COBIT

Objetivos de Control para la Informacin y Tecnologa

Relacionada

COBIT
Auditoria de Sistemas - 2015

INDICE
Indice......................................................................................................................................................................2
Introduccion COBIT ..............................................................................................................................................3
Gobierno de TI.......................................................................................................................................................4
Por Qu Gobierno de TI? ...................................................................................................................................6
Implementacin del Bobierno de TI ....................................................................................................................7
Enfoque del Gobierno de TI................................................................................................................................7
Mapa de Implementacn de Gobierno de TI ....................................................................................................10
Marco COBIT .......................................................................................................................................................11
Evolucin de COBIT .........................................................................................................................................13
Arquitectura COBIT ............................................................................................................................................14
COBIT 4.1.........................................................................................................................................................14
Dominios COBIT 4.1 ....................................................................................................................................14
Procesos COBIT 4.1 ....................................................................................................................................16
COBIT 4.1 y sus Objetivos de Control .........................................................................................................17
Modelo de Madurez COBIT 4.1....................................................................................................................18
COBIT 5............................................................................................................................................................19
Procesos COBIT 5 .......................................................................................................................................21
Modelo de Capacidad de Procesos COBIT 5...............................................................................................22
Implementacin COBIT 5 ...................................................................................................................................24
Comparacin COBIT 4.1 vs COBIT 5 .................................................................................................................26
Nuevo Modelo de Madurez...............................................................................................................................26
Certificaciones COBIT 5 .....................................................................................................................................31
Bibliografa ..........................................................................................................................................................33

COBIT
Auditoria de Sistemas - 2015

INTRODUCCION COBIT
La prctica comn de las empresas en el mundo es no considerar importante a las reas de tecnologas de la
informacin (TI), provocando que stas tengan poco personal, presupuesto reducido y la identifiquen como el rea
de soporte para el equipo del usuario final nicamente.
Sin embargo, con el paso del tiempo, aadiendo las nuevas tendencias en tecnologa surgidas en
pases desarrollados, han incrementado de manera muy importante el papel y la influencia de las TI ,
provocando que stas, formen parte fundamental en la operacin y desarrollo de las organizaciones. Este cambio
en la percepcin de las TI se debe al surgimiento de marcos de referencia, que en la actualidad se
consideran herramientas clave para poder llevar a cabo este renacimiento de la figura de las TI.
En la actualidad la mayor parte de la inversin en infraestructura y nuevas aplicaciones de TI buscan
apoyar funciones especficas de la organizacin. Algunas organizaciones incluyen en sus procesos internos
a socios o clientes, mejor conocidos como stakeholders. Este tipo de tendencias provoca que los CEOs
(directores ejecutivos) y CIOs (directores de TI) se vean comprometidos con la necesidad de reducir lo ms
posible la brecha que existe en las relaciones entre TI y el negocio.
Debido a esto la administracin efectiva de la informacin y de las tecnologas relacionadas, se han
vuelto un factor crtico para la supervivencia y xito de las organizaciones.
Esta criticidad emerge de:

La creciente dependencia de informacin y de los sistemas que la proporcionan que se ha

generado en las organizaciones.

El incremento de la vulnerabilidad y riesgos, como los son las ciber- amenazas y la guerra de la
informacin.

El importante aumento en el costo de las inversiones actuales y futuras en TI.

El inmenso potencial que tienen las TI para provocar un cambio radical en las organizaciones
y en las prcticas de negocio, esto con el fin de obtener nuevas oportunidades y reduccin de
costos.
3

COBIT
Auditoria de Sistemas - 2015
Tomando en cuenta todos estos factores, podemos decir que es necesario un cambio en el rol en las
reas de TI para lograr obtener el mximo rendimiento a una inversin en tecnologa adems de utilizarla
como un arma competitiva en el mercado. De esta manera conseguimos que la actitud de TI frente al negocio sufra
una metamorfosis y deje de ser meramente reactiva tornndose proactiva, logrando anticiparse a las
necesidades de la organizacin.

GOBIERNO DE TI
A fin de poder definir al Gobierno de TI, debemos iniciar por definir al Gobierno Corporativo, el cual se
puede describir como, el conjunto de responsabilidades y prcticas ejecutadas por la junta directiva y la
administracin con el fin de proveer direccin estratgica. Pero, de qu manera se provee una correcta
direccin estratgica para la organizacin?

Garantizando que los objetivos sean alcanzados

Estableciendo que los riesgos son administrados apropiadamente y;

Verificando que los recursos de la empresa son usados de manera responsable

Como se puede observar, se toman en cuenta tres aspectos importantes que influyen en el desempeo,
como son los objetivos, los cuales constituyen el fin principal de la organizacin. Por otro lado la administracin
de riesgos, que son todos aquellos factores que la organizacin debe de tomar en cuenta como posibles
amenazas, las cuales debe de mitigar con anlisis y planes de continuidad; y por ltimo los recursos, el elemento
clave para la operacin de la organizacin, sea financiero, humano o de infraestructura.
Con la descripcin dada, es claro que con lo que pretende el Gobierno corporativo, podemos explicar que el
Gobierno de TI es una parte integral del Gobierno corporativo y consta del liderazgo, estructuras organizacionales y
procesos que garanticen que las TI de la empresa sustenten y extiendan las estrategias y objetivos
organizacionales. Por ello, el Gobierno de TI es una responsabilidad compartida de la junta directa y la
administracin ejecutiva de la organizacin.
Para muchas empresas, la informacin y la tecnologa que las soportan representan sus ms valiosos activos,
aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de
4

COBIT
Auditoria de Sistemas - 2015
informacin y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas tambin entienden
y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, as como la dependencia
crtica de muchos procesos de negocio en TI.
La necesidad del aseguramiento del valor de TI, la administracin de los riesgos asociados a TI, as como el
incremento de requerimientos para controlar la informacin, se entienden ahora como elementos clave del Gobierno
Corporativo. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo,
estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y
objetivos organizacionales. Ms an, el gobierno de TI integra e institucionaliza las buenas prcticas para garantizar
que TI en la empresa soporta los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa
aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando
ventajas competitivas. Estos resultados requieren un marco de referencia para controlar la TI, que se ajuste y sirva
como soporte a COSO (Committee Of Sponsoring Organisations Of The Treadway Commission) Marco de
Referencia Integrado Control Interno, el marco de referencia de control ampliamente aceptado para gobierno
corporativo y para la administracin de riesgos, as como a marcos compatibles similares.
Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su informacin,
as como de todos sus activos. La direccin tambin debe optimizar el uso de los recursos disponibles de TI,
incluyendo aplicaciones, informacin, infraestructura y personas. Para descargar estas responsabilidades, as como
para lograr sus objetivos, la direccin debe entender el estatus de su arquitectura empresarial para TI y decidir qu
tipo de gobierno y de control debe aplicar.
Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT) brindan buenas prcticas a
travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y
lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el
control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones habilitadas por TI, asegurarn
la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien.

COBIT
Auditoria de Sistemas - 2015
Para que TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implementar un sistema
de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la
siguiente manera:

Estableciendo un vnculo con los requerimientos del negocio

Organizando las actividades de TI en un modelo de procesos generalmente aceptado

Identificando los principales recursos de TI a ser utilizados

Definiendo los objetivos de control gerenciales a ser considerados

POR QU GOBIERNO DE TI?

En las organizaciones, con el paso del tiempo, la direccin se est dando cuenta del impacto significativo que la
informacin puede tener en el xito de una empresa, lo que deriva en que la direccin espere un alto entendimiento
de la manera en que las TI son operadas y de la posibilidad que sea aprovechada con xito para tener una
ventaja competitiva.
El marco de Gobierno de TI deber ayudar a la alta direccin a saber si con la informacin
administrada es posible garantizar el logro de objetivos, ser flexible, tener un buen manejo de riesgos y reconocer
apropiadamente sus oportunidades actuando acorde a ellas. (IT Governance Institute, 2007) .A su vez, definir la
alineacin de las estrategias de TI con la estrategia de la organizacin, asegurar la disminucin del apetito de
riesgo, proporcionar estructuras organizacionales que faciliten la implementacin de estrategias y metas, as como
que fluyan de forma gradual en la empresa.
Tambin crear relaciones constructivas y comunicacin efectiva entre el negocio y TI, adems de con los
socios externos; y por ltimo medir el desempeo de TI. Con lo antes mencionado, podemos decir de manera
general que el Gobierno de TI es una disciplina acerca de la toma de decisiones de TI en las que
participa intensamente, o debera participar, la alta direccin de las organizaciones. La Gestin de TI, sin embargo,
se refiere a las decisiones que se adoptan bsicamente por parte de los profesionales de TI, aunque participe la alta
direccin u otros gestores.

COBIT
Auditoria de Sistemas - 2015
IMPLEMENTACIN DEL BOBIERNO DE TI
La implementacin de un marco de Gobierno de TI se lleva acabo tomando en cuenta las diferentes
condiciones y circunstancias existentes en una organizacin, estas principalmente determinadas por factores
como los son:

Lograr una interaccin del gobierno de TI con la tica y cultura de la organizacin, siendo este el
elemento subjetivo, es vital el entender el ambiente laborar y hbitos en la organizacin, parte
trascendental es la comunicacin que se tenga hacia el personal.

Apegarse a leyes y regulaciones vigentes (sean internas o externas), para el cumplimiento del
marco de gobierno, debido a que es indispensable no dejar de lado todos aquellos reglamentos
internos establecidos en la organizacin, ni tampoco las leyes regulatorias de la regin, pas o
estado donde se radique.

Considerar la misin, visin y valores de la organizacin, para tener un correcto paralelismo

del Gobierno de TI hacia los objetivos actuales y a futuro de la organizacin, considerando
tambin los valores de la misma.

En la estructura organizacional, el Gobierno de TI se apoyara para su operacin en el organigrama

del negocio para poder asignar tambin actividades, comprendiendo los roles y responsabilidades.

Estrategias y tcticas de la organizacin, esto para tener la directriz de la manera en la cual la

organizacin realiza su toma de decisiones y ejecucin de actividades, el gobierno de TI tendr que
reforzarlas para el logro de los objetivos de la organizacin.

ENFOQUE DEL GOBIERNO DE TI

El enfoque que se le ha dado al Gobierno de TI, es principalmente para que sea una solucin operativa, que
trate con los retos presentados por TI, mejore el desempeo y posibilite la ventaja competitiva como apoyar en
prevenir problemas. Adems, hacer del Gobierno de TI una responsabilidad compartida entre el negocio
(cliente) y el proveedor de servicios de TI, con el pleno compromiso y la gua de la alta direccin.

COBIT
Auditoria de Sistemas - 2015
Otro punto es el alinear el Gobierno de TI con un amplio Gobierno Corporativo, incluyendo a la junta
y administracin ejecutiva, a fin de proporcionar liderazgo y estructuras organizacionales necesarias recalcando
la buena administracin y control de los procesos. En la figura, podemos observar las reas de enfoque del
Gobierno de TI:

Alineacin Estratgica: Se enfoca en garantizar la alineacin estratgica entre los planes de negocio y
de TI y en alinear las operaciones de TI con las operaciones de la empresa.
Como ya se estableci, la estrategia de TI debe responder a las estrategias de la organizacin de
donde se concluye que las aplicaciones deben atender las necesidades funcionales y de
informacin de los procesos, los cuales a su vez,soportan el cumplimiento de los objetivos
estratgicos. De esta manera el ciclo se completa:

La Estrategia TI nace de la Estrategia Empresarial y la soporta

Las aplicaciones nacen de la estrategia TI y soportan los procesos

Los procesos soportan la Estrategia Empresarial

Entrega de Valor: Se refiere a ejecutar las propuestas de valor a todo lo largo del ciclo de entrega,
asegurando siempre que TI genere los beneficios prometidos en la estrategia, haciendo nfasis en
optimizar los costos y en brindar el valor intrnseco de TI.

COBIT
Auditoria de Sistemas - 2015
La funcin de TI se debe gestionar para cumplir con los requerimientos de soporte a las decisiones y a
los procesos de la organizacin (estratgicos, misionales y de soporte).

Administracin de Recursos: Se trata de la inversin ptima as como la administracin

adecuada de los recursos crticos de TI: Aplicaciones, informacin, infraestructura y personas. Los
temas claves se refieren a la optimizacin de conocimiento e infraestructura.
La responsabilidad de TI va ms all de administrar los recursos que tiene bajo su manejo. Estos
recursos deben ser usados para entregar de manera ptima los productos de informacin para lo
cual fueron adquiridos.

Administracin de Riesgos. Requiere conciencia de los riesgos por parte de los altos ejecutivos
de la empresa, un claro entendimiento del apetito de riesgo, que tiene la empresa, comprender los
requerimientos de cumplimiento, transparencia de los riesgos significativos para las empresas y
la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin.
El Gobierno de TI debe velar porque ningn evento impida la entrega de los productos y la
continuidad del servicio de TI. Para esto se debe hacer una adecuada administracin de los
riesgos de la funcin TI y de los procesos soportados por TI, por parte del funcionario de la
organizacin a quien se haya asignado esta responsabilidad.

Medicin del desempeo: Rastrea y monitorear la estrategia de implementacin, la terminacin del

proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio, con el uso
de herramientas como Balance Score Card que traducen la estrategia en accin para lograr las
metas medibles ms all del registro convencional.
El cumplimiento de la estrategia TI se logra mediante la administracin de los recursos TI a
travs de la adecuada gestin de los procesos de Planeacin y Organizacin (PO), Adquisicin e
Implantacin (AI), Entrega y Soporte (DS) y

COBIT
Auditoria de Sistemas - 2015

Monitoreo y Evaluacin (ME). Estos procesos deben ser medidos para establecer el aporte que hacen
o dejan de hacer en el logro de la estrategia de TI, mediante indicadores que evidencien los resultados
de la gestin de dichos procesos.

MAPA DE IMPLEMENTACN DE GOBIERNO DE TI

En la figura, se muestra el mapa recomendado para la implementacin del Gobierno de TI, este define los
diferentes pasos y actividades de cada uno de ellos para lograr el Gobierno de TI. Las etapas para desarrollar una
solucin de Gobierno de TI son:

Identificar las necesidades de la organizacin es un punto primordial, involucra actividades

como fomentar la conciencia y obtener compromiso de todos los niveles de la organizacin,
analizar las metas del negocio y de TI, realizar la seleccin de procesos y controles, analizar
riesgos y definir alcances.

Prever la solucin de problemas, donde se evalan la capacidad y madurez de losprocesos de TI

seleccionados, posteriormente para cada uno se definen niveles de objetivo y madurez apropiados y
alcanzables.

Planear la solucin, consiste en identificar las iniciativas de mejoras prioritarias y factibles,

traducindolas en proyectos justificables, alineados con el valor de negocio original y los factores
de riesgo. Una vez evaluados esos proyectos deben incluirse en una estrategia de mejora y un
programa prctico para llevar a cabo la solucin.

Al implantar la solucin, mientras el plan de mejora se lleva a cabo, gobernado por proyectos
establecidos y metodologas de administracin del cambio, la obtencin exitosa de los resultados de
negocio deseados de asegura mediante: la retroalimentacin y lecciones aprendidas postimplementacin. El monitoreo de las mejoras sobre el desempeo de la corporacin y Balance
Scorecard de TI.

El ltimo punto del mapa es el lograr la sustentabilidad. Se construye integrando el Gobierno de TI

con el Gobierno Corporativo de la organizacin, y la responsabilidad de TI a travs de la
10

COBIT
Auditoria de Sistemas - 2015
empresa, con estructuras organizacionales apropiadas, determinar claramente polticas y controles,
cambio cultural impulsado desde la alta direccin, mejora continua en procesos, y con monitores e
informes ptimos.

MARCO COBIT
COBIT son las siglas para definir Control Objectives for Information and related Technology (Objetivos de
Control para la informacin y tecnologa relacionada), el cual es un marco de referencia creado por ISACA
(Information Systems Audit and Control Association (Asociacin de Control y Auditoria de Sistemas de
Informacin) para la gestin de la TI y el Gobierno de TI. Es un conjunto de herramientas de soporte que
permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos de control, problemas
tcnicos y los riesgos del negocio.
Este marco provee buenas prcticas y presenta actividades para el Gobierno de TI en una estructura manejable
y lgica. Las buenas prcticas de COBIT renen el consenso de expertos, quienes ayudarn a optimizar la
11

COBIT
Auditoria de Sistemas - 2015
inversin en TI y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van
por el camino equivocado.
La misin de COBIT es el investigar, desarrollar, publicar y promover un conjunto de objetivos de control
generalmente aceptados, autorizados, actualizados por ISACA para ser utilizadas en el da a da por la gerencia
del negocio, los profesionales de IT y de la seguridad. En la figura vemos que define tambin procesos, metas y
mtricas para el control.

El principio bsico del marco de referencia de COBIT est representado en el esquema de la figura
siguiente. Los recursos de TI son manejados procesos para alcanzar las metas de TI que responden a los
requerimientos del negocio.

12

COBIT
Auditoria de Sistemas - 2015

EVOLUCIN DE COBIT
A la fecha, COBIT tiene cinco versiones mayores publicadas:

En 1996, la primera edicin de COBIT fue publicada. Esta inclua la coleccin y anlisis de fuentes
internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos y Australia.

En 1998, fue publicada la segunda edicin; su cambio principal fue la adicin de las guas de gestin.

Para el ao 2000, la tercera edicin fue publicada y en el 2003, la versin en lnea ya se

encontraba disponible en el sitio de ISACA. Fue posterior al 2003 que el marco de referencia de
COBIT fue revisado y mejorado para soportar el incremento del control gerencial, introducir el
manejo del desempeo y mayor desarrollo del Gobierno de TI.

En diciembre de 2005, la cuarta edicin fue publicada y en Mayo de 2007, se liber la versin 4.1

La versin nmero 5 de COBIT fue lanzada en Junio de 2012, esta edicin consolida e integra los
marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de referencia viene
integrado principalmente del Modelo de Negocios para la Seguridad de la Informacin (BMIS,
Business Model for Information Security) y el Marco de Referencia para el Aseguramiento de la
Tecnologa de la Informacin (ITAF, Information Technology Assurance Framework). Se alinea con

13

COBIT
Auditoria de Sistemas - 2015
los marcos y estndares tales como tecnologa de la informacin Infraestructura Library (ITIL),
Organizacin Internacional de Normalizacin (ISO), Proyecto Organismo de Gestin del Conocimiento
(PMBOK), PRINCE2 y El Open Group Architecture Framework (TOGAF).
o

En diciembre de 2012, un documento complemento fue puesto en libertad, COBIT 5 para la

seguridad de la informacin.

En junio de 2013, un segundo documento complemento fue puesto en libertad, COBIT 5 para
la garanta.

ARQUITECTURA COBIT
COBIT 4.1
El Marco de Referencia de COBIT 4.1, est conformado por 34 Objetivos de Control de alto nivel, todos
diseados para cada uno de los Procesos de TI, los cuales estn agrupados en cuatro grandes secciones
mejor conocidos como dominios, estos se equiparn a las reas tradicionales de TI de planear, construir, ejecutar
y monitorear.

Planificacin y Organizacin, proporciona la direccin para la entrega de soluciones y la entrega de

servicios.

Adquisicin e Implementacin, proporciona las soluciones y las desarrolla para convertirlas en

servicios.

Entrega de servicios, recibe soluciones y las hace utilizables para los usuarios finales.

Soporte y Monitorizacin, monitorea todos los procesos para el asegurar que se sigue con la direccin
establecida.

Dominios COBIT 4.1

sta estructura cubre todos los aspectos de la informacin y de la tecnologa que la soporta y define los
dominios como sigue:

Dominio Planear y Organizar (PO) - Este dominio cubre las estrategias y las tcticas, y tiene
que ver con identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es
14

COBIT
Auditoria de Sistemas - 2015
importante mencionar que la realizacin de la visin estratgica requiere ser planeada, comunicada
y administrada desde diferentes perspectivas; y finalmente, la implementacin de una estructura
organizacional y tecnolgica apropiada.
La gerencia espera cubrir la alineacin de la estrategia de TI con el negocio, optimizar el uso
de recursos, el entendimiento de los objetivos de TI por parte de la organizacin, la
administracin de riesgos y calidad en los sistemas de TI para las necesidades del negocio.

Dominio Adquirir e Implementar (AI) - Con el fin de cumplir una estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas, como tambin implementadas e
integradas en los proceso del negocio. Adems, el cambio y el mantenimiento de los sistemas
existentes sern cubiertos para garantizar que las soluciones sigan satisfaciendo los objetivos del
negocio.
La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen soluciones que
satisfagan las necesidades del negocio, que sean entregados en tiempo y dentro del presupuesto,
que los nuevos sistemas una vez implementados trabajen adecuadamente y que los cambios no
afecten las operaciones actuales del negocio.

Dominio Entregar y Dar Soporte (DS) - Involucra la entrega en s de los servicios requeridos,
incluyendo la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte a
los usuarios del servicio, la administracin de los datos y de las instalaciones operativas.
El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del
negocio, la optimizacin de costos, asegurar que la fuerza de trabajo utilice los sistemas de
modo productivo y seguro, implantar de forma correcta la confidencialidad, la integridad y la
disponibilidad.

Dominio Monitorear y Evaluar (ME) - La totalidad de los proceso de TI deben de ser evaluados
regularmente en el tiempo, para conocer su calidad y cumplimiento de los requerimientos de

15

COBIT
Auditoria de Sistemas - 2015
control. Este dominio incluye la administracin del desempeo, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicacin del gobierno.
Con esto se obtendr de manera oportuna la deteccin de problemas por medio de la medicin del
desempeo, se garantiza que los controles internos sea n efectivos y eficientes, la vinculacin
del desempeo de TI con las metas del negocio as como la medicin y reporte de riesgos,
adems del control, cumplimiento y desempeo.
Procesos COBIT 4.1
En la tabla siguiente se enlistan los nombres y claves de los 34 procesos que conforman COBIT y su
clasificacin dentro de cada uno de los cuatro dominios:

PO
P01
P02
P03
P04
P05
P06
P07
P08
P09
P10

PLANEAR Y ORGANIZAR
Procesos
Definir un plan estratgico de TI
Definir la arquitectura de la informacin
Determinar la direccin tecnolgica
Definir los procesos, organizacin y relaciones de TI
Administrar la inversin de TI
Comunicar las aspiraciones y la direccin de la gerencia
Administrar recursos humanos de TI
Administrar la calidad
Evaluar y administrar los riesgos de TI
Administrar proyecto

AI1
AI2
AI3
AI4
AI5
AI6
AI7

ADQUIRIR E IMPLAMENTAR
Procesos
Identificar soluciones automatizadas
Adquirir y mantener software aplicativo
Adquirir y mantener infraestructura tecnolgica
Facilitar la operacin y el uso
Adquirir recursos de TI
Administrar cambios
Instalar y acreditar soluciones y cambios

DS1
DS2
DS3
DS4

ENTREGAR Y DAR SOPORTE

Procesos
Definir y administrar los niveles de servicio
Administrar los servicios de terceros
Administrar el desempeo y la capacidad
Garantizar la continuidad del servicio

AI

DS

16

COBIT
Auditoria de Sistemas - 2015

DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13

Garantizar la seguridad de los sistemas

Identificar y asignar costos
Educar y entrenar a los usuarios
Administrar la mesa de servicio y los incidentes
Administrar la configuracin
Administrar los problemas
Administrar los datos
Administrar el ambiente fsico
Administrar las operaciones

ME
ME1
ME2
ME3
ME4

MONITOREAR Y EVALUAR
Procesos
Monitorear y evaluar el desempeo de TI
Monitorear y evaluar el control interno
Garantizar el cumplimiento regulatorio
Proporciona gobierno de TI

COBIT 4.1 y sus Objetivos de Control

Para cada uno de los 34 procesos definidos en los cuatro dominios de COBIT, se ha generado un objetivo
de control. Podemos definir control como las polticas, procedimientos, prcticas y estructuras
organizacionales que han sido diseadas para asegurar razonablemente que los objetivos del negocio se
alcanzarn y los eventos no deseados, sern prevenidos o detectados y corregidos.
Estos objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a
considerar por la gerencia para un control efectivo de cada proceso de TI. Estos controles son sentencias de
acciones de gerencia que deben de aumentar el valor o reducir el riesgo en el negocio, generalmente consisten
en polticas, procedimientos,

prcticas

estructuras

organizacionales,

las

cuales

proporcionan

un

aseguramiento razonable de que los objetivos del negocio se vern alcanzados.

Pero qu tipo de decisiones necesita tomar la gerencia en relacin a estos objetivos de control?
Primero, seleccionar aquellos que sean aplicables al negocio, decidir cuales se implementaran y elegir como
implementarlos (con qu frecuencia, extensin, automatizacin). Adems de aceptar el riesgo de no
implementar aquellos que podran requerirse en la organizacin.

17

COBIT
Auditoria de Sistemas - 2015
Modelo de Madurez COBIT 4.1
Otro concepto clave de COBIT, es la determinacin y la mejora sistemtica de la madurez del proceso, el cual
tiene 6 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI:

0 Inexistente No existe informacin alguna, ni conocimiento sobre el gobierno de TI

1 Inicial / ad hoc En el proceso existen tareas indefinidas, pero hay confianza en la iniciativa

2 Repetible pero intuitivo El proceso cuenta con personal de calidad y tareas definidas

3 Definido Proceso definido e institucionalizado, cuenta con poltica, estndares y procedimientos

establecidos

4 Gestionable y medible El proceso tiene estructuras de control completas y anlisis del

desempeo.

18

COBIT
Auditoria de Sistemas - 2015
COBIT 5
COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el
gobierno y la gestin de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor
ptimo desde IT manteniendo el equilibrio entre la generacin de beneficios y la optimizacin de los niveles de
riesgo y el uso de recursos. COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holstico para toda
la empresa, abarcando al negocio completo de principio a fin y las reas funcionales de responsabilidad de TI,
considerando los intereses relacionados con TI de las partes interesadas internas y externas. COBIT 5 es genrico y
til para empresas de todos los tamaos, tanto comerciales, como sin nimo de lucro o del sector pblico.
COBIT 5 se basa en cinco principios para el gobierno y la gestin de las TI empresariales:

Principio 1. Satisfacer las Necesidades de las Partes InteresadasLas empresas existen para crear
valor para sus partes interesadas manteniendo el equilibrio entre la realizacin de beneficios y la
optimizacin de los riesgos y el uso de recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creacin de valor
del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa
puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas,
traduciendo metas corporativas de alto nivel en otras metas ms manejables, especficas, relacionadas
con TI y mapendolas con procesos y prcticas especficos.

Principio 2: Cubrir la Empresa Extremo-a-ExtremoCOBIT 5 integra el gobierno y la gestin de TI en

el gobierno corporativo:
o

Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca slo en la
funcin de TI, sino que trata la informacin y las tecnologas relacionadas como activos que
deben ser tratados como cualquier otro activo por todos en la empresa.

Considera que los catalizadores relacionados con TI para el gobierno y la gestin deben ser a
nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos internos y

19

COBIT
Auditoria de Sistemas - 2015
externos los que sean relevantes para el gobierno y la gestin de la informacin de la
empresa y TI relacionadas.

Principio 3: Aplicar un Marco de Referencia nico IntegradoHay muchos estndares y buenas

prcticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. COBIT 5
se alinea a alto nivel con otros estndares y marcos de trabajo relevantes, y de este modo puede
hacer la funcin de marco de trabajo principal para el gobierno y la gestin de las Ti de la empresa.

Principio 4: Hacer Posible un Enfoque HolsticoUn gobierno y gestin de las TI de la empresa

efectivo y eficiente requiere de un enfoque holstico que tenga en cuenta varios componentes
interactivos. COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la implementacin
de un sistema de gobierno y gestin global para las TI de la empresa. Los catalizadores se definen en
lneas generales como cualquier cosa que puede ayudar a conseguir las metas de la empresa. El
marco de trabajo COBIT 5 define siete categoras de catalizadores:

Principios, Polticas y Marcos de Trabajo

Procesos

Estructuras Organizativas

Cultura, tica y Comportamiento

Informacin

Servicios, Infraestructuras y Aplicaciones

Personas, Habilidades y Competencias

Principio 5: Separar el Gobierno de la Gestin El marco de trabajo COBIT 5 establece una clara
distincin entre gobierno y gestin. Estas dos disciplinas engloban diferentes tipos de actividades,
requieren diferentes estructuras organizativas y sirven a diferentes propsitos. La visin de COBIT 5 en
esta distincin clave entre gobierno y gestin es:

Gobierno: asegura que se evalan las necesidades, condiciones y opciones de las partes
interesadas para determinar que se alcanzan las metas corporativas equilibradas y
20

COBIT
Auditoria de Sistemas - 2015
acordadas; estableciendo la direccin a travs de la priorizacin y la toma de decisiones; y
midiendo el rendimiento y el cumplimiento respecto a la direccin y metas acordadas.
En muchas corporaciones, el gobierno global es responsabilidad del comit de direccin bajo
el liderazgo del presidente. Algunas responsabilidades de gobierno especficas se pueden
delegar en estructuras organizativas especiales al nivel apropiado, particularmente en las
corporaciones ms grandes y complejas.

Gestin: planifica, construye, ejecuta y controla actividades alineadas con la direccin

establecida por el cuerpo de gobierno para alcanzar las metas empresariales.
En muchas empresas, la gestin es responsabilidad de la direccin ejecutiva bajo el liderazgo
del Director General Ejecutivo (CEO).

Juntos, estos cinco principios habilitan a la empresa a construir un marco de gestin de gobierno y gestin
efectivo que optimiza la inversin y el uso de informacin y tecnologa para el beneficio de las partes interesadas.
Procesos COBIT 5
La orientacin de COBIT 5 es en procesos y existen 36 procesos que estn separados como reas de Gobierno
y Administracin.
rea: Gobierno Corporativo de TI

Evaluar, Dirigir y Monitorear (EDM) 5 procesos

rea: Administracin de TI Corporativa

Alinear, Planear, Organizar ( PO) 12 procesos

Construccin, Adquisicin e implementacin (BAI) 8 procesos

Entrega, Servicio y Soporte (DSS) 8 procesos

Monitoreo, Evaluacin e Informes (MEI) 3 procesos

Los nuevos procesos son los de EDM

EDM1 - Establecer y mantener el marco de referencia del Gobierno

EDM2 - Asegurar la Optimizacin del Valor

21

COBIT
Auditoria de Sistemas - 2015

EDM3 - Asegurar la optimizacin del riesgo

EDM4 - Asegurar la optimizacin de los recursos

EDM5 - Asegurar la transparencia hacia los stakeholders

Los procesos de disponibilidad y capacidad fueron mezclados:

BAI4 - Administrar la disponibilidad y capacidad

La mesa de servicio ha sido removida como parte del nombre de un proceso, ahora el proceso que la incluye
es:

DSS4 - Administrar las solicitudes de servicio e incidentes

Los volmenes de COBIT 5 son tres

Volumen 1: El Marco de Referencia ~ 60pp principios y modelos del gobierno corporativo de TI

Volumen 2: Gua de referencia de Procesos ~ 200pp Gua detallada de referencia de los procesos

Volumen 3: Implementando y mejorar continuamente el Gobierno corporativo de TI

Modelo de Capacidad de Procesos COBIT 5

Existen seis niveles de capacidad que se pueden alcanzar por un proceso, incluida la designacin de proceso
incompleto si las prcticas definidas en el proceso no alcanzan la finalidad prevista:

0 Proceso incompletoEl proceso no est implementado o no alcanza su propsito. A este nivel, hay
muy poca o ninguna evidencia de ningn logro sistemtico del propsito del proceso.

1 Proceso ejecutado (un atributo) El proceso implementado alcanza su propsito.

2 Proceso gestionado(dos atributos) El proceso ejecutado descrito anteriormente est ya

implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de su
ejecucin estn establecidos, controlados y mantenidos apropiadamente.

3 Proceso establecido (dos atributos) El proceso gestionado descrito anteriormente est ahora
implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso.

4 Proceso predecible (dos atributos) El proceso establecido descrito anteriormente ahora se ejecuta
dentro de lmites definidos para alcanzar sus resultados de proceso.
22

COBIT
Auditoria de Sistemas - 2015

5 Proceso optimizado(dos atributos) El proceso predecible descrito anteriormente es mejorado de

forma continua para cumplir con los metas empresariales presentes y futuros.

Cada nivel de capacidad puede ser alcanzado slo cuando el nivel inferior se ha alcanzado por completo. Por
ejemplo, un nivel 3 de capacidad de proceso (establecido) requiere que los atributos de definicin y despliegue del
proceso se hayan alcanzado ampliamente, sobre la consecucin completa de los atributos del nivel 2 de madurez de
procesos (proceso gestionado).
Existe una diferencia significativa entre el nivel 1 de capacidad de procesos y los niveles superiores. Alcanzar el
nivel 1 requiere que el atributo de rendimiento sea alcanzado ampliamente, lo que significa que el proceso se
ejecuta con xito y la organizacin obtiene los resultados esperados. Es entonces cuando los niveles de capacidad
superiores aaden diferentes atributos al proceso. En este esquema de evaluacin, alcanzar un nivel 1 de
capacidad, incluso en una escala de 5, es ya un logro importante para la organizacin. Ha de tenerse en cuenta que
(basndose en motivos de viabilidad y coste-beneficio) cada empresa de forma individual deber elegir su objetivo o
nivel deseado, que raramente ser uno de los ms altos.

23

COBIT
Auditoria de Sistemas - 2015

IMPLEMENTACIN COBIT 5
ISACA proporciona amplias y prcticas guas de implementacin en su publicacin COBIT 5 Implementacin,
que est basada en un ciclo de vida de mejora continua. No est pensada con un enfoque prescriptivo ni como una
solucin completa, sino ms bien como una gua para evitar los obstculos ms comunes, aprovechar las mejores
prcticas y ayudar en la creacin de resultados satisfactorios. La gua se complementa con una herramienta de
implementacin que contiene varios recursos que sern mejorados continuamente. Sus contenidos incluyen:

Herramientas de autoevaluacin, medicin y diagnstico

Presentaciones orientadas a diversas audiencias

Artculos relacionados y explicaciones adicionales

La implementacin del ciclo de vida proporciona a las empresas una manera de usar COBIT para solucionar la
complejidad y los desafos que normalmente aparecen durante las implementaciones. Los tres componentes
interrelacionados del ciclo de vida son:
1. Ciclo de vida de Mejora continua Este no es un proyecto nico
2. Habilitacin del cambio Abordar los aspectos culturales y de comportamiento
3. Gestin del programa
Como se ha comentado anteriormente, se debe crear un entorno apropiado para asegurar el xito de la
implementacin o de la iniciativa de mejora. El ciclo de vida y sus siete fases son:

La fase 1comienza con el reconocimiento y aceptacin de la necesidad de una iniciativa de

implementacin o mejora. Identifica los puntos dbiles actuales y desencadena y crea el nimo de
cambio a un nivel de direccin ejecutiva.

La fase 2 se concentra en definir el alcance de la iniciativa de implementacin o mejora empleando el

mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI asociados, y
considerando cmo los escenarios de riesgos podran destacar los procesos clave en los que
focalizarse. Los diagnsticos de alto nivel tambin pueden ser tiles para delimitar y entender reas de
alta prioridad en las que hacer foco. Se lleva a cabo una evaluacin del estado actual y se identifican
24

COBIT
Auditoria de Sistemas - 2015
los problemas y deficiencias mediante la ejecucin de un proceso de revisin de capacidad. Se
deberan estructurar iniciativas de gran escala como mltiples iteraciones del ciclo de vida para cada
iniciativa de implementacin que exceda de seis meses, existe un riesgo de perder el impulso, el foco y
la involucracin de las partes interesadas.

Durante la fase 3, se establece un objetivo de mejora, seguido de un anlisis ms detallado

aprovechando las directrices de COBIT para identificar diferencias y posibles soluciones. Algunas
soluciones pueden ser beneficios inmediatos (quick wins) y otras actividades pueden ser ms
desafiantes y de largo plazo. La prioridad deberan ser aquellas iniciativas que son ms fciles de
conseguir y aquellas que podran proporcionar los mayores beneficios.

La fase 4planifica soluciones prcticas mediante la definicin de proyectos apoyados por casos de
negocios justificados. Adems, se desarrolla un plan de cambios para la implementacin. Un caso de
negocio bien desarrollado ayuda a asegurar que se identifican y supervisan los beneficios del proyecto.

Las soluciones propuestas son implementadas en prcticas da a da en la fase 5. Se pueden definir

las mediciones y establecer la supervisin empleando las metas y mtricas de COBIT para asegurar
que se consigue y mantiene la alineacin con el negocio y que el rendimiento puede ser medido. El
xito requiere el compromiso y la decidida apuesta de la alta direccin as como la propiedad por las
partes afectadas a nivel TI y de negocio.

La fase 6se focaliza en la operacin sostenible de los nuevos o mejorados catalizadores y de la

supervisin de la consecucin de los beneficios esperados.

Durante la fase 7, se revisa el xito global de la iniciativa, se identifican requisitos adicionales para el
gobierno o la gestin de la TI empresarial y se refuerza la necesidad de mejora continua.

25

COBIT
Auditoria de Sistemas - 2015

A lo largo del tiempo, el ciclo de vida debera seguirse de modo iterativo, al tiempo que se construye un modelo
sostenible de gobierno y gestin de TI corporativa.

COMPARACIN COBIT 4.1 VS COBIT 5

COBIT 4.1 haca referencia a ITIL; CMM, ISO 17799, PMBOK, PRINCE2. Uno de los objetivos de COBIT 5
sigue siendo mejorar la compatibilidad con otras guas de buenas prcticas y estndares.
NUEVO MODELO DE MADUREZ
El conjunto de productos de COBIT 5 incluye un modelo de capacidad de procesos, basado en la norma
internacionalmente reconocida ISO / IEC 15504 de Ingeniera de Software-Evaluacin de Procesos. Este modelo
alcanzar los mismos objetivos generales de evaluacin de procesos y apoyo a la mejora de procesos, es decir, que
proporcionar un medio para medir el desempeo de cualquiera de los procesos de gobierno (basado en EDM) o de
gestin (basado en PBRM), y permitir identificar reas de mejora.
Sin embargo, el nuevo modelo es diferente del modelo de madurez de COBIT 4.1. Usar el modelo de madurez
de COBIT 4.1 para la mejora de procesos - evaluar la madurez de un proceso, definir nivel objetivo de madurez e
identificar las deficiencias- requera utilizar los siguientes componentes de COBIT 4.1:

26

COBIT
Auditoria de Sistemas - 2015

Primero, era necesario hacer un anlisis para comprobar si los objetivos de control de los procesos se
cumplan.

Despus, el modelo de madurez incluido en la gua de gestin para cada proceso poda ser utilizada
para obtener un perfil de madurez del proceso.

Adems, el modelo de madurez genrico de COBIT 4.1 proporcionaba seis atributos diferentes que
eran de aplicacin a cada proceso y ayudaban en la obtencin de una perspectiva ms detallada del
nivel de madurez del proceso.

Los controles de proceso son objetivos de control genricos tambin necesitaban ser revisados
cuando se llevaba a cabo un anlisis de proceso. Los controles de procesos se solapan parcialmente
con los atributos genricos del modelo de madurez.

Las diferencias ms importantes entre un anlisis de capacidad de procesos basado en la norma ISO/IEC
15504 y el modelo de madurez actual de COBIT 4.1 (y los modelos similares de ValIT y RiskIT basados en
dominios) se pueden resumir como sigue:

La nomenclatura y significado de los niveles definidos en la ISO/IEC 15504 son muy diferentes de
aquellos de COBIT 4.1.

En la norma ISO/IEC 15504 los niveles de capacidad se definen por un conjunto de nueve atributos de
proceso. Estos atributos cubren algo del terreno cubierto por los atributos de madurez COBIT 4.1 y/o
los controles de proceso, pero solo en cierta medida y de forma distinta. Este

cambio asegura el

cumplimiento con el estndar mientras que da un mejor enfoque en cuan bien los procesos
estn siendo ejecutados y si estn logrando su propsito.
Las escalas de capacidad de COBIT 4.1 y COBIT 5 se pueden considerar mapeadas como se muestra en la
siguiente figura.

27

COBIT
Auditoria de Sistemas - 2015

Ya no se incluye dentro de los contenidos detallados de un proceso en COBIT 5 un modelo especfico

de madurez para cada proceso. Esto es porque el enfoque de la norma ISO/IEC 15504 para la
evaluacin de la capacidad de procesos no lo requiere, incluso lo prohbe. En cambio, el enfoque de la
norma define la informacin requerida en el modelo de referencia de procesos (el modelo de
procesos que debe ser usado en la evaluacin):

Descripcin del proceso, con la declaracin de propsitos.

Prcticas base, que son las equivalentes a prcticas de gestin o de gobierno en COBIT 5.

Productos de trabajo, que son el equivalente a las entradas y salidas en trminos de COBIT 5.

El modelo de madurez de COBIT 4.1 produca un perfil de madurez de la empresa. El principal

propsito de este perfil era identificar en qu dimensin o para qu atributos haba debilidades
28

COBIT
Auditoria de Sistemas - 2015
especficas que necesitaban mejoras. Este enfoque era usado por las empresas cuando haba un
enfoque hacia la mejora ms que para obtener un nmero de madurez para incluirlo en un informe. En
COBIT 5 el modelo de evaluacin proporciona una escala de medida para cada atributo de capacidad
y gua sobre cmo aplicarlo, por lo que por cada proceso se puede hacer un anlisis para cada uno de
los nueve atributos de capacidad.

Los atributos de madurez de COBIT 4.1 y los atributos de capacidad de los procesos de COBIT 5 no
son idnticos. Estos se solapan/mapean hasta cierto punto. Las empresas que hayan utilizado el
enfoque de atributos del modelo de madurez de COBIT 4.1 pueden reutilizar los datos de sus
evaluaciones existentes y reclasificarlos segn las evaluaciones de atributos de COBIT 5 basado en la
siguiente figura.

Tras los cambios, se dispone de un total de 36 procesos (34 en la versin 4.1). Al dar un primer vistazo
comprobamos que muchos de los procesos ya estn adoptados en la organizacin: Gestin de proveedores, gestin
de cambios, gestin de la configuracin, gestin de incidencias, gestin de problemas. COBIT 5 propone
tres procesos para la monitorizacin y evaluacin. Seguramente en muchas organizaciones estos tres
procesos estn agrupados e implementados como un nico proceso.
Una de las muchas caractersticas anticipadas de COBIT 5 es el incremento en la atencin de la integracin
del negocio y TI. Esta orientacin mejorar la comunicacin, clarificar los roles y responsabilidades y
reducir los incidentes relacionados con la informacin y la tecnologa que pudieran daar a la organizacin.

29

COBIT
Auditoria de Sistemas - 2015
COBIT 5 integra todas las mejores prcticas dispersas en los distintos marcos de referencia de ISACA
COBIT, VAL IT, Risk IT, BMIS (Modelo de negocios para la seguridad de la informacin) e ITAF (Marco de
referencia para el aseguramiento de TI) en una sola base de conocimiento que permita tener un
acercamiento consistente del valor, riesgo y seguridad en la organizacin. La arquitectura de COBIT 5 junta
a los stakeholders, sus preocupaciones, intereses y necesidades as como la base de conocimiento de
ISACA.
COBIT 5 tiene cinco principios:
1. Como integrador: Un marco de referencia de gobierno y gestin para la informacin y tecnologa
relacionada que inicia por evaluar las necesidades de tecnologa de los stakeholders.
2. Motivado por el valor a los stakeholders
3. Enfocado en el negocio y su contexto
4. Basado en habilitadores, definidos en el marco de referencia como aquellos recursos que
permiten el xito de TI
5. Estructurado en el gobierno y gestin
En esencia, COBIT 5 cubre de manera completa la organizacin y provee una base de integracin de otros
marcos de referencia, estndares y mejores prcticas que algunas organizaciones pueden ya estar usando. En la
siguiente tabla vemos las principales diferencias entre versiones:
CARACTERISTICAS
reas de Conocimiento

VERSION 4.1
nica

Dominios
Procesos
Procesos por Dominio

4 (PO, AI, DS, ME)

34
PO 10 procesos
AI 7 procesos
DS 13 procesos
ME 4 procesos

Niveles de Madurez

6, modelo propio

VERSION 5
Gobierno Corporativo de TI y
Administracin de TI Corporativas
5 (EDM, PO,BAI, DSS, MEI)
36
EDM 5 procesos
PO 12 procesos
BAI 8 procesos
DSS 8 procesos
MEI 3 procesos
6, basado en ISO 15504,
niveles de capacidad

30

COBIT
Auditoria de Sistemas - 2015

CERTIFICACIONES COBIT 5
ISACA Madrid ofrece actualmente 3 cursos de formacin en COBIT 5. Despus de una breve introduccin
general, se presentan sus detalles a continuacin

Curso COBIT 5 Fundamentos: Preparar al participante para presentarse al Examen de Certificacin

en Fundamentos, que se ofrece en el 3er da. (Los participantes que no deseen examinarse en esa
ocasin terminan su curso al final del 2o da, y si lo desean pueden examinarse posteriormente).
El propsito del Certificado es confirmar que el candidato tiene suficiente conocimiento y comprensin
de COBIT 5 para comprender el Gobierno y Gestin de las tecnologas de la informacin empresarial,
concienciar a sus ejecutivos de negocio y a la alta direccin de TI, evaluar el estado actual de la TI en
la empresa con el objetivo de dimensionar qu aspectos de COBIT 5 sera apropiado implementar.

Curso COBIT 5 Implementacin: Preparar al participante para presentarse al Examen de

Certificacin en Implementacin, que se ofrece en el 3er da. Los participantes que no deseen
examinarse en esa ocasin terminan su curso al final del 2o da, y si lo desean pueden examinarse
posteriormente).
El propsito del Certificado es demostrar que se sabe aplicar y analizar a nivel profesional
(practitioner) el conjunto de procedimientos y buenas prcticas de las 7 fases del Ciclo de Vida de
Implantacin. Para ello, se ensear cmo crear escenarios seleccionando procesos de la gua de
Mecanismos Facilitadores (Catalizadores), usando entre otras cosas- los mapeos a procesos de los
puntos sensibles (pain points) y escenarios de riesgo.

Curso COBIT 5 Evaluador: El curso tiene dos objetivos principales.

Por un lado, aportar al participante la base para que sepa evaluar las capacidades de los procesos de
una organizacin segn el Modelo PAM (COBIT Process Assessment Model). PAM est basado en
evidencias, para posibilitar una forma fiable, consistente y repetible de evaluar las capacidades de los
procesos TI.

31

COBIT
Auditoria de Sistemas - 2015

Evaluacin que puede usarse para mejoras del proceso, para entregar valor al negocio, para medir el
logro de los objetivos de negocio actuales o en proyecto, para hacer estudios comparativos
(benchmarking), para informar consistentemente y para el cumplimiento de la organizacin. Ayuda a
los lderes TI a obtener, de la alta direccin y el consejo de administracin, la aprobacin a las
iniciativas de cambio y mejora. Por otro, preparar al participante para el Examen de Certificacin en
Evaluador Assessor. El Certificado demuestra que se sabe aplicar y analizar los resultados,
conforme al estndar de ISACA.
El Examen se ofrece en el 3er da del curso. Los participantes que no deseen examinarse en esa
ocasin terminan el curso al final del 2o da, y si lo desean pueden examinarse posteriormente

Actualmente ISACA ofrece 3 Certificaciones Profesionales relacionadas directamente con COBIT 5:

Fundamentos Foundation (F)

Implementacin Implementation (I)

Evaluador Assessor (A)

Para perseguir una mayor calidad y uniformidad internacionales a las anteriores certificaciones profesionales,
ISACA ha encomendado su total gestin a APMG International, una multinacional britnica especializada en
exmenes, certificaciones y acreditaciones profesionales (http://www.apmg-international.com).
APMG establece los temarios (syllabi) de los cursos, prepara el material pedaggico bsico, acredita a las
organizaciones docentes (ATOs, por sus siglas en ingls) y al profesorado, administra los exmenes y gestiona las
certificaciones.

32

COBIT
Auditoria de Sistemas - 2015

BIBLIOGRAFA
-

http://www.isaca.org/cobit/pages/default.aspx

https://en.wikipedia.org/wiki/COBIT

COBIT 4.1 Framework Spanish - ISACA

COBIT 5 Framework Spanish - ISACA

33