Introducción a COBIT 5

Gloria Quintanilla
gquintanillao@gmail.com
CGEIT, PMP, ITIL Expert v3, COBIT 5
Foundation & Certified Instructor,
Certified GPR Lead Consultant, Certified
RUP Consultant , Certified MSF
Practitioner, Auditor Líder ISO 9000
 Las diapositivas de esta presentación son adaptadas del curso de
Introducción a COBIT 5, elaborado por ISACA y bajo licencia emitida por
esta organización a Gloria Quintanilla para su uso
COBIT 5 ha evolucionado por 20 años

Integración

Gobierno
BMIS
Evolución

(2010)

Gestión
Val IT 2.0
(2008)
Control

Auditoría Risk IT
(2009)

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

© 2012 ISACA. All Rights Reserved.

¿Por qué desarrollar COBIT 5?

COBIT 5:
• El mandato de la Junta Directiva de ISACA: “Unir y reforzar
todos los activos de conocimiento de ISACA con COBIT”
• Proporcionar un marco de gobierno y de gestión, renovado y
con la autoridad necesaria para la información empresarial y
las tecnologías relacionadas
• Integrar todos los marcos y las guías importantes de ISACA
• Alinearse con los principales marcos y estándares

© 2012 ISACA. All Rights Reserved.

Las empresas están bajo presión constante
para:

• Incrementar la realización de beneficios a través del uso efectivo e

innovador de TI
– Generar valor para el negocio por medio de nuevas inversiones
empresariales con el apoyo de la inversión en TI
– Lograr la excelencia operativa mediante la aplicación de la
tecnología
• Mantener los riesgos relacionados con TI en un nivel aceptable
• Optimizar el costo de los servicios de TI y el costo de la tecnología
• Asegurar la colaboración entre el negocio y TI,
aumentando la satisfacción del usuario con los servicios y el
compromiso de TI
• Cumplir con las leyes, reglamentos y políticas, cada vez más
relevantes
© 2012 ISACA. All Rights Reserved.
¡Se trata de la información!

• La información es la moneda de negocios del

siglo 21
– La información tiene un ciclo de vida: se crea, se
utiliza, se conserva, se revela y se destruye
– La tecnología juega un papel clave en
estas acciones
– La tecnología está presente en todos los
aspectos de la vida profesional y personal
– Todas las empresas necesitan confiar en
información que soporte las decisiones ejecutivas

© 2012 ISACA. All Rights Reserved.

Productos emitidos a la fecha

Marco Procesos Implementación Programa de

Catalizadores Evaluación

Evaluación de capacidad
de procesos basado en el
estándar
ISO 15504
Áreas de cambio entre COBIT 4 y COBIT 5

1. Nuevos principios de gobierno de TI

2. Mayor atención en los habilitadores
3. Procesos nuevos y modificados
4. Separación de las prácticas y actividades de gobierno y gestión
5. Metas y métricas revisadas y ampliadas
6. Entradas y salidas definidas
7. Tablas RACI más detalladas
8. Modelo de evaluación de capacidad de procesos

De objetivos de control a prácticas de gestión

De directrices de gestión a guías para habilitación de procesos

© 2012 ISACA. All Rights Reserved.

Los habilitadores

3. Estructura 4. Cultura, Ética y

2. Procesos
organizacional
Comportamiento

1.Principios, Políticas y Marcos de Referencia

6. Servicios, 7. Personas,
5.Información infraestructura y habilidades y
aplicaciones Competencias
Recursos

© 2012 ISACA. All Rights Reserved.

Nuevo modelo de referencia de procesos

• Modelo COBIT 5 de referencia de procesos

– Presenta un dominio de gobierno
– Varios procesos nuevos y modificados
– Incorpora los principios de otros marcos de referencia que no son de
ISACA
– Cada empresa puede utilizarlo como una guía para ajustar su propio
modelo de procesos (como en COBIT 4.1)

• COBIT 5 sigue siendo un marco genérico

© 2012 ISACA. All Rights Reserved.

 COBIT 5: Modelo de referencia de procesos

Procesos para el gobierno de TI

COBIT 5 Process Reference Model
Evaluar, dirigir y controlar
EDM01 EDM02 Asegurar EDM03 EDM04 EDM05
11
Establecer y la entrega de Asegurar la Asegurar la Asegurar la
mantener el marco beneficios optimización de optimización transparencia
de gobierno de TI riesgos de recursos

Alinear, planificar y organizar Monitorear

APO01 APO02 APO03 APO04 APO05 APO06 APO07 , evaluar y
Gestionar el Gestionar Gestionar Gestionar Gestionar Gestionar Gestionar
marco de TI la estrategia la arquitectura la innovación el portafolio el presupuesto y los recursos
valorar
empresarial los costos humanos
MEA01
APO08 APO09 APO10 APO11 APO12 APO13 Desempeño y
Gestionar Gestionar los Gestionar Gestionar calidad Gestionar el riesgo Gestionar cumplimiento
las relaciones acuerdos de servicio los proveedores la seguridad

Construir, adquirir e implementar

BAI01 BAI02 BAI05 Gestionar BAI06 BAI07 Gestionar la
BAI03 BAI04
Gestionar los Gestionar la la habilitación Gestionar los aceptación del
Gestionar la Gestionar la
programas y definición de del cambio cambios cambio y MEA02 Sistema
identificación de disponibilidad y
proyectos requisitos organizacional la transición de control
soluciones capacidad
interno
BAI08 BAI09 BAI010
Gestionar Gestionar los activos Gestionar
el conocimiento la configuración

Entregar, servir y proveer soporte

MEA03
DSS01 DSS02 DSS03 DSS04 DSS05 DSS06
Cumplimiento de los
Gestionar Gestionar solicitudes Gestionar los Gestionar Gestionar Gestionar controles requisitos externos
operaciones de servicio e problemas continuidad los servicios de procesos del
incidentes de seguridad negocio

Procesos para la gestión de TI

 COBIT 5: Modelo de referencia de procesos

Procesos para el gobierno de TI Procesos nuevos/

Evaluar, dirigir y controlar cambiados
EDM01 EDM02 Asegurar EDM03 EDM04 EDM05
Establecer y la entrega de Asegurar la Asegurar la Asegurar la
mantener el marco beneficios optimización de optimización transparencia
de gobierno de TI riesgos de recursos

Alinear, planificar y organizar Monitorear

APO01 APO02 APO03 APO04 APO05 APO06 APO07 , evaluar y
Gestionar el Gestionar Gestionar Gestionar Gestionar Gestionar Gestionar
marco de TI la estrategia la arquitectura la innovación el portafolio el presupuesto y los recursos
valorar
empresarial los costos humanos
MEA01
APO08 APO09 APO10 APO11 APO12 APO13 Desempeño y
Gestionar Gestionar los Gestionar Gestionar calidad Gestionar el riesgo Gestionar cumplimiento
las relaciones acuerdos de servicio los proveedores la seguridad

Construir, adquirir e implementar

BAI01 BAI02 BAI05 Gestionar BAI06 BAI07 Gestionar la
BAI03 BAI04
Gestionar los Gestionar la la habilitación Gestionar los aceptación del
Gestionar la Gestionar la
programas y definición de del cambio cambios cambio y MEA02 Sistema
identificación de disponibilidad y
proyectos requisitos organizacional la transición de control
soluciones capacidad
interno
BAI08 BAI09 BAI010
Gestionar Gestionar los activos Gestionar
el conocimiento la configuración

Entregar, servir y proveer soporte

MEA03
DSS01 DSS02 DSS03 DSS04 DSS05 DSS06
Cumplimiento de los
Gestionar Gestionar solicitudes Gestionar los Gestionar Gestionar Gestionar controles requisitos externos
operaciones de servicio e problemas continuidad los servicios de procesos del
incidentes de seguridad negocio

Procesos para la gestión de TI

Principios de diseño de COBIT 5

1. Satisfacer
las necesidades
de las partes
interesadas

2. Cubrir la
5. Distinguir entre empresa de
gobierno y gestión extremo a extremo

Principios
COBIT 5

3. Aplicar un único
3. Habilitar un marco de
enfoque holístico referencia
integrado

© 2012 ISACA. All Rights Reserved.

Principio 1: Satisfacer las necesidades de las partes
interesadas

Las necesidades de los interesados

• Las necesidades de las partes
interesadas tienen que
transformarse en la estrategia
accionable de una empresa
• La cascada de metas de
COBIT 5 traduce las
necesidades de las partes
interesadas en prácticas
específicas y metas
personalizadas

© 2012 ISACA. All Rights Reserved.

Principio 2: Cubrir la empresa de extremo a
extremo

La obtención
de Objetivo de gobierno: La creación de valor
beneficios al
costo Obtención de Optimización de Optimización de
óptimo y los beneficios riesgos recursos
riesgos
controlados

Habilitadores Alcance del

de gobierno gobierno

Roles, actividades y relaciones

Dirigir Instruir y
Delegar
Propietarios e Cuerp alinear Operaciones y
o de Gerencia
interesados gobierno ejecución
Responsable Monitorear Reportar

© 2012 ISACA. All Rights Reserved.

El propósito del gobierno empresarial es la
creación de valor

Necesidades de las
partes interesadas

VALOR
Obtención de Optimización Optimización
los beneficios de riesgos de recursos

© 2012 ISACA. All Rights Reserved.

Principio 3: Aplicar un único marco de
referencia integrado
• COBIT 5:
– Se alinea con los estándares y marcos más recientes y
pertinentes
– Es completo en la cobertura de la empresa
– Proporciona una base para integrar efectivamente
otros marcos, estándares y prácticas utilizadas
– Integra todo el conocimiento hasta ahora dispersas en
diferentes marcos de ISACA
– Proporciona una arquitectura simple para la
estructuración de los materiales de orientación y la
producción de un conjunto de productos compatibles

© 2012 ISACA. All Rights Reserved.

La maraña de las mejores prácticas

PMBOK

9001 27001

20000
 ENFOQUE MARCOS DE REFERENCIA
E1 GOBIERNO Y CALIDAD COBIT 5 ISO 9001 ISO 38500 COSO
E2 ESTRATEGIA BSC PMI Prtf Mgn TOGAF
E3 SERVICIOS ISO 20000 ITIL
E4 DESARROLLO CMMI ISO 21500 PMI Prg Mgn PMI PMBOK PRINCE2
Procesos de Gobierno de TI E5
E6
PREVENCIÓN
RECURSOS
ISO 31000 ISO 27000
EDM- Evaluar, Orientar
ITIL
ISO 22301
y Supervisar

EDM01 Asegurar el EDM02 Asegurar la EDM03 Asegurar la EDM04 Asegurar la EDM05 Asegurar la
Establecimiento Entrega de Optimización Optimización Transparencia hacia
y Mantenimiento del Beneficios del Riesgo de los Recursos las partes interesadas
Marco de Gobierno

Procesos para la Gestión de TI

APO- Alinear, Planificar y Organizar MEA- Supervisar,
APO01 Gestionar APO02 Gestionar APO03 APO04 Gestionar APO05 Gestionar APO06 Gestionar APO07 Gestionar Evaluar
el Marco de la Estrategia Administrar la Innovación el Portafolio el Presupuesto y los Recursos
Gestión de TI la Arquitectura los Costes Humanos y Valorar
Empresarial
MEA01 Supervisar,
APO08 Gestionar APO09 Gestionar APO10 Gestionar APO11 Gestionar APO12 Gestionar APO13 Gestionar Evaluar y Valorar
las Relaciones los Acuerdos de los Proveedores la Calidad el Riesgo la Seguridad Rendimiento
Servicio y Conformidad

BAI - Construir, Adquirir e Implementar

BAI01 Gestionar BAI02 Gestionar BAI03 Gestionar la BAI04 Gestionar BAI05 Gestionar BAI06 Gestionar BAI07 Gestionar
los Programas la Definición Identificación y la la Disponibilidad la Habilitación los Cambios la Aceptación
y Proyectos de Requisitos Construcción y la Capacidad del Cambio del Cambio MEA02 Supervisar,
de Soluciones Organizativo y de la Evaluar y Valorar
Transición el Sistema
de Control Interno
BAI08 Gestionar BAI09 Gestionar BAI010
el Conocimiento los Activos Gestionar
la Configuración

DSS - Entregar, dar Servicio y Soporte

MEA03 Supervisar,
DSS01 Gestionar DSS02 Gestionar DSS03 Gestionar DSS04 Gestionar DSS05 Gestionar DSS06 Gestionar Evaluar y Valorar
las Operaciones las Peticiones los Problemas la Continuidad los Servicios los Controles de los la Conformidad con los
y los Incidentes de Seguridad Procesos de Requerimientos Externos
del Servicio la Empresa
Principio 4: Habilitar un enfoque holístico

3. Estructura 4. Cultura, ética y

2. Procesos
organizacional comportamiento

1.Principios, políticas y marcos de referencia

6. Servicios, 7. Personas,
5.Información infraestructura y habilidades y
aplicaciones competencias
Recursos

© 2012 ISACA. All Rights Reserved.

Principio 4: Habilitar un enfoque holístico

Dimensiones de los habilitadores de COBIT 5:

• Todos los habilitadores tienen un conjunto de dimensiones comunes
– Es una forma sencilla y estructurada para tratar los habilitadores
– Le permita a una entidad gestionar sus complejas interacciones
– Facilita el éxito de los resultados de los habilitadores

© 2012 ISACA. All Rights Reserved.

Principio 5: Distinguir entre gobierno y
gestión

• El gobierno se asegura de que las necesidades, condiciones y

opciones de las partes interesadas sean:
– Evaluadas para determinar objetivos empresariales a alcanzar, que
sean equilibrados y concertados
– Establecer la dirección por medio de la priorización y la toma de
decisiones
– Monitoreo del desempeño, cumplimiento y progreso contra las
directrices y objetivos acordados (EDM)

• La gerencia planea, construye, administra y monitorea las

actividades de manera alineada con las directrices establecidas por
el cuerpo de gobierno par el logro de los objetivos empresariales
(PBRM)

© 2012 ISACA. All Rights Reserved.

Los procesos de gobierno en COBIT 5 están
alineados a la norma ISO 38500

ISO 38500 COBIT 5

* Gráfico adecuado de la Figura 15 publicado en COBIT® 5:

Procesos Catalizadores ISBN 978-1-60420-285-4

© 2012 ISACA. All Rights Reserved.

 COBIT 5: Modelo de referencia de procesos

Procesos para el gobierno de TI

COBIT 5 Process Reference Model
Evaluar, dirigir y controlar
EDM01
Establecer y
EDM02
Asegurar la
EDM03
Asegurar la
EDM04
Asegurar la
EDM05 Asegurar 24
la transparencia
mantener el marco entrega de optimización de optimización de
de gobierno de TI beneficios riesgos recursos

Alinear, planificar y organizar Monitorear

APO01 APO02 APO03 APO04 APO05 APO06 APO07 , evaluar y
Gestionar el Gestionar Gestionar Gestionar Gestionar Gestionar Gestionar
marco de TI la estrategia la arquitectura la innovación el portafolio el presupuesto y los recursos valorar
empresarial los costos humanos
MEA01 Desempeño
APO09 y cumplimiento
APO08 APO10 APO11 APO12 APO13
Gestionar los
Gestionar Gestionar Gestionar calidad Gestionar el Gestionar
acuerdos de
las relaciones los proveedores riesgo la seguridad
servicio

Construir, adquirir e implementar

BAI01 BAI02 BAI03 BAI04 BAI05 Gestionar BAI06 BAI07 Gestionar
Gestionar los Gestionar la Gestionar la Gestionar la la habilitación del Gestionar los la aceptación del

programas y definición de identificación de disponibilidad y cambio cambios cambio y MEA02

proyectos requisitos soluciones capacidad organizacional la transición Sistema de control
BAI010 interno
BAI08 BAI09
Gestionar Gestionar los Gestionar
el conocimiento activos la configuración

Entregar, servir y proveer soporte

DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA03
Gestionar Gestionar Gestionar los Gestionar Gestionar Gestionar controles Cumplimiento de
operaciones solicitudes de problemas continuidad los servicios procesos del los requisitos
servicio e incidentes de seguridad negocio externos

Procesos para la gestión de TI

Implementación de COBIT 5

© 2012 ISACA. All Rights Reserved.

Modelo de evaluación de capacidad de
procesos

Modelo de
evaluación de
procesos
(PAM)

Guías del
asesor

© 2012 ISACA. All Rights Reserved.

 Niveles de capacidad de procesos en COBIT 5

Optimizado
El proceso está siendo mejorado para cumplir con los objetivos Nivel 5 Proceso optimizado
relevantes actuales del negocio, y los proyectados PA 5.1 Atributo de innovación de procesos
PA 5.2 Atributo de optimización de procesos
Predecible
El proceso se realiza consistentemente dentro de Nivel 4 Proceso predecible
límites definidos PA 4.1 Atributo de medición de procesos
PA 4.2 Atributo de control de procesos
Establecido
Se utiliza un proceso definido basado en un Nivel 3 Proceso establecido
estándar
PA 3.1 Atributo de definición de procesos
PA 3.2 Atributo de despliegue de procesos

Nivel 2 Proceso gestionado Gestionado

El proceso se gestiona y se establecen
PA 2.1 Atributo de gestión del desempeño
productos de trabajo controlados que se
PA 2.2 Atributo de gestión de productos de trabajo mantienen

Nivel 1 Proceso ejecutado Ejecutado

PA 1.1 Atributo de desempeño de procesos El proceso se lleva a cabo y alcanza su propósito

Incompleto
Nivel 0 Proceso incompleto El proceso no se ejecute o no logra su propósito
Resumen & Conclusiones

Los objetivos de este curso fueron capacitarlo para que usted pueda:
1. Conocer más acerca de cómo los problemas de gestión de TI afectan a las
empresas
2. Comprender los principios del gobierno de TI
3. Reconocer la diferencia entre el gobierno y la gestión de TI
4. Identificar cómo los procesos de COBIT 5 contribuyen con los cinco principios
básicos y con los siete facilitadores del gobierno y la gestión de TI
5. Opinar sobre los habilitadores de procesos de COBIT 5, incluyendo la cascada
de objetivos y el modelo de procesos de referencia
6. Describir los conceptos básicos de cómo implementar COBIT 5
7. Entender las diferencias entre COBIT 5 y COBIT 4.1, y lo que se debe
considerar
al hacer la transición
8. Explicar los beneficios de utilizar COBIT 5

© 2012 ISACA. All Rights Reserved.

 Preguntas

Gloria Quintanilla
gquintanillao@gmail.com