1 - COBIT - Foundation - Online (Solo Lectura)

M
Curso de
at
er
ia
Fundamentos
lp
ro
pi
ed
ALEXANDER ZAPATA LENIS
ad
Entrenador COBIT 2019 Fundamentos
de
IS
AC
A
Copyright © 2018 Information Systems Audit and Control Association, Inc. All rights reserved.
DESCARGO DE RESPONSABILIDAD
La información incluida en esta sesión podría contener información privilegiada y
M
confidencial.
at
er
Esta presentación es únicamente a título informativo. Antes de actuar sobre cualquier
ia
idea planteada en esta sesión; deben evaluarse de forma independiente los riesgos de
lp
seguridad, legales, técnicos y reputacionales considerando las circunstancias reales
ro
únicas que rodean cada institución.
pi
ed
Cualquier punto de vista u opinión representada no determina ni refleja necesariamente
ad
aquellas de la organización que la presenta, ISACA, o cualquier otra entidad.
de
La información presentada a continuación es confidencial y/o propietaria y está
IS
destinada para el uso expreso de los asistentes. Queda prohibida cualquier divulgación
AC
no autorizada de esta información.
A
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso,
visite www.isaca.org/COBITuse.
2
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
MÓDULO 1
AC
INTRODUCCIÓN AL CURSO
A
3
M
at
er
ia
PRESENTACIONES
lp
ro
pi
ed
NOMBRE
ad
FORMACIÓN PROFESIONAL
ORGANIZACIÓN Y CARGO
de
EXPERIENCIA EN COBIT Y OTRAS BUENAS PRÁCTICAS
IS
EXPECTATIVAS DEL CURSO
AC
A
4
PRESENTACIÓN DEL FACILITADOR
Entrenador COBIT 2019 Fundamentos
M
e Implementador y COBIT 5
at
er
Fundamentos, implementador y
ia
Evaluador
lp
Implementación de Gobierno de T&I
ro
usando COBIT 5 y 2019 en entidades
pi
ed
Financieras en Colombia, Alexander Zapata Lenis
Salvador,Perú, Guatemala y otros
ad
países de Latinoamérica
de
CISA, CGEIT, CRISC, PMP
IS
AC
Entrenador en cursos de COBIT en
Colombia, Perú, Panamá, Salvador,
A
Guatemala, Honduras, México, Bolivia
y República Dominicana
5
DESCRIPCIÓN DEL CURSO
COBIT ® es un marco de referencia para el
M
gobierno y la gestión de la información y la
at
er
tecnología (I&T) de la empresa, que contribuye a
ia
la consecución de las metas empresariales.
lp
Este curso de Fundamentos se ha diseñado
ro
para quienes poseen el Certificado de
pi
ed
Fundamentos de COBIT 5, así como para
aquellos que no conocen COBIT y están
ad
interesados en lograr el certificado en
de
Fundamentos más reciente.
IS
Este curso de dos días de duración hace énfasis
AC
en los conceptos, modelos y definiciones clave
A
del marco de referencia COBIT y ayuda a
preparar a los estudiantes para tomar el
6 examen de Fundamentos de COBIT 2019.
MÓDULOS DEL CURSO
M
Módulo 1
Módulo 7
at
• Introducción al curso
er
Módulo 2
• Diseño de un sistema de gobierno
ia
personalizado
• Sistema de gobierno y componentes
lp
ro
Módulo 3 Módulo 8
pi
• Objetivos de gobierno y gestión
• Implementación
ed
Módulo 4
ad
• Introducción al marco de referencia
Módulo 9
de
Módulo 5
• Cierre
IS
• Principios
AC
Módulo 6
• Gestión del desempeño
A
7
REQUISITOS DEL EXAMEN
Este examen de Fundamentos de COBIT se ha diseñado para poner
M
a prueba el conocimiento del candidato acerca del marco de
at
er
referencia y no su memorización.
ia
• Examen supervisado en línea
lp
• 75 preguntas de opción múltiple
ro
• Libro cerrado
pi
• Una respuesta correcta para cada pregunta usando tres opciones (A, B o
ed
C)
ad
• Dos horas de duración
de
• Se pasa con el 65% o 49 respuestas correctas de las 75
IS
AC
A
8
8
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
MÓDULO 2
AC
SISTEMAS DE GOBIERNO Y COMPONENTES
A
9
MÓDULO 2 TEMAS Y OBJETIVOS DE APRENDIZAJE
Temas Objetivos de aprendizaje
M
• Objetivos de gobierno y gestión • Entender y describir los componentes de
at
er
• Componentes del sistema de gobierno un sistema de gobierno.
ia
• Áreas prioritarias (de enfoque) • Entender la estructura y los contenidos
lp
generales de la cascada de metas
• Factores de diseño
ro
• Prepararse para el examen de
• Cascada de metas
pi
Fundamentos de COBIT 2019
ed
• Ejercicio
ad
• Resumen del módulo
• (De 21 preguntas – 28% a 23
preguntas – 31%)
de
IS
AC
A
10
CASCADA DE METAS
Las metas de alineamiento subrayan
M
el alineamiento de todos los esfuerzos
at
er
de TI con los objetivos del negocio.
ia
• Existe la equivocación frecuente de que
lp
estas metas indican exclusivamente
ro
metas internas del departamento de TI
pi
dentro de una empresa.
ed
• La cascada de metas se analiza con
ad
más detalle en el módulo 5: objetivos de
gobierno y gestión.
de
IS
AC
A
11 Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
CASCADA DE METAS – METAS EMPRESARIALES
DIMENSIÓN DIMENSIÓN
REF META EMPRESARIAL REF META EMPRESARIAL
M
DEL BSC DEL BSC
at
EG01 Financiera Portafolio de productos y EG08 Interna Optimización de la
er
servicios competitivos funcionalidad de los procesos
ia
EG02 Financiera Gestión de riesgo del internos del negocio
lp
negocio EG09 Interna Optimización de costes de
EG03 Financiera Cumplimiento de leyes y los procesos del negocio
ro
regulaciones externas EG10 Interna Habilidades, motivación y
pi
EG04 Financiera Calidad de la información productividad del personal
ed
financiera EG11 Interno Cumplimiento de las políticas
ad
EG05 Cliente Cultura de servicio internas
orientada al cliente EG12 Crecimiento Gestión de programas de
de
EG06 Cliente Continuidad y transformación digital
disponibilidad del servicio EG13 Crecimiento Innovación de producto y
IS
del negocio negocio
AC
EG07 Cliente Calidad de la información
sobre gestión
A
CASCADA DE METAS – METAS DE ALINEAMIENTO
DIMENSIÓN DIMENSIÓN
REF META DE ALINEAMIENTO REF META EMPRESARIAL
DEL BSC DEL BSC
M
AG01 Financiera Cumplimiento y soporte de TI para AG08 Interna Habilitar y dar soporte a procesos
at
el cumplimiento empresarial con las de negocio mediante la integración
er
leyes y regulaciones externas de aplicaciones y tecnología
AG02 Financiera Gestión del riesgo relacionado con
ia
la información y la tecnología
lp
Beneficios obtenidos del portafolio AG09 Interna Ejecución de programas dentro del
AG03 Financiera
plazo, presupuesto, y cumpliendo
ro
de inversiones y servicios
habilitados por la información y la con los requerimientos y estándares
pi
tecnología de calidad
ed
AG04 Financiera Calidad de la información financiera AG10 Interna Calidad de la información sobre
relacionada con la tecnología
ad
gestión de TI
AG05 Cliente Prestación de servicios de I&T AG11 Interna Cumplimiento de TI con las políticas
conforme a los requerimientos del
de
internas
negocio
AG12 Aprendizaje y Personal competente y motivado
AG06 Cliente Agilidad para convertir los
IS
crecimiento con un entendimiento mutuo de la
requerimientos del negocio en
tecnología y el negocio
AC
soluciones operativas
AG07 Interna Seguridad de la información, AG13 Aprendizaje y Conocimiento, experiencia e
A
infraestructura de procesamiento y crecimiento iniciativas para la innovación
aplicaciones, y privacidad empresarial
OBJETIVOS DE GOBIERNO Y GESTIÓN
Para que la información y la tecnología contribuyan a los objetivos de la empresa,
M
deberían lograrse una serie de objetivos de gobierno y gestión. Los conceptos básicos
at
er
incluyen:
ia
• Un objetivo de gobierno o gestión siempre está relacionado con un proceso y una serie de
lp
componentes relacionados de otros tipos para contribuir a lograr el objetivo.
ro
• Un objetivo de gobierno está relacionado con un proceso de gobierno, mientras que un objetivo
pi
de gestión está relacionado con un proceso de gestión.
ed
• Los procesos de gobierno suelen ser responsabilidad de los consejos de administración y la
ad
dirección ejecutiva, mientras que los procesos de gestión pertenecen al dominio de la alta y
media gerencia.
de
IS
AC
A
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los
M
dominios se nombran mediante verbos que expresan el propósito clave y las áreas de
at
er
actividad de los objetivos que tienen:
ia
lp
ro
Objetivos de
Objetivos de gestión
gobierno
pi
ed
DSS
EDM APO BAI MEA
ad
Entregar, Dar
Evaluar, Dirigir y Alinear, Planificar Construir, Adquirir Monitorear,
Servicio y
de
Monitorear y Organizar e Implementar Evaluar y Valorar
Soporte
IS
AC
A
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
GOBIERNO VS GESTIÓN
El marco de referencia COBIT hace una
M
distinción clara entre gobierno y gestión. Estas
at
er
dos disciplinas abarcan distintos tipos de
ia
actividades, requieren distintas estructuras
lp
organizativas y sirven diferentes propósitos.
ro
¿Cuál diría usted que es la diferencia entre
pi
ed
gobierno y gestión?
ad
de
IS
AC
A
17
17 Referencia: Marco de referencia COBIT 2019: Introducción y metodología Capítulo 1 Introducción
El gobierno garantiza que:
M
• Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar
at
er
objetivos empresariales equilibrados y acordados.
ia
• La dirección se marca a través de la priorización y la toma de decisiones.
lp
• El rendimiento y el cumplimiento se supervisan con relación a la dirección y los objetivos
ro
acordados.
pi
• En la mayoría de las empresas, el gobierno en general es responsabilidad del consejo de
ed
dirección bajo el liderazgo del presidente.
ad
• Ciertas responsabilidades específicas del gobierno se pueden delegar a estructuras organizativas
de
especiales a un nivel adecuado, en particular, en empresas más grandes y complejas.
IS
AC
A
Gestión planifica, construye, ejecuta y monitorea actividades en alineación con la
M
dirección establecida por el órgano de gobierno para alcanzar los objetivos de la
at
er
empresa.
ia
En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva
lp
bajo el liderazgo del director general ejecutivo (CEO).
ro
pi
ed
ad
de
IS
AC
A
COMPONENTES DE UN
SISTEMA DE GOBIERNO
Con el objetivo de cumplir con los objetivos de
M
gobierno y gestión, cada empresa debe establecer,
at
er
personalizar y sostener un sistema de gobierno
ia
creado a partir de una serie de componentes.
lp
• Los componentes son factores que, de forma individual
ro
y colectiva, contribuyen al buen funcionamiento del
pi
sistema de gobierno de la empresa en cuanto a la I&T.
ed
• Los componentes interactúan entre sí, lo que da lugar a
ad
un sistema holístico de gobierno de I&T.
• Los componentes pueden ser de diversos tipos, los más
de
familiares son los procesos.
IS
AC
A
COMPONENTES DE UN SISTEMA DE GOBIERNO
M
at
Procesos
er
Servicios,
infraestruct Estructuras
ia
ura y organizativ
lp
aplicacione as
s
ro
Sistem
pi
a de
ed
Cultura, gobier Flujos y
ad
ética y
comportamie
no elementos
de
nto información
de
IS
Personas,
AC
Políticas y habilidades
procedimie y
ntos competenci
A
as
COMPONENTE PROCESO
M
at
Procesos
er
ia
Servicios,
Estructuras
lp
infraestructura
Los Procesos describen una serie de y aplicaciones
organizativas
prácticas y actividades organizadas
ro
pi
para lograr determinados objetivos y
ed
producir una serie de resultados que Sistema de
gobierno
ad
contribuyan a la consecución de la Cultura, ética y
Flujos y
elementos de
comportamiento
totalidad de los objetivos relacionados información
de
con las TI.
IS
AC
Personas,
Políticas y
habilidades y
procedimientos
competencias
A
COMPONENTE ESTRUCTURAS ORGANIZATIVAS
M
at
Procesos
er
ia
Servicios,
Estructuras
lp
infraestructura
organizativas
y aplicaciones
ro
pi
Las Estructuras organizativas son las
ed
entidades claves de toma de Sistema de
gobierno
ad
decisiones en una empresa. Cultura, ética y
Flujos y
elementos de
comportamiento
información
de
IS
AC
Personas,
Políticas y
habilidades y
procedimientos
competencias
A
COMPONENTE INFORMACIÓN
M
at
Procesos
er
ia
Servicios,
Estructuras
lp
infraestructura
La Información es generalizada en y aplicaciones
organizativas
cualquier organización e incluye toda la
ro
pi
información producida y utilizada por la
ed
empresa. COBIT se centra en la Sistema de
gobierno
ad
información requerida para el Cultura, ética y
Flujos y
elementos de
comportamiento
funcionamiento eficaz del sistema de información
de
gobierno de la empresa.
IS
AC
Personas,
Políticas y
habilidades y
procedimientos
competencias
A
COMPONENTE PERSONAS, HABILIDADES Y COMPETENCIAS
M
at
Procesos
er
ia
Servicios,
Estructuras
lp
infraestructura
organizativas
y aplicaciones
Las Personas, habilidades y
ro
competencias son necesarias para
pi
tomar buenas decisiones, ejecutar
ed
Sistema de
acciones correctivas y completar gobierno
ad
Flujos y
satisfactoriamente todas las Cultura, ética y
comportamiento
elementos de
información
de
actividades.
IS
AC
Principios, Personas,
políticas, habilidades y
procedimientos competencias
A
COMPONENTE POLÍTICAS Y PROCEDIMIENTOS
M
at
Procesos
er
ia
Servicios,
Estructuras
lp
infraestructura
organizativas
y aplicaciones
ro
Las Políticas y Procedimientos
pi
convierten el comportamiento deseado
ed
Sistema de
en una guía práctica para la gestión gobierno
ad
Flujos y
diaria. Cultura, ética y
comportamiento
elementos de
información
de
IS
AC
Personas,
Políticas y
habilidades y
procedimientos
competencias
A
COMPONENTE CULTURA, ÉTICA Y COMPORTAMIENTO
M
at
Procesos
er
ia
Servicios,
Estructuras
lp
infraestructura
organizativas
y aplicaciones
La Cultura, Ética y Comportamiento de
ro
pi
individuos y de la empresa son, a
ed
menudo, subestimados como un factor Sistema de
gobierno
ad
de éxito en las actividades de gobierno Cultura, ética y
Flujos y
elementos de
comportamiento
y gestión. información
de
IS
AC
Personas,
Políticas y
habilidades y
procedimientos
competencias
A
COMPONENTE SERVICIOS, INFRAESTRUCTURA Y APLICACIONES
M
at
Procesos
er
ia
Servicios,
Estructuras
lp
infraestructura
organizativas
y aplicaciones
Los Servicios, la infraestructura y las
ro
aplicaciones incluyen la infraestructura,
pi
la tecnología y las aplicaciones que
ed
Sistema de
brindan a la empresa un sistema de gobierno
ad
Flujos y
gobierno para el procesamiento de la Cultura, ética y
comportamiento
elementos de
información
de
I&T.
IS
AC
Personas,
Políticas y
habilidades y
procedimientos
competencias
A
COMPONENTES DE UN SISTEMA DE GOBIERNO
Los componentes genéricos se describen en el modelo core de
M
COBIT y se aplican, en principio, a cualquier situación. Sin embargo,
at
er
su naturaleza es genérica y suelen requerir una adaptación antes de
ia
que se puedan implementar en la práctica.
lp
Las variantes se basan en componentes genéricos, pero se adaptan
ro
para un propósito o contexto específico dentro de un área prioritaria
pi
ed
(p. ej., para seguridad de la información, DevOps, una regulación
específica).
ad
de
IS
AC
A
29
ÁREAS PRIORITARIAS (DE ENFOQUE)
Un área prioritaria o de Enfoque describe un tópico, dominio
M
o asunto de gobierno determinado que puede abordarse Ejemplos de áreas
at
prioritarias o
er
como una colección de objetivos de gobierno y gestión y sus
Enfoque:
ia
componentes.
lp
Pequeñas y medianas
empresas
Las áreas prioritarias pueden incluir una combinación de
ro
Ciberseguridad
componentes de gobierno genéricos y variantes.
pi
Riesgo
ed
La cantidad de áreas prioritarias es prácticamente ilimitada. Computación en la nube
ad
Esto hace que COBIT sea abierto. Se pueden añadir nuevas Privacidad
de
áreas prioritarias conforme sea necesario o conforme los DevOps
expertos y especialistas en la materia contribuyan.
IS
AC
A
FACTORES DE DISEÑO Los factores de diseño
incluyen cualquier
combinación de lo
Los factores de diseño son factores que pueden influir en el siguiente:
M
diseño del sistema de gobierno de una empresa y la
at
Estrategia de la empresa
er
posicionan para que tenga éxito a la hora de usar la I&T. Metas empresariales
ia
• Los factores de diseño se enumeran aquí y los posibles impactos Perfil de riesgo
lp
que pueden tener en el sistema de gobierno se señalan en el Problemas relacionados con TI
ro
módulo 7, Diseñando un sistema de gobierno personalizado. Escenario de amenazas
pi
• Puede encontrar más información y una guía detallada acerca de Requisitos de cumplimiento
ed
cómo usar los factores de diseño a la hora de diseñar un sistema Rol de TI
ad
de gobierno en la publicación Guía de diseño COBIT® 2019. Modelo de abastecimiento para
TI
de
Métodos de implementación de
TI
IS
Estrategia de adopción de
AC
tecnología
A
Tamaño de la empresa
Factores futuros
FACTORES DE DISEÑO
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
FACTOR DE DISEÑO 1: ESTRATEGIA EMPRESARIAL
Las empresas pueden contar con distintas estrategias, que pueden expresarse como
M
(una combinación de) los arquetipos que se muestran a continuación. Las
at
er
organizaciones suelen contar con una estrategia principal y, como mucho, una estrategia
ia
secundaria.
lp
Figura 4.5—Factor de diseño de estrategia empresarial
ro
Arquetipo de la estrategia Explicación
pi
Crecimiento/Adquisición La empresa se centra en el crecimiento (ingresos).
ed
Innovación/Diferenciación La empresa debe centrarse en ofrecer productos y servicios diferentes y/o
ad
innovadores a sus clientes.
Liderazgo en costos
de
La empresa debe centrarse en la minimización de costes a corto plazo.
Servicio al La empresa se centra en proporcionar un servicio estable y orientado al
IS
cliente/Estabilidad cliente.
AC
A
FACTOR DE DISEÑO 2: METAS EMPRESARIALES
Figura 4.6—Factor de diseño de metas empresariales
M
Referencia Dimensión del cuadro Meta empresarial
at
de mando integrado
(Balanced Scorecard,
er
La estrategia empresarial se BSC)
ia
logra mediante la EG01 Financiera Portafolio de productos y servicios competitivos
lp
consecución de (una serie EG02 Financiera Gestión de riesgo de negocio
de) metas empresariales.
ro
EG03 Financiera Cumplimiento de leyes y regulaciones externas
Estas metas se definen en el EG04 Calidad de la información financiera
pi
Financiera
marco de referencia COBIT, EG05
ed
Cliente Cultura de servicio orientada al cliente
se estructuran en torno a las EG06 Cliente Continuidad y disponibilidad del servicio del negocio
ad
dimensiones del cuadro de EG07 Cliente Calidad de la información de gestión
mando integral (Balanced EG08 Interna Optimización de la funcionalidad de los procesos
de
internos del negocio
Scorecard).
EG09 Interna Optimización de costes de los procesos del negocio
IS
EG10 Interna Habilidades, motivación y productividad del personal
AC
EG11 Interna Cumplimiento de las políticas internas
EG12
A
Crecimiento Gestión de programas de transformación digital
EG13 Crecimiento Innovación de productos y negocios
FACTOR DE DISEÑO 3: PERFIL DE RIESGO
M
at
er
ia
lp
El perfil de riesgo identifica el riesgo
ro
relacionado con la I&T al que está
pi
expuesto la empresa en la actualidad e
ed
indica qué áreas de riesgo exceden su
ad
apetito al riesgo.
de
IS
AC
A
FACTOR DE DISEÑO 4: PROBLEMAS RELACIONADOS CON I&T
M
at
er
ia
Un método asociado para una valoración de
lp
riesgos de I&T es que la empresa considere a
ro
qué problemas relacionados con I&T se
pi
enfrenta o, dicho de otro modo, qué riesgo
ed
relacionado con I&T se ha materializado. Este
ad
es el problema más común de todos.
de
IS
AC
A
FACTOR DE DISEÑO 5: ESCENARIO DE AMENAZAS
El escenario de amenazas bajo el cual opera la empresa pueden clasificarse tal como se
M
muestra a continuación.
at
er
ia
Figura 4.9 – Factor de diseño del escenario de amenazas
lp
ro
Escenario de amenazas Explicación
pi
Normal La empresa funciona bajo lo que se consideran niveles de amenaza
ed
normales.
ad
Alto Debido a su situación geopolítica, sector industrial o perfil específico, la
de
empresa funciona en un entorno de amenazas elevadas.
IS
AC
A
FACTOR DE DISEÑO 6: REQUERIMIENTOS DE CUMPLIMIENTO
Los requerimientos de cumplimiento a los que la empresa está sujeta pueden
M
clasificarse conforme a las categorías siguientes.
at
er
ia
Figura 4.10—Factor de diseño de los requerimientos de cumplimiento
lp
Entornos regulatorios Explicación
ro
Requerimientos de La empresa está sujeta a un conjunto de requerimientos de cumplimiento mínimos
pi
cumplimiento bajos que son inferiores a la media.
ed
Requerimientos de
ad
La empresa está sujeta a un conjunto de requerimientos de cumplimiento comunes a
cumplimiento normales las distintas industrias.
de
Requerimientos de La empresa está sujeta a requerimientos de cumplimiento más elevados de lo
cumplimiento altos
IS
normal, en la mayoría de los casos relacionados con el sector industrial y las
condiciones geopolíticas.
AC
A
FACTOR DE DISEÑO 7: ROL DE TI
El rol de TI para la empresa puede clasificarse tal como se muestra a continuación.
M
at
Figura 4.11—Factor de Diseño del rol de TI
er
ia
Rol de TI Explicación
lp
Soporte IT is not crucial for the running and continuity of the business process
ro
y servicios del negocio ni para su innovación.
pi
Fábrica Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y
ed
continuidad de los procesos y servicios del negocio. Sin embargo, las TI
ad
no se consideran un factor impulsor de la innovación de procesos y
servicios del negocio.
de
Cambio Las TI se consideran un factor impulsor de la innovación de procesos y
servicios del negocio. En este momento, sin embargo, no hay una
IS
dependencia crítica en TI para el funcionamiento y la continuidad actual
AC
de los procesos y servicios del negocio.
A
Estratégico Las TI son críticas para el funcionamiento e innovación de los procesos y
servicios del negocio de la organización.
FACTOR DE DISEÑO 8: MODELO DE ABASTECIMIENTO O
APROVISIONAMIENTO PARA TI
El modelo de abastecimiento o aprovisionamiento (sourcing) para TI que la empresa
M
adopta puede clasificarse tal como se muestra a continuación.
at
er
Figura 4.12—Factor de diseño del modelo de abastecimiento de proveedores para TI
ia
Modelo de abastecimiento de Explicación
lp
proveedores
ro
Externalización La empresa requiere los servicios de un tercero para proporcionar servicios de TI.
(outsourcing)
pi
ed
Nube La empresa maximiza el uso de la nube para proporcionar servicios de TI a sus
usuarios.
ad
Personal interno (insourced) La empresa aporta su propio personal y servicios de TI.
de
Híbrido Se aplica un modelo híbrido que combina los otros tres modelos en distintos
IS
grados.
AC
A
FACTOR DE DISEÑO 9: MÉTODOS DE IMPLEMENTACIÓN DE TI
Los métodos de implementación de TI que la empresa adopta pueden clasificarse como
M
se muestra a continuación.
at
er
Figura 4.13—Factor de diseño de los métodos de implementación de TI
ia
Método de Explicación
lp
implementación de TI
ro
Agil La empresa utiliza los métodos de desarrollo de trabajo Agil para su
pi
desarrollo de software.
ed
DevOPs La empresa usa los métodos de trabajo DevOps para la creación,
ad
despliegue y operaciones de software.
Tradicional La empresa usa un método más clásico para el desarrollo de software
de
(cascada) y separa el desarrollo de software de las operaciones.
IS
Híbrido La empresa usa una mezcla de implementación de TI tradicional y TI
AC
moderna, a la que solemos referirnos como «TI bimodal».
A
FACTOR DE DISEÑO 10: ESTRATEGIA DE ADOPCIÓN DE
TECNOLOGÍA
La estrategia de adopción de tecnología puede clasificarse como se muestra a
M
continuación.
at
Figura 4.14—Factor de diseño de la estrategia de adopción de tecnología
er
ia
Estrategia de adopción de tecnología Explicación
lp
ro
El que primero se mueve (First La empresa suele adoptar nuevas tecnologías lo antes
mover)
pi
posible e intenta lograr la «ventaja del que primero se
ed
mueve».
Seguidor (Follower) intenta lograr la «ventaja del que primero se mueve»
ad
generalicen y pongan a prueba antes de adoptarlas.
de
Adoptadores lentos (Slow adopter) La empresa tarda mucho en adoptar las nuevas tecnologías.
IS
AC
A
FACTOR DE DISEÑO 11: TAMAÑO DE LA EMPRESA
Se han identificado dos categorías para el diseño del sistema de gobierno de una
M
empresa. Las microempresas, por ejemplo empresas con menos de 50 empleados, no
at
er
se consideran en esta vista.
ia
lp
ro
Figura 4.15— Factor de diseño del tamaño de la empresa
pi
Tamaño de la empresa Explicación
ed
Empresa grande (predeterminada) Empresa con más de 250 empleados que laboran tiempo
ad
completo (FTE)
de
Pequeñas y medianas empresas Empresa con entre 50 y 250 empleados que laboran tiempo
completo (FTE)
IS
AC
A
EJEMPLO DE PREGUNTA
Un objetivo de gobierno o gestión siempre está relacionado con _____
M
y una serie de componentes relacionados de otros tipos para contribuir
at
er
a lograr el objetivo.
ia
A. Requisitos de cumplimiento
lp
B. Un proceso
ro
C. Un principio del marco de referencia de gobierno
pi
ed
ad
de
IS
AC
A
44
EJEMPLO DE PREGUNTA
¿Cuál de los siguientes NO es un componente del sistema de
M
gobierno?
at
er
A. Tamaño de la empresa
ia
B. Estructuras organizativas
lp
C. Información
ro
pi
ed
ad
de
IS
AC
A
45
EJEMPLO DE PREGUNTA
______________ son factores que pueden influir en el diseño del
M
sistema de gobierno de una empresa y la posicionan para que tenga
at
er
éxito a la hora de usar las TI.
ia
A. Componentes del sistema de gobierno
lp
B. Metas de alineamiento
ro
C. Factores de diseño
pi
ed
ad
de
IS
AC
A
46
EJEMPLO DE PREGUNTA
¿Cuál de los siguientes es un factor de diseño para un sistema de
M
gobierno que apoya la priorización de los objetivos de gestión basado
at
er
en la priorización de metas empresariales?
ia
A. Cuadro de mando (Balanced Scorecard)
lp
B. Enfoque holístico
ro
C. Perfil de riesgo
pi
ed
ad
de
IS
AC
A
47
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
MÓDULO 3
AC
A
48
Temas Objetivos de aprendizaje
M
• Recordar los 40 objetivos de gobierno y
at
Descripción general del modelo
er
gestión y sus declaraciones de propósito.
Core de COBIT
ia
• Entender las relaciones entre los
• Declaraciones de propósito de los
lp
objetivos de gobierno y gestión y los
objetivos de gobierno y gestión
ro
componentes de gobierno.
pi
Guía detallada de los objetivos de • Preparar para el examen de
ed
gobierno y gestión Fundamentos de COBIT 2019.
ad
• Ejercicio de grupo
• (De 17 preguntas 23% a 25 preguntas
de
– 33%)
IS
AC
A
49
M
at
er
ia
lp
ro
pi
ed
ad
de
DESCRIPCIÓN GENERAL DEL MODELO CORE DE
IS
COBIT
AC
A
50
PUBLICACIÓN MARCO DE REFERENCIA COBIT 2019: OBJETIVOS
DE GOBIERNO Y GESTIÓN
M
Esta publicación proporciona una descripción exhaustiva de los
at
40 objetivos de gobierno y gestión principales definidos en el
er
modelo Core de COBIT, los procesos incluidos en ella, otros
ia
componentes relacionados, y referencias a guías relacionadas,
lp
como otros estándares y marcos. Esta publicación explica:
ro
• La estructura que se utiliza para detallar la guía para los 40
pi
objetivos de gobierno y gestión de los componentes.
ed
• Los apéndices incluyen más detalles sobre las tablas de asignación
ad
que informan la cascada de metas, las descripciones de las
estructuras organizativas y una lista de referencias.
de
IS
AC
A
51 Referencia: Marco de referencia COBIT 2019: Objetivos de gobierno y gestión
MODELO CORE DE COBIT
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
52 Referencia: Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, Capítulo 1 Introducción
M
Objetivos de
at
gobierno
er
DSS
ia
EDM APO BAI MEA
lp
Entregar, Dar
Evaluar, Dirigir y Alinear, Planificar Construir, Adquirir Monitorizar,
Servicio y
ro
Monitorizar y Organizar e Implementar Evaluar y Valorar
Soporte
pi
ed
ad
Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y
Monitorizar (EDM). En este dominio, los órganos de gobierno
de
evalúan las opciones estratégicas, encaminan a la alta dirección con
IS
AC
respecto a las opciones estratégicas elegidas y monitorizan la
A
consecución de la estrategia.
M
Objetivos de
at
gobierno
er
DSS
ia
EDM APO BAI MEA
lp
Entregar, Dar
Evaluar, Dirigir y Alinear, Planificar Construir, Adquirir Monitorizar,
Servicio y
ro
Monitorizar y Organizar e Implementar Evaluar y Valorar
Soporte
pi
ed
ad
Alinear, Planificar y Organizar (APO) aborda la organización
de
general, estrategia y actividades de apoyo para la I&T.
IS
AC
A
M
Objetivos de
at
gobierno
er
BAI DSS
ia
EDM APO MEA
lp
Construir, Entregar, Dar
Evaluar, Dirigir y Alinear, Planificar Monitorizar,
Adquirir e Servicio y
ro
Monitorizar y Organizar Evaluar y Valorar
Implementar Soporte
pi
ed
ad
Construir, Adquirir e Implementar (BAI) se encarga de la definición,
de
adquisición e implementación de soluciones de I&T y su integración
en los procesos de negocio.
IS
AC
A
M
Objetivos de
at
gobierno
er
BAI DSS
ia
EDM APO MEA
lp
Construir, Entregar, Dar
Evaluar, Dirigir y Alinear, Planificar Monitorizar,
Adquirir e Servicio y
ro
Monitorizar y Organizar Evaluar y Valorar
Implementar Soporte
pi
ed
ad
Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución
de
operativa y el soporte de los servicios de I&T, incluida la seguridad.
IS
AC
A
M
Objetivos de
at
gobierno
er
BAI DSS MEA
ia
EDM APO
lp
Construir, Entregar, Dar Monitorizar,
Evaluar, Dirigir y Alinear, Planificar
Adquirir e Servicio y Evaluar y
ro
Monitorizar y Organizar
Implementar Soporte Valorar
pi
ed
ad
Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización del
de
desempeño y la conformidad de I&T con objetivos de desempeño
interno, objetivos de control interno y requerimientos externos.
IS
AC
A
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
Objetivos de gobierno Objetivos de gestión
EVALUAR, DIRIGIR Y ALINEAR, PLANIFICAR Y CONSTRUIR, ADQUIRIR ENTREGA, DAR SERVICIO SUPERVISAR, EVALUAR
M
MONITORIZAR (EDM) ORGANIZAR (APO) E IMPLEMENTAR (BAI) Y SOPORTE (DSS) Y VALORAR (MEA)
at
EDM01 Asegurar el APO01 Gestionar el marco de BAI01 DSS01 Gestionar las MEA01 Gestionar la
er
Gestionar los programas
establecimiento y el gestión de I&T operaciones monitorización del
BAI02 Gestionar la definición
ia
mantenimiento del APO02 Gestionar la estrategia de requisitos desempeño y la
DSS02 Gestionar las
marco de gobierno conformidad
lp
APO03 Gestionar la arquitectura BAI03 Gestionar la peticiones e incidentes
EDM02 Asegurar la obtención empresarial identificación y de servicio MEA02 Gestionar el sistema
ro
de beneficios construcción de de control interno
APO04 Gestionar la innovación DSS03 Gestionar los
soluciones
EDM03 Asegurar la MEA03 Gestionar el
pi
problemas
APO05 Gestionar el portafolio BAI04 Gestionar la
optimización del cumplimiento de los
DSS04 Gestionar la
ed
riesgo APO06 Gestionar el disponibilidad y requisitos externos
presupuesto y los costes capacidad continuidad
EDM04 Asegurar la MEA04 Gestionar el
ad
APO07 Gestionar los recursos BAI05 Gestionar el cambio DSS05 Gestionar los servicios
optimización de aseguramiento
humanos organizativo de seguridad
recursos
de
APO08 Gestionar las relaciones BAI06 Gestionar los cambios DSS06 Gestionar los
EDM05 Asegurar el de TI controles de procesos
compromiso de las APO09 Gestionar los acuerdos
BAI07 de negocio
IS
partes interesadas de servicio Gestionar la aceptación
y la transición de los
APO10 Gestionar los cambios de TI
AC
proveedores
BAI08 Gestionar el
APO11 Gestionar la calidad conocimiento
A
APO12 Gestionar el riesgo BAI09 Gestionar los activos
APO13 Gestionar la seguridad BAI10 Gestionar la Referencia: Marco de referencia COBIT
configuración 2019: Objetivos de gobierno y gestión,
APO14 Gestionar los datos
Capítulo 1 Introducción
59 BAI11 Gestionar los proyectos
M
at
er
ia
lp
ro
pi
ed
ad
de
DECLARACIONES DE PROPÓSITO DE LOS
IS
AC
A
60
OBJETIVOS Y DECLARACIONES DE PROPÓSITO – EDM
Nombre del dominio: Evaluar, Dirigir y Monitorizar
M
Área prioritaria: Modelo Core de COBIT
at
Nombre del objetivo de Propósito
er
gobierno
ia
EDM01 Proporcionar un enfoque uniforme integrado y alineado con el enfoque de gobierno de la empresa. Las decisiones
lp
Asegurar el relacionadas con I&T deben hacerse en línea con las estrategias y objetivos de la empresa y para lograr el valor
establecimiento y el deseado. En este sentido, debe asegurarse de que los procesos relacionados con las I&T se supervisen de forma
ro
mantenimiento del eficaz y transparente; que se cumpla con los requisitos legales, contractuales y regulatorios; y que se cumplan los
marco de gobierno requisitos de gobierno para los miembros del consejo de dirección.
pi
EDM02 Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para I&T; la entrega rentable de soluciones
ed
Asegurar la obtención y servicios; y una imagen confiable y precisa de los costos y beneficios probables para que las necesidades del
ad
de beneficios negocio se satisfagan de forma eficaz y eficiente.
EDM03 Asegurarse de que el riesgo de negocio relacionado con las I&T no exceda el apetito y tolerancia al riesgo de la
de
Asegurarla optimización empresa, que se identifique y gestione el impacto del riesgo de la I&T en el valor de negocio y que se minimicen los
del riesgo posibles fallos de cumplimiento.
IS
EDM04 Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que los costes de las
Asegurarla optimización I&T se optimicen, y que exista una mayor probabilidad de obtener beneficios y disposición para cambios futuros.
AC
de recursos
EDM05 Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de ruta de las I&T, que la comunicación con
A
Asegurar el compromiso las partes interesadas sea eficaz y oportuna, y que se establezcan las bases para los informes con el fin de aumentar
de las partes el rendimiento. Identificar las áreas de mejora y confirmar que los objetivos y estrategias relacionados con las I&T se
interesadas ajustan a la estrategia de la empresa.
61 Referencias: Marco de referencia COBIT 2019 Introducción y metodología, Capítulo 5
OBJETIVOS Y DECLARACIONES DE PROPÓSITO - APO
Nombre del dominio: Alinear, Planificar y Organizar
M
at
Nombre del objetivo Propósito
de gestión
er
APO01 Implementar un enfoque uniforme de gestión para permitir que se alcancen los requisitos de gobierno empresarial, cubriendo los
ia
Gestionar el marco de componentes de gobierno, como los procesos de gestión, las estructuras organizativas, los roles y las responsabilidades, las actividades
gestión de I&T confiables y repetibles, los elementos de información, las políticas y procedimientos, las habilidades y las competencias, la cultura y el
lp
comportamiento, y los servicios, infraestructura y aplicaciones.
ro
APO02 Apoyar la estrategia de transformación digital de la organización y proporcionar el valor deseado a través de una hoja de ruta con cambios
Gestionar la estrategia incrementales. Usar un enfoque holístico en cuanto a I&T, asegurando que cada iniciativa esté claramente conectada con una estrategia
pi
global. Habilitar el cambio en todos los diversos aspectos de la organización, desde los canales y procesos a los datos, cultura,
ed
habilidades, modelo operativo e incentivos.
APO03 Representar los diferentes componentes que conforman la empresa y sus interrelaciones, así como los principios que guían su diseño y
ad
Gestionar la evolución a lo largo del tiempo, para posibilitar una prestación estándar, responsable y eficiente de los objetivos operativos y estratégicos.
arquitectura
empresarial
de
APO04 Lograr ventajas competitivas, innovación del negocio, una mejor experiencia de cliente y una mayor eficacia y eficiencia operativa con el
Gestionar la innovación aprovechamiento de los avances de la I&T y las tecnologías emergentes.
IS
APO05 Optimizar el rendimiento del portafolio general de programas en respuesta al rendimiento individual de programas, productos y servicios y
AC
Gestionar el portafolio a las cambiantes prioridades y demandas de la empresa.
APO06 Fomentar la asociación entre las partes interesadas de las TI y la empresa para permitir el uso eficaz y eficiente de los recursos
Gestionar el relacionados con la I&T, y proporcionar transparencia y rendición de cuentas sobre el coste y el valor para el negocio de soluciones y
A
presupuesto y los servicios. Habilitar a la empresa para que tome decisiones informadas sobre el uso de soluciones y servicios de I&T.
costes

OBJETIVOS Y DECLARACIONES DE PROPÓSITO - APO
Nombre del dominio: Alinear, Planificar y Organizar
M
at
Nombre del objetivo de Propósito
er
gestión
ia
APO07 Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.
Gestionar los recursos humanos
lp
APO08 Facilitar el conocimiento, habilidades y comportamientos correctos para generar mejores resultados, aumentar la confianza, la
ro
Gestionar las relaciones confianza mutua y el uso eficaz de los recursos para estimular una relación productiva con las partes interesadas de la
empresa.
pi
APO09 Asegurarse de que los productos, servicios y niveles de servicio de I&T satisfagan las necesidades actuales y futuras de la
ed
Gestionar los acuerdos de empresa.
servicio
ad
APO10 Optimizar las capacidades de I&T disponibles para apoyar la estrategia y la hoja de ruta de I&T, minimizar el riesgo asociado
Gestionar los proveedores con proveedores que no rinden o cumplen con los requisitos y asegurar precios competitivos.
de
APO11 Asegurar la prestación consistente de soluciones y servicios tecnológicos para satisfacer los requisitos de calidad de la
Gestionar la calidad empresa y las necesidades de las partes interesadas.
IS
APO12 Integrar la gestión del riesgo empresarial relacionado con la I&T con la gestión del riesgo empresarial global (ERM), y
Gestionar los riesgos equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con la I&T.
AC
APO13 Mantener el impacto y la ocurrencia de incidentes de seguridad de la información dentro de los niveles de apetito al riesgo de
Gestionar la seguridad la empresa.
A
APO14 Asegurar el uso eficaz de activos de datos críticos para lograr las metas y objetivos empresariales.
Gestionar los datos

OBJETIVOS Y DECLARACIONES DE PROPÓSITO - BAI
Nombre del dominio: Construir, Adquirir e Implementar
M
at
Nombre del objetivo de gestión Propósito
er
BAI01 Obtener el valor de negocio deseado y reducir el riesgo de retrasos, costes y erosión de valor
ia
Gestionar los programas inesperados. Para ello, se deben mejorar las comunicaciones y la participación del negocio y de los
lp
usuarios finales, garantizar el valor y la calidad de los entregables del programa y realizar un seguimiento
de los proyectos dentro de los programas y maximizar la contribución del programa al portafolio de
ro
inversiones.
pi
BAI02 Crear soluciones óptimas que satisfagan las necesidades del negocio, mientras se minimiza el riesgo.
ed
Gestionar la definición de
requisitos
ad
BAI03 Asegurar una prestación ágil y escalable de productos y servicios digitales. Establecer soluciones
Gestionar la identificación y oportunas y rentables (tecnología, procesos de negocio y flujos de trabajo) capaces de apoyar los
de
construcción de soluciones objetivos estratégicos y operativos de la compañía.
BAI04 Mantener la disponibilidad del servicio, la gestión eficiente de los recursos y la optimización del
IS
Gestionar la disponibilidad y rendimiento del sistema a través de la predicción de los requisitos futuros de rendimiento y capacidad.
capacidad
AC
BAI05 Preparar y conseguir el compromiso a las partes interesadas para el cambio en el negocio y reducir el
Gestionar el cambio riesgo de fracaso.
A
organizativo
BAI06 Facilitar una ejecución de cambios rápida y confiable para el negocio. Mitigar el riesgo de afectar
Gestionar los cambios de TI negativamente la estabilidad o integridad del entorno que se ha modificado.
OBJETIVOS Y DECLARACIONES DE PROPÓSITO - BAI
Nombre del dominio: Construir, Adquirir e Implementar
M
at
er
BAI07 Implementar soluciones de forma segura y conforme a las expectativas y resultados acordados.
ia
Gestionar la aceptación y la
lp
transición de los cambios de TI
BAI08 Proporcionar los conocimientos e información requeridos para apoyar a todo el personal en el gobierno
ro
Gestionar el conocimiento y gestión de la I&T de la empresa y facilitar la toma de decisiones informadas.
pi
BAI09 Tener en cuenta todos los activos de I&T y optimizar el valor proporcionado por su uso.
ed
Gestionar los activos
ad
BAI10 Proporcionar información suficiente sobre los activos de servicio para facilitar que el servicio se
Gestionar la configuración gestione de forma eficiente. Evaluar el impacto de los cambios y hacer frente a los incidentes del
servicio.
de
BAI11 Lograr los resultados definidos del proyecto y reducir el riesgo de retrasos inesperados, costes y
Gestionar los proyectos erosión del valor mediante la mejora de las comunicaciones y la participación del negocio y de los
IS
usuarios finales. Asegurar el valor y la calidad de los entregables del proyecto y maximizar su
AC
contribución al portafolio de inversiones y programas definidos.
A
OBJETIVOS Y DECLARACIONES DE PROPÓSITO - DSS
Nombre del dominio: Entregar, Dar Servicio y Soporte
M
at
er
DSS01 Proporcionar los resultados de los productos y servicios operativos de I&T según lo planeado.
ia
Gestionar las operaciones
lp
DSS02 Lograr una mayor productividad y minimizar las interrupciones mediante la resolución rápida de
Gestionar las peticiones y los consultas e incidentes de los usuarios. Evaluar el impacto de los cambios y hacer frente a los
ro
incidentes del servicio incidentes del servicio. Resolver las peticiones de los usuarios y restaurar el servicio como
pi
respuesta a los incidentes.
ed
DSS03 Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costes, atender mejor las
Gestionar los problemas necesidades del cliente y lograr su satisfacción reduciendo el número de problemas operativos, e
ad
identificar las causas raíz como parte de la resolución de problemas.
DSS04 Adaptarse rápidamente, continuar las operaciones del negocio y mantener la disponibilidad de los
de
Gestionar la continuidad recursos y la información a un nivel aceptable para la compañía en caso de una disrupción
significativa (como amenazas, interrupciones, demandas).
IS
DSS05 Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad de
AC
Gestionar los servicios de seguridad la información
DSS06 Mantener la integridad de la información y la seguridad de los activos de información manejados
A
Gestionar los controles del proceso de dentro de los procesos de negocio, dentro de la empresa o externalizados.
negocio

OBJETIVOS Y DECLARACIONES DE PROPÓSITO - MEA
Nombre del dominio: Monitorizar, Evaluar y Valorar
M
at
er
MEA01 Proporcionar transparencia en el rendimiento y la conformidad e impulsar el logro de las metas.
ia
Gestionar la monitorización del
lp
rendimiento y la conformidad
MEA02 Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de
ro
Gestionar el sistema de control interno controles internos que permita, proporcionar confianza en las operaciones, seguridad en el logro
pi
de los objetivos de la empresa y una comprensión adecuada del riesgo residual.
ed
MEA03 Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
Gestionar el cumplimiento de los
ad
requisitos externos
MEA04 Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y
de
Gestionar el aseguramiento eficientes, proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de
las revisiones de aseguramiento, usando una hoja de ruta basada en criterios de aseguramiento
IS
que sean bien acogidos.
AC
A
M
at
er
ia
lp
ro
pi
ed
ad
de
DOCUMENTACIÓN RELACIONADA DE
IS
AC
A
68
RELACIONES DE LOS OBJETIVOS DE GOBIERNO Y GESTIÓN
Objetivos de gobierno y gestión
M
at
Hay 40 objetivos de gobierno y gestión organizados en cinco dominios (dominios de gobierno y
er
gestión).
ia
lp
Procesos Componentes de
ro
gobierno
pi
Cada uno de estos Para satisfacer los
ed
objetivos de objetivos de
gobierno y gestión gobierno y gestión,
ad
se relaciona siempre se identifican los
con un proceso en el componentes de
de
Core de COBIT. gobierno (uno de
estos componentes
IS
son los Procesos).
AC
A
69 Referencias: COBIT 2019: Objetivos de gobierno y gestión, Capítulo 1
DESCRIPCIÓN DE LOS OBJETIVOS DE GOBIERNO Y GESTIÓN
Cada objetivo de gobierno y gestión se describe como sigue:
M
at
Componentes Documentación
er
Información general Cascada de metas
relacionados relacionada
ia
• Nombre del dominio • Metas de • Procesos • Estándares, marcos,
lp
• Área prioritaria alineamiento • Estructuras requerimientos de
ro
• Nombre del objetivo apoyadas organizativas cumplimiento
• Metas empresariales • Flujos y elementos de • Referencia específica
pi
de gobierno o gestión
• Descripción aplicables información • La documentación
ed
• Declaración de • Métricas modelo • Personas, habilidades relacionada se
ad
propósito y competencias encuentra debajo de
• Políticas y cada componente
aplicable (esto difiere
de
Procedimientos
de COBIT 5, en la
• Cultura, ética y
que esto
IS
comportamiento
correspondía solo al
• Servicios,
AC
nivel de procesos).
infraestructura y
aplicaciones
A
INFORMACIÓN GENERAL
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
CASCADA DE METAS
Cada objetivo de gobierno o gestión apoya el logro de metas de alineamiento que están
M
relacionadas con metas empresariales más importantes.
at
er
• Las metas de alineamiento (conocidas como metas relacionadas con TI en COBIT 5) tienen una
ia
relación primaria con un objetivo de gobierno o gestión.
lp
• Las metas de alineamiento también respaldan metas empresariales de más alto nivel.
ro
• Cada uno de estos tipos de metas también incluye ejemplos de métricas.
pi
ed
ad
de
IS
AC
A
VISUALIZACIÓN DEL COMPONENTE DEL PROCESO
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
NIVELES DE CAPACIDAD
Se asigna un nivel de capacidad a todas las actividades del proceso, permitiendo una
M
clara definición de los procesos con distintos niveles de capacidad.
at
er
• Un proceso alcanza un cierto nivel de capacidad siempre que todas las actividades de ese nivel
ia
se realicen de forma satisfactoria.
lp
• COBIT 2019 admite un modelo de proceso-capacidad basado en el Capability Maturity Model
ro
Integration® (CMMI), que va de 0 a 5.
pi
• El nivel de capacidad es una medida de lo bien que un proceso se ha implementado y funciona.
ed
• Esto se describió en el módulo 6, gestión del desempeño.
ad
de
IS
AC
A
DOCUMENTACIÓN RELACIONADA
La documentación relacionada se actualiza en COBIT 2019 y menciona todos los
M
estándares, marcos y requerimientos de cumplimiento y otras guías relevantes para el
at
er
proceso en cuestión.
ia
• Se incluyen referencias a otros estándares y guías cuando procede.
lp
• Las referencias específicas aluden a capítulos o secciones específicas dentro de la
ro
documentación relacionada.
pi
• En el Apéndice C de la publicación Objetivos de gobierno y gestión se incluye una lista completa
ed
de fuentes para la documentación relacionada.
ad
• Si no aparece una «documentación relacionada», significa que no se conocen referencias
de
aplicables de las fuentes asignadas.
• Se promueve que la comunidad de profesionales sugiera las guías correspondientes.
IS
AC
A
VISUALIZACIÓN DE ESTRUCTURAS ORGANIZATIVAS
El componente de gobierno de las estructuras organizativas sugiere niveles de
M
responsabilidad y rendición de cuentas para las prácticas de los procesos.
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
ROLES Y ESTRUCTURAS ORGANIZATIVAS
Se han definido los roles y estructuras organizativas siguientes dentro del contexto de COBIT 2019:
M
Consejo de administración Comité de riesgos empresariales Jefe de arquitectura
at
er
Comité ejecutivo Director de seguridad de la información Jefe de desarrollo
ia
Director general ejecutivo Dueño del proceso de negocio Jefe de operaciones de TI
lp
Director general financiero Gestor de portafolio Jefe de administración de TI
ro
pi
Director de operaciones Comité estratégico (programas/proyectos) Gestor de servicio
ed
Director de riesgos Gestor de programas Gestor de seguridad de la información
ad
Director de TI Gestor de proyecto Gestor de continuidad del negocio
de
Director de tecnología Oficina de gestión de proyectos Director de privacidad
IS
Director de tecnologías digitales Función de gestión de datos Asesor legal
AC
Consejo de gobierno de I&T Director de recursos humanos Cumplimiento
A
Consejo de arquitectura Gestor de relaciones Auditoría
77 Referencias: Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, Apéndice B

RESPONSABLE Y QUIEN DEBE RENDIR Las empresas
CUENTAS deberían revisar los
niveles de
Los distintos niveles de participación incluidos para estas responsabilidad y
M
estructuras pueden dividirse en niveles de responsabilidad y rendición de
at
cuentas, ,
er
rendición de cuentas.
consultado e
ia
• Los roles de Responsable (R) tienen la función operativa principal
informado y
lp
de completar la actividad y generar el resultado esperado. ¿Quién
actualizar los roles y
ro
realiza la tarea? ¿Quién dirige la tarea?
estructuras
pi
• Los roles de Quien debe rendir cuentas (A) conllevan toda la organizativas del
ed
responsabilidad de rendir cuentas. Como principio, la rendición de cuadro conforme al
ad
cuentas no se puede compartir. ¿Quién rinde cuentas por el éxito y contexto, prioridades
la consecución de la tarea? y terminología
de
preferida de la
IS
empresa.
AC
A
CONSULTADO E INFORMADO
Los profesionales pueden completar cuadros añadiendo dos
M
niveles de participación para roles y estructuras
at
Visto que la
er
organizativas. atribución de roles
ia
• Los roles de Consultado (C) proporcionan información para la consultados e
lp
actividad. ¿Quién está proporcionando información? informados depende
ro
• Los roles de Informado (I) reciben datos de los logros y/o del contexto y las
pi
entregables de la actividad. ¿Quién está recibiendo información? prioridades
ed
organizativas, estos
no se han incluido
ad
en COBIT 2019.
de
IS
AC
A
FLUJOS Y ELEMENTOS DE INFORMACIÓN
Este componente proporciona una guía sobre los flujos y elementos de información
M
vinculados con las prácticas de los procesos. Cada práctica incluye entradas y salidas,
at
er
con indicaciones de origen y destino.
ia
• Cada salida se envía a un único destino o una serie de destinos, por lo general, otra práctica de
lp
proceso de COBIT.
ro
• Las salidas se convierten en entradas de sus destinos.
pi
• Algunas salidas tienen muchos destinos y no se enumeran como entradas en los procesos
ed
destino (para facilitar su lectura).
ad
• Cuando procede, se han incorporado referencias a otros estándares y guías en el componente de
de
flujos y elementos de información.
IS
AC
A
VISUALIZACIÓN DEL COMPONENTE FLUJOS Y ELEMENTOS DE
INFORMACIÓN
M
at
er
ia
lp
ro
pi
ed
ad
• Algunas salidas tienen muchos destinos (p. ej. todos los procesos de COBIT o todos los
de
procesos dentro de un dominio).
IS
• Para facilitar la lectura, estas salidas no se han enumerado como entradas en los procesos
AC
destino.
• Para algunas entradas/salidas, se menciona «interno» como destino si la entrada y la salida se
A
comparten entre actividades dentro del mismo proceso.
COMPONENTE PERSONAS, HABILIDADES Y COMPETENCIAS
Este componente identifica los recursos humanos y habilidades necesarios para lograr
M
un objetivo de gobierno y gestión.
at
er
COBIT 2019 basó esta guía en Skills Framework for the Information Age (SFIA®) V6.
ia
lp
Otras referencias incluyen:
ro
• e-Competence Framework (e-CF) - A common European Framework for ICT Professionals in all
pi
industry sectors - Part 1: Framework.
ed
• «Core Principles for the Professional Practice of Internal Auditing» de The Institute of Internal
ad
Auditors.
de
IS
AC
A
VISUALIZACIÓN DEL COMPONENTE PERSONAS, HABILIDADES Y
COMPETENCIAS
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
COMPONENTE DE POLÍTICAS Y PROCEDIMIENTOS
Este componente proporciona una guía detallada de las políticas y procedimientos
M
relevantes para el objetivo de gobierno y gestión.
at
er
• Se incluye el nombre de políticas y procedimientos relevantes, con una descripción del propósito
ia
y contenido de la política.
lp
• Cuando procede, se han incorporado referencias a otros estándares y guías en el componente de
ro
Principios, políticas y procedimientos.
pi
ed
ad
de
IS
AC
A
VISUALIZACIÓN DEL COMPONENTE DE PRINCIPIOS, POLÍTICAS Y
PROCEDIMIENTOS
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
COMPONENTE CULTURA, ÉTICA Y COMPORTAMIENTO
Este componente proporciona una guía detallada de los elementos culturales deseados
M
dentro de la organización que apoya la consecución de un objetivo de gobierno o
at
er
gestión.
ia
• La documentación relacionada cita los capítulos o secciones específicos dentro de la
lp
documentación relacionada donde puede consultarse más información.
ro
• Cuando corresponde, se incluyen referencias a otros estándares y una guía adicional.
pi
ed
ad
de
IS
AC
A
VISUALIZACIÓN DEL COMPONENTE CULTURA, ÉTICA Y
COMPORTAMIENTO
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
COMPONENTE SERVICIOS, INFRAESTRUCTURA Y APLICACIONES
Este componente proporciona una guía detallada sobre los servicios, tipos de
M
infraestructura y categorías de aplicaciones de terceros que pueden utilizarse para
at
er
favorecer la consecución de un objetivo de gobierno o gestión.
ia
• La guía es genérica (para evitar nombrar a proveedores o productos concretos).
lp
• Las entradas proporcionan una orientación para que las empresas crean su sistema de gobierno
ro
para I&T.
pi
ed
ad
de
IS
AC
A
VISUALIZACIÓN DEL COMPONENTE SERVICIOS,
INFRAESTRUCTURA Y APLICACIONES
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
EJERCICIO DE GRUPO – CASCADA DE METAS
Para cada meta empresarial, marque con un círculo la dimensión del cuadro de mando (balanced
scorecard).
M
at
Meta empresarial Dimensión del BSC
er
Portafolio de productos y servicios Financiera Cliente Interna Crecimiento
ia
competitivos
lp
Innovación de producto y negocio Financiera Cliente Interna Crecimiento
ro
pi
Continuidad y disponibilidad del servicio del Financiera Cliente Interna Crecimiento
ed
negocio
ad
Optimización de costes de los procesos del Financiera Cliente Interna Crecimiento
negocio
de
Gestión de programas de transformación Financiera Cliente Interna Crecimiento
IS
digital
AC
Cultura de servicio orientada al cliente Financiera Cliente Interna Crecimiento
A
Gestión de riesgo del negocio Financiera Cliente Interna Crecimiento
90
90
EJERCICIO DE GRUPO – CASCADA DE METAS
M
Para cada meta de alineamiento, marque con un círculo el objetivo de gobierno o gestión
at
correspondiente que tenga una relación PRIMARIA.
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
91
91
EJERCICIO DE GRUPO – DECLARACIONES DE PROPÓSITO
DE LOS OBJETIVOS DE GOBIERNO Y GESTIÓN
Unir cada declaración de propósito con el objetivo de gobierno o gestión correspondiente.
M
at
Declaración de propósito Objetivos de gobierno y gestión
er
Implementar soluciones de forma segura y conforme a las expectativas y BAI07 MEA04 APO10
ia
resultados acordados. Gestionar la Gestionar el Gestionar los
aceptación y la aseguramiento proveedores
lp
transición de los
ro
cambios de TI
BAI06 EDM02 EDM05
pi
Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de
ruta de la I&T, que la comunicación con las partes interesadas sea eficaz y Gestionar los Asegurar la Asegurar el
ed
oportuna, y que se establezcan las bases para los informes con el fin de cambios de TI obtención de compromiso de
aumentar el rendimiento. Identificar las áreas de mejora y confirmar que los beneficios las partes
ad
objetivos y estrategias relacionados con la I&T se ajusten a la estrategia de la interesadas
empresa.
de
Implementar soluciones de forma segura y conforme a las expectativas y BAI07 BAI10 BAI06
resultados acordados. Gestionar la Gestionar la Gestionar los
IS
aceptación y la configuración cambios de TI
transición de los
AC
cambios de TI
DSS04 DSS06 BAI08
A
Mantener la integridad de la información y la seguridad de los activos de
información manejados dentro de los procesos de negocio, dentro de la Gestionar la Gestionar los Gestionar el
empresa o externalizados. continuidad controles del conocimiento
proceso de
92
92 negocio
EJERCICIO DE GRUPO – COMPONENTES DE GOBIERNO
Unir cada descripción con el componente de gobierno adecuado conforme corresponda a Objetivos
de gobierno y gestión.
M
at
er
Descripción Componentes de gobierno
ia
lp
Para cada práctica, se Proceso Estructuras Información Personas, Políticas Cultura y ética Servicios,
identifican las entradas y organizativas habilidades y infraestructura
ro
competencias y aplicaciones
salidas.
pi
Basado en el Skills Proceso Estructuras Información Personas, Políticas Cultura y ética Servicios,
organizativas habilidades y infraestructura
ed
Framework for the Information
Age, o SFIA.
ad
COBIT 2019 sólo sugiere Proceso Estructuras Información Personas, Políticas Cultura y ética Servicios,
roles de responsable y quien organizativas habilidades y infraestructura
de
debe rendir cuentas.
Servicios de terceros, tipos de Proceso Estructuras Información Personas, Políticas Cultura y ética Servicios,
IS
infraestructura y categorías organizativas habilidades y infraestructura
de aplicaciones que pueden
AC
utilizarse para favorecer la
consecución de un objetivo de
A
gobierno o gestión.
93
93
EJEMPLO DE PREGUNTA
________ de gobierno son factores que, de
M
forma individual y colectiva, contribuyen al buen
at
er
funcionamiento del sistema de gobierno de la
ia
empresa en cuanto a I&T y que se conocían
lp
como habilitadores en COBIT 5.
ro
A. Los componentes
pi
B. Los principios
ed
C. Las prácticas
ad
de
IS
AC
A
94
Referencia:
94 Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 3
EJEMPLO DE PREGUNTA
¿Cuáles son los dos niveles de involucramiento
M
que identifica COBIT 2019 dentro del cuadro
at
er
RACI actualizado?
ia
A. Consultado e informado
lp
B. Responsable y quien debe rendir cuentas
ro
C. Dueño y delegado
pi
ed
ad
de
IS
AC
A
95
Referencia:
EJEMPLO DE PREGUNTA
¿Qué objetivo de gobierno y gestión tiene la
M
siguiente declaración de propósito?
at
er
«Lograr los resultados definidos del proyecto y
ia
reducir el riesgo de retrasos inesperados, costes
lp
y erosión del valor mediante la mejora de las
ro
comunicaciones y la participación del negocio y
pi
ed
los usuarios finales. Garantizar el valor y la
calidad de los entregables del proyecto y
ad
maximizar su contribución al portafolio de
de
inversiones y programas definidos».
IS
A. BAI11 Gestionar proyectos
AC
B. BAI02 Gestionar la definición de requisitos
A
C. APO09 Gestionar los acuerdos de servicio
96
Referencia:
EJEMPLO DE PREGUNTA
¿Qué objetivo de gobierno y gestión tiene la
M
siguiente declaración de propósito?
at
er
«Lograr ventajas competitivas, innovación
ia
empresarial, una mejor experiencia del cliente y
lp
una mayor eficacia y eficiencia operativa con el
ro
aprovechamiento de los desarrollos de I&T y
pi
ed
tecnologías emergentes».
ad
A. APO01 Gestionar el catálogo de servicios
B. APO04 Gestionar la innovación
de
C. BAI08 Gestionar el conocimiento
IS
AC
A
97
Referencia:
EJEMPLO DE PREGUNTA
Dentro de la cascada de metas de COBIT, ¿en
M
qué dimensión del cuadro de mando (Balanced
at
er
Scorecard) encontraría la meta empresarial
ia
«Gestionar programas de transformación
lp
digital»?
ro
A. Alinear, Planificar y Organizar (APO)
pi
B. DevOps
ed
C. Crecimiento
ad
de
IS
AC
A
98
Referencia:
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
MÓDULO 4
AC
INTRODUCCIÓN AL MARCO DE REFERENCIA
A
99
Objetivos de aprendizaje
Temas • Reconocer el público objetivo de COBIT
M
• Gobierno empresarial de I&T
at
2019.
er
• COBIT como marco de referencia de • Reconocer el contexto, los beneficios y
ia
I&T las principales razones por las que
lp
• Público objetivo del marco de COBIT se usa como un marco de
ro
referencia de COBIT 2019 referencia de gobierno de información y
pi
tecnología.
• Formato y arquitectura de productos de
ed
COBIT • Reconocer las descripciones y propósitos
ad
de la arquitectura de producto de COBIT.
• COBIT y otros estándares
• Recordar el alineamiento de COBIT con
de
• Capacitación y certificación
otros marcos de referencia, estándares y
• Discusión en grupo y preguntas
IS
organismos de conocimiento pertinentes.
AC
• Resumen del módulo y ejemplos de • Preparar para el examen de
preguntas Fundamentos de COBIT 2019
A
• (De 5 preguntas – 7% a 9 preguntas –
12%)
100
GOBIERNO EMPRESARIAL DE LA
INFORMACIÓN Y LA TECNOLOGÍA.
A la luz de la transformación digital, la información y
M
la tecnología (I&T) se han vuelto cruciales en el
at
er
apoyo, la sostenibilidad y el crecimiento de las
ia
empresas.
lp
• Anteriormente, los consejos de gobierno y la alta
ro
gerencia podían delegar, ignorar o evitar las decisiones
pi
relacionadas con la I&T.
ed
• En la mayoría de los sectores e industrias, estas
ad
actitudes ahora no son aconsejables.
• Las empresas digitales dependen cada vez más de la
de
I&T para su supervivencia y crecimiento.
IS
• La creación de valor para las partes interesadas suele
AC
venir de la mano de un alto nivel de digitalización en
nuevos modelos de negocio, procesos eficientes, una
A
exitosa innovación, etc.
TI VERSUS I&T
COBIT 2019 usa «TI» para referirse al
M
departamento de la organización cuya principal
at
er
responsabilidad es la tecnología.
ia
COBIT 2019 se centra en el gobierno de la
lp
información y la tecnología (I&T).
ro
pi
El marco de referencia:
ed
• reconoce que la información y la tecnología podría
ad
encontrarse fuera del departamento de TI tradicional.
de
• abarca toda la información y la tecnología que la
empresa genera, procesa y utiliza para lograr sus
IS
objetivos, así como la tecnología para respaldarla en
AC
toda la empresa.
A
BENEFICIOS DEL GOBIERNO
DE LA INFORMACIÓN Y LA
TECNOLOGÍA
M
Fundamentalmente, EL GEIT se preocupa
at
de la creación de valor a partir de la
er
transformación digital y la mitigación del
ia
lp
riesgo de negocio derivado de dicha
ro
transformación. Más concretamente, tras
pi
la adopción satisfactoria del GEIT cabe
ed
esperar tres resultados principales:
ad
• Obtención de beneficios
• Optimización de riesgos
de
• Optimización de recursos
IS
AC
A
PÚBLICO OBJETIVO
M
at
Consejos de
er
administración
ia
lp
Gestión de Dirección
riesgos ejecutiva
ro
pi
Partes
ed
interesadas
internas
ad
Gerentes
de
Proveedores de
aseguramiento de negocio
IS
AC
Gerentes
de TI
A
PARTES INTERESADAS INTERNAS
M
Consejos de administración
at
• Proporciona información sobre cómo obtener valor del uso de la I&T y explica las responsabilidades relevantes del consejo
er
Dirección ejecutiva
ia
• Proporciona las directrices acerca de cómo organizar y monitorear el desempeño de las I&T en el conjunto de la empresa
lp
Gerentes de negocio
ro
• Ayuda a entender cómo obtener las soluciones de I&T que las empresas requieren y la mejor manera de explotar nuevas tecnologías
pi
para acceder a nuevas oportunidades estratégicas
ed
Gerentes de TI
ad
• Proporciona las directrices sobre la mejor manera de crear y estructurar el departamento de TI, gestionar el desempeño de TI, poner
en funcionamiento una operación de TI eficiente y eficaz, controlar el coste de TI, alinear la estrategia de TI con las prioridades del
negocio, etc.
de
Proveedores de aseguramiento
IS
• Ayuda a gestionar la dependencia de proveedores externos de servicio , proveer aseguramiento sobre las TI y asegurar la existencia
de un sistema de controles internos eficaz y eficiente
AC
Gestión de riesgos
A
• Ayuda a garantizar la identificación y gestión de todos los riesgos relacionados con las TI
PÚBLICO OBJETIVO
M
at
er
Reguladores
ia
lp
Partes
ro
interesadas
pi
externas
ed
ad
Socios de
negocios
de
IS
Proveedores
AC
de TI
A
PARTES INTERESADAS EXTERNAS
Reguladores
M
at
• Ayudan a garantizar que la empresa cumpla con las reglas y regulaciones aplicables y
er
cuente con el sistema de gobierno adecuado para gestionar y mantener el cumplimiento.
ia
Socios de negocios
lp
ro
• Ayudan a garantizar que las operaciones de un socio de negocio son seguras, confiables, y
pi
que cumplen con las reglas y regulaciones aplicables.
ed
Proveedores de TI
ad
• Ayudan a garantizar que las operaciones de un proveedor de TI son seguras, confiables, y
de
cumplen con las reglas y regulaciones aplicables.
IS
AC
A
¿QUÉ ES COBIT?
M
at
COBIT es un marco de referencia para el gobierno y la gestión de la información y la tecnología de la empresa,
er
ia
COBIT está dirigido a toda la empresa.
lp
ro
COBIT hace una distinción clara entre gobierno y gestión.
pi
ed
ad
COBIT define los componentes para crear y sostener un sistema de gobierno.
de
COBIT define los factores de diseño que la empresa debería considerar para crear un sistema de gobierno
más adecuado.
IS
AC
COBIT trata asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes en objetivos de
gobierno y gestión que pueden gestionarse según los niveles de capacidad requeridos.
A
¿QUÉ NO ES COBIT?
COBIT no es una descripción completa de
M
at
todo el entorno de TI de una empresa.
er
ia
lp
COBIT no es un marco de referencia para
ro
organizar procesos de negocio.
pi
ed
COBIT no es un marco de referencia técnico
ad
(de TI) para gestionar toda la tecnología.
de
IS
COBIT no toma ni prescribe ninguna decisión
AC
relacionada con las TI.
A
FORMATO Y ARQUITECTURA DE PRODUCTOS DE COBIT
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
FORMATO Y ARQUITECTURA DE PRODUCTOS DE COBIT
M
at
Marco de referencia COBIT® 2019: Introducción y metodología
er
ia
lp
ro
Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión
pi
ed
ad
Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno
de Información y Tecnología
de
IS
Guía de implementación COBIT® 2019: Implementación y optimización
AC
de una solución de gobierno de Información y Tecnología
A
111 Referencia: Marco de referencia COBIT 2019: Introducción y metodología Capítulo 4 Conceptos Básicos
COBIT Y OTROS ESTÁNDARES
Una de las reglas de oro que se aplicó a lo largo de
M
todo el desarrollo de COBIT 2019 fue mantener la
at
er
posición de COBIT como marco de referencia
ia
general (sombrilla). Esto significa que COBIT 2019
lp
sigue alineado con una serie de estándares, marcos
ro
de referencia y/o regulaciones relevantes.
pi
• COBIT no contradice ninguna directriz de los estándares
ed
relacionados.
ad
• COBIT no copia los contenidos de dichas estándares
relacionados.
de
• COBIT proporciona declaraciones o referencias
IS
equivalentes a las directrices vinculadas.
AC
A
112 Referencia: Marco de referencia COBIT 2019: Introducción y metodología Capítulo 10 COBIT y otros estándares
PLAN DE CAPACITACIÓN Y CERTIFICACIÓN DE COBIT 2019
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
113
EJEMPLO DE PREGUNTA
¿Cuáles de los siguientes describe mejor a COBIT?
M
at
A. COBIT es un marco de referencia para el gobierno y la gestión de la
er
información y la tecnología de la empresa.
ia
B. COBIT es una descripción completa de todo el entorno de TI de una
lp
empresa.
ro
C. COBIT es un marco de referencia para organizar procesos de negocio.
pi
ed
ad
de
IS
AC
A
114
115
A
AC
IS
de
ad
ed
pi
ro
lp
ia
er
at
M
MÓDULO 5
PRINCIPIOS
Temas
M
• Principios del «sistema» de gobierno
at
er
• Principios del «marco de referencia» de gobierno
ia
lp
ro
pi
Objetivos de aprendizaje
ed
• Entender y describir los principios del “sistema” de gobierno y del «marco de
ad
referencia» de gobierno.
de
• Prepararse para el examen de Fundamentos de COBIT 2019
IS
AC
• (De 9 preguntas – 12% a 10 preguntas 13%)
A
116
PRINCIPIOS
M
COBIT® 2019 se desarrolló en base a
at
dos grupos de principios:
er
• Principios que describen los requisitos
ia
lp
fundamentales de un sistema de gobierno
ro
para la información y la tecnología de la
pi
empresa.
ed
• Principios para un marco de referencia de
ad
gobierno que puede usarse para crear un
sistema de gobierno para la empresa.
de
IS
AC
A
117
PRINCIPIOS DEL SISTEMA DE
GOBIERNO
Proporcionar
M
valor a las
at
partes
interesadas
er
ia
Hay seis principios para un sistema de Sistema de Enfoque
lp
gobierno íntegro holístico
gobierno. – End to End
ro
pi
Se trata de los requisitos fundamentales
ed
de un sistema de gobierno para la
ad
información y la tecnología de la Adaptado a las Sistema de
necesidades de gobierno
de
empresa. la empresa dinámico
IS
Diferenciar
AC
gobierno de
gestión
A
118
GOBIERNO
Proporcionar
M
valor a las
at
partes
interesadas
er
Proporcionar valor a las partes
ia
Sistema de Enfoque
interesadas
lp
Cada empresa necesita un sistema de – End to End
ro
gobierno para satisfacer las necesidades
pi
ed
de las partes interesadas y generar valor
ad
del uso de la I&T. El valor refleja un Adaptado a las Sistema de
equilibrio entre beneficios, riesgos y necesidades de gobierno
de
la empresa dinámico
recursos, y las empresas necesitan una
IS
estrategia y un sistema de gobierno Diferenciar
AC
práctico para materializar este valor. gobierno de
gestión
A
119
GOBIERNO
Proporcionar
M
valor a las
at
partes
interesadas
er
ia
Sistema de Enfoque
lp
Enfoque holístico – End to End
ro
Un sistema de gobierno para la I&T de la
pi
ed
empresa se crea a partir de una serie de
ad
componentes que pueden ser de distinto Adaptado a las Sistema de
tipo y que funcionan conjuntamente de necesidades de gobierno
de
forma holística.
IS
Diferenciar
AC
gobierno de
gestión
A
120
GOBIERNO
Proporcionar
M
valor a las
at
partes
interesadas
er
ia
Sistema de gobierno dinámico Sistema de Enfoque
lp
Un sistema de gobierno debería ser gobierno íntegro holístico
– End to End
ro
dinámico. Esto significa que cada vez que
pi
se cambian uno o más factores del diseño
ed
(p. ej. un cambio de estrategia o
ad
tecnología), debe considerarse el impacto Adaptado a las Sistema de
de
de estos cambios en el sistema de GEIT. la empresa dinámico
Una visión dinámica de GEIT llevará a un
IS
sistema de GEIT preparado para el futuro. Diferenciar
AC
gobierno de
gestión
A
121
GOBIERNO
Proporcionar
M
valor a las
at
partes
interesadas
er
ia
Sistema de Enfoque
lp
– End to End
ro
Diferenciar gobierno de gestión
pi
ed
Un sistema de gobierno debe distinguir
ad
claramente entre actividades de gobierno Adaptado a las Sistema de
y actividades de gestión, y estructuras. necesidades de gobierno
de
IS
Diferenciar
AC
gobierno de
gestión
A
122 Referencia: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 3 Principios de COBIT
GOBIERNO
Proporcionar
M
valor a las
at
partes
interesadas
er
ia
Sistema de Enfoque
Adaptado a las necesidades de la
lp
empresa – End to End
ro
Un sistema de gobierno debe
pi
ed
personalizarse de acuerdo con las
Adaptado a
ad
necesidades de la empresa, con una Sistema de
las
conjunto de factores de diseño como necesidades
gobierno
de
dinámico
parámetros para personalizar y priorizar de la empresa
IS
los componentes del sistema de gobierno. Diferenciar
AC
gobierno de
gestión
A
GOBIERNO
Proporcionar
M
valor a las
at
partes
interesadas
er
Sistema de gobierno íntegro – End to
Sistema de
ia
End gobierno Enfoque
lp
Un sistema de gobierno debería cubrir la íntegro – End holístico
ro
empresa de principio a fin y centrarse no to End
pi
solo en la función de TI, sino en todo el
ed
procesamiento de tecnología e
ad
información que la empresa pone en Adaptado a las Sistema de
de
funcionamiento para lograr sus objetivos, la empresa dinámico
independientemente de su ubicación en la
IS
empresa. Diferenciar
AC
gobierno de
Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance gestión
A
Dynamics: Evidence from a Single Case Study,” Proceedings of the 51st Hawaii
International Conference on System Sciences, 2018
PRINCIPIOS DEL MARCO DE
REFERENCIA DE GOBIERNO
M
at
er
ia
lp
Los tres principios para un
marco de referencia de Basado en
ro
un modelo
gobierno identifican los
pi
conceptual
ed
principios subyacentes para
Abierto y
ad
un marco de referencia de
gobierno que pueda usarse flexible
de
para crear un sistema de Alineado
con los
IS
gobierno para la empresa.
principales
AC
estándares
A
125
M
at
er
Basado en un modelo
ia
lp
conceptual Basado en
ro
Un marco de referencia de un modelo
pi
gobierno se debería basar en un conceptual
ed
modelo conceptual que
Abierto y
ad
identifique los componentes
principales y las relaciones entre flexible
de
componentes para maximizar la Alineado
consistencia y permitir la con los
IS
automatización. principales
AC
estándares
A
126
M
at
er
Abierto y flexible
ia
Un marco de referencia de
lp
gobierno debería ser abierto Basado en
ro
y flexible. Debería permitir la un modelo
pi
incorporación de nuevo conceptual
ed
contenido y la capacidad
Abierto y
ad
para abordar nuevos flexible
de
asuntos de la forma más
Alineado
flexible, mientras mantiene con los
IS
la integridad y la principales
AC
consistencia. estándares
A
127
M
at
er
ia
Alineado con los
lp
principales estándares Basado en
ro
un modelo
Un marco de referencia de
pi
conceptual
ed
gobierno debería alinearse
Abierto y
ad
con los principales
estándares, marcos de flexible
de
referencia y regulaciones Alineado
con los
IS
relacionados.
principales
AC
estándares
A
128
EJEMPLO DE PREGUNTA
¿Cuál es la principal diferencia entre los principios del sistema de
M
gobierno y los principios del marco de referencia del gobierno?
at
er
A. Los principios del sistema de gobierno se centran en las necesidades de
ia
las partes interesadas mientras que los principios del marco de referencia
lp
de gobierno se centran en las necesidades de la información y la
ro
tecnología (I&T).
pi
B. Los principios del sistema de gobierno y los principios del marco de
ed
referencia de gobierno son lo mismo en COBIT 2019.
ad
C. Los principios del sistema de gobierno describen los requisitos
de
fundamentales de un sistema de gobierno, mientras que los principios del
marco de referencia de gobierno se centran en construir ese sistema de
IS
gobierno.
AC
A
129
129
EJEMPLO DE PREGUNTA
«Un sistema de gobierno debe personalizarse de acuerdo con las
M
necesidades de la empresa, utilizando una serie de factores de diseño
at
er
como parámetros para personalizar y priorizar los componentes del
ia
sistema de gobierno» es un ejemplo, ¿de qué principio del sistema de
lp
gobierno?
ro
A. Adaptado a las necesidades de la empresa
pi
B. Abierto y flexible
ed
C. Cascada de metas
ad
de
IS
AC
A
130
130
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
MÓDULO 6
AC
GESTIÓN DEL DESEMPEÑO
A
131
MÓDULO 6 TEMAS Y OBJETIVOS
Temas Objetivos
M
• Definición, principios y descripción • Diferenciar la gestión del desempeño
at
er
general de gestión del desempeño basada en COBIT mediante perspectivas
ia
• Gestión del desempeño de procesos de madurez y capacidad.
lp
• Gestión del desempeño de otros • Prepararse para el examen de
ro
componentes del sistema de gobierno Fundamentos de COBIT 2019
pi
ed
ad
• (3 Preguntas – 4%)
de
IS
AC
A
132
DEFINICIÓN Y PRINCIPIOS DE GESTIÓN DEL
DESEMPEÑO DE COBIT
La gestión del desempeño de COBIT se refiere hasta qué El término «Gestión
M
punto funciona bien el sistema de gobierno y gestión y todos del desempeño de
at
COBIT» (CPM, por
er
los componentes de una empresa, y cómo pueden mejorarse
sus siglas en inglés)
ia
hasta el nivel requerido. Incluye conceptos y métodos como
se usa para describir
lp
niveles de capacidad y niveles de madurez. COBIT 2019 se
estas actividades, y
ro
basa en los principios siguientes:
el concepto forma
pi
• Fácil de entender y usar parte íntegra del
ed
• Consistente con, y apoyando, el modelo conceptual de COBIT marco de referencia
ad
• Proporcionar resultados confiables, repetibles y relevantes COBIT.
de
• Debe ser flexible
• Debería admitir distintos tipos de evaluaciones
IS
AC
A
133 Referencia: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 6, Gestión del desempeño en COBIT
VISIÓN GENERAL DE LA GESTIÓN DEL DESEMPEÑO DE COBIT
El modelo CPM está en gran parte alineado y amplía los conceptos de CMMI®
M
Development 2.0:
at
er
• Las actividades del proceso están asociadas con los niveles de capacidad. Esto está incluido en
ia
la guía Marco de referencia COBIT: Objetivos de gobierno y gestión.
lp
• Otros tipos de componentes de gobierno y gestión (como las estructuras organizativas,
ro
información) también podrían tener niveles de capacidad definidos para ellos en guías futuras
pi
que ISACA pudiera publicar.
ed
• Los niveles de madurez están asociados con áreas prioritarias (como una colección de objetivos
ad
de gobierno y gestión y los componentes subyacentes) y se alcanzará si se obtienen todos los
niveles de capacidad requeridos.
de
IS
AC
A
VISIÓN GENERAL DE LA GESTIÓN DEL DESEMPEÑO DE COBIT
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
GESTIONAR EL DESEMPEÑO DE PROCESOS
AC
A
136
NIVELES DE CAPACIDAD DEL PROCESO
COBIT 2019 admite un esquema de capacidad
M
de procesos basado en CMMI. El proceso
at
er
dentro de cada objetivo de gobierno y gestión
ia
puede funcionar con distintos niveles de
lp
capacidad, que van de 0 a 5.
ro
pi
ed
ad
de
IS
AC
A
VALORAR LOS NIVELES DE CAPACIDAD
Un nivel de capacidad puede alcanzarse en distinto grado, lo cual puede expresarse mediante una
M
serie de valoraciones. El rango de valoraciones disponible depende del contexto en el que se
at
realiza la evaluación del desempeño.
er
ia
Algunos métodos formales que conducen a una certificación independiente usan una serie de
lp
valoraciones binarias de aprobado/falla.
ro
pi
Los métodos menos formales, que suelen usarse con frecuencia en contextos de mejora del
ed
desempeño, funcionan mejor con una serie de indicadores más amplio, como el conjunto siguiente:
• Completamente: El nivel de capacidad se alcanza para más del 85 por ciento.
ad
• Este sigue siendo un juicio personal, pero puede corroborarse mediante el examen o evaluación de los
de
componentes del habilitador, como las actividades del proceso, las metas del proceso o las buenas
prácticas de la estructura organizativa.
IS
• Ampliamente o En gran parte: El nivel de capacidad se alcanza para entre el 50 por ciento y el 85 por ciento.
AC
• Parcialmente: El nivel de capacidad se alcanza para entre el 15 por ciento y el 50 por ciento.
A
• No: El nivel de capacidad se alcanza para menos del 15 por ciento.
NIVELES DE MADUREZ DEL ÁREA PRIORITARIA O DE ENFOQUE
M
at
er
Los niveles de madurez pueden
ia
usarse cuando se precisa un nivel
lp
más alto para el desempeño
ro
expresado. COBIT 2019 define los
pi
niveles de madurez como una
ed
medida de desempeño
ad
a nivel del área prioritaria o de
de
Enfoque.
IS
AC
A
EJEMPLO DE PREGUNTA
¿Cuál de los siguientes es un principio clave de la gestión del
M
desempeño de COBIT (CPM)?
at
er
A. La CPM debería incluir 5 niveles de capacidad y madurez.
ia
B. Debe completarse la evaluación del desempeño solo a nivel del
lp
componente de gobierno.
ro
C. La CPM debería admitir distintos tipos de evaluaciones.
pi
ed
ad
de
IS
AC
A
140
EJEMPLO DE PREGUNTA
¿Qué esquema de capacidades de procesos basados en la industria
M
admite la gestión del desempeño de COBIT 2019?
at
er
A. Un esquema de capacidades de procesos basado en CMMI.
ia
B. COBIT tiene su propio esquema de capacidad y no admite ningún marco
lp
de referencia basado en la industria.
ro
C. Skills Framework for the Information Age (SFIA).
pi
ed
ad
de
IS
AC
A
141
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
MÓDULO 7
AC
DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO
A
142
Temas
M
• Introducción al diseño de un sistema de gobierno personalizado
at
er
• Impacto de los factores de diseño
ia
• Diseño de un sistema de gobierno personalizado
lp
ro
pi
Objetivos
ed
• Descubrir cómo diseñar un sistema de gobierno personalizado usando COBIT
ad
• Preparar para el examen de Fundamentos de COBIT 2019
de
IS
• (5 Preguntas – 7%)
AC
A
143
INTRODUCCIÓN AL DISEÑO DE UN SISTEMA DE GOBIERNO
PERSONALIZADO
El gobierno de una materia compleja, como la información y la tecnología, requiere de
M
multitud de componentes, como procesos, estructuras organizativas, flujos de
at
er
información, comportamientos, etc.
ia
Todos estos deben funcionar conjuntamente de modo sistémico.
lp
ro
Por ello, nos referiremos a la solución de gobierno personalizada que toda empresa
pi
debe crear como el «sistema de gobierno para la información y la tecnología de la
ed
empresa» o «sistema de gobierno», en su forma abreviada.
ad
de
IS
AC
A
144 Referencia: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 7 Diseño de un sistema de gobierno personalizado
LA NECESIDAD DE PERSONALIZACIÓN
Cada empresa es distinta en diversos aspectos: tamaño, sector, entorno regulatorio, escenario de
M
amenazas, rol de TI para la organización, opciones tácticas relacionadas con la tecnología y otros.
at
er
COBIT se refiere colectivamente a estos «factores de diseño», que se analizaron en el módulo 4.
ia
lp
Las organizaciones deberían personalizar sus sistemas de gobierno para obtener el máximo valor
ro
de su uso de la información y la tecnología.
pi
No hay un único sistema de gobierno para la información y la tecnología de la empresa que encaje
ed
en todos los casos.
ad
Dicha personalización significa que una empresa empieza con el modelo Core de COBIT, y aplica
de
cambios al marco de referencia genérico dependiendo de la relevancia e importancia de una serie
IS
de factores de diseño.
AC
Este proceso se denomina «diseñar el sistema de gobierno para la información y la tecnología de
A
la empresa».
FACTORES DE DISEÑO
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
IMPACTO DE LOS FACTORES
DE DISEÑO
Prioridad del
M
objetivo de gestión
y niveles de
at
capacidad objetivo
er
ia
lp
ro
Los factores de diseño influyen de modo
pi
ed
distinto en la personalización del sistema
Factores de
ad
de gobierno de una empresa. Existen tres diseño
tipos distintos de impactos.
de
IS
Áreas prioritarias o
Variaciones de
de Enfoque
AC
componentes
específicas
A
IMPACTO DE LOS FACTORES DE DISEÑO
M
at
Prioridad del
er
objetivo de
gestión y
ia
niveles de
capacidad Prioridad del objetivo de gestión y
lp
objetivo
niveles de capacidad objetivo
ro
La influencia de los factores de diseño puede hacer
pi
que algunos objetivos de gobierno y gestión sean más
ed
importantes que otros. En la práctica, esta mayor
Factores
ad
de importancia se traduce en el establecimiento de unos
diseño niveles de capacidad objetivo más altos.
de
Áreas
IS
prioritarias o Variaciones de
de Enfoque componentes
AC
específicas
A
Prioridad del objetivo de gestión y niveles de capacidad objetivo - EJEMPLOS
Cuando una empresa identifica la(s) meta(s) más relevante(s) de la lista de metas empresariales y aplica la
M
cascada de metas, la llevará a una selección de objetivos de gestión prioritarios. Por ejemplo, cuando EG01
at
Portafolio de productos y servicios competitivos es calificado como muy alto por una empresa, hará que el
er
objetivo de gestión APO05 Gestión de Portafolio sea una parte importante de este sistema de gobierno
ia
empresarial.
lp
Una empresa que es muy adversa al riesgo dará más prioridad a los objetivos de gestión que aspiren a
ro
gobernar y gestionar el riesgo y la seguridad. Los objetivos de gobierno y gestión EDM03 Asegurar la
pi
optimización del riesgo, APO12 Gestionar el riesgo, APO13 Gestionar la seguridad y DSS05 Gestionar los
ed
servicios de seguridad se convertirán en partes importantes de ese sistema de gobierno de la empresa y
ad
tendrán unos niveles de capacidad objetivo más altos definidos para ellos.
de
Una empresa que opera en un escenario de grandes amenazas requerirá un alto nivel de capacidad de los
procesos relacionados con la seguridad: APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de
IS
seguridad.
AC
Una empresa en la que el rol de TI es estratégico y crucial para el éxito del negocio requerirá una gran
A
participación de los roles relacionados con TI en las estructuras organizativas, un conocimiento profundo del
negocio de los profesionales de TI (y viceversa) y un foco en procesos estratégicos como APO02 Gestionar la
estrategia y APO08 Gestionar las relaciones.
M
at
Prioridad del
er
objetivo de
gestión y
ia
niveles de
capacidad
lp
objetivo
Variaciones de componentes
ro
pi
Los componentes deben alcanzar los objetivos de
ed
gobierno y gestión. Algunos factores de diseño pueden
Factores
ad
de influir en la importancia de uno o más componentes o
diseño pueden requerir variaciones específicas.
de
Áreas
IS
Variaciones de
prioritarias
componentes
específicas
AC
A
Variación de componentes - EJEMPLOS
M
at
Las pequeñas y medianas empresas podrían no necesitar una serie exhaustiva de roles y
er
estructuras organizativas, como se mostraba en el modelo Core de COBIT, pero podrían usar una
ia
serie reducida. Esta serie reducida de objetivos de gobierno y gestión y los componentes incluidos
lp
se define en el área prioritaria de pequeñas y medianas empresas (en desarrollo).
ro
pi
Una empresa que opera en un entorno muy regulado podría atribuir mayor importancia a productos
ed
de trabajo y políticas y procedimientos documentados y a algunos roles, como la función de oficial
de cumplimiento.
ad
Una empresa que usa DevOps en el desarrollo de soluciones y operaciones requerirá actividades
de
específicas, estructuras organizativas, cultura, etc., centradas en BAI03 Gestionar la identificación y
IS
construcción de soluciones y DSS01 Gestionar las operaciones.
AC
A
M
at
Prioridad del
er
objetivo de
gestión y
ia
niveles de
capacidad
lp
objetivo
Áreas prioritarias o de Enfoque específicas
ro
Algunos factores de diseño, como el escenario de
pi
amenazas, riesgo específico, métodos de desarrollo
ed
Factores objetivo y configuración de infraestructuras, impulsará la
ad
de necesidad para variar el contenido del modelo Core de
diseño
COBIT para un contexto determinado.
de
Áreas
IS
prioritarias o Variaciones de
de Enfoque componentes
AC
específicas
A
Áreas prioritarias o de Enfoque específicas - EJEMPLOS
M
at
Las empresas que adoptan un método DevOps requieren un sistema de gobierno con una variante de
er
diversos procesos de COBIT genéricos, descritos en la guía del área prioritaria de DevOps (en
ia
desarrollo) para COBIT.
lp
ro
Las pequeñas y medianas empresas tienen menos personal, menos recursos de TI y líneas de
pi
mando jerárquicas más cortas y directas, además difieren en muchos aspectos de las empresas
ed
grandes. Por ese motivo, su sistema de gobierno para TI I&T tendrá que ser menos costoso,
comparado con las grandes empresas. Esto se describe en la guía del área prioritaria de PYMES de
ad
COBIT (en desarrollo).
de
IS
AC
A
DISEÑO DE UN SISTEMA PERSONALIZADO
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
EJEMPLO DE PREGUNTA
Diseñar un sistema de gobierno personalizado derivará en
M
recomendaciones para priorizar los objetivos de gobierno y gestión o
at
er
componentes del sistema de gobierno relacionados con estos, para
ia
____________, o para adoptar variantes específicas de un
lp
componente del sistema de gobierno.
ro
A. alcanzar niveles de capacidad
pi
B. documentar las cuatro dimensiones habilitadoras
ed
C. documentar la responsabilización y las responsabilidades más
ad
adecuadas
de
IS
AC
A
155
155 Referencias: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 7 Diseño de un sistema de gobierno personalizado Guía de diseño de COBIT
EJEMPLO DE PREGUNTA
¿Cuáles de las siguientes series de pasos es la correcta en el flujo de
M
trabajo del diseño del sistema de gobierno?
at
er
A. Entender el contexto y la estrategia de la empresa; determinar el alcance
ia
inicial del sistema de gobierno; perfeccionar el alcance del sistema de
lp
gobierno; finalizar el diseño del sistema de gobierno.
ro
B. Cuáles son los impulsores; dónde estamos ahora; dónde queremos estar;
pi
qué es preciso hacer; cómo conseguiremos llegar; lo logramos; cómo
ed
mantenemos el impulso.
ad
C. Dirigir el sistema de gobierno; planificar el sistema de gobierno; construir
de
el sistema de gobierno; ejecutar el sistema de gobierno; monitorizar el
sistema de gobierno.
IS
AC
A
156
156 Referencias: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 7 Diseño de un sistema de gobierno personalizado Guía de diseño de COBIT
EJEMPLO DE PREGUNTA
¿En qué fase del flujo de trabajo del diseño del sistema de gobierno
M
consideraría una empresa los problemas actuales relacionados con
at
er
I&T?
ia
A. Entender la estrategia de la empresa
lp
B. Determinar el alcance inicial del sistema de gobierno
ro
C. Programa del plan
pi
ed
ad
de
IS
AC
A
157
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
MÓDULO 8
AC
IMPLEMENTAR EL GOBIERNO DE TI DE LA EMPRESA
A
158
Temas
M
• Propósito y alcance de la guía de implementación
at
er
• Fases de implementación
ia
• Relaciones entre la guía de diseño y la guía de implementación
lp
ro
pi
Objetivos
ed
• Entender y recordar las fases de la estrategia de implementación de COBIT.
ad
• Describir las relaciones entre las guías de diseño y las guías de implementación
de
de COBIT.
IS
AC
• (De 5 preguntas – 7% a 6 preguntas – 8%)
A
159
PROPÓSITO Y ALCANCE DE LA GUÍA DE IMPLEMENTACIÓN
M
at
er
La Guía de implementación
ia
lp
COBIT 2019 destaca una visión
ro
de gobierno de I&T que abarca
pi
toda la empresa. Reconoce que
ed
I&T está en todas las áreas de las
ad
empresas y que no es ni posible ni
es una buena práctica separar las
de
actividades empresariales y las de
IS
TI.
AC
A
160 Referencia: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 8, Implementar el gobierno de la empresa de TI
CICLO DE VIDA DE LA IMPLEMENTACIÓN
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
AC
A
161
FASE 1: ¿CUÁLES SON LOS IMPULSORES?
La fase 1 del método de implementación identifica los
M
impulsores de cambio actuales y crea, a nivel de la gestión
at
ejecutiva, el deseo de cambiar, que se expresa como una
descripción de un caso de negocio.
er
ia
Un impulsor del cambio es un evento interno o externo, una
lp
condición o problema importante que sirve como estímulo para
el cambio. Eventos, tendencias (industria, mercado o técnica),
ro
falta de rendimiento, implementaciones de software e incluso
las metas empresariales pueden actuar en su conjunto como
pi
impulsores del cambio.
ed
El riesgo asociado a la implementación del propio programa se
ad
describe en el caso de negocio y se gestiona a lo largo del ciclo
de vida.
de
La preparación, mantenimiento y monitorización de un caso de
IS
negocio son disciplinas fundamentales e importantes para
justificar, apoyar y, a continuación, garantizar resultados
AC
satisfactorios para cualquier iniciativa, incluida la mejora del
sistema de gobierno. Así se asegura un foco continuo en los
A
• Gestión del programa • Habilitación del cambio • Ciclo de vida de mejora continua
beneficios del programa y su obtención.
(círculo exterior) (círculo medio) (círculo interior)
162 Referencia: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 8, Implementar el gobierno de TI de la empresa
FASE 2: ¿DÓNDE ESTAMOS AHORA?
La fase 2 alinea los objetivos relacionados con
I&T con las estrategias y el riesgo empresarial y
M
prioriza las metas empresariales, metas de
at
alineamiento y procesos más importantes.
er
ia
La guía de diseño COBIT® 2019 proporciona
lp
varios factores de diseño para ayudar a la
selección.
ro
pi
Con base en las metas empresariales y las
ed
relacionadas con TI seleccionadas y otros
ad
factores de diseño, la empresa debe identificar
los objetivos de gobierno y gestión críticos y los
de
procesos subyacentes que tengan la capacidad
suficiente para asegurar resultados satisfactorios.
IS
La dirección debe conocer su capacidad actual y
AC
donde podría haber deficiencias. Esto puede
A
• Gestión del programa • Habilitación del cambio • Ciclo de vida de mejora continua lograrse mediante una evaluación del estado
(círculo exterior) (círculo medio) (círculo interior) actual de la capacidad de los procesos
seleccionados.
FASE 3: ¿DÓNDE QUEREMOS ESTAR?
M
La fase 3 establece un objetivo de
at
er
mejora seguido de un análisis gap para
ia
identificar posibles soluciones.
lp
Algunas soluciones serán ganancias
ro
rápidas y otras serán tareas más
pi
ed
desafiantes a largo plazo. La prioridad
debería otorgarse a los proyectos cuya
ad
consecución resulte más fácil y que
de
probablemente proporcionen los
IS
mayores beneficios. Las tareas a más
AC
largo plazo deben desglosarse en
piezas manejables.
A
FASE 4: ¿QUÉ ES PRECISO HACER?
M
at
er
La fase 4 describe cómo planificar
ia
soluciones factibles y prácticas
lp
mediante la definición de proyectos
ro
apoyados por casos de negocio
pi
justificables y un plan de cambio para
ed
la implementación. Un caso de negocio
ad
bien desarrollado puede contribuir a
de
garantizar que los beneficios del
proyecto se identifiquen y monitoricen
IS
continuamente.
AC
A
FASE 5: ¿CÓMO CONSEGUIREMOS LLEGAR?
La fase 5 contempla la implementación
M
de las soluciones propuesta a través de
at
er
prácticas diarias y establece medidas y
ia
sistemas de monitorización para
lp
garantizar que se logra el alineamiento
ro
con el negocio y que se puede medir el
pi
desempeño.
ed
Para tener éxito se requiere conciencia,
ad
comunicación, comprensión y
de
compromiso de la alta dirección, y
IS
propiedad de los dueños de los
AC
procesos del negocio y de TI afectados.
A
FASE 6: ¿LO LOGRAMOS?
M
at
er
ia
lp
La fase 6 se centra en la transición
ro
sostenible de las prácticas de gobierno
pi
y gestión mejoradas a operaciones de
ed
negocio normales. Se centra además
ad
en la monitorización de las mejoras
usando las métricas de desempeño y
de
los beneficios esperados.
IS
AC
A
FASE 7: ¿CÓMO MANTENEMOS EL IMPULSO?
La fase 7 revisa el éxito general de la iniciativa,
M
identifica otros requisitos de gobierno y gestión y
refuerza la necesidad de una mejora continua. También
at
prioriza más oportunidades para mejorar el sistema de
er
gobierno.
ia
lp
La gestión de programas y proyectos se basa en
buenas prácticas y proporciona puntos de control en
ro
cada una de las siete fases para garantizar que el
pi
desempeño del programa va por buen camino, el caso
ed
de negocio y el riesgo están actualizados, y la
planificación de la fase siguiente se ha ajustado como
ad
corresponde. Se asume que el enfoque estándar de la
empresa se seguirá.
de
Puede encontrar más ayuda sobre la gestión de
IS
programas y proyectos en los objetivos de gestión de
AC
COBIT BAI01 Gestionar los programas y BAI11
Gestionar los proyectos. Aunque la presentación de
informes no se menciona de forma explícita en ninguna
A
de las fases, se trata de un hilo continuo durante todas
las fases e iteraciones.
RELACIONES ENTRE LA GUÍA DE DISEÑO Y LA GUÍA DE
IMPLEMENTACIÓN
El flujo de trabajo que se explica en la Guía de diseño COBIT 2019 elabora una serie de tareas definidas en la
M
guía de implementación y tiene los siguientes puntos de conexión:
at
Guía de implementación COBIT Guía de diseño COBIT
er
ia
Fase 1:
lp
¿Cuáles son los impulsores? Paso 1: Entender el contexto y estrategia de la empresa.
ro
(Tareas de mejora continua [CI], por sus
siglas en inglés)
pi
ed
Fase 2: Paso 2: Determinar el alcance inicial del sistema de gobierno
ad
¿Dónde estamos ahora? Paso 3: Perfeccionar o Refinar el alcance del sistema de gobierno
(tarea CI) Paso 4: Finalizar el diseño del sistema de gobierno
de
IS
Fase 3:
AC
¿Dónde queremos estar? Paso 4: Finalizar el diseño del sistema de gobierno
(tareas CI)
A
EJEMPLO DE PREGUNTA
¿Cuál es la mejor descripción del alineamiento
M
entre las guías de implementación y las guías de
at
er
diseño de COBIT?
ia
A. Ambas definen los mismos objetivos de gobierno
lp
y gestión que contribuyen a la adopción y al
ro
marco de referencia de gobierno de la empresa.
pi
B. Ambas estrategias cuentan con siete pasos, y
ed
todos esos pasos están alineados entre sí.
ad
C. La guía de diseño de COBIT se alinea
de
principalmente con las tres primeras fases del
ciclo de vida de la implementación.
IS
AC
A
170
170
EJEMPLO DE PREGUNTA
¿En qué fase del ciclo de vida de la
M
implementación «definiría la hoja de ruta» de la
at
er
implementación una empresa?
ia
A. Fase 3: ¿Dónde queremos estar?
lp
B. Fase 6: ¿Lo logramos?
ro
C. Fase 1: Evaluación del estado actual
pi
ed
ad
de
IS
AC
A
Referencia: Marco de referencia COBIT 2019: Introducción y metodología, Capítulo 8, Implementar 171
171 el gobierno de TI de la empresa
172
A
AC
IS
de
ad
ed
pi
ro
lp
ia
er
at
M
MÓDULO 9
CIERRE
RESUMEN DEL CURSO
Ahora que ha finalizado el curso, debería poder:
M
Reconocer el contexto, los beneficios y las principales Entender la relación entre los objetivos de gobierno y
at
razones por las que COBIT se usa como un marco de gestión y los componentes de gobierno.
er
referencia de información y tecnología.
Diferenciar la gestión del desempeño basada en COBIT
ia
Reconocer las descripciones y propósitos de la mediante perspectivas de madurez y capacidad.
lp
arquitectura de producto de COBIT.
Descubrir cómo diseñar un sistema de gobierno
ro
Recordar el alineamiento de COBIT con otros marcos personalizado usando COBIT.
pi
de referencia, estándares y organismos de
ed
conocimiento pertinentes. Explicar los puntos principales del caso de negocio de
COBIT.
ad
Entender y describir los principios del «sistema» de
gobierno y del «marco de referencia» de gobierno. Entender y recordar las fases de la estrategia de
de
implementación de COBIT.
Describir los componentes de un sistema de gobierno.
IS
Describir las relaciones entre las guías de diseño y las
AC
Entender la estructura y los contenidos generales de la guías de implementación de COBIT.
cascada de metas.
A
Preparar para el examen de Fundamentos de COBIT
Recordarlos 40 objetivos de gobierno y gestión y sus 2019
declaraciones de propósito.
173
M
at
er
ia
lp
ro
pi
ed
ad
de
IS
PREGUNTAS
AC
A
Copyright © 2018 Information Systems Audit and Control Association, Inc. All rights reserved.
174

1 - COBIT - Foundation - Online (Solo Lectura)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1 - COBIT - Foundation - Online (Solo Lectura)

Cargado por

Copyright:

Formatos disponibles

M

La información incluida en esta sesión podría contener información privilegiada y

Entrenador COBIT 2019 Fundamentos

COBIT ® es un marco de referencia para el

• Gestión del desempeño

Este examen de Fundamentos de COBIT se ha diseñado para poner

Temas Objetivos de aprendizaje

Las metas de alineamiento subrayan

Para que la información y la tecnología contribuyan a los objetivos de la empresa,

Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los

El marco de referencia COBIT hace una

El gobierno garantiza que:

Gestión planifica, construye, ejecuta y monitorea actividades en alineación con la

prácticas y actividades organizadas

cualquier organización e incluye toda la

La Cultura, Ética y Comportamiento de

Los componentes genéricos se describen en el modelo core de

Un área prioritaria o de Enfoque describe un tópico, dominio

Figura 4.6—Factor de diseño de metas empresariales

Los requerimientos de cumplimiento a los que la empresa está sujeta pueden

El rol de TI para la empresa puede clasificarse tal como se muestra a continuación.

Los métodos de implementación de TI que la empresa adopta pueden clasificarse como

Un objetivo de gobierno o gestión siempre está relacionado con _____

¿Cuál de los siguientes NO es un componente del sistema de

______________ son factores que pueden influir en el diseño del

¿Cuál de los siguientes es un factor de diseño para un sistema de

Temas Objetivos de aprendizaje

Área prioritaria: Modelo Core de COBIT

62 Referencias: Marco de referencia COBIT 2019 Introducción y metodología, Capítulo 5

63 Referencias: Marco de referencia COBIT 2019 Introducción y metodología, Capítulo 5

66 Referencias: Marco de referencia COBIT 2019 Introducción y metodología, Capítulo 5

Objetivos de gobierno y gestión

Cada objetivo de gobierno y gestión se describe como sigue:

La documentación relacionada se actualiza en COBIT 2019 y menciona todos los

El componente de gobierno de las estructuras organizativas sugiere niveles de

77 Referencias: Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, Apéndice B

Los profesionales pueden completar cuadros añadiendo dos

Este componente proporciona una guía detallada de las políticas y procedimientos

________ de gobierno son factores que, de

¿Cuáles son los dos niveles de involucramiento

¿Qué objetivo de gobierno y gestión tiene la

¿Qué objetivo de gobierno y gestión tiene la

Dentro de la cascada de metas de COBIT, ¿en

COBIT 2019 usa «TI» para referirse al

COBIT no es una descripción completa de

Una de las reglas de oro que se aplicó a lo largo de

¿Cuáles de los siguientes describe mejor a COBIT?

¿Cuál es la principal diferencia entre los principios del sistema de

«Un sistema de gobierno debe personalizarse de acuerdo con las

COBIT 2019 admite un esquema de capacidad

¿Cuál de los siguientes es un principio clave de la gestión del

¿Qué esquema de capacidades de procesos basados en la industria

Variación de componentes - EJEMPLOS

Áreas prioritarias o de Enfoque específicas

Áreas prioritarias o de Enfoque específicas - EJEMPLOS

Diseñar un sistema de gobierno personalizado derivará en

¿Cuáles de las siguientes series de pasos es la correcta en el flujo de

La fase 1 del método de implementación identifica los

(círculo exterior) (círculo medio) (círculo interior)

(círculo exterior) (círculo medio) (círculo interior)

(círculo exterior) (círculo medio) (círculo interior)

La fase 5 contempla la implementación

(círculo exterior) (círculo medio) (círculo interior)