:
 Comité de estrategia de seguridad
 CISO
 Entre los aspectos de cultura y comportamiento importantes se encuentran:
 Concienciación sobre seguridad
 Flujos de información:
 Política de seguridad
 Estrategia de seguridad
Paso 3.2—Considerar los requisitos de cumplimiento—La figura 7.17 muestra los requisitos de cumplimiento para
la empresa, que se estima son normales, tendiendo a bajos. La figura 7.18 muestra el impacto de los requisitos de
cumplimiento evaluados en los objetivos de gobierno y gestión. Hay un impacto muy pequeño, que es el resultado
esperado.
Figura 7.17—Ejemplo 1, paso 3.2: Requisitos de cumplimiento
Design
Factor deFactor
diseño 66Requerimientos
CompliancedeRequirements
cumplimiento
High
Alto Normal
Normal Low
Bajo
25%
75%
8
83


Factor de diseño 6 Requisitos de cumplimiento
Factor de diseño 6 Requerimientos de cumplimiento

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Paso 3.3—Considerar el rol de TI—La figura 7.19 muestra el rol de TI, que se expresa como fábrica, con una
opción secundaria de cambio, indicando que la empresa tiene una alta operabilidad dependiendo de sus servicios de
TI. La figura 7.20 muestra el impacto del rol de TI evaluado en los objetivos de gobierno y gestión.
Figura 7.19—Ejemplo 1, paso 3.3: Rol de TI
84

CAPÍTULO 7
EJEMPLOS
Figura 7.20—Ejemplo 1, paso 3.3: Importancia derivada de Objetivos de

Gobierno/Gestión para el Factor de diseño 7 Rol de TI
Además de los objetivos de gobierno y gestión priorizados, las directrices deberían obtenerse de las áreas prioritarias
de seguridad de la información y DevOPs (cuando estén disponibles y sea necesario).
85

3.4—Considerar el modelo de abastecimiento de proveedores—La figura 7.21 muestra el modelo de abastecimiento

de proveedores de la empresa seleccionada, que es predominantemente con personal interno. La figura 7.22 muestra
el impacto del modelo de abastecimiento de proveedores evaluado en los objetivos de gobierno y gestión. El impacto
es bastante limitado para este factor de diseño.
Figura 7.21—Ejemplo 1, paso 3.4: Modelo de abastecimiento de proveedores para TI
Factor de diseño 8 Modelo de abastecimiento

de proveedores para TI

(outsourcing) (insourcing)
20%
80%

Factor de diseño 8 Modelo de abastecimiento de proveedores

para TI Importancia derivada de objetivos de gobierno/gestión
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
86

CAPÍTULO 7
EJEMPLOS
Paso 3.5—Considerar los métodos de implementación de TI—La empresa usa métodos tradicionales de desarrollo y
operaciones de TI (figura 7.23), lo que se traduce en un impacto nulo en los objetivos de gobierno y gestión (figura 7.24).
Figura 7.23—Ejemplo 1, paso 3.5: Métodos de implementación de TI
Factor de diseño 9 Métodos de

implementación de TI
Agile DevOPs Tradicional
100%

Factor de diseño 9 Métodos de implementación de TI

Importancia derivada de los objetivos de gobierno/gestión
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
87

Paso 3.6—Considerar la estrategia de adopción de tecnología—La figura 7.25 indica que la empresa es, como
mucho, seguidora cuando se trata de la adopción de nueva tecnología. La figura 7.26 muestra el impacto muy
limitado que esto tiene en las prioridades de los objetivos de gobierno y gestión.
Figura 7.25—Ejemplo 1, paso 3.6: Estrategia de Adopción de Tecnología
Factor de diseño 10 Estrategia de adopción de tecnología
Primero en reaccionar Seguidor (Follower) Adoptadores lentos (Slow adopter)
10%
90%

Factor de diseño 10 Estrategia de Adopción de Tecnología

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
88

CAPÍTULO 7
EJEMPLOS
3.7—Considerar el Tamaño de la Empresa.—La empresa se clasifica como grande. Conforme a la figura 7.14, esto
significa que el modelo Core de COBIT debe usarse como referencia para la definición del sistema de gobierno.
7.2.4 Paso 4: Finalizar el Diseño de la Solución de Gobierno

El último paso del proceso de diseño requiere que se discutan todos los aportes de los pasos anteriores, se resuelvan
los conflictos y se alcance una conclusión. El sistema de gobierno resultante refleja una cuidadosa consideración de
todos los aportes; teniendo en cuenta que estos aportes podrían en ocasiones entrar en conflicto y que se debe elegir
entre ellas.
7.2.4.1 Objetivos de gobierno y gestión
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los
resultados obtenidos del diseño del sistema inicial de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las
siguientes prioridades ajustadas para los objetivos de gobierno y gestión en el sistema de gobierno. (figura 7.27).
Figura 7.27—Ejemplo 1, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los
factores de diseño)
89

Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
 DSS02 Gestionar las peticiones y los incidentes del servicio (100)
 APO13 Gestionar la seguridad (80)
 DSS04 Gestionar la continuidad (80)
 DSS03 Gestionar los problemas (75)
 BAI09 Gestionar los activos (75)
 BAI10 Gestionar la configuración (75)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del
alcance inicial del paso 2.5. Algunos objetivos de gobierno/gestión han cambiado de lugar, uno ha desaparecido
(APO12) y se han añadido dos (DSS04 y APO13).
Los objetivos de gestión siguientes parecen los menos importantes:

 BAI11 Gestionar los proyectos
 BAI01 Gestionar los programas
 BAI05 Gestionar el cambio organizativo
Comparado con los objetivos más importante, la lista de los objetivos menos importantes ha cambiado incluso menos
que la lista identificada en la definición del alcance inicial del paso 2.5. Esto demuestra que el alcance inicial, basado
en los factores de diseño fundamentales ya era bastante preciso y también que tener en cuenta otros factores de
diseño ha conllevado ajustes adicionales.
En sus discusiones, la empresa decide que los valores de importancia generados automáticamente para algunos
objetivos de gobierno/gestión no son los que deben ser y hace los ajustes siguientes:
 APO06 Gestionar el presupuesto y los costes: +75
 EDM04 Asegurar la optimización de recursos: +75
 DSS02 Gestionar las peticiones y los incidentes del servicio: -25
Para concluir, la empresa decide que la primera etapa del diseño de su sistema de gobierno consistirá en los objetivos
de gobierno y gestión (con los procesos que conllevan), que se muestran en la figura 7.28.
Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de

Proceso
Nivel de
Capacidad
Referencia Objetivo de Gobierno/Gestión
objetivo de
Proceso
EDM03 Asegurar la optimización del riesgo 2
EDM04 Asegurar la optimización de recursos 3
APO06 Gestionar el presupuesto y los costes 4
APO09 Gestionar los acuerdos de nivel de servicio 2
APO10 Gestionar los proveedores 2
APO11 Gestionar la calidad 2
APO12 Gestionar los riesgos 3
APO13 Gestionar la seguridad 4
90

CAPÍTULO 7
EJEMPLOS
Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de

Proceso
Nivel de
Capacidad
Referencia Objetivo de Gobierno/Gestión
objetivo de
Proceso
APO14 Gestionar los datos 2
BAI06 Gestionar los cambios de TI 3
BAI09 Gestionar los activos 4
BAI10 Gestionar la configuración 4
DSS01 Gestionar las operaciones 2
DSS02 Gestionar las peticiones y los incidentes del servicio 4
DSS03 Gestionar los problemas 4
DSS04 Gestionar la continuidad 4
DSS05 Gestionar los servicios de seguridad 3
DSS06 Gestionar los controles del proceso de negocio 2
MEA02 Gestionar el sistema de control interno 2
MEA03 Gestionar el cumplimiento de los requisitos externos 2
MEA04 Gestionar el aseguramiento 2
La figura 7.28 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al
que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de
capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa era que:
 Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia
era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
 Cualquier objetivo de gobierno/gestión con una valoración de 50 o superior requeriría un nivel de capacidad 3.
Es razonable pensar que los procesos restantes alcanzarían un nivel de capacidad 1.
7.2.4.2 Otros componentes
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes:
 Comité de estrategia de seguridad
 CISO
La empresa también deberá garantizar una adecuada concienciación sobre seguridad a todos los niveles e
implementar flujos y elementos de información importantes (política de seguridad y estrategia de seguridad).
7.2.4.3 Directrices para áreas prioritarias específicas
La empresa usará las directrices siguientes para complementar el modelo Core de COBIT:
 Área prioritaria de seguridad de la información36 , dado el alto escenario de amenazas y los resultados del análisis 9
de riesgos y los problemas actuales relacionados con la I&T.

 Directrices del área prioritaria de gestión de proveedores y DevOPs37 , cuando y donde sea aplicable 10
9
36 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y la Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
10
37 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado aún, y el área prioritaria de gestión de proveedores se está
contemplando como una posible área prioritaria en el futuro.
91

7.3 Ejemplo 2: Empresa de innovación de tamaño mediano
Este ejemplo es de una empresa de innovación de tamaño mediano que desarrolla dispositivos (appliances) para el
sector automotor. La empresa es relativamente pequeña y se vanagloria de su rápida innovación. Depende de forma
crítica de TI, tanto para desarrollar productos como para fabricar accesorios. La empresa es a la vez usuaria y
desarrolladora de software. Está decidida a beneficiarse de cualquier tecnología nueva disponible e invierte en una
estrategia de DevOps, siempre que le es posible. Ha tomado la decisión estratégica de externalizar todos sus
servicios de TI relacionados con la infraestructura e ir a la nube.
El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa.
Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en innovación y diferenciación y un enfoque
secundarioen crecimiento/adquisición se muestran en la figura 7.29.
Figura 7.29—Ejemplo 2, paso 1.1: Estrategia empresarial
92

CAPÍTULO 7
EJEMPLOS
Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, según se muestra en la figura 7.30. El diagrama muestra que EG01 Portafolio de productos y
servicios competitivos yEG13 Innovación de producto y negocio son las metas empresariales con la clasificación más
alta.
Figura 7.30—Ejemplo 2, paso 1.2: Metas empresariales
EG01—Portafolio de productos y servicios competitivos 5
EG04—Calidad de la información financieran 3

EG07—Calidad de la información sobre gestión
3
EG08—Optimización de la funcionalidad de procesos internos
del negocio 2
EG12—Gestión de programas de transformación digital 3
EG13—Innovación de productos y negocios

5
93

Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo que
identifica las categorías de riesgo más altas (marcadas con puntos rojos en la columna de valoración de riesgos en la
figura 7.31: Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio; experiencia en
TI; habilidades y comportamiento; innovación basada en la tecnología. (Estas son categorías amplias. Para obtener
información detallada de los escenarios de riesgo dentro de cada categoría, vea la sección 2.6)
Figura 7.31—Ejemplo 2, paso 1.3: Perfil de riesgo

Impacto Probabilidad Valoración
de
Categoría del escenario de riesgo (1-5) (1-5) riesgos
Toma de decisiones sobre inversiones en TI, definición y mantenimiento Riesgo muy alto
del portafolio
Arquitectura de Empresa/ TI
Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
94

CAPÍTULO 7
EJEMPLOS
Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala
de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura
7.32.. Los siguientes problemas se consideran problemas importantes para la empresa; recursos de TI insuficientes,
problemas de arquitectura de TI y problemas de calidad de datos.
Figura 7.32—Ejemplo 2, paso 1.4: Problemas relacionados con I&T

Valor (1-3) de referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción

Sin problema
de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como Problema

el cliente de TI) y el departamento de TI debido a iniciativas fracasadas
o una percepción de baja contribución al valor del negocio Problema grave
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de

seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI
Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI

Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de

usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y
los presupuestos aprobados

malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas o personal

agotado/insatisfecho

Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia

a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI

Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios
del negocio y/o los especialistas en TI hablen un idioma distinto
Problemas regulares con la calidad de los datos y la integración de datos de distintas

fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas)
una falta de supervisión y control de calidad de las aplicaciones que se están
desarrollando e implementando
Los departamentos comerciales implementan sus propias soluciones de información

con poca o ninguna participación del departamento de TI de la empresa

Incapacidad para explotar nuevas tecnologías o innovar
con las TI
95

1. El paso 2 traslada esta información sobre la estrategia empresarial, metas empresariales, perfil de riesgo y
problemas relacionados con I&T a componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—La figura 7.33 representa la estrategia empresarial, como se
identifica en el paso 1.1. La figura 7.34 muestra la influencia relativa que estas estrategias tienen en los objetivos de
gobierno y gestión.

Importancia de las distintas estrategias (Entrada)
Crecimiento/Adquisición 3
Innovación/Diferenciación 5
Liderazgo en costes 2
Servicio al cliente/Estabilidad 2
0 1 2 3 4 5
96

CAPÍTULO 7
EJEMPLOS
Figura 7.34—Ejemplo 2, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para el

Factor de Diseño 1 Estrategia empresarial

Importancia derivada de objetivos de gobierno/gestión (Salida)
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Además de los procesos de gobierno y gestión destacados en la figura 7.34, también requieren atención los
componentes siguientes:
 Soporte para el rol de gestión del portafolio con la función responsable de supervisar todas las inversiones
 Los roles del arquitecto empresarial y director de tecnologías digitales
 Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y
lograr economías de escala
 Influencia del componente de la cultura y el comportamiento en la innovación
97

cascada de metas de COBIT puede aplicarse para determinar qué objetivos de gobierno y gestión son relevantes para
lograr las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.35). La figura
7.36 muestra la influencia relativa que estas metas empresariales clasificadas tienen en los objetivos de gobierno y
gestión.
EG01—Portafolio de productos y servicios competitivoss 5
EG03—Cumplimiento de leyes y regulaciones externasns 2
EG05—Cultura de servicio orientada al clientee 2

EG08—Optimización de la funcionalidad de 2
procesos internos del negocio
98

CAPÍTULO 7
EJEMPLOS

Factor de Diseño 2 Metas empresariales

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
99

Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron
y analizaron a alto nivel (figura 7.37). Dependiendo de la correspondencia entre el perfil de riesgo y los objetivos de
gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación incluida en el
apéndice D), la figura 7.38 muestra la valoración relativa de los objetivos de gobierno y gestión, dependiendo de los
resultados del análisis de riesgos.

Impacto Probabilidad Clasificación
(1-5) de riesgos
Categoría del escenario de riesgo (1-5)
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del
portafolio Riesgo muy alto
Arquitectura de la Empresa/TI
Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
100

CAPÍTULO 7
EJEMPLOS

Factor de Diseño 3 Perfil de riesgo
Factor de diseño 3 Perfil de riesgo

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
101

Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el paso
1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación (Apéndice E)
que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese problema. Basada en esa
asignación (como se explica en la sección 4.2.4), la figura 7.40 muestra la valoración relativa de los objetivos de gobierno
y gestión, según el análisis de los problemas actuales relacionados con la I&T (figura 7.39).

Frustración entre distintas unidades de TI en toda la organización debido Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente Problema

de TI) y el departamento de TI debido a iniciativas fracasadas o una
percepción de baja contribución al valor del negocio Problema
grave
relacionados con TI
Problemas de ejecución del servicio por parte de los subcontratistas
de TI
relacionados con TI
Hallazgos de auditoría regulares u otros informes de evaluación sobre un
pobre desempeño de TI o notificación de problemas de calidad y servicio
de TI

Duplicaciones o coincidencias entre varias iniciativas u otras formas de

recursos malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas o

personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo

las necesidades del negocio y que se ejecutan tarde o por encima del
presupuesto
Resistencia de los miembros del consejo de administración, ejecutivos o
alta gerencia a involucrarse con las TI o una falta de compromiso
empresarial para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos
para las decisiones relacionadas con TI

Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que

los usuarios del negocio y/o los especialistas en TI hablen un idioma
distinto

distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros
problemas) una falta de supervisión y control de calidad de las aplicaciones
que se están desarrollando e implementando

información con poca o ninguna participación del departamento de TI de la
empresa
102

CAPÍTULO 7
EJEMPLOS

Factor de Diseño 4 Problemas relacionados con I&T

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
103

Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los pasos anteriores para producir las prioridades iniciales para los objetivos de
gobierno y gestión en el sistema de gobierno (figura 7.41).
Figura 7.41—Ejemplo 2, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno
y gestión
Paso 2 Diseño inicial (Resumen)

Importancia de los objetivos de gobierno y gestión
-100 -50 0 50 100
-15 EDM01
EDM02 25
-15 EDM03
EDM04 10
-25 EDM05
APO01 0
APO02 30
-32 APO03 50
APO04 100
APO05 25
-25 APO06
APO07 25
APO08 30
-10 APO09
-10 APO10
-10 APO11
-5 APO12
-5 APO13
-10 APO14
BAI01 0
BAI02 10
BAI03 0
BAI04 0
BAI05 10
BAI06 40
BAI07 25
BAI08 50
BAI09 15
BAI10 45
BAI11 20
DSS01 10
DSS02 0
-10 DSS03
-10 DSS04
-15 DSS05
DSS06 10
-5 MEA01
-10 MEA02
-30 MEA03
-15 MEA04
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa
(cinco objetivos principales):
 BAI08 Gestionar el conocimiento
 APO03 Gestionar la arquitectura empresarial
 BAI10 Gestionar la configuración
 BAI06 Gestionar los cambios de TI
104

CAPÍTULO 7
EJEMPLOS
Los siguientes objetivos de gestión parecen (por el momento) los menos importantes:
 MEA03 Gestionar el cumplimiento de los requisitos externos
 EDM05 Asegurar el compromiso de las partes interesadas
 APO06 Gestionar el presupuesto y los costes
 EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno
 EDM03 Asegurar la optimización del riesgo
 DSS05 Gestionar los servicios de seguridad
El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.
En el paso 3, se identifican los refinamientos al alcance inicial, dependiendo del conjunto de factores de diseño
restantes que deben analizarse. (No todos los factores de diseño podrían aplicarse a cada empresa y, por tanto,
algunos pueden ser ignorados). La figura 7.42 resume los factores de diseño del 5 al 11 que se aplican a la empresa
de innovación de tamaño mediano en este ejemplo. Cuando se aplicó más de un valor para un factor de diseño
determinado, esto se indicará en la columna de valor de la figura.
Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2
Ref Valor Componentes
50 % Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
 DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y
Alto
 MEA01, MEA03, MEA04 comportamiento importantes
se encuentran:
seguridad
Normal 50%
inicial COBIT
Entre los objetivos de gestión  N/A Modelo Core de
importantes se incluyen: COBIT
 EDM01, EDM03
Normal 100%  APO12
 MEA03, MEA04
11
105

Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 (cont.)

DF7 Rol de TI
Combinación del modo estratégico y Componentes bimodales Área prioritaria de
de fábrica (estrategia bimodal); ver la típicos incluidos: transformación
figura 4.5 para los objetivos de  Estructuras organizativas digital3912
gobierno y gestión relacionados con  Director de tecnologías
5 en
la fábrica y el cambio de TI digitales
una
Estratégico  Habilidades y competencias
escala
 Personal que puede
de 5
trabajar en un entorno
ambidiestro que combina
tanto la exploración como
la explotación
 Procesos
 Un portafolio y un proceso
de innovación que integra
la exploración y
explotación de las
oportunidades de
transformación digitales
Entre los objetivos de gestión  N/A Área prioritaria de la
importantes se incluyen: nube4013
Nube 100%  APO09, APO10
 MEA01

Entre los objetivos de gobierno y Roles importantes y Área prioritaria de
DevOps 70% gestión importantes se incluyen: específicos conforme se DevOPs4114
Agile 15%  BAI02, BAI03, BAI06 identifican en las directrices
Tradicional 15% del área prioritaria de DevOPs
Entre los objetivos de gobierno y Procesos que pueden Área prioritaria de
gestión importantes se incluyen: ejecutarse a un ritmo más DevOPs
Primero en  EDM01, EDM02 rápido Área prioritaria de
reaccionar 100%  APO02, APO04, APO05, APO08 transformación digital
(First mover)  BAI01, BAI02, BAI03, BAI05, BAI07,
BAI11
 MEA01
DF11 Tamaño de la empresa
 Según la definición de alcance  N/A Área prioritaria de
Mediano
inicial PYMEs
Para cada factor de diseño de la figura 7.42, la situación actual evaluada puede combinarse con los objetivos de
gobierno y gestión asignados y otras directrices en la figura 7.42. Los ejemplos siguientes se produjeron usando los
cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno
y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de
araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia
relativos comparados con un nivel de referencia. Los niveles de importancia relativos se expresan en una escala de -
100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión
y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión.
12
13
40 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de la nube se estaba considerando como una posible área prioritaria futura.
14
41 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
106

CAPÍTULO 7
EJEMPLOS
Paso 3.1: Considerar el escenario actual de amenazas de TI—La figura 7.43 muestra el escenario de amenazas bajo
el cual se cree que opera la empresa. La figura 7.44 muestra el impacto en los objetivos de gobierno y gestión del
escenario de amenazas evaluado.
Figura 7.43—Ejemplo 2, paso 3.1: Escenario de amenazas
Alto Normal
50% 50%

Factor de Diseño 5 Escenario de amenazas

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
107

Esta clasificación del escenario de amenazas eleva la importancia de un número sustancial de objetivos de gobierno
y gestión, conforme a la entrada de la figura 7.42 relacionada con un escenario alto de amenazas. Las directrices de
estos objetivos de gobierno y gestión deben obtenerse de las directrices del área prioritaria de seguridad de la
información, que contiene directrices más detalladas y específicas sobre ciberseguridad que el modelo Core de
COBIT.42 15
Además, la empresa debe considerar incluir lo siguiente en su diseño del sistema de gobierno:
 CISO
108

CAPÍTULO 7
EJEMPLOS
Paso 3.2: Considerar los requisitos de cumplimiento—La figura 7.45 muestra los requisitos de cumplimiento para la
empresa, estimados como normales. La figura 7.46 muestra el impacto de los requisitos de cumplimiento evaluados
en los objetivos de gobierno y gestión. No hay impacto, lo cual es el resultado esperado, ya que normal es la
situación de referencia.
Figura 7.45—Ejemplo 2, paso 3.2: Requisitos de cumplimiento
Alto Normal Bajo
100%

Factor de Diseño 6 Requisitos de cumplimiento

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
109

Paso 3.3: Considerar el rol de TI—La figura 7.47 muestra el rol de TI, que se expresa como estratégico. La figura
7.48 muestra el impacto del rol de TI evaluado, en los objetivos de gobierno y gestión.
Figura 7.47—Ejemplo 2, paso 3.3: Rol de TI

Factor de Diseño 7 Rol de TI
Factor de diseño 7 Rol de TI

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
110

CAPÍTULO 7
EJEMPLOS
La empresa debe también considerar los siguientes componentes bimodales típicos, para su inclusión en el diseño del
sistema de gobierno:
 Estructuras organizativas: director de tecnologías digitales
 Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la
exploración como la explotación
 Procesos: un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades
de transformación digitales
Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse del área prioritaria de
transformación digital (cuando estén disponibles).
111

Paso 3.4: Considerar el modelo de abastecimiento de proveedores para TI—La figura 7.49 muestra el modelo de
abastecimiento de proveedores seleccionado de la empresa, que será completamente en la nube. La figura 7.50
muestra el impacto del modelo de abastecimiento de proveedores evaluado en los objetivos de gobierno y gestión. El
diagrama muestra que este impacto se centra solo en tres objetivos de gestión. Además, la empresa tendrá que
recurrir a las directrices del área prioritaria de la nube (cuando esté disponible).
Figura 7.49—Ejemplo 2, paso 3.4: Modelo de abastecimiento de proveedores para TI
Factor de diseño 8 Modelo de abastecimiento

de proveedores para TI

(outsourcing) (insourcing)
100%

Factor de Diseño 8 Modelo de abastecimiento de proveedores para TI

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
112

CAPÍTULO 7
EJEMPLOS
Paso 3.5: Considerar los métodos de implementación de TI—La empresa usa mayoritariamente un método DevOPs de
implementación para TI (ver la figura 7.51). La figura 7.52 muestra el impacto que esto tiene en los objetivos de gobierno
y gestión. Las directrices deben obtenerse del área prioritaria de gestión de DevOPs, como se indica en la figura 7.42.
Figura 7.51—Ejemplo 2, paso 3.5: Métodos de implementación de TI
Agile DevOPs Tradicional
15%
15%
70%
Figura 7.52—Ejemplo 2, paso 3.5: Importancia derivada de los objetivos de gobierno/gestión para el
Factor de Diseño 9 Métodos de implementación de TI

Importancia derivada de los objetivos de gobierno/gestión
EDM01 MEA04
EDM02
EDM03 200 MEA03
EDM04 175 MEA02
EDM05 150 MEA01
APO01 125 DSS06

100
APO02 DSS05
75
50
APO03 DSS04
25
APO04 0 DSS03
-25
2
APO05 -50
50 DSS02
-75
5
APO06 -10
00
00
-100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
113

Paso 3.6: Considerar la estrategia de adopción de tecnología—La figura 7.53 indica que la empresa es la primera en
reaccionar (first mover) cuando se trata de la adopción de nueva tecnología. La figura 7.54 muestra el impacto que
esto tiene en las prioridades de los objetivos de gobierno y gestión.
Figura 7.53—Ejemplo 2, paso 3.6: Estrategia de adopción de tecnología
Primero en Seguidor Adoptadores lentos

reaccionar
100%
Figura 7.54—Ejemplo 2, paso 3.6: Resultando importancia derivada de los objetivos de

gobierno/gestión para el Factor de Diseño 10 Estrategia de adopción de tecnología

EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
114

CAPÍTULO 7
EJEMPLOS
Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse de las áreas prioritarias de
transformación digital y DevOPs (cuando estén disponibles).
Paso 3.7: Considerar el tamaño de la empresa—La empresa se clasifica como mediana. Conforme a la figura 7.42,
esto significa que el área prioritaria de la pequeña y mediana empresa43 debería usarse como referencia para la 16
definición del sistema de gobierno.
7.3.4 Paso 4: Finalizar el diseño de la solución de gobierno
los conflictos y se alcance una conclusión. El sistema de gobierno resultante refleja una cuidadosa consideración de
todos los aportes; hay que tener en cuenta que estos aportes podrían en ocasiones entrar en conflicto y que se debe
elegir entre ellas.
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los
resultados obtenidos del diseño inicial del sistema de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las
prioridades ajustadas siguientes para los objetivos de gobierno y gestión en el sistema de gobierno (figura 7.55).
16
43 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
115

Figura 7.55—Ejemplo 2, paso 4.1: Importancia de los objetivos de gobierno y gestión (Todos los
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
 APO03 Gestionar la arquitectura empresarial (100)
 APO04 Gestionar la innovación (90)
 APO07 Gestionar los recursos humanos (85)
 BAI10 Gestionar la configuración (85)
 BAI03 Gestionar la identificación y construcción de soluciones (70)
 BAI07 Gestionar la aceptación y la transición del cambio de TI (70)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del
alcance inicial del paso 2.5.
Los objetivos de gestión siguientes parecen los menos importantes:

 APO06 Gestionar el presupuesto y el coste
 MEA03 Gestionar el cumplimiento de los requisitos externos
116

CAPÍTULO 7
EJEMPLOS
 APO11 Gestionar los proyectos

 BAI04 Gestionar la disponibilidad y la capacidad
A la hora de comparar este resultado con el alcance inicial, pueden hacerse las siguientes observaciones:
 En general, la mayoría de los objetivos de gobierno y gestión han logrado una importancia significativa después de
tener en cuenta los factores de diseño adicionales; esto puede explicarse por el escenario de altas amenazas y el
papel estratégico de I&T.
 Los objetivos de gobierno/gestión que han tenido una mayor valoración después de la definición del alcance inicial
suelen seguir obteniendo una mayor valoración luego de refinar el alcance.
La empresa decide que está satisfecha con la puntuación de la importancia de los objetivos de gobierno y gestión.
Tras la discusión, la empresa decide que la primera etapa de su diseño del sistema de gobierno consistirá en los
objetivos de gobierno y gestión (con los procesos correspondientes) que se muestran en la figura 7.56.
Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de

procesos
Nivel de
capacidad
Ref Objetivo de gobierno/gestión
objetivo de
proceso
EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno 2
EDM02 Asegurar la entrega de beneficios 3
EDM03 Asegurar la optimización del riesgo 3
EDM04 Asegurar la optimización de recursos 2
EDM05 Asegurar el compromiso de las partes interesadas 2
APO01 Gestionar el marco de gestión de I&T 2
APO02 Gestionar la estrategia 2
APO03 Gestionar la arquitectura empresarial 4
APO04 Gestionar la innovación 4
APO05 Gestionar el portafolio 3
APO07 Gestionar los recursos humanos 4
APO08 Gestionar las relaciones 3
APO09 Gestionar los acuerdos de servicio 2
APO10 Gestionar los proveedores 2
APO12 Gestionar los riesgos 3
APO14 Gestionar los datos 2
BAI01 Gestionar los programas 2
BAI02 Gestionar la definición de requisitos 3
BAI03 Gestionar la identificación y construcción de soluciones 3
BAI05 Gestionar el cambio organizativo 3
BAI06 Gestionar los cambios de TI 3
BAI07 Gestionar la aceptación y la transición del cambio de TI 3
BAI08 Gestionar el conocimiento 3
BAI10 Gestionar la configuración 4
BAI11 Gestionar los proyectos 2
DSS01 Gestionar las operaciones 3
DSS02 Gestionar las peticiones y los incidentes del servicio 2
DSS03 Gestionar los problemas 2
117

Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de

procesos (cont.)
Nivel de
capacidad
objetivo de
proceso
DSS04 Gestionar la continuidad 2
DSS05 Gestionar los servicios de seguridad 2
DSS06 Gestionar los controles del proceso de negocio 2
MEA01 Gestionar la monitorización del rendimiento y la conformidad 3
La figura 7.56 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al
que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de
capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa es la misma que
se ha utilizado en el ejemplo 1:
 Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia
era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes (junto
con otros componentes) del sistema de gobierno:
 Soporte del rol de gestión del portafolio con una oficina de inversión
 Los roles del arquitecto empresarial y del director de tecnologías digitales
 Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y
lograr economías de escala
 Influencia del componente de la cultura y el comportamiento en la innovación
 CISO
 Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la
exploración como la explotación
 Procesos: Un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades
de transformación digitales
La empresa usará las directrices siguientes para complementar las directrices del modelo Core de COBIT:
 Directrices del área prioritaria de pequeñas y medianas empresas, porque se personaliza para su uso por empresas
más pequeñas
118

CAPÍTULO 7
EJEMPLOS
 Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados
del análisis de riesgos y los problemas actuales relacionados con la I&T
 Directrices de las áreas prioritarias de DevOPs, la nube y transformación digital, cuando y donde sean aplicables y
estén disponibles
7.4 Ejemplo 3: Agencia gubernamental de perfil alto

Este Caso de Estudio muestra la aplicación del flujo de trabajo para diseñar un sistema de gobierno personalizado
para una agencia gubernamental grande de alto perfil que proporciona servicios de salud, pagos financieros,
educación y otros servicios a aquellos que necesitan asistencia. Sus operaciones están descentralizadas, con
hospitales, clínicas y oficinas en regiones de todo el país. El presupuesto y la planificación de I&T y el presupuesto
de operaciones están distribuidos entre hospitales, beneficios financieros y otras unidades de negocio; y la unidad de
TI proporciona soporte de infraestructuras, operaciones de red, y un centro de operaciones de seguridad. La agencia
considera que I&T es crítico para el éxito de la organización y que debe cumplir con leyes y regulaciones,
especialmente los reglamentos de servicios de salud que siguen emergiendo. La empresa sigue una estrategia
tradicional hacia desarrollos y operaciones nuevas y se muestra bastante indecisa a la hora de adoptar nuevas
tecnologías. Hay una función de auditoría muy activa y existen decenas de hallazgos significativos relacionadas con
cómo la agencia protege su I&T, sobre todo en los relacionado con la seguridad y la privacidad. Como es una
agencia gubernamental, es un objetivo principal de los hackers y hace poco sufrió un hackeo importante a todo su
archivo de beneficiarios.

El primer paso consiste en resumir el contexto externo e interno de la agencia.
Paso 1.1: Entender la estrategia empresarial—El foco de la agencia a la hora de proporcionar servicios excelentes a
sus miembros se refleja en la figura 7.57.

Importancia de las distintas estrategias (Entrada)
0 1 2 3 4 5
119

Paso 1.2: Entender las metas empresariales—La agencia ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, conforme se muestra en la figura 7.58. El diagrama muestra que EG02 Gestión de riesgo de
negocio, EG03 Cumplimiento de leyes y regulaciones externas, EG05 Cultura de servicio orientada al cliente y
EG09 Optimización de costes de los procesos del negocio son las metas empresariales con la clasificación más alta.
EG03—Cumplimiento de leyes y regulaciones externasns 5

EG08—Optimización de la funcionalidad de 2
procesos internos del negocio
120

CAPÍTULO 7
EJEMPLOS
Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que se
Clasifi-
Impacto Probabilidad cación de
Categoría del escenario de riesgo (1-5) (1-5) riesgos


Fallos de software

Incumplimiento
Acción industrial
Medio ambiente
121

Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual derivó en la
evaluación de los problemas relacionados con I&T actuales, como se muestra en la figura 7.60.

Frustración entre distintas unidades de TI en toda la organización

Sin problema
debido a una percepción de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como el Problema
cliente de TI) y el departamento de TI debido a iniciativas fracasadas
o una percepción de baja contribución al valor del negocio
Problema
grave
relacionados con TI

relacionados con TI
Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos

de usuarios fuera del control de los mecanismos de decisión de inversión en IT
normales y los presupuestos aprobados
Duplicaciones o coincidencias entre varias iniciativas u otras formas de

recursos malgastados
Recursos de TI insuficientes, personal con habilidades inadecuadas o personal

agotado/insatisfecho

Resistencia de los miembros del consejo de administración, ejecutivos o
alta gerencia a involucrarse con las TI o una falta de compromiso empresarial
para patrocinar a TI
Alto coste de protección de TI



distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera

(entre otros problemas) una falta de supervisión y control de calidad de las
aplicaciones que se están desarrollando e implementando
información con poca o ninguna participación del departamento de
TI de la empresa
122

CAPÍTULO 7
EJEMPLOS

1. El paso 2 traslada esta información sobre la estrategia empresarial, metas empresariales, perfil de riesgo y
problemas relacionados con I&T a componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—El diagrama siguiente representa la estrategia empresarial, como se
identifica en el paso 1.1 (figura 7.61). La figura 7.62 muestra la influencia relativa que estas estrategias tienen en
los objetivos de gobierno y gestión.
0 1 2 3 4 5


Importancia derivada de objetivos de gobierno/gestión (Salida)
EDM01
EDM02 MEA04
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03
0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
123

cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr
las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.63). La figura 7.64
muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión.
EG08—Optimización de la funcionalidad de procesos 2

internos del negocio
124

CAPÍTULO 7
EJEMPLOS


EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
125

Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de IT se identificaron
y analizaron en un alto nivel (la figura 7.65). Dependiendo de la correspondencia entre el perfil de riesgo y los
objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación
incluida en el apéndice D), la figura 7.66 muestra la clasificación relativa de los objetivos de gobierno y gestión,
dependiendo de los resultados del análisis de riesgos.
Impacto Probabili- Clasifi-

cación de
Categoría del escenario de riesgo (1-5) dad (1-5) riesgos
Gestión de ciclo de vida de programas y proyectos Riesgo normal

Fallos de software
Incumplimiento
Acción industrial
Medio ambiente
126

CAPÍTULO 7
EJEMPLOS


EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
127

Paso 2.4: Considerar los problemas actuales relacionados con I&T. En este paso, los problemas identificados en el
paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación
(Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese
problema (figura 7.67). Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.68 muestra la
valoración relativa de los objetivos de gobierno y gestión, según el análisis empresarial de los problemas actuales
relacionados con la I&T.
Importance Línea base de

Valor (1-3) referencia
Frustración entre distintas unidades de TI en toda la organización debido Sin problema

Frustración entre distintos departamentos de la empresa (como el Problema
cliente de TI) y el departamento de TI debido a iniciativas fracasadas o
una percepción de baja contribución al valor del negocio Problema grave

relacionados con TI
Problemas de ejecución del servicio por parte de los
subcontratistas de TI
relacionados con TI
Hallazgos de auditoría regulares u otros informes de evaluación sobre
un pobre desempeño de TI o notificación de problemas de calidad y
servicio de TI
Duplicaciones o coincidencias entre varias iniciativas u otras
formas de recursos malgastados
Recursos de TI insuficientes, personal con habilidades
inadecuadas o personal agotado/insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo
las necesidades del negocio y que se ejecutan tarde o por encima del
presupuesto
Resistencia de los miembros del consejo de administración,
ejecutivos o alta gerencia a involucrarse con las TI o una falta de
compromiso empresarial para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos
para las decisiones relacionadas con TI

Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que
los usuarios del negocio y/o los especialistas en TI hablen un idioma
distinto
Problemas regulares con la calidad de los datos y la integración de
datos de distintas fuentes
Nivel elevado de cómputo para usuarios finales, lo que genera (entre
otros problemas) una falta de supervisión y control de calidad de las
aplicaciones que se están desarrollando e implementando
Los departamentos comerciales implementan sus propias soluciones de
información con poca o ninguna implicación por parte del departamento
de TI de la empresa
128

CAPÍTULO 7
EJEMPLOS


EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
75
EDM05 MEA01
APO01 50 DSS06
APO02 25 DSS05
0
APO03 DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO06 -100 DSS01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Paso 2.5: Alcance inicial del sistema de gobierno. Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los pasos anteriores. Los resultados iniciales se comentarán con la dirección y se
ajustarán para dos objetivos de gestión: APO02 Gestionar la estrategia (cuya prioridad aumentó) y APO09
Gestionar los acuerdos de servicio (cuya prioridad disminuyó). Estos ajustes resultaron en las siguientes prioridades
iniciales para los objetivos de gobierno y gestión en el sistema de gobierno.
129

Figura 7.69—Ejemplo 3, paso 2.5: Diseño inicial Resumen de la Importancia de los objetivos de
gobierno y gestión
Paso 2 Diseño inicial

(Resumen) Importancia de los objetivos de gobierno y gestión
-100 -50 0 50 100
EDM01 25
EDM02 25
EDM03 55
-20 EDM04
EDM05 10
APO01 20
-40 APO02
-35 APO03
-40 APO04
-25 APO05
-10 APO06
-25 APO07
APO08 15
APO09 25
-15 APO10
APO11 50
APO12 80
APO13 100
APO14 30
-10 BAI01
BAI02 5
BAI03 5
BAI04 75
BAI05 0
BAI06 25
BAI07 10
-40 BAI08
BAI09 60
BAI10 25
BAI11 20
DSS01 15
DSS02 75
DSS03 50
DSS04 55
DSS05 55
DSS06 35
MEA01 5
MEA02 20
MEA03 25
MEA04 25
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta
agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una puntuación de prioridad igual o
superior a 60:
 APO12 Gestionar los riesgos (80)
 BAI04 Gestionar la disponibilidad y la capacidad (75)
 BAI09 Gestionar los activos (60)
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes (con una valoración inferior a -25):
 BAI08 Gestionar el conocimiento
 APO03 Gestionar la arquitectura empresarial
130

CAPÍTULO 7
EJEMPLOS
El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.

En el paso 3, se identifican los refinamientos al alcance inicial, dependiendo del conjunto de factores de diseño
incluidos que deben analizarse. No todos los factores de diseño podrían aplicarse a todas las empresas, en ese caso
pueden ignorarse. La figura 6.70 muestra un resumen de los factores de diseño del 5 al 11 que son aplicables a la
empresa de innovación de tamaño mediano de este ejemplo. Cuando se haya aplicado más de un valor para un factor
de diseño determinado, se indicará en la columna de valor de la figura.
Figura 7.70—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 3
Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
 DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y
Alto 100%
 MEA01, MEA03, MEA04 comportamiento importantes
se encuentran:
seguridad
Baja 100%
inicial COBIT
DF7 Rol de TI
5 de  Según la definición de alcance  N/A Modelo Core de
una inicial COBIT
Soporte
escala
de 5
Personal  Según la definición de alcance  N/A Modelo Core de
100%
interno inicial COBIT
Tradicional 100%
inicial COBIT
Entre los objetivos de gobierno y Procesos que pueden Modelo Core de
gestión importantes se incluyen: ejecutarse a un ritmo más COBIT
Seguidor 100%
 APO02, APO04, lento
 BAI01
DF11 Tamaño de la empresa
Grande
inicial COBIT
En ambos ejemplos anteriores, la aplicación de cada factor de diseño se detalló completamente. Este ejemplo no
incluye los cálculos y diagramas detallados, y solo presenta el resultado final. Además de aplicar los factores de
diseño, conforme a lo explicado en la figura 7.70, se vuelve a destacar la importancia de los procesos de
alineamiento con su estrategia de I&T.
17
131

7.4.4 Paso 4: Finalizar el diseño de la solución de gobierno

los conflictos y se alcance una conclusión. El sistema de gobierno resultante es el resultado de una cuidadosa
consideración de todos los aportes, teniendo en cuenta que éstos podrían entrar a veces en conflicto y que se debe
tomar una decisión, incluyendo la discusión que ponga en relevancia la importancia del objetivo APO 02 Gestionar
la estrategia .
Llegados a este punto, es posible combinar las prioridades de gobierno y gestión resultantes de los pasos 3.1 al 3.7 a
los resultados obtenidos del diseño inicial del sistema de gobierno en los pasos 2.1 al 2.4. Esto genera las siguientes
prioridades ajustadas para los objetivos de gobierno y gestión en el sistema de gobierno.
Figura 7.71—Ejemplo 3, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta
agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una valoración de prioridad igual o
superior a 60:
132

CAPÍTULO 7
EJEMPLOS
 DSS05 Gestionar los servicios de seguridad (65)

 DSS04 Gestionar la continuidad (65)
 BAI04 Gestionar la disponibilidad y la capacidad (60)
Los siguientes objetivos de gestión parecen los menos importantes (con una valoración inferior a -50):
 APO04 Gestionar la innovación (-40)
 APO02 Gestionar la estrategia (-30)
 BAI08 Gestionar el conocimiento (-30)
 APO05 Gestionar el portafolio (-25)
 BAI03 Gestionar la identificación y construcción de soluciones (-25)
El resultado final refleja varios cambios relativos a las prioridades en el diseño inicial (obtenido tras el paso 2).
Tras el debate, la agencia decidió que su diseño del sistema de gobierno consistirá en la lista priorizada de objetivos
de gobierno y gestión (con los procesos subyacentes) que se muestran en la figura 7.72. La figura contiene todos los
objetivos de gobierno y gestión de COBIT, el nivel de capacidad sugerido basado en el resultado del paso 3, y la
decisión que ha tomado la dirección sobre los niveles de capacidades objetivo.
Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso

Nivel objetivo Nivel objetivo
sugerido de decidido de
capacidad de capacidad de
procesos procesos
EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno 1 3
EDM02 Asegurar la entrega de beneficios 1 3
EDM03 Asegurar la optimización del riesgo 2 3
EDM04 Asegurar la optimización de recursos 1 3
EDM05 Asegurar el compromiso de las partes interesadas 2 3
APO01 Gestionar el marco de gestión de TI 2 2
APO02 Gestionar la estrategia 1 3
APO03 Gestionar la arquitectura empresarial 1 2
APO04 Gestionar la innovación 1 1
APO05 Gestionar el portafolio 1 3
APO06 Gestionar el presupuesto y los costes 1 3
APO07 Gestionar los recursos humanos 1 2
APO08 Gestionar las relaciones 1 2
APO09 Gestionar los acuerdos de servicio 1 2
APO10 Gestionar los proveedores 1 2
APO11 Gestionar la calidad 3 3
APO12 Gestionar los riesgos 2 4
APO13 Gestionar la seguridad 4 4
APO14 Gestionar los datos 3 4
BAI01 Gestionar los programas 1 3
BAI02 Gestionar la definición de requisitos 1 2
BAI03 Gestionar la identificación y construcción de soluciones 1 2
BAI04 Gestionar la disponibilidad y capacidad 3 2
BAI05 Gestionar el cambio organizativo 1 2
BAI06 Gestionar los cambios de TI 2 2
BAI07 Gestionar la aceptación y la transición del cambio de TI 1 2
133

Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso

(cont.)
Nivel objetivo Nivel objetivo
sugerido de decidido de
capacidad de capacidad de
procesos procesos
BAI08 Gestionar el conocimiento 1 1
BAI09 Gestionar los activos 2 2
BAI10 Gestionar la configuración 2 2
BAI11 Gestionar los proyectos 1 3
DSS01 Gestionar las operaciones 1 2
DSS02 Gestionar las peticiones y los incidentes del servicio 3 2
DSS03 Gestionar los problemas 2 2
DSS04 Gestionar la continuidad 3 2
DSS05 Gestionar los servicios de seguridad 3 3
DSS06 Gestionar los controles del proceso de negocio 2 3
MEA01 Gestionar la monitorización del rendimiento y la conformidad 1 2
MEA02 Gestionar el sistema de control interno 2 2
MEA03 Gestionar el cumplimiento de los requisitos externos 2 2
MEA04 Gestionar el aseguramiento 2 2
Es una prerrogativa de la gestión definir los niveles objetivo que difieran de los sugeridos por una estrategia
semi(automática), porque las tablas de asignación y las metas y condiciones genéricas puede que no sean siempre
aptas para el contexto particular de la empresa. En la figura 7.72, el nivel de capacidades objetivo sugerido y el nivel
objetivo decidido eran idénticos (o variaban solo un nivel) en casi el 80 por ciento de los objetivos de gobierno y
gestión.
Las mayores desviaciones sucedieron en los objetivos de gobierno y gestión relacionados con el coste y presupuesto
de TI, los programas y proyectos y la estrategia. Aunque las evaluaciones de la estrategia de la empresa, metas
empresariales, riesgo, problemas de I&T y otros factores de diseño indicaban bajas prioridades para los objetivos de
gobierno y gestión, la dirección decidió dar a estos objetivos mayores metas para abordar los problemas de gobierno
de la agencia.
La agencia deberá prestar especial atención a una robusta implementación de los roles y estructuras siguientes (junto
con otros componentes) del sistema de gobierno:
 La agencia establecerá una política de alta dirección que exprese su fuerte respaldo al establecimiento de una
estructura de gobierno de I&T, estándares, políticas y procedimientos de I&T, y para la implementación de los
siguientes estructuras y roles. (El gobierno de I&T actual y las estructuras organizativas implementadas por esta
gran agencia gubernamental de alto perfil se muestra a continuación en la figura 7.73).
 En cuanto a las estructuras organizativas, se decidió implementar los roles siguientes:
 Consejo de gestión estratégica
 Consejo de liderazgo en I&T
 Consejo de presupuesto y problemas a corto plazo
 Consejo de programación y problemas a largo plazo
 Proceso de planificación del personal
 Proceso de planificación e inversión de activos de capital
 Proceso de desarrollo legislativo
134

CAPÍTULO 7
EJEMPLOS
Figura 7.73—Ejemplo 3, paso 4: Estructuras organizativas
Estructuras organizativas
Formulación del presupuesto

Comité ejecutivo
Formulación del presupuesto

Consejo de gestión estratégica (CGE) Formulación del presupuesto
Formulación del presupuesto y
y otras cuestiones otras cuestiones
Planificación
Proceso del estratégica
formulación de y proceso
presupuesto de formulación Consejo de Liderazgo
de políticas en Información
y Tecnología
(CLIT)
Proceso de
Proceso de Proceso de
planificación e
planificación desarrollo
inversión de
del personal legislativo
activos de capital Consejo de Consejo de
Presupuesto y programación y
problemas a corto problemas a largo
plazo (CPPCP) plazo (CPPLP)
Reuniones
Consejos
Consejos de de relaciones
Gobierno especializados
Programas / Iniciativas de negocio
de campo (ej. Gestión de
(Ej. Hev, FLITE) (Administración y
datos de SLAs) personal de oficina)
La agencia también garantizará una concienciación adecuada sobre riesgo, seguridad y privacidad en toda la
organización.
La agencia usará las directrices siguientes para complementar las directrices del Modelo Core de COBIT:45 18
 El contenido del área prioritaria de riesgo, dado el alto escenario de amenazas y los resultados del análisis de
riesgos y los actuales problemas de la I&T
 Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados
del análisis de riesgos y los actuales problemas de la I&T
45 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, las áreas prioritarias de riesgo y seguridad de la información estaban en desarrollo y aún no se habían publicado.
135

136

APENDICES
APENDICE A
APENDICES
Los siguientes apéndices incluyen las tablas de asignación entre los objetivos de gobierno y gestión y los factores de
diseño que se identificaron en la sección 2.6.
Las asignaciones expresan hasta qué grado los valores del factor de diseño influyen en la importancia de un objetivo
de gobierno o gestión.
Las asignaciones usan una escala de cero (0) a cuatro (4): 4 indica la mayor influencia y 0 indica la ausencia de
cualquier relación.
Ejemplo: Cuando una empresa selecciona una estrategia de crecimiento para DF2 Estrategia empresarial, la
asignación del apéndice A muestra que el objetivo de gestión APO03 Gestionar la arquitectura empresarial será
muy importante (un valor de 4).
Apéndice A: Tabla de asignación—Estrategias empresariales a objetivos de gobierno y

gestión
Figura A.1—Asignación de la estrategia empresarial a objetivos de gobierno y gestión

Servicio al
Innovación/
DF1 Crecimiento/Adquisición Liderazgo en costes cliente/estabilidad
Diferenciación
EDM01 1.0 1.0 1.5 1.5

EDM02 1.5 1.0 2.0 3.5
EDM03 1.0 1.0 1.0 2.0
EDM04 1.5 1.0 4.0 1.0
EDM05 1.5 1.5 1.0 2.0
APO01 1.0 1.0 1.0 1.0
APO02 3.5 3.5 1.5 1.0
APO03 4.0 2.0 1.0 1.0
APO04 1.0 4.0 1.0 1.0
APO05 3.5 4.0 2.5 1.0
APO06 1.5 1.0 4.0 1.0
APO07 2.0 1.0 1.0 1.0
APO08 1.0 1.5 1.0 3.5
APO09 1.0 1.0 1.5 4.0
APO10 1.0 1.0 3.5 1.5
APO11 1.0 1.0 1.0 4.0
APO12 1.0 1.5 1.0 2.5
APO13 1.0 1.0 1.0 2.5
APO14 1.0 1.0 1.0 1.0
BAI01 4.0 2.0 1.5 1.5
BAI02 1.0 1.0 1.5 1.0
BAI03 1.0 1.0 1.5 1.0
BAI04 1.0 1.0 1.0 3.0
BAI05 4.0 2.0 1.0 1.5
BAI06 2.0 2.0 1.0 1.5
BAI07 1.5 2.0 1.0 1.5
BAI08 1.0 3.5 1.0 1.0
137

Figura A.1—Asignación de la estrategia empresarial a objetivos de gobierno y gestión (cont.)

Innovación/ Servicio al
DF1 Crecimiento/Adquisición Liderazgo en costes
Diferenciación cliente/estabilidad
BAI09 1.0 1.0 1.0 1.0
BAI10 1.0 1.0 1.0 1.0
BAI11 3.5 3.0 1.5 1.0
DSS01 1.0 1.0 1.0 1.5
DSS02 1.0 1.0 1.0 4.0
DSS03 1.0 1.0 1.0 3.0
DSS04 1.0 1.0 1.0 4.0
DSS05 1.0 1.0 1.0 2.5
DSS06 1.0 1.0 1.0 1.5
MEA01 1.0 1.0 1.0 1.0
MEA02 1.0 1.0 1.0 1.0
MEA03 1.0 1.0 1.0 1.0
MEA04 1.0 1.0 1.0 1.0
138

EG01 EG02 EG03 EG04 EG05 EG06 EG07 EG08 EG09 EG10 EG11 EG12 EG13
Portafolio de Continuidad Optimización de
productos y Cumplimiento Cultura de y la funcionalidad Optimización Habilidades, Cumplimiento Innovación
Gestión de
servicios Gestión de de leyes y Calidad de la servicio disponibilidad Calidad de la de procesos de costes de motivación y con las programas de de productos
competitivos riesgo de regulaciones información orientada al del información internos del procesos del productividad
servicio
políticas transformación y negocios
negocio externas financiera cliente sobre gestión negocio negocio del personal internas
del negocio digital
Cumplimiento y soporte de
AG01 I&T para el cumplimiento
empresarial con las leyes y S P S
regulaciones externas
Gestión de riesgo
AG02 relacionado con I&T P S
AG03 Beneficios obtenidos de el
portafolio de inversiones y S S S S P
servicios relacionados con I&T
AG04 Calidad de la información

financiera relacionada con P P P
la tecnología
AG05 Prestación de servicios

I&T conforme a los P S S S S
requerimientos del negocio
AG06 Agilidad para convertir los

requerimientos del negocio P S S S S
en soluciones operativas
AG07 Seguridad de la información,

infraestructura de
procesamiento y P P
aplicaciones, y privacidad
AG08 Habilitar y dar soporte a

procesos de negocio
mediante la integración de P P S S P S
aplicaciones y tecnología
Ejecución de programas
AG09 dentro del plazo, sin exceder
el presupuesto, y cumpliendo
con los requisitos y
P S S S P S
estándares de calidad
AG10 Calidad de la información

sobre gestión de I&T P P S
Cumplimiento de I&T con
AG11 las políticas internas S P P

Personal competente y
AG12 motivado con un
entendimiento mutuo de la S P
tecnología y el negocio
Conocimiento, experiencia
AG13 e iniciativas para la
innovación empresarial
P S S P
Figura A.2—Asignación de metas empresariales a metas de alineamiento
Apéndice B: Tabla de asignación—Metas empresariales a metas de alineamiento
139
APENDICE B
APENDICES
Apéndice C: Tabla de asignación—Metas de alineamiento a objetivos de gobierno y

gestión
Figura A.3—Asignación de metas de alineamiento a objetivos de gobierno y gestión
AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13
I&T
Cumplimiento
compliance
y soporte de Enabling and Ejecución
Habilitar y dar
Delivering de
and support
I&T para el Security of supporting
soporte a programs
programas
Personal
Seguridad de
for business
cumplimiento Realized
Beneficios
obtenidos de
Agility topara
Agilidad turn la
information,
información,
businessde dentro
procesos
del plazo,
on time, on
sin exceder el
Competent and
competente y
compliance
empresarial benefits from
el portafolio de
Qualitydeofla
Calidad Delivery
Prestaciónofde business
convertir los processing processes
infraestructura negocio by presupuesto,
budget andy motivated staff
motivado con un Knowledge,
Conocimiento,
conwith información
las leyes
Gestión de
I&T-enabled
inversiones y technology-
financiera
I&T services
servicios I&T requirements
requerimientos infrastructure
de integrating
mediante la meetingcon Calidad
cumpliendo Quality I&T
de la Cumplimiento
with mutual
entendimiento expertise
experienciaand
e
external
y Managed
riesgo investments
servicios related
relacionada in line with
conforme a los into en procesamiento
del negocio and applications
integración de requirements
los requisitos y of I&T
información de I&T con las understanding
compliance mutuo de la initiatives
iniciativas para
laws and
regulaciones
externas
I&T-related
relacionado and services
relacionados financial
con la business
requerimientos operational
soluciones applications,
y aplicaciones, and y estándares
aplicaciones and quality de management
sobre gestión with internal oftecnología
políticas technology
y el for business
la innovación
regulations risk
con I&T portfolio
con I&T information
tecnología requirements
del negocio solutions
operativas and privacy
y privacidad technology
tecnología standards
calidad information
de I&T policies
internas and business
negocio innovation
empresarial
EDM01 Ensured
Asegurar el governance
establecimiento
framework settingdeland
y el mantenimiento P S P S S
maintenance
marco de gobierno
EDM02 Ensured benefits

Asegurar la obtención de delivery
beneficios.
P S S S S
EDM03 Ensured
Garantizar larisk optimization
optimización del riesgo
S P P S
EDM04 Ensured
Asegurar resource
la optimización
optimization
de recursos S S S S P S
EDM05 Ensured stakeholder
Asegurar el
engagement
compromiso de
las partes interesadas S P S
APO01 Managed I&T
Gestionar el
management
marco de
gestión de I&T framework S S P S S S S S P
APO02 Managed
Gestionar lastrategy
estrategia S S S P S S
APO03 Managed
Gestionar laenterprise
architecture
empresarial
arquitectura
S S P S P
APO04 Managed
Gestionar lainnovation
innovación S P S S P
APO05 Managed portfolio
Gestionar el portafolio P P S S S
APO06 Managed
Gestionar elbudget and y
costs
los costes
presupuesto
S P P S
APO07 Managed human
Gestionar los
resources
humanos
recursos
S S S P P
APO08 Managed relationships
Gestionar las relaciones S P P S S P P
APO09 Managed service
Gestionar los
agreements
de servicio
acuerdos
P S
APO10 Managed vendors
Gestionar los proveedores P S S
APO11 Managed
Gestionar laquality
calidad S S S P P
APO12 Managed risk
Gestionar el riesgo P P
APO13 Managed
Gestionar lasecurity
seguridad S S P
APO14 Managed data
Gestionar los datos S S S S P
BAI01 Managed programs
Gestionar los programas P S S P
BAI02 Managed
Gestión derequirements
definition
requisitos
la definición de
S P P S P S
BAI03 Managed
Gestionar lasolutions
identification
identificación y
construcción deand build
soluciones
S P P S P
BAI04 Managed availability and
Gestionar la
capacity
y la capacidad
disponibilidad
P S S
BAI05 Managed organizational
Gestionar el
changes
organizativo
cambio
P S S P P S
BAI06 Managed IT changes
Gestionar los cambios de TI S S P S
BAI07 Managed
Gestionar laITaceptación
change
acceptance
y la transiciónand
de los S P S
transitioning
cambios de TI
BAI08 Managed
Gestionar elknowledge
conocimiento S S S S P P
BAI09 Managed assets
Gestionar los activos P S
BAI10 Managed
Gestionar laconfiguration
configuración S P
BAI11 Managed projects
Gestionar los proyectos P S P P
DSS01 Managed operations
Gestionar las operaciones P S
DSS02 Managed service requests
Gestionar las
and incidents
incidentes
peticiones
del servicio
y los
S P S
DSS03 Managed problems
Gestionar los problemas S P S
DSS04 Managed
Gestionar lacontinuity
continuidad S P P
DSS05 Managed
seguridad security services
Gestionar los servicios de
S P S P S
DSS06 Managed business
Gestionar los
process
controles de
procesos controls
de negocio S S S P S
MEA01 Managed
Gestionar laperformance
monitorización
and conformance
del rendimiento y la S S P S P S
monitoring
conformidad
MEA02 Managed
Gestionar elsystem
sistemaof
internal control
control interno
de
S S S S S S S P
MEA03 Managed
Gestionar compliance with
el cumplimiento
external requirements
los requerimientos
de
externos P S
MEA04 Managed
Gestionar elassurance
aseguramiento S S S S S S P
140

APENDICES
APENDICE D
Apéndice D: Tabla de asignación—Riesgo de TI a objetivos de gobierno y gestión
Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión
Toma de
decisiones sobre
inversiones en TI, Comporta- «Adopción de
Gestión del ciclo
definición y Coste y soft-
de vida de los miento, Incidentes de
mantenimiento control de TI ware/prob-
programas y habilidades y Arquitectura infraestructura Acciones no Incidentes Fallos de
del portafolio conocimien- lemas de uso»
proyectos de empresa/TI operativa de TI autorizadas de hardware software
to de TI
141

Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión (cont.)
Ataques lógicos
[hackeo,
software
malintenciona- Incidentes de Gestión de
do (malware), terceros/prov Problemas Acción Actos de la Innovación Medio información y
etc.] eedores Incumplimiento geopolíticos industrial naturaleza tecnológica ambiente datos
142

143
Frustración entre distintos Gasto sustancial oculto
Incidentes y fraudulento en TI, es
departamentos de la Hallazgos de auditoría Cambios o proyectos
Frustración entre significativos decir, gasto en TI por
empresa (como el cliente regulares u otros facilitados por TI que
distintas unidades de de TI) y el departamento de relacionados con TI,
informes de evaluación departamentos de suelen no satisfacer a
TI en toda la TI debido a iniciativas como pérdida de datos, usuarios fuera del
Incumplimiento de los sobre un pobre Duplicaciones o Recursos de TI menudo las
organización debido a fracasadas o una violaciones de control de los
requerimientos desempeño de TI o coincidencias entre insuficientes, personal necesidades del
una percepción de percepción de baja seguridad, fallo del Problemas de ejecución mecanismos de decisión
contribución al valor del regulatorios o notificación de varias iniciativas u con habilidades negocio y que se
proyecto y errores de la del servicio por parte de inversión en IT
baja contribución al negocio contractuales problemas de calidad y otras formas de inadecuadas o personal ejecutan tarde o por
aplicación, de los subcontratistas normales y los
DF4 valor del negocio relacionados con TI servicio de TI recursos malgastados agotado/insatisfecho encima del presupuesto
relacionados con TI de TI presupuestos aprobados
gobierno y gestión

Apéndice E: Tabla de asignación—Problemas relacionados con I&T a objetivos de
Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión

APENDICE D
APENDICES
144
Resistencia por parte de
los miembros del Nivel elevado de
consejo de Brecha entre informática para
administración, conocimiento usuarios finales, lo que Los departamentos
ejecutivos o alta Implementación tecnológico y genera (entre otros comerciales
gerencia a verse Modelo operativo de TI obstaculizada o empresarial, lo que lleva problemas) una falta de implementan sus
envueltos en las TI o una complejo y/o fracasada de nuevas a que los usuarios supervisión y control de propias soluciones de
falta de mecenazgo mecanismos de decisión iniciativas o empresariales y/o los Problemas regulares con calidad de las información con poca o Ignorancia sobre y/o Incapacidad para
empresarial confusos para las innovaciones causada especialistas en TI la calidad de los datos y aplicaciones que se ninguna implicación por incumplimiento de las explotar nuevas
comprometido para las decisiones relacionadas Alto coste de protección por la arquitectura y hablen un idioma la integración de datos están desarrollado e parte del departamento regulaciones de tecnologías o innovar
mismas con TI de TI sistemas de TI actuales distinto de distintas fuentes implementando de TI de la empresa privacidad con las TI

Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión (cont.)
APENDICES
APENDICE F
Apéndice F: Tabla de asignación—Escenario de amenazas a objetivos de gobierno y

gestión
Figura A.6—Asignación de escenario de amenazas a objetivos de gobierno y gestión

DF5 Alto Normal
EDM01 3.0 1.0
EDM02 1.0 1.0
EDM03 4.0 1.0
EDM04 1.0 1.0
EDM05 2.0 1.0
APO01 3.0 1.0
APO02 1.0 1.0
APO03 3.0 1.0
APO04 1.0 1.0
APO05 1.0 1.0
APO06 1.0 1.0
APO07 2.0 1.0
APO08 1.0 1.0
APO09 2.0 1.0
APO10 3.0 1.0
APO11 2.0 1.0
APO12 4.0 1.0
APO13 4.0 1.0
APO14 3.0 1.0
BAI01 1.0 1.0
BAI02 1.0 1.0
BAI03 1.0 1.0
BAI04 2.0 1.0
BAI05 1.0 1.0
BAI06 3.0 1.0
BAI07 1.0 1.0
BAI08 1.0 1.0
BAI09 1.0 1.0
BAI10 3.0 1.0
BAI11 1.0 1.0
DSS01 1.0 1.0
DSS02 3.0 1.0
DSS03 2.0 1.0
DSS04 4.0 1.0
DSS05 3.0 1.0
DSS06 3.0 1.0
MEA01 3.0 1.0
MEA02 2.0 1.0
MEA03 3.0 1.0
MEA04 3.0 1.0
145

Apéndice G: Tabla de asignación—Requisitos de cumplimiento a objetivos de gobierno

y gestión
Figura A.7—Asignación de requisitos de cumplimiento a objetivos de gobierno y gestión

DF6 Alto Normal Baja
EDM01 3.0 2.0 1.0
EDM02 1.0 1.0 1.0
EDM03 4.0 2.0 1.0
EDM04 1.0 1.0 1.0
EDM05 1.5 1.0 1.0
APO01 2.0 1.5 1.0
APO02 1.0 1.0 1.0
APO03 1.0 1.0 1.0
APO04 1.0 1.0 1.0
APO05 1.0 1.0 1.0
APO06 1.0 1.0 1.0
APO07 1.0 1.0 1.0
APO08 1.0 1.0 1.0
APO09 1.0 1.0 1.0
APO10 1.5 1.0 1.0
APO11 1.0 1.0 1.0
APO12 4.0 2.0 1.0
APO13 1.5 1.0 1.0
APO14 2.0 1.5 1.0
BAI01 1.0 1.0 1.0
BAI02 1.0 1.0 1.0
BAI03 1.0 1.0 1.0
BAI04 1.0 1.0 1.0
BAI05 1.0 1.0 1.0
BAI06 1.0 1.0 1.0
BAI07 1.0 1.0 1.0
BAI08 1.0 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.0 1.0 1.0
BAI11 1.0 1.0 1.0
DSS01 1.0 1.0 1.0
DSS02 1.0 1.0 1.0
DSS03 1.0 1.0 1.0
DSS04 1.5 1.0 1.0
DSS05 2.0 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 1.0 1.0 1.0
MEA02 1.0 1.0 1.0
MEA03 4.0 2.0 1.0
MEA04 3.5 2.0 1.0
146

APENDICES
APENDICE H
Apéndice H: Tabla de asignación—Rol de TI a objetivos de gobierno y gestión
Figura A.8—Asignación del rol de TI a objetivos de gobierno y gestión

DF7 Soporte Fábrica Cambio Estratégico
EDM01 1.0 2.0 1.5 4.0
EDM02 1.0 1.0 2.5 3.0
EDM03 1.0 3.0 1.0 3.0
EDM04 1.0 1.0 1.0 2.0
EDM05 1.0 1.0 1.0 2.0
APO01 1.0 1.5 1.5 2.5
APO02 1.0 1.0 3.0 3.0
APO03 1.0 1.0 2.0 2.0
APO04 0,5 1.0 3.5 4.0
APO05 1.0 1.0 2.5 3.0
APO06 1.0 1.0 1.0 2.0
APO07 1.0 1.0 1.0 1.5
APO08 1.0 1.0 2.0 2.5
APO09 1.0 2.0 1.5 2.0
APO10 1.0 2.5 1.5 2.0
APO11 1.0 1.5 1.5 2.0
APO12 1.0 2.5 1.0 3.0
APO13 1.0 2.0 1.5 3.0
APO14 1.0 1.5 1.5 2.5
BAI01 1.0 1.0 2.0 2.5
BAI02 1.0 1.0 3.0 3.0
BAI03 1.0 1.0 3.0 3.0
BAI04 1.0 2.5 1.5 2.0
BAI05 1.0 1.0 1.0 2.0
BAI06 1.0 2.5 1.0 2.0
BAI07 1.0 1.0 2.0 2.0
BAI08 1.0 1.0 1.0 2.0
BAI09 1.0 1.0 1.0 2.0
BAI10 1.0 1.5 1.0 2.0
BAI11 1.0 1.0 2.0 2.0
DSS01 1.0 3.5 1.0 3.0
DSS02 1.0 3.0 1.5 3.0
DSS03 1.0 3.0 1.5 3.5
DSS04 1.0 3.0 1.5 3.5
DSS05 1.5 2.5 1.5 3.5
DSS06 1.0 1.0 1.0 2.5
MEA01 1.0 1.0 1.0 2.0
MEA02 1.0 1.0 1.0 2.0
MEA03 1.0 1.0 1.0 1.5
MEA04 1.0 1.0 1.0 2.0
147

Apéndice I: Tabla de asignación—Modelo de abastecimiento de proveedores para TI a

objetivos de gobierno y gestión
Figura A.9—Asignación del modelo de abastecimiento de proveedores para TI a objetivos de

gobierno y gestión
DF8 Externalización (outsourcing) Nube Personal interno (insourcing)
EDM01 1.0 1.0 1.0
EDM02 1.0 1.0 1.0
EDM03 1.0 2.0 1.0
EDM04 1.0 1.0 1.0
EDM05 1.0 1.0 1.0
APO01 1.0 1.0 1.0
APO02 1.0 1.0 1.0
APO03 1.0 1.0 1.0
APO04 1.0 1.0 1.0
APO05 1.0 1.0 1.0
APO06 1.0 1.0 1.0
APO07 1.0 1.0 1.0
APO08 1.0 1.0 1.0
APO09 4.0 4.0 1.0
APO10 4.0 4.0 1.0
APO11 1.0 1.0 1.0
APO12 2.0 2.0 1.0
APO13 1.0 1.0 1.0
APO14 1.0 1.0 1.0
BAI01 1.0 1.0 1.0
BAI02 1.0 1.0 1.0
BAI03 1.0 1.0 1.0
BAI04 1.0 1.0 1.0
BAI05 1.0 1.0 1.0
BAI06 1.0 1.0 1.0
BAI07 1.0 1.0 1.0
BAI08 1.0 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.0 1.0 1.0
BAI11 1.0 1.0 1.0
DSS01 1.0 1.0 1.0
DSS02 1.0 1.0 1.0
DSS03 1.0 1.0 1.0
DSS04 1.0 1.0 1.0
DSS05 1.0 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 3.0 3.0 1.0
MEA02 1.0 1.0 1.0
MEA03 1.0 1.0 1.0
MEA04 1.0 1.0 1.0
148

APENDICES
APENDICE J
Apéndice J: Tabla de asignación—Métodos de implementación de TI a objetivos de

gobierno y gestión
Figura A.10—Asignación de métodos de implementación de TI a objetivos de gobierno y gestión

DF9 Agile DevOps Tradicional
EDM01 1.0 1.0 1.0
EDM02 1.0 1.0 1.0
EDM03 1.0 1.0 1.0
EDM04 1.0 1.0 1.0
EDM05 1.0 1.0 1.0
APO01 1.0 1.0 1.0
APO02 1.0 1.0 1.0
APO03 1.0 2.0 1.0
APO04 1.0 1.0 1.0
APO05 1.0 1.0 1.0
APO06 1.0 1.0 1.0
APO07 1.0 1.5 1.0
APO08 1.0 1.0 1.0
APO09 1.0 1.0 1.0
APO10 1.0 1.0 1.0
APO11 1.0 1.0 1.0
APO12 1.0 1.5 1.0
APO13 1.0 1.0 1.0
APO14 1.0 1.0 1.0
BAI01 2.0 1.5 1.0
BAI02 3.5 2.0 1.0
BAI03 4.0 3.0 1.0
BAI04 1.0 1.0 1.0
BAI05 2.5 1.5 1.0
BAI06 3.5 2.0 1.0
BAI07 2.5 2.5 1.0
BAI08 1.0 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.5 2.0 1.0
BAI11 2.5 1.0 1.0
DSS01 1.0 2.5 1.0
DSS02 1.0 1.5 1.0
DSS03 1.0 1.5 1.0
DSS04 1.0 1.0 1.0
DSS05 1.0 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 1.5 1.5 1.0
MEA02 1.0 1.0 1.0
MEA03 1.0 1.0 1.0
MEA04 1.0 1.0 1.0
149

Apéndice K: Tabla de asignación—Estrategias de adopción de tecnología a objetivos

de gobierno y gestión
Figura A.11—Asignación de estrategias de adopción de tecnología a objetivos de gobierno y gestión

Primero en reaccionar (First
DF10 Seguidor (Follower) Adoptador lento (Slow adopter)
mover)
EDM01 3.5 2.5 1.5
EDM02 4.0 2.5 1.5
EDM03 1.5 1.0 1.0
EDM04 2.5 2.0 1.5
EDM05 1.5 1.0 1.0
APO01 2.5 1.5 1.0
APO02 4.0 3.0 1.5
APO03 2.0 1.0 1.0
APO04 4.0 3.0 1.0
APO05 4.0 2.5 1.0
APO06 1.0 1.5 1.0
APO07 2.5 1.0 1.0
APO08 3.0 1.5 1.0
APO09 1.5 1.5 1.0
APO10 2.5 1.5 1.0
APO11 1.5 1.5 1.0
APO12 2.0 1.5 1.0
APO13 1.0 1.0 1.0
APO14 2.5 2.0 1.0
BAI01 4.0 3.0 1.5
BAI02 3.5 2.5 1.0
BAI03 4.0 2.5 1.0
BAI04 1.5 1.5 1.0
BAI05 3.0 2.0 1.0
BAI06 2.5 2.0 1.0
BAI07 3.5 2.5 1.0
BAI08 1.5 1.0 1.0
BAI09 1.0 1.0 1.0
BAI10 1.5 1.0 1.0
BAI11 3.5 2.5 1.0
DSS01 1.0 1.0 1.0
DSS02 1.0 1.0 1.0
DSS03 1.5 1.0 1.0
DSS04 1.5 1.0 1.0
DSS05 1.5 1.0 1.0
DSS06 1.0 1.0 1.0
MEA01 3.0 2.0 1.0
MEA02 1.0 1.0 1.0
MEA03 1.0 1.0 1.0
MEA04 1.0 1.0 1.0
150

3 - COBIT 2019 - Libro Diseño Sol GTI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

3 - COBIT 2019 - Libro Diseño Sol GTI

Cargado por

Copyright:

Formatos disponibles

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

GUÍA DE DISEÑO COBIT® 2019

Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

In Memoriam: John Lainhart (1946-2018)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Consejo de dirección de ISACA

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Capítulo 2. Conceptos básicos: Sistema de Gobierno y

Capítulo 3. Impacto de factores de diseño ........................................................................29

Capítulo 4. Diseño de un sistema de gobierno personalizado ........................31

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Capítulo 5. Conectando con la Guía de implementación

Parte II - Ejecución y ejemplos .......................................................................................................51

Capítulo 7. Ejemplos .................................................................................................................................67

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Capítulo 3. Impacto de factores de diseño

Capítulo 4. Diseño de un sistema de gobierno personalizado

Capítulo 5. Conectando con la Guía de implementación COBIT® 2019

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Página intencionalmente en blanco

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

1.1 Sistemas de gobierno

1.2 Estructura de esta publicación

Esta publicación contiene las partes, capítulos y apéndices principales siguientes:

Parte I: Proceso de diseño

Parte II: Ejecución y ejemplos

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

1.3 Público objetivo de esta publicación

1.4 Documentación Relacionada: Guía de implementación de COBIT® 2019

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.1—Generalidades de COBIT

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

2.2 Objetivos de gobierno y gestión

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.2—Modelo Core de COBIT

2.3 Componentes del sistema de gobierno

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

2.4 Áreas prioritarias

2.5 Niveles de capacidad

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.3—Niveles de capacidad para los procesos

2.6 Factores de diseño

Los factores de diseño incluyen cualquier combinación de lo siguiente (figura 2.4):

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)

Figura 2.4—Factores de diseño COBIT

Figura 2.5—Factor de diseño de estrategia empresarial

Innovación/Diferenciación La empresa debe centrarse en ofrecer productos y servicios

Liderazgo en costes La empresa debe centrarse en la minimización de costes a corto

Servicio al cliente/Estabilidad La empresa se centra en proporcionar un servicio estable y

Figura 2.6—Factor de diseño de metas empresariales

EG01 Finanzas Portafolio de productos y servicios competitivos

Review, enero/febrero 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines.

Personal Copy of Pedro Montalvan (ISACA ID: 1010346)