COBIT 2019 Fundamentos.

Gobierno empresarial de TI

Objetivo: Creación de valor

 Generación de beneficios
 Optimización de riesgos
 Optimización de recursos

COBIT
¿Qué es? ¿Qué no es?
 COBIT es un marco para el gobierno y la
gestión de las tecnologías de la información
de la empresa.
 COBIT está dirigido a toda la empresa.
 COBIT hace una clara distinción entre
gobierno y gestión.  No es una descripción completa de todo el
 COBIT define los componentes para crear y entorno de TI de una empresa.
sostener un sistema de gobierno.  No es un marco para organizar procesos de
 COBIT define los factores de diseño que negocio
deberían ser considerados por la empresa  No es un marco técnico (de TI) para
para crear un sistema de gobierno más gestionar toda la tecnología
adecuado.  No toma ni prescribe ninguna decisión
 COBIT trata asuntos de gobierno mediante la relacionada con la TI.
agrupación de componentes de gobierno
relevantes dentro de objetivos
de gobierno y gestión que pueden
gestionarse según los niveles de capacidad
requeridos.

Audiencia
Interna Externa
 Juntas Directivas
 Dirección Ejecutiva
 Gerentes de Negocio  Entidades reguladoras
 Gerentes de TI  Socios de negocios
 Proveedores de aseguramiento (control  Proveedores de TI
interno, cumplimiento regulatorio, auditoría)
 Gestión de Riesgos

Principios
Sistema de Gobierno Marco de Gobierno
 Proporcionar Valor a las Partes Interesadas
(beneficios, riesgos, recursos)
 Enfoque Holístico (diferentes tipos de
componentes)
 Sistema de Gobierno Dinámico (cambios en  Basado en el Modelo Conceptual
el entorno = cambios en un factor)  Abierto y Flexible
 Separar el Gobierno de la Gestión  Alineado con las Principales Normativas
 Adaptarse a las Necesidades de la Empresa
(personalización a la empresa)
 Sistema de Gobierno Íntegro (extremo a
extremo)
 Áreas prioritarias
¿Qué son? Ejemplos de áreas
 Empresas Pequeñas y Medianas
Describen un tópico, dominio o asunto de  Ciberseguridad
gobierno que puede abordarse por una serie de  Riesgos
objetivos de gobierno y gestión y sus  Computación en la Nube
componentes.  Privacidad (de datos)
 DevOps

Factores de Diseño del Sistema de Gobierno

Factor Detalle
Las organizaciones suelen contar con una estrategia principal y, como
mucho, una estrategia secundaria:
 Crecimiento/Adquisición
Estrategia empresarial
 Innovación/Diferenciación
 Liderazgo en costos
 Servicio al cliente/Estabilidad
La estrategia empresarial se logra mediante la consecución de (una
serie de) metas empresariales estructurado en torno a las
dimensiones del cuadro de mando integral:
Metas empresariales  Financiera
 Cliente
 Interna
 Crecimiento
El perfil de riesgo identifica los tipos de riesgos relacionados con I&T a
Perfil de riesgo los que está expuesta la empresa en la actualidad e indica qué áreas
de riesgo exceden el apetito al riesgo.
Un método asociado para una valoración de riesgos de I&T de la
empresa consiste en considerar a qué problemas relacionados con
Situaciones relacionadas a TI
I&T se enfrenta o, dicho de otro modo, qué riesgo relacionado con I&T
se ha materializado.
El panorama de amenazas bajo el cual opera la empresa puede
clasificarse en:
Panorama de amenazas
 Normal
 Alto
Los requerimientos de cumplimiento a los que la empresa está sujeta:
 Requerimientos de cumplimiento bajos
Requisitos de cumplimiento
 Requerimientos de cumplimiento normales
 Requerimientos de cumplimiento altos
El rol de TI para la empresa:
 Soporte
Rol de TI  Fábrica (continuidad del negocio)
 Cambio (innovación)
 Estratégico (continuidad e innovación)
El modelo de abastecimiento que la empresa adopta:
 Externalización/Tercerización (outsourcing)
Modelo de abastecimiento
 Nube
para TI
 Internalizado
 Híbrido
Los métodos de implementación que la empresa adopta:
 Agil
Métodos de implementación
 DevOps
de TI
 Tradicional
 Híbrido
 Factores de Diseño del Sistema de Gobierno
Factor Detalle
La estrategia de adopción de tecnología:
Estrategia de adopción de  El que primero se mueve (First mover)
tecnología  Seguidor (Follower)
 Adoptadores lentos (Slow adopter)
 Empresa grande (predeterminada)
Tamaño de la empresa
 Pequeñas y medianas empresas (50 a 250 empleados)

Cascada de Metas

Cada objetivo de gobierno o gestión apoya el

logro de metas de alineamiento que están
relacionadas con metas empresariales más
importantes. Ver página 9 y 10

Metas empresariales
Perspectiva Meta
EG01 Portafolio de productos y servicios competitivos
EG02 Gestión de riesgo de negocio
Financiera
EG03 Cumplimiento de leyes y regulaciones externas
EG04 Calidad de la información financiera
EG05 Cultura de servicio orientada al cliente
Cliente EG06 Continuidad y disponibilidad del servicio de negocio.
EG07 Calidad de la información de gestión
EG08 Optimización de la funcionalidad de procesos internos del negocio.
EG09 Optimización de costes de los procesos del negocio.
Interna
EG10 Habilidades, motivación y productividad del personal.
EG11 Cumplimiento con las políticas internas.
EG12 Gestión de programas de transformación digital
Crecimiento
EG13 Innovación de producto y negocio
Metas de alineamiento
Perspectiva Meta
AG01 Cumplimiento y soporte de I&T para el cumplimiento empresarial con las leyes
y regulaciones externas
AG02 Gestión de riesgo relacionado con I&T
Financiera
AG03 Beneficios obtenidos del portafolio de inversiones y servicios relacionados con
I&T
AG04 Calidad de la información financiera relacionada con la Tecnología
AG05 Prestación de servicios de I&T conforme a los requerimientos del negocio.
Cliente AG06 Agilidad para convertir los requerimientos del negocio en soluciones
operativas
Interna AG07 Seguridad de la información, infraestructura y aplicaciones de procesamiento
y privacidad.
AG08 Habilitar y dar soporte a procesos de negocio mediante la integración de
aplicaciones y tecnología
AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que
 Cascada de Metas
cumplen con los requisitos y estándares de calidad
AG10 Calidad de la información sobre gestión de I&T
AG11 Cumplimiento de I&T con las políticas internas.
Crecimiento AG12 Personal competente y motivado con un entendimiento mutuo de la
tecnología y el negocio.
AG13 Conocimiento, experiencia e iniciativas para la innovación Empresarial.

Modelo CORE de COBIT

Objetivos de Gobierno
Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y
EDM Monitorizar (EDM). En este dominio, el órgano de gobierno evalúa las
Evaluar, Dirigir y Monitorizar opciones estratégicas, dirige a la alta gerencia sobre las opciones
estratégicas elegidas y monitoriza el logro de la estrategia.
Objetivos de Gestión
APO Aborda la organización en general, la estrategia y las actividades de
Alinear, Planificar y Organizar soporte para I&T.
BAI
Trata la definición, la adquisición y la implementación de soluciones
Construir, Adquirir e
de I&T y su integración en los procesos de negocios.
Implementar
DSS
Aborda la entrega operativa y el soporte de los servicios de I&T,
Entregar, dar Servicio y
incluyendo la seguridad.
Soporte
MEA Aborda la entrega operativa y el soporte de los servicios de I&T,
Monitorizar, Evaluar y Valorar incluyendo la seguridad.

Modelo CORE de COBIT

 Componentes del Sistema de Gobierno
 Dominio al que pertenece
 Área prioritaria
 Descripción
Objetivo de gobierno o gestión
 Propósito
 Metas empresariales y métricas
 Metas de alineamiento y métricas
Componente Descripción Contenido en la Guía
Los procesos describen una serie de  Prácticas de gobierno o gestión
prácticas y actividades organizadas o Propósito
para lograr determinados objetivos y o Métricas
Procesos producir una serie de resultados que
o Actividades por nivel de
contribuyan a la consecución de la
totalidad de los objetivos relacionados capacidad
con las TI. o Referencias
 Tabla de prácticas vs roles
 Incluidos
o A = Rinde cuentas (Accountable)
Las estructuras organizativas son las o R = Ejecutor
Estructuras
entidades clave de toma de decisiones  NO incluidos
Organizativas
en una empresa. o C = Consultados
o I = Informados
 Referencias
*Lista de roles o estructuras. Pág. 7 y 8
La información es generalizada a lo
largo de cualquier organización e  Entradas y salidas (productos de
incluye toda la información producida y trabajo)
Información utilizada por la empresa. COBIT se o De cuál práctica
centra en la información requerida o Hacia cuál práctica
para el funcionamiento eficaz del  Referencias
sistema de gobierno de la empresa
Las personas, las habilidades y las
competencias son necesarias para  Lista de competencias
Personas, o Nombre
tomar buenas decisiones, ejecutar
Habilidades y
acciones correctivas y completar o Descripción
Competencias
satisfactoriamente todas las o Referencia
actividades.
Los principios, las políticas y los  Lista
Principios, o Nombre
marcos convierten el comportamiento
Políticas,
deseado en orientación práctica para o Descripción
Procedimientos
la gestión del día a día. o Referencia
La cultura, la ética y el comportamiento  Lista
de los individuos y de la empresa son, o Nombre
Cultura, Ética y
a menudo, subestimados como un
Comportamiento o Descripción
factor de éxito de las actividades de
o Referencia
gobierno y gestión.
Los servicios, la infraestructura y las
aplicaciones incluyen la  Lista
Servicios,
infraestructura, la tecnología y las o Nombre
Infraestructura y
aplicaciones que brindan a la empresa
Aplicaciones o Descripción
un sistema de gobierno para el
procesamiento de I&T.
 Impacto de los Factores de diseño
Impacto Descripción
Los factores de diseño pueden influir en esta equivalencia y hacer que algunos
Prioridad del
objetivos de gobierno y gestión sean más importantes que otros. En la práctica,
objetivo de gestión y
esta mayor importancia se traduce en el establecimiento de unos niveles de
niveles de
capacidad más altos, a ser alcanzados por objetivos de gobierno y gestión
capacidad objetivo
importantes.
Los componentes deben alcanzar los objetivos de gobierno y gestión. Algunos
Variaciones de los
factores de diseño pueden influir en la importancia de uno o más componentes
Componentes
o pueden requerir variaciones específicas.
Algunos factores de diseño, como el panorama de amenazas, riesgo
Áreas prioritarias específico, métodos de desarrollo a cumplir y configuración de la
específicas infraestructura, impulsará la necesidad para variar el contenido del modelo core
de COBIT para un contexto determinado.

Flujo de trabajo para el diseño del Sistema de Gobierno

Paso Detalle
1.1 Entender la estrategia empresarial
1. Entender el
1.2 Entender las Metas Empresariales
contexto y estrategia
1.3 Comprender el Perfil de Riesgo
de la empresa
1.4 Entender las situaciones actuales relacionadas con I&T
2.1 Considerar la Estrategia Empresarial
2. Determinar el 2.2 Considerar las Metas Empresariales y aplicar la Cascada de Metas de
alcance inicial del COBIT
sistema de gobierno 2.3 Considerar el Perfil de Riesgo de la empresa
2.4 Considerar las situaciones actuales relacionadas con I&T
3.1Considerar el panorama de amenazas
3.2 Considerar los Requerimientos de Cumplimiento
3. Perfeccionar el 3.3 Considerar el rol de TI
alcance del sistema 3.4 Considerar el modelo de abastecimiento
de gobierno 3.5 Considerar los métodos de implementación de TI
3.6 Considerar la estrategia de adopción de TI
3.7 Considerar el tamaño de la empresa
4. Finalizar el diseño
4.1 Resolver conflictos de prioridad inherentes
del sistema de
4.2 Finalizar el diseño del sistema de gobierno
gobierno

Ciclo de vida de la Implementación Diseño

Habilitación del Mejora
Nombre fase Gestión programa Paso
cambio continua
Fase 1: ¿Cuáles son los Establecer el deseo Reconocer el
Iniciar un programa 1
motivadores? de cambiar deseo de actuar
Fase 2: ¿Dónde estamos Definir problemas y Formar el equipo de Determinar el
2,3,4
ahora? oportunidades implementación estado actual
Fase 3: ¿Dónde Comunicar el Definir el estado
Definir la hoja de ruta 4
queremos estar? resultado objetivo
Fase 4: ¿Qué es preciso Identificar los roles Generar
Programa del plan
hacer? clave mejoras
Fase 5: ¿Cómo Implementar
Plan de ejecución Operar y usar
conseguiremos llegar? mejoras
Fase 6: ¿Hemos Incorporar nuevas
Obtener beneficios Operar y medir
conseguido llegar? estrategias
 Fase 7: ¿Cómo Monitorear y
mantenemos el impulso? Revisar la efectividad Sostener evaluar
Roles y estructuras organizativas

Parte 1
Roles y estructuras organizativas

Parte 2
Cascada de metas

Metas empresariales-Metas de alineamiento

La tabla relaciona las metas de alineamiento con las metas empresariales.

La «P» se refiere a una relación primaria o principal y la «S» a una secundaria.
Metas de alineamiento-Objetivos de gobierno y gestión

La tabla relaciona los objetivos de gobierno y gestión con las metas de alineamiento.
La «P» se refiere a una relación primaria o principal y la «S» a una secundaria.