COBIT

COBIT
Gabinete de Auditoria de Sistemas
a)
INTRODUCCIN
Hoy en da, uno de los aspectos ms importantes (y crticos a la vez) para el

xito y la supervivencia de cualquier organizacin, es la gestin efectiva de la
informacin as como de las tecnologas relacionadas con ella (tecnologas de
la informacin: TI). En esta sociedad informatizada, donde la informacin
viaja a travs del ciberespacio sin ninguna restriccin de tiempo, distancia y
velocidad; esta importancia y crtica calidad surge de los siguientes aspectos:
Aumento de la dependencia de la informacin, as como de los sistemas

que proporcionan dicha informacin;
Aumento de la vulnerabilidad, as como un amplio espectro de amenazas
(como las amenazas del ciberespacio y la lucha por la informacin);
Escala y coste de las inversiones actuales y futuras en informacin y
tecnologas de la informacin;
Potencial de las tecnologas para realizar cambios importantes en las
organizaciones y en
las prcticas de negocio, creando nuevas
oportunidades y reduciendo costes.
Para muchas organizaciones, la informacin y las tecnologas que las soportan

representan su medio o recurso ms valioso (de hecho, muchas organizaciones
reconocen los beneficios potenciales
que la tecnologa puede aportar).
Adems, en los cada vez ms cambiantes y competitivos entornos de negocio
que existen en la actualidad, la gestin ha aumentado las expectativas con
respecto a las funciones de liderizacin de las tecnologas de la informacin.
Verdaderamente, la informacin y los sistemas de informacin estn
adentrndose a lo largo y ancho de las organizaciones (desde la plataforma del
usuario hasta las redes de rea local y ancha, los sistemas cliente/servidor y
los grandes mainframes o supercomputadores). As, la gestin requiere de un
aumento de la calidad, funcionalidad y facilidad de uso; disminuyendo a la vez
los periodos de entrega; y mejorando continuamente los niveles de servicio
(con la exigencia de que esto se lleve a cabo con costes ms bajos).
Las organizaciones deben cumplir con los requerimientos de calidad, de
informes fiduciarios y de seguridad, tanto para su informacin, como para sus
activos. La administracin deber obtener un balance adecuado en el empleo
de sus recursos disponibles, los cuales incluyen: personal, instalaciones,
tecnologa, sistemas de aplicacin y datos. Para cumplir con esta
responsabilidad, as como para alcanzar sus expectativas, la administracin
deber establecer un sistema adecuado de control interno. Por lo tanto, este
sistema o marco referencial deber existir para proporcionar soporte a los
procesos de negocio y debe ser preciso en la forma en la que cada actividad
individual de control satisface los requerimientos de informacin y puede
impactar a los recursos de TI. Este impacto en los recursos de TI es enfatizado
en el Marco Referencial de COBIT conjuntamente a los requerimientos de
informacin del negocio que deben ser alcanzados: efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El
control, que incluye polticas, estructuras, prcticas y
procedimientos
organizacionales, es responsabilidad de la administracin.
Contaduria Pblica
Pgina 1
COBIT
De esta forma, la gestin de la informacin necesita tener una apreciacin y un

entendimiento bsico de los riesgos y restricciones de las tecnologas de la
informacin, en orden de proporcionar directrices efectivas as como los
controles adecuados, es decir, la realizacin de un proceso de revisin y
verificacin de la informacin y de las tecnologas que las soportan.
b)
GOBIERNO DE TI
A fin de poder definir al Gobierno de TI, debemos iniciar por definir al Gobierno
Corporativo, el cul se puede describir como, el conjunto de responsabilidades
y prcticas ejecutadas por la junta directiva y la administracin con el fin de
proveer direccin estratgica. (ISACA, 2010) Pero, de qu manera se provee
una correcta direccin estratgica para la organizacin?
Garantizando que los objetivos sean alcanzados

Estableciendo que los riesgos son administrados apropiadamente y;
Verificando que los recursos de la empresa son usados de manera
responsable
Como se puede observar, se toman en cuenta tres aspectos importantes que

influyen en el desempeo, como son los objetivos, los cuales constituyen el fin
principal de la organizacin. Por otro lado la administracin de riesgos, que son
todos aquellos factores que la organizacin debe de tomar en cuenta como
posibles amenazas, las cuales debe de mitigar con anlisis y planes de
continuidad; y por ltimo los recursos, el elemento clave para la operacin de
la organizacin, sea financiero, humano o de infraestructura.
Con la descripcin dada, es claro que con lo que pretende el Gobierno
corporativo, podemos explicar que el Gobierno de TI es una parte integral del
Gobierno corporativo y consta del liderazgo, estructuras organizacionales y
procesos que garanticen que las TI de la empresa sustenten y extiendan las
estrategias y objetivos organizacionales. Por ello, el Gobierno de TI es una
responsabilidad compartida de la junta directa y la administracin ejecutiva de
la organizacin. (ISACA, 2010)
La norma ISO/IEC 38500 Corporate Governance of Information Technology, lo
define como "El sistema mediante el cual se dirige y controla el uso actual y
futuro de las tecnologas de la informacin (Villuendas, 2011)
2.1. Implementacin del Gobierno de TI
La implementacin de un marco de Gobierno de TI se lleva acabo tomando en
cuenta las diferentes condiciones y circunstancias existentes en una
organizacin, estas principalmente determinadas por factores como los son:
Lograr una interaccin del gobierno de TI con la tica y cultura de la

organizacin, siendo este el elemento subjetivo, es vital el entender el
ambiente laborar y hbitos en la organizacin, parte trascendental es la
comunicacin que se tenga hacia el personal.
Apegarse a leyes y regulaciones vigentes (sean internas o externas),
para el cumplimiento del marco de gobierno, debido a que es
indispensable no dejar de lado todos aquellos reglamentos internos
Contaduria Pblica
Pgina 2
COBIT
establecidos en la organizacin, ni tampoco las leyes regulatorias de la

regin, pas o estado donde se radique.
Considerar la misin, visin y valores de la organizacin, para tener un
correcto paralelismo del Gobierno de TI hacia los objetivos actuales y a
futuro de la organizacin, considerando tambin los valores de la misma.
En la estructura organizacional, el Gobierno de TI se apoyara para su
operacin en el organigrama del negocio para poder asignar tambin
actividades, comprendiendo los roles y responsabilidades.
Estrategias y tcticas de la organizacin, esto para tener la directriz de
la manera en la cual la organizacin realiza su toma de decisiones y
ejecucin de actividades, el gobierno de TI tendr que reforzarlas para el
logro de los objetivos de la organizacin. (NETWORK-SEC, 2010)
2.2 Enfoque del Gobierno de TI

El enfoque que se le ha dado al Gobierno de TI, es principalmente para que sea
una solucin operativa, que trate con los retos presentados por TI, mejore el
desempeo y posibilite la ventaja competitiva como apoyar en prevenir
problemas. Adems, hacer del Gobierno de TI una responsabilidad compartida
entre el negocio (cliente) y el proveedor de servicios de TI, con el pleno
compromiso y la gua de la alta direccin.
Otro punto es el alinear el Gobierno de TI con un amplio Gobierno Corporativo,
incluyendo a la junta y administracin ejecutiva, a fin de proporcionar liderazgo
y estructuras organizacionales necesarias recalcando la buena administracin y
control de los procesos. (BDO Consulting, 2008) En la figura1, podemos
observar las reas de enfoque del Gobierno de TI.
FIGURA 1: reas del Gobierno de TI
Fuente de Consulta: IT Governance Institute, 2007

Alineacin Estratgica: Se enfoca en garantizar la alineacin estratgica entre
los planes de negocio y de TI y en alinear las operaciones de TI con las
operaciones de la empresa. (I.T Governance Institute, 2007)
Como ya se estableci, la estrategia de TI debe responder a las estrategias de
la organizacin de donde se concluye que las aplicaciones deben atender las
necesidades funcionales y de informacin de los procesos, los cuales a su vez,
Contaduria Pblica
Pgina 3
COBIT
soportan el cumplimiento de los objetivos estratgicos. De esta manera el ciclo

se completa:
La Estrategia TI nace de la Estrategia Empresarial y la soporta
Las aplicaciones nacen de la estrategia TI y soportan los procesos
Los procesos soportan la Estrategia Empresarial
Entrega de Valor: Se refiere a ejecutar las propuestas de valor a todo lo largo
del ciclo de entrega, asegurando siempre que TI genere los beneficios
prometidos en la estrategia, haciendo nfasis en optimizar los costos y en
brindar el valor intrnseco de TI. (I.T Governance Institute, 2007)
La funcin de TI se debe gestionar para cumplir con los requerimientos de
soporte a las decisiones y a los procesos de la organizacin (estratgicos,
misionales y de soporte).
Administracin de Recursos: Se trata de la inversin ptima as como la
administracin adecuada de los recursos crticos de TI: Aplicaciones,
informacin, infraestructura y personas. Los temas claves se refieren a la
optimizacin de conocimiento e infraestructura. (I.T Governance Institute,
2007)
La responsabilidad de TI va ms all de administrar los recursos que tiene bajo
su manejo. Estos recursos deben ser usados para entregar de manera ptima
los productos de informacin para lo cual fueron adquiridos.
Administracin de Riesgo: Requiere conciencia de los riesgos por parte de los
altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo,
que tiene la empresa, comprender los requerimientos de cumplimiento,
transparencia de los riesgos significativos para las empresas y la inclusin de
las responsabilidades de administracin de riesgos dentro de la organizacin.
(I.T Governance Institute, 2007)
El Gobierno de TI debe velar porque ningn evento impida la entrega de los
productos y la continuidad del servicio de TI. Para esto se debe hacer una
adecuada administracin de los riesgos de la funcin TI y de los procesos
soportados por TI, por parte del funcionario de la organizacin a quien se haya
asignado esta responsabilidad.
Medicin del desempeo: Rastrea y monitorear la estrategia de
implementacin, la terminacin del proyecto, el uso de los recursos, el
desempeo de los procesos y la entrega del servicio, con el uso de
herramientas como Balance ScoreCard que traducen la estrategia en accin
para lograr las metas medibles ms all del registro convencional. (I.T
Governance Institute, 2007)
El cumplimiento de la estrategia TI se logra mediante la administracin de los
recursos TI a travs de la adecuada gestin de los procesos de Planeacin y
Organizacin (PO), Adquisicin e Implantacin (AI), Entrega y Soporte (DS) y
Monitoreo y Evaluacin (ME). Estos procesos deben ser medidos para
establecer el aporte que hacen o dejan de hacer en el logro de la estrategia de
TI, mediante indicadores que evidencien los resultados de la gestin de dichos
procesos.
Contaduria Pblica
Pgina 4
COBIT
b.3.
Mapa de implementacin de Gobierno de TI para la

organizacin
En la figura 2, se muestra el mapa recomendado para la implementacin del
Gobierno de TI, este define los diferentes pasos y actividades de cada uno de
ellos para lograr el Gobierno de TI. Las etapas para desarrollar una solucin de
Gobierno de TI son:
Identificar las necesidades de la organizacin es un punto primordial,

involucra actividades como fomentar la conciencia y obtener
compromiso de todos los niveles de la organizacin, analizar las metas
del negocio y de TI, realizar la seleccin de procesos y controles, analizar
riesgos y definir alcances.
Prever la solucin de problemas, donde se evalan la capacidad y
madurez de los procesos de TI seleccionados, posteriormente para cada
uno se definen niveles de objetivo y madurez apropiados y alcanzables.
Planear la solucin, consiste en identificar las iniciativas de mejoras
prioritarias y factibles, traducindolas en proyectos justificables,
alineados con el valor de negocio original y los factores de riesgo. Una
vez evaluados esos proyectos deben incluirse en una estrategia de
mejora y un programa prctico para llevar a cabo la solucin.
Al implantar la solucin, mientras el plan de mejora se lleva a cabo,
gobernado por proyectos establecidos y metodologas de administracin
del cambio, la obtencin exitosa de los resultados de negocio deseados
de asegura mediante: la retroalimentacin y lecciones aprendidas postimplementacin. El monitoreo de las mejoras sobre el desempeo de la
corporacin y Balance Scorecard de TI.
El ltimo punto del mapa es el lograr la sustentabilidad. Se construye
integrando el Gobierno de TI con el Gobierno Corporativo de la
organizacin, y la responsabilidad de TI a travs de la empresa, con
estructuras organizacionales apropiadas, determinar claramente
polticas y controles, cambio cultural impulsado desde la alta direccin,
mejora continua en procesos, y con monitores e informes ptimos.
FIGURA 2: Mapa de implementacin de Gobierno de TI en las organizaciones
Contaduria Pblica
Pgina 5
COBIT
Fuente de Consulta: ISACA, 2010.

c)
COBIT
COBIT son las siglas para definir Control Objectives for Information and related
Technology (Objetivos de Control para la informacin y tecnologa relacionada),
el cual es un marco de referencia creado por ISACA (Information Systems Audit
and Control Association (Asociacin de Control y Auditoria de Sistemas de
Informacin) para la gestin de la TI y el Gobierno de TI. Es un conjunto de
herramientas de soporte que permite a la gerencia de las organizaciones el
cerrar la brecha entre los requerimientos de control, problemas tcnicos y los
riesgos del negocio. (IT Governance Institute, 2007)
Este marco provee buenas prcticas y presenta actividades para el Gobierno de
TI en una estructura manejable y lgica. Las buenas prcticas de COBIT renen
el consenso de expertos, quienes ayudarn a optimizar la inversin en TI y
proporcionarn un mecanismo de medicin que permitir juzgar cuando las
actividades van por el camino equivocado.
La misin de COBIT es el investigar, desarrollar, publicar y promover un
conjunto de objetivos de control generalmente aceptados, autorizados,
actualizados por ISACA para ser utilizadas en el da a da por la gerencia del
negocio, los profesionales de IT y de la seguridad. En la figura 3 vemos que
define tambin procesos, metas y mtricas para el control. (I.T Governance
Institute, 2007).
Contaduria Pblica
Pgina 6
COBIT
FIGURA 3: Diagrama de la misin de COBIT
Fuente de Consulta: IT Governance Institute, 2007

El principio bsico del marco de referencia de COBIT est representado en el
esquema de la figura 4. Los recursos de TI son manejados procesos para
alcanzar las metas de TI que responden a los requerimientos del negocio.
FIGURA 4: Cubo de COBIT
Fuente de Consulta: ISACA, 2010

3.1. ANTECEDENTES
El Instituto de Gobierno de TI fue formado por la Auditora de Sistemas de
Informacin y de la Asociacin de Control (ISACA) y su Fundacin asociada en
Contaduria Pblica
Pgina 7
COBIT
1998 para avanzar en el entendimiento y la adopcin de principios de gobierno

de TI. Con la adicin de las Directrices Gerenciales en la tercera edicin de
COBIT, su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto
de Gobierno de TI adquiri un rol de liderazgo en el desarrollo de la publicacin.
COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido
mejorado con los actuales y emergentes estndares internacionales a nivel
tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de
Control resultantes han sido desarrollados para su aplicacin en sistemas de
informacin de toda la empresa. El trmino generalmente aplicable y
aceptado es utilizado explcitamente en el mismo sentido que los Principios de
Contabilidad Generalmente Aceptados (PCGA o GAAP, por sus siglas en ingls).
En 1996, la primera edicin de COBIT fue publicada. Esta inclua la coleccin y
anlisis de fuentes internacionales reconocidas y fue realizada por equipos en
Europa, Estados Unidos y Australia.
En 1998, fue publicada la segunda edicin; su cambio principal fue la adicin
de las guas de gestin. Para el ao 2000, la tercera edicin fue publicada y en
el 2003, la versin en lnea ya se encontraba disponible en el sitio de ISACA.
Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y
mejorado para soportar el incremento del control gerencial, introducir el
manejo del desempeo y mayor desarrollo del Gobierno de TI.
En diciembre de 2005, la cuarta edicin fue publicada y en Mayo de 2007, se
liber la versin 4.1.
La versin nmero 5 de COBIT fue liberada en el ao 2012. En esta edicin se
consolida e integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT.
Este nuevo marco de referencia viene integrado principalmente del Modelo de
Negocios para la Seguridad de la Informacin (BMIS, Business Model for
Information Security) y el Marco de Referencia para el Aseguramiento de la
Tecnologa de la Informacin (ITAF, Information Technology Assurance
Framework).
3.2. PRINCIPIOS
Contaduria Pblica
Pgina 8
COBIT
El enfoque del control en TI se lleva a cabo visualizando la informacin

necesaria para dar soporte a los procesos de negocio y considerando a la
informacin como el resultado de la aplicacin combinada de recursos
relacionados con las TI que deben ser administrados por procesos de TI.
Requerimientos de la informacin del negocio: Para alcanzar los requerimientos
de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad
de los reportes financieros y Cumplimiento le leyes y regulaciones.
EFECTIVIDAD
La informacin debe ser relevante y pertinente para los procesos del negocio y
debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.
EFICIENCIA
Se debe proveer informacin mediante el empleo ptimo de los recursos (la
forma ms productiva y econmica).
CONFIABILIDAD
Proveer la informacin apropiada para que la administracin tome las
decisiones adecuadas para manejar la empresa y cumplir con sus
responsabilidades.
CUMPLIMIENTO
De las leyes, regulaciones y compromisos contractuales con los cuales est
comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
CONFIDENCIALIDAD
Proteccin de la informacin sensible contra divulgacin no autorizada.
INTEGRIDAD
Refiere a lo exacto y completo de la informacin as como a su validez de
acuerdo con las expectativas de la empresa.
DISPONIBILIDAD
Accesibilidad a la informacin cuando sea requerida por los procesos del
negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar
los objetivos de negocio:
DATOS
Todos los objetos de informacin. Considera informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
APLICACIONES
Contaduria Pblica
Pgina 9
COBIT
Entendidas como sistemas de informacin, que integran procedimientos

manuales y sistematizados.
TECNOLOGA
Incluye hardware y software bsico, sistemas operativos, sistemas de
administracin de bases de datos, de redes, telecomunicaciones, multimedia,
etc.
INSTALACIONES
Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
informacin.
RECURSO HUMANO
Por la habilidad, conciencia y productividad del personal para planear, adquirir,
prestar servicios, dar soporte y monitorear los sistemas de Informacin, o de
procesos de TI.
c.3.
COBIT 4.1
El Marco de Referencia de COBIT 4.1, est conformado por 34 Objetivos de

Control de alto nivel, todos diseados para cada uno de los Procesos de TI, los
cuales estn agrupados en cuatro grandes secciones mejor conocidos como
dominios, estos se equiparn a las reas tradicionales de TI de planear,
construir, ejecutar y monitorear.
Planificacin y Organizacin, proporciona la direccin para la entrega de

soluciones y la entrega de servicios.
Adquisicin e Implementacin, proporciona las soluciones y las desarrolla
para convertirlas en servicios.
Entrega de servicios, recibe soluciones y las hace utilizables para los
usuarios finales.
Soporte y Monitorizacin, monitorea todos los procesos para el asegurar
que se sigue con la direccin establecida.
Para cada uno de los 34 procesos definidos en los cuatro dominios de COBIT, se
ha generado un objetivo de control. Podemos definir control como las
polticas, procedimientos, prcticas y estructuras organizacionales que han sido
diseadas para asegurar razonablemente que los objetivos del negocio se
alcanzarn y los eventos no deseados, sern prevenidos o detectados y
corregidos. (I.T Governance Institute, 2007)
Estos objetivos de control de TI proporcionan un conjunto completo de
requerimientos de alto nivel a considerar por la gerencia para un control
efectivo de cada proceso de TI. Estos controles son sentencias de acciones de
gerencia que deben de aumentar el valor o reducir el riesgo en el negocio,
generalmente consisten en polticas, procedimientos, prcticas y estructuras
organizacionales, las cuales proporcionan un aseguramiento razonable de que
los objetivos del negocio se vern alcanzados.
Pero qu tipo de decisiones necesita tomar la gerencia en relacin a estos
Contaduria Pblica
Pgina 10
COBIT
objetivos de control? Primero, seleccionar aquellos que sean aplicables al

negocio, decidir cuales se implementaran y elegir como implementarlos (con
qu frecuencia, extensin, automatizacin). Adems de aceptar el riesgo de no
implementar aquellos que podran requerirse en la organizacin.
c.3.1. PROCESOS DE COBIT
El conjunto de lineamientos y estndares internacionales conocidos como
COBIT, define un marco de referencia que clasifica los procesos de las unidades
de tecnologa de informacin de las organizaciones en cuatro dominios
principales, a saber:
PLANIFICACION Y ORGANIZACION
ADQUISION E IMPLANTACION
SOPORTE Y SERVICIOS
MONITOREO
a) Procesos del COBIT #1 - PLANEAR Y ORGANIZAR

Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar
la manera en que TI puede contribuir de la mejor manera al logro de los
objetivos del negocio. Adems, la realizacin de la visin estratgica requiere
ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura organizacional y una
estructura tecnolgica apropiada. Este dominio cubre los siguientes
cuestionamientos tpicos de la gerencia:
Estn alineadas las estrategias de TI y del negocio?

La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los objetivos de
TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las necesidades del
negocio?
Contaduria Pblica
Pgina 11
COBIT
PO1: Definir un plan estratgico de TI

La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los
recursos de TI en lnea con la estrategia y prioridades del negocio. La funcin
de TI y los interesados del negocio son responsables de asegurar que el valor
ptimo se consigue desde los proyectos y el portafolio de servicios. El plan
estratgico mejora la comprensin de los interesados clave de las
oportunidades y limitaciones de TI, evala el desempeo actual, identifica la
capacidad y los requerimientos de recursos humanos, y clarifica el nivel de
investigacin requerido. La estrategia de negocio y prioridades se reflejarn en
portafolios y se ejecutarn por los planes estratgicos de TI, que especifican
objetivos concisos, planes de accin y tareas que estn comprendidas y
aceptadas tanto por el negocio como por TI.
Control sobre el proceso TI de: Definir un plan estratgico para TI.
Que satisface el requerimiento del negocio de TI para: Sostener o extender los
requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo
que se mantiene la transparencia sobre los beneficios, costos y riesgos.
Enfocndose en: La incorporacin de TI y de la gerencia del negocio en la
traduccin de los requerimientos del negocio a ofertas de servicio, y el
desarrollo de estrategias para entregar estos servicios de una forma
transparente y rentable.
Se logra con:
El compromiso con la alta gerencia y con la gerencia del negocio para
alinear la planeacin estratgica de TI con las necesidades del negocio
actuales y futuras.
El entendimiento de las capacidades actuales de TI.
La aplicacin de un esquema de prioridades para los objetivos del
negocio que cuantifique los requerimientos del negocio.
Y se mide con:
El porcentaje de objetivos de TI en el plan estratgico de TI, que dan
Contaduria Pblica
Pgina 12
COBIT
soporte al plan estratgico del negocio

El porcentaje de proyectos TI en el portafolio de proyectos que se
pueden rastrear hacia el plan tctico de TI
El retraso entre las actualizaciones del plan estratgico de TI y las
actualizaciones de los planes tcticos de TI
PO2. Definir la Arquitectura de la Informacin

La funcin de sistemas de informacin debe crear y actualizar de forma regular
un modelo de informacin del negocio y definir los sistemas apropiados para
optimizar el uso de esta informacin. Esto incluye el desarrollo de un
diccionario corporativo de datos que contiene las reglas de sintaxis de los
datos de la organizacin, el esquema de clasificacin de datos y los niveles de
seguridad. Ese proceso mejora la calidad de la toma de decisiones gerenciales
asegurndose que se proporciona informacin confiable y segura, y permite
racionalizar los recursos de los sistemas de informacin para igualarse con las
estrategias del negocio. Este proceso de TI tambin es necesario para
incrementar la responsabilidad sobre la integridad y seguridad de los datos y
para mejorar la efectividad y control de la informacin compartida a lo largo de
las aplicaciones y de las entidades.
Control sobre el proceso TI de: Definir la arquitectura de la informacin.
Que satisface el requerimiento del negocio de TI para: Agilizar la respuesta a
los requerimientos, proporcionar informacin confiable y consistente, para
integrar de forma transparente las aplicaciones dentro de los procesos del
negocio.
Enfocndose en: El establecimiento de un modelo de datos empresarial que
incluya un esquema de clasificacin de informacin que garantice la integridad
y consistencia de todos los datos.
Se logra con:
El aseguramiento de la exactitud de la arquitectura de la informacin y
del modelo de datos
La asignacin de propiedad de datos
La clasificacin de la informacin usando un esquema de clasificacin
acordado
Y se mide con:
El porcentaje de elementos de datos redundantes / duplicados
El porcentaje de aplicaciones que no cumplen con la metodologa de
arquitectura de la informacin usada por la empresa
La frecuencia de actividades de validacin de datos
PO3: Determinar la Direccin Tecnolgica
La funcin de servicios de informacin debe determinar la direccin tecnolgica
para dar soporte al negocio. Esto requiere de la creacin de un plan de
infraestructura tecnolgica y de un comit de arquitectura que establezca y
administre expectativas re-claras de lo que la tecnologa puede ofrecer en
Contaduria Pblica
Pgina 13
COBIT
trminos de productos, servicios y mecanismos de aplicacin. El plan se debe

actualizar de forma regular y abarca aspectos tales como arquitectura de
sistemas, direccin tecnolgica, planes de adquisicin, estndares, estrategias
de migracin y contingencias. Esto permite contar con respuestas oportunas a
cambios en el ambiente competitivo, economas de escala para consecucin de
personal de sistemas de informacin e inversiones, as como una
interoperabilidad mejorada de las plataformas y de las aplicaciones.
Control sobre el proceso TI de: Determinar la direccin tecnolgica
Que satisface el requerimiento del negocio de TI para: Contar con sistemas
aplicativos estndares, bien integrados, rentables y estables, as como recursos
y capacidades que satisfagan requerimientos de negocio, actuales y futuros
Enfocndose en: La definicin e implementacin de un plan de infraestructura
tecnolgica, una arquitectura y estndares que tomen en cuenta y aprovechen
las oportunidades tecnolgicas
Se logra con:
El establecimiento de un foro para dirigir la arquitectura y verificar el
cumplimiento
El establecimiento de un plan de infraestructura tecnolgica equilibrado
versus costos, riesgos y requerimientos
La definicin de estndares de infraestructura tecnolgica basados en
requerimientos de arquitectura de informacin
Y se mide con:
El nmero y tipo de desviaciones con respecto al plan de infraestructura
tecnolgica
Frecuencia de las revisiones /actualizaciones del plan de infraestructura
tecnolgica
Nmero de plataformas de tecnologa por funcin a travs de toda la
empresa
P04: Definir los Procesos, Organizacin y Relaciones de TI
Una organizacin de TI se debe definir tomando en cuenta los requerimientos
de
personal,
funciones,
rendicin
de
cuentas,
autoridad,
roles,
responsabilidades y supervisin. La organizacin est embebida en un marco
de trabajo de procesos de TI que asegure la transparencia y el control, as
como el involucramiento de los altos ejecutivos y de la gerencia del negocio.
Un comit estratgico debe garantizar la vigilancia del consejo directivo sobre
TI, y uno o ms comits de direccin, en los cuales participen tanto el negocio
como TI, deben determinar las prioridades de los recursos de TI alineados con
las necesidades del negocio. Deben existir procesos, polticas de
administracin y procedimientos para todas las funciones, con atencin
especfica en el control, el aseguramiento de la calidad, la administracin de
riesgos, la seguridad de la informacin, la propiedad de datos y de sistemas y
la segregacin de funciones. Para garantizar el soporte oportuno de los
requerimientos del negocio, TI se debe involucrar en los procesos importantes
Contaduria Pblica
Pgina 14
COBIT
de decisin
Control sobre el proceso TI de: Definir los procesos, organizacin y relaciones
de TI Que satisface el requerimiento del negocio de TI para Agilizar la
respuesta a las estrategias del negocio mientras se cumplen los requerimientos
de gobierno y se establecen puntos de contacto: definidos y competentes
Enfocndose en: El establecimiento de estructuras organizacionales de TI
transparentes, flexibles y responsables, y en la de implementacin de procesos
de TI con dueos, y en la integracin de roles y responsabilidades hacia los
procesos de negocio y de decisin
Se logra con:
La definicin de un marco de trabajo de procesos de TI
El establecimiento de un cuerpo y una infraestructura organizacional
apropiada
La definicin de roles y responsabilidades
Y se mide con:
El porcentaje de roles con descripciones de puestos y autoridad
documentados
El nmero de unidades/procesos de negocio que no reciben soporte de TI
y que deberan recibirlo, de acuerdo con la estrategia
Nmero de actividades clave de TI fuera de la organizacin de TI que no
son aprobadas y que no estn sujetas a los estndares organizacionales
de TI
PO5: Administrar la Inversin en TI
Establecer y mantener un marco de trabajo para administrar los programas de
inversin en TI que abarquen costos, beneficios, prioridades dentro del
presupuesto, un proceso presupuestal formal y administracin contra ese
presupuesto. Los interesados (stakeholders) son consultados para identificar y
controlar los costos y beneficios totales dentro del contexto de los planes
estratgicos y tcticos de TI, y tomar medidas correctivas segn sean
necesarias. El proceso fomenta la asociacin entre TI y los interesados del
negocio, facilita el uso efectivo de recursos de TI, y brinda transparencia y
responsabilidad dentro del costo total de propiedad, la materializacin de los
beneficios del negocio y el retorno sobre las inversiones en TI.
Control sobre el proceso TI de: Administrar la inversin del TI.
Que satisface el requerimiento del negocio del TI para: Mejorar de forma
continua y demostrable la rentabilidad de TI y su contribucin a la rentabilidad
del negocio con servicios integrados y estandarizados que satisfagan las
expectativas del usuario.
Enfocndose en: Decisiones de portafolio e inversin en TI efectivas y
eficientes, y el establecimiento y seguimiento de presupuestos de TI de
acuerdo a la estrategia de TI y a las decisiones de inversin.
Contaduria Pblica
Pgina 15
COBIT
Se logra con:
El pronstico y la asignacin de presupuestos
La definicin de criterios formales de inversin (retorno de inversin
-ROI, periodo reintegro, valor presente neto -NPV)
La medicin y evaluacin del valor del negocio en comparacin con el
pronstico
Y se mide con:
El porcentaje de reduccin en el costo unitario del servicio de TI
Porcentaje del valor de la desviacin respecto al presupuesto en
comparacin con el presupuesto total
Porcentaje del gasto de TI expresado en impulsores de valor del negocio.
(Ej. Incremento en ventas / Servicios debidos a la mejora en
conectividad)
PO6: Comunicar las Aspiraciones y la Direccin de la Gerencia
La direccin debe elaborar un marco de trabajo de control empresarial para TI,
y definir y comunicar las polticas. Un programa de comunicacin continua se
debe implementar para articular la misin, los objetivos de servicio, las
polticas y procedimientos, etc., aprobados y apoyados por la direccin. La
comunicacin apoya el logro de los objetivos de TI y asegura la concienciacin
y el entendimiento de los riesgos de negocio y de TI. El proceso debe
garantizar el cumplimiento de las leyes y reglamentos relevantes.
Control sobre el proceso TI de: Comunicar las aspiraciones y la direccin de la
gerencia
Que satisface el requerimiento del negocio de TI para: Una informacin precisa
y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y
las responsabilidades.
Enfocndose en: Proporcionar polticas, procedimientos, directrices y otra
documentacin aprobada, de forma precisa y entendible y que se encuentre
dentro del marco de trabajo de control de TI a los interesados.
Se logra con:
La definicin de un marco de trabajo de control para TI
La elaboracin e implementacin de polticas para TI
El esfuerzo de polticas de TI
Y se mide con:
El nmero de interrupciones en el negocio debidos a interrupciones en el
servicio de TI
Porcentaje de interesados que entienden el marco de trabajo de control
de TI de la empresa
Porcentaje de interesados que no cumplen polticas
PO7: Administrar los Recursos Humanos de TI
Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega
Contaduria Pblica
Pgina 16
COBIT
de servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas y

aprobadas que apoyan el reclutamiento, accin, entrenamiento, la evaluacin
del desempeo, la promocin y la terminacin. Este proceso es crtico, ya que
las personas son activos importantes, y el ambiente de gobierno y de control
interno depende fuertemente de la motivacin y competencia del personal.
Control sobre el proceso TI de: Administrar los recursos humanos de TI
Que satisface el requerimiento del negocio de TI para: Adquirir gente
competente y motivada para crear servicios de TI
Enfocndose en: La contratacin y entrenamiento del personal, la motivacin
por medio de planes de carrera claros, la asignacin de los roles que
correspondan a las habilidades, el establecimiento de procesos de revisin
definidos, la creacin de descripcin de puestos y el aseguramiento de la
conciencia de la dependencia sobre los individuos.
Se logra con:
La revisin del desempeo del personal
La contratacin y el entrenamiento del personal de TI para apoyar los
planes tcticos de TI
La mitigacin del riesgo de sobre dependencia de recursos clave
Y se mide con:
El nivel de satisfaccin de los interesados respecto a la experiencia y
habilidades del personal
La rotacin de personal de TI
Porcentaje de personal de TI certificado de acuerdo a las necesidades del
negocio
PO8: Administrar la Calidad
Se debe elaborar y mantener un sistema de administracin de calidad, el cual
incluya procesos y estndares probados de desarrollo y de adquisicin. Esto se
facilita por medio de la planeacin, implantacin y mantenimiento del sistema
de administracin de calidad, proporcionando requerimientos, procedimientos y
polticas claras de calidad. Los requerimientos de calidad se deben manifestar
y documentar con indicadores cuantificables y alcanzables. La mejora continua
se logra por medio del constante monitoreo, correccin de desviaciones y la
comunicacin de los resultados a los interesados. La administracin de calidad
es esencial para garantizar que TI est dando valor al negocio, mejora continua
y transparencia para los interesados.
Control sobre el proceso TI de: Administrar la calidad
Que satisface el requerimiento del negocio de TI para: La mejora continua y
medible de la calidad de los servicios prestados por TI
Enfocndose en: La definicin de un sistema de administracin de calidad
(QMS), el monitoreo continuo del desempeo contra los objetivos predefinidos
y la implantacin de un programa de mejora continua de servicios de TI
Contaduria Pblica
Pgina 17
COBIT
Se logra con:
La definicin de estndares y prcticas de calidad
El monitoreo y revisin interna y externa del desempeo contra los
estndares y prcticas de calidad definidas
La mejora del QMS de manera contina
Y se mide con:
Porcentaje de interesados (Stakeholder) satisfechos con la calidad
(ponderado por importancia)
Porcentaje de procesos de TI revisados de manera formal por
aseguramiento de calidad de modo peridico que satisfaga las metas y
objetivos de calidad
Porcentaje de procesos que reciben revisiones de aseguramiento de
calidad (QA)
PO9: Evaluar y Administrar los Riesgos de TI
Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos.
El marco de trabajo documenta un nivel comn y acordado de riesgos de TI,
estrategias de mitigacin y riesgos residuales. Cualquier impacto potencial
sobre las metas de la organizacin, causado por algn evento no planeado se
debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigacin
de riesgos residuales a un nivel aceptable. El resultado de la evaluacin debe
ser entendible para los interesados (Stakeholder) y se debe expresar en
trminos financieros, para permitirles alinear los riesgos a un nivel aceptable
de tolerancia.
Control sobre el proceso TI de: Evaluar y administrar los riesgos de TI
Que satisface el requerimiento del negocio de TI para: Analizar y comunicar los
riesgos de TI y su impacto potencial sobre los procesos y metas de negocio.
Enfocndose en: La elaboracin de un marco de trabajo de administracin de
riesgos el cual est integrado en los marcos gerenciales de riesgo operacional,
evaluacin de riesgos, mitigacin del riesgo y comunicacin de riesgos
residuales.
Se logra con:
La garanta de que la administracin de riesgos est incluida
completamente en los procesos administrativos, tanto interna como
externamente, y se aplica de forma consistente
La realizacin de evaluaciones de riesgos
La recomendacin y comunicacin de planes de accin para remediar
riesgos
Y se mide con:
Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de
riesgos
Porcentaje de riesgos crticos de TI identificados con planes de accin
Contaduria Pblica
Pgina 18
COBIT
elaborados
Porcentaje de planes de accin de administracin de riesgos aprobados
para su implantacin
P10: Administrar Proyectos

Establecer un marco de trabajo de administracin de programas y proyectos
para la administracin de todos los proyectos de TI establecidos. El marco de
trabajo debe garantizar la correcta asignacin de prioridades y la coordinacin
de todos los proyectos. El marco de trabajo debe incluir un plan maestro,
asignacin de recursos, definicin de entregables, aprobacin de los usuarios,
un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal
de pruebas, revisin de pruebas y post-implantacin despus de la instalacin
para garantizar la administracin de los riesgos del proyecto y la entrega de
valor para el negocio. Este enfoque reduce el riesgo de costos inesperados y
de cancelacin de proyectos, mejora la comunicacin y el involucramiento del
negocio y de los usuarios finales, asegura el valor y la calidad de los
entregables de los proyectos, y maximiza la contribucin a los programas de
inversin facilitados por TI.
Control sobre el proceso TI de: Administrar proyectos.
Que satisface el requerimiento del negocio de TI para: La entrega de resultados
de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados.
Enfocndose en: Un programa y enfoque de administracin de proyectos
definidos, el cual se aplica a todos los proyectos de TI, lo cual facilita la
participacin de los interesados y el monitoreo de los riesgos y los avances de
los proyectos
Se logra con:
La definicin e implementacin de marcos de trabajo y enfoques de
programas y de proyectos
La emisin de directrices de administracin para proyectos
La planeacin de proyectos para todos los proyectos incluidos en el
portafolio de proyectos
Y de mide con:
Porcentaje de proyectos que satisfacen las expectativas de los
interesados (a tiempo, dentro del presupuesto, y con satisfaccin de los
requerimientos - ponderados por importancia)
Porcentaje de proyectos con revisin post-implantacin
Porcentaje de proyectos que siguen estndares y prcticas de
administracin de proyectos
b) Procesos del COBIT #2 - ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas as como implementadas e integradas
en los procesos del negocio. Adems, el cambio y el mantenimiento de los
Contaduria Pblica
Pgina 19
COBIT
sistemas existentes est cubierto por este dominio para garantizar que las
soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo
general, cubre los siguientes cuestionamientos de la gerencia:
Es probable que los nuevos proyectos generen soluciones que

satisfagan las necesidades del negocio?
Es probable que los nuevos proyectos sean entregados a tiempo y
dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una vez sean
implementados?
Los cambios no afectarn a las operaciones actuales del negocio?
AI1: Identificar Soluciones Automatizadas

La necesidad de una nueva aplicacin o funcin requiere de anlisis antes de la
compra o desarrollo para garantizar que los requisitos del negocio se satisfacen
con un enfoque efectivo y eficiente. Este proceso cubre la definicin de las
necesidades, considera las fuentes alternativas, realiza una revisin de la
factibilidad tecnolgica y econmica, ejecuta un anlisis de riesgo y de costobeneficio y concluye con una decisin final de "desarrollar" o "comprar". Todos
estos pasos permiten a las organizaciones minimizar el costo para adquirir e
implementar soluciones, mientras que al mismo tiempo facilitan el logro de los
objetivos del negocio.
Control sobre el proceso TI de: Identificar soluciones automatizadas
Que satisface el requerimiento del negocio de TI para: Traducir los
requerimientos funcionales y de control a un diseo efectivo y eficiente de
soluciones automatizadas
Enfocndose en: La identificacin de soluciones tcnicamente factibles y
rentables
Se logra con:
La definicin de los requerimientos tcnicos y de negocio
Realizar estudios de factibilidad como se define en los estndares de
desarrollo
Aprobar (o rechazar) los requerimientos y los resultados de los estudios
de factibilidad
Y de mide con:
Contaduria Pblica
Pgina 20
COBIT
Nmero de proyectos donde los beneficios establecidos no se lograron

debido a suposiciones de factibilidad incorrectas
Porcentaje de estudios de factibilidad autorizados por el dueo del
proceso
Porcentaje de usuarios satisfechos con la funcionalidad entregada
AI2: Adquirir y Mantener Software Aplicativo

Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del
negocio. Este proceso cubre el diseo de las aplicaciones, la inclusin
apropiada de controles aplicativos y requerimientos de seguridad, y el
desarrollo y la configuracin en s de acuerdo a los estndares. Esto permite a
las organizaciones apoyar la operatividad del negocio de forma apropiada con
las aplicaciones automatizadas correctas.
Control sobre el proceso TI de: Adquirir y dar mantenimiento a software
aplicativo.
Que satisface el requerimiento del negocio de TI para: Construir las
aplicaciones de acuerdo con los requerimientos del negocio y hacindolas a
tiempo y a un costo razonable.
Enfocndose en: Garantizar que exista un proceso de desarrollo oportuno y
confiable.
Se logra con:
La traduccin de requerimientos de negocio a especificaciones de diseo
La adhesin a los estndares de desarrollo para todas las modificaciones
La separacin de las actividades de desarrollo, de pruebas y operativas
Se mide con:
Nmero de problemas en produccin por aplicacin, que causan tiempo
perdido significativo
Porcentaje de usuarios satisfechos con la funcionalidad entregada
AI3: Adquirir y Mantener Infraestructura Tecnolgica
Las organizaciones deben contar con procesos para adquirir, implementar y
actualizar la infraestructura tecnolgica. Esto requiere de un enfoque planeado
para adquirir, mantener y proteger la infraestructura de acuerdo con las
estrategias tecnolgicas convenidas y la disposicin del ambiente de desarrollo
y pruebas. Esto garantiza que exista un soporte tecnolgico continuo para las
aplicaciones
del
negocio.
Control sobre el proceso
infraestructura tecnolgica
TI
de:
Adquirir
dar
mantenimiento
la
Que satisface el requerimiento del negocio de TI para: Adquirir y dar

mantenimiento a una infraestructura integrada y estndar de TI
Contaduria Pblica
Pgina 21
COBIT
Enfocndose en: Proporcionar plataformas adecuadas para las aplicaciones del

negocio, de acuerdo con la arquitectura definida de TI y los estndares de
tecnologa
Se logra con:
El establecimiento de un plan de adquisicin de tecnologa que se alinea
con el plan de infraestructura tecnolgica
La planeacin de mantenimiento de la infraestructura
La implantacin de medidas de control interno, seguridad y auditabilidad
Y se mide con:
El porcentaje de plataformas que no se alinean con la arquitectura de TI
definida y los estndares de tecnologa
El nmero de procesos de negocio crticos soportados por infraestructura
obsoleta ( o que pronto lo ser)
El nmero de componentes de infraestructura que ya no se pueden
soportar (o que ya se podrn en el futuro cercano)
AI4: Facilitar la Operacin y el Uso
El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso
requiere la generacin de documentacin y manuales para usuarios y para TI, y
proporciona entrenamiento para garantizar el uso y la operacin correctos de
las aplicaciones y la infraestructura.
Control sobre proceso TI de: Facilitar la operacin y el uso
Que satisface el requerimiento del negocio de TI para: Garantizar la
satisfaccin de los usuarios finales mediante ofrecimientos de servicios y
niveles de servicio, y de forma transparente integrar las soluciones de
aplicacin y tecnologa dentro de los procesos del negocio.
Enfocndose en: Proporcionar manuales efectivos de usuario y de operacin y
materiales de entrenamiento para transferir el conocimiento necesario para la
operacin y el uso exitosos del sistema
Se logra con:
El desarrollo y la disponibilidad de documentacin para transferir el
conocimiento
Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al
personal de apoyo y al personal de operacin.
La generacin de materiales de entrenamiento
Y se mide con:
El nmero de aplicaciones en que los procedimientos de TI integran en
forma transparente dentro de los procesos de negocio
El porcentaje de dueos de negocios satisfechos con el entrenamiento
de aplicacin y los materiales de apoyo
El nmero de aplicaciones que cuentan con el adecuado entrenamiento
Contaduria Pblica
Pgina 22
COBIT
de apoyo al usuario y a la operacin

AI5: Adquirir Recursos de TI
Se deben suministrar recursos TI, incluyendo personas, hardware, software y
servicios. Esto requiere de la definicin y ejecucin de los procedimientos de
adquisicin, la seleccin de proveedores, el ajuste de arreglos contractuales y
la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los
recursos de TI que se requieren de una manera oportuna y rentable.
Control sobre el proceso TI de: Adquirir recursos de TI.
Que satisface el requerimiento del negocio de TI para: Mejorar la rentabilidad
de TI y su contribucin a la utilidad del negocio.
Enfocndose en: Adquirir y mantener las habilidades de TI que respondan a la
estrategia de entrega, en una infraestructura TI integrada y estandarizada, y
reducir el riesgo de adquisicin de TI.
Se logra con:
La obtencin de asesora profesional legal y contractual
La definicin de procedimientos y estndares de adquisicin
La adquisicin de hardware, software y servicios requeridos de acuerdo
con los procedimientos definidos
Y se mide con:
El nmero de controversias en relacin con los contratos de adquisicin
La reduccin del costo de compra
El porcentaje de interesados clave satisfechos con los proveedores
AI6: Administrar Cambios
Todos los cambios, incluyendo el mantenimiento de emergencia y parches,
relacionados con la infraestructura y las aplicaciones dentro del ambiente de
produccin, deben administrarse formalmente y controladamente. Los cambios
(incluyendo procedimientos, procesos, sistema y parmetros del servicio) se
deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los
resultados planeados despus de la implantacin. Esto garantiza la reduccin
de riesgos que impactan negativamente la estabilidad o integridad del
ambiente de produccin.
Control sobre el proceso TI de: Administrar cambios
Que satisface el requerimiento del negocio de TI para: Responder a los
requerimientos del negocio de acuerdo con la estrategia de negocio, mientras
se reducen los defectos y la repeticin de trabajos en la prestacin del servicio
y en la solucin.
Enfocndose en: Controlar la evaluacin de impacto, autorizacin e
implantacin de todos los cambios a la infraestructura de TI, aplicaciones y
soluciones tcnicas, minimizando errores que se deben a especificaciones
incompletas de la solicitud y detener la implantacin de cambios no
Contaduria Pblica
Pgina 23
COBIT
autorizados
Se logra con:
La definicin y comunicacin de los procedimientos de cambio, que
incluyen cambios de emergencia
La evaluacin, la asignacin de prioridad y autorizacin de cambios
Seguimiento del estatus y reporte de los cambios
Y se mide con:
El nmero de interrupciones o errores de datos provocados por
especificaciones inexactas o una evaluacin de impacto incompleta
La repeticin de aplicaciones o infraestructura debida a especificaciones
de cambio inadecuadas
El porcentaje de cambios que siguen procesos de control de cambio
formales
AI7: Instalar y Acreditar Soluciones y Cambios
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transicin e instrucciones de migracin,
planear la liberacin y la transicin en s al ambiente de produccin, y revisar la
post-implantacin. Esto garantiza que los sistemas operativos estn en lnea
con las expectativas convenidas y con los resultados.
Control sobre el proceso TI de: Instalar y acreditar soluciones y cambios
Que satisface el requerimiento del negocio de TI para: Contar con sistemas
nuevos o modificados que trabajen sin problemas importantes despus de la
instalacin.
Enfocndose en: Probar que las soluciones de aplicaciones e infraestructura
son apropiadas para el propsito deseado y estn libres de errores, y planear
las liberaciones a produccin
Se logra con:
El establecimiento de una metodologa de prueba
Realizar la planeacin de la liberacin (release)
Evaluar y aprobar los resultados de las pruebas por parte de la gerencia
del negocio
Ejecutar revisiones posteriores a la implantacin
Y se mide con:
Tiempo perdido de la aplicacin o problemas de datos provocados por pruebas
inadecuadas
Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el
proceso posterior a la implantacin
Porcentaje de proyectos con plan de prueba documentado y aprobado
c) Procesos del COBIT #3 - ENTREGAR Y DAR SOPORTE
Contaduria Pblica
Pgina 24
COBIT
Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye

la prestacin del servicio, la administracin de la seguridad y de la continuidad,
el soporte del servicio a los usuarios, la administracin de los datos y de las
instalaciones operativos. Por lo general cubre las siguientes preguntas de la
gerencia:
Se estn entregando los servicios de TI de acuerdo con las prioridades

del negocio?
Estn optimizados los costos de TI?
Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera
productiva y segura?
Estn implantadas de forma adecuada la confidencialidad, la integridad
y la disponibilidad?
DS1: Definir y Administrar los Niveles de Servicio

Contar con una definicin documentada y un acuerdo de servicios de TI y de
niveles de servicio, hace posible una comunicacin efectiva entre la gerencia
de TI y los clientes de negocio respecto de los servicios requeridos. Este
proceso tambin incluye el monitoreo y la notificacin oportuna a los
Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio.
Este proceso permite la alineacin entre los servicios de TI y los requerimientos
de negocio relacionados.
Control sobre el proceso TI de: Definir y manejar niveles de servicio.
Que satisface el requerimiento del negocio de TI para: Asegurar la alineacin
de los servicios claves de TI con la estrategia del negocio.
Enfocndose en: La identificacin de requerimientos de servicio, el acuerdo de
niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio.
Contaduria Pblica
Pgina 25
COBIT
Se logra con:
La formalizacin de acuerdos internos y externos en lnea con los
requerimientos y las capacidades de entrega.
La notificacin del cumplimiento de los niveles de servicio (reportes y
reuniones).
La identificacin y comunicacin de requerimientos de servicios
actualizados y nuevos para planeacin estratgica.
Y se mide con:
El porcentaje de Interesados satisfechos de que la entrega del servicio
cumple con los niveles previamente acordados.
El nmero de servicios entregados que no estn en el catlogo.
El nmero de reuniones formales de revisin del Acuerdo de Niveles de
Servicio (SLA) con las personas de negocio por ao.
DS2: Administrar los Servicios de Terceros
La necesidad de asegurar que los servicios provistos por terceros cumplan con
los requerimientos del negocio, requiere de un proceso efectivo de
administracin de terceros. Este proceso se logra por medio de una clara
definicin de roles, responsabilidades y expectativas en los acuerdos con los
terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento
de dichos acuerdos. Una efectiva administracin de los servicios de terceros
minimiza los riesgos del negocio asociados con proveedores que no se
desempean de forma adecuada.
Control sobre el proceso TI de: Administrar servicios de terceros
Que satisface el requerimiento del negocio de TI para: Brindar servicios
satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y
costos.
Enfocndose en: El establecimiento de relaciones y responsabilidades
bilaterales con proveedores calificados de servicios tercerizados y el monitoreo
de la prestacin del servicio para verificar y asegurar la adherencia a los
convenios
Se logra con:
La identificacin y categorizacin de los servicios del proveedor
La identificacin y mitigacin de riesgos del proveedor
El monitoreo y la medicin del desempeo del proveedor
Y se mide con:
El nmero de quejas de los usuarios debidas a los servicios contratados
El porcentaje de los principales proveedores que cumplen claramente los
requerimientos definidos y los niveles de servicio
El porcentaje de los principales proveedores sujetos a monitoreo
DS3: Administrar el Desempeo y la Capacidad
La necesidad de administrar el desempeo y la capacidad de los recursos de TI
Contaduria Pblica
Pgina 26
COBIT
requiere de un proceso para revisar peridicamente el desempeo actual y la

capacidad de los recursos de TI. Este proceso incluye el pronstico de las
necesidades futuras, basadas en los requerimientos de carga de trabajo,
almacenamiento y contingencias. Este proceso brinda la seguridad de que los
recursos de informacin que soportan los requerimientos del negocio estn
disponibles de manera continua.
Control sobre el proceso TI de: Administrar el desempeo y la capacidad
Que satisface el requerimiento del negocio de TI para: Optimizar el desempeo
de la infraestructura, los recursos y las capacidades de TI en respuesta a las
necesidades del negocio
Enfocndose en: Cumplir con los requerimientos de tiempo de respuesta de los
acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo
mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la
medicin.
Se logra con:
La planeacin y la entrega de capacidad y disponibilidad del sistema
Monitoreando y reportando el desempeo del sistema
Modelando y pronosticando el desempeo del sistema
Y se mide con:
Nmero de horas perdidas por usuario por mes, debidas a la falta de
planeacin de la capacidad
Porcentaje de picos donde se excede la meta de utilizacin
Porcentaje de SLAs de tiempo de respuesta que no se satisfacen
DS4: Garantizar la Continuidad del Servicio
La necesidad de brindar continuidad en los servicios de TI requiere desarrollar,
mantener y probar planes de continuidad de TI, almacenar respaldos fuera de
las instalaciones y entrenar de forma peridica sobre los planes de continuidad.
Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el
impacto de interrupciones mayores en los servicios de TI, sobre funciones y
procesos claves del negocio.
Control sobre el proceso TI de: Garantizar la continuidad del servicio
Que satisface el requerimiento del negocio de TI para: Asegurar el mnimo
impacto al negocio en caso de una interrupcin de servicios de TI
Enfocndose en: El desarrollo de resistencia (resilience) en las soluciones
automatizadas y desarrollando, manteniendo y probando los planes de
continuidad de TI
Se logra con:
Desarrollando y manteniendo (mejorando) los planes de contingencia de
TI
Contaduria Pblica
Pgina 27
COBIT
Con entrenamiento y pruebas de los planes de contingencia de TI

Guardando copias de los planes de contingencia y de los datos fuera de
las instalaciones
Y se mide con:
Nmero de horas perdidas por usuario por mes, debidas a interrupciones
no planeadas
Nmero de procesos crticos de negocio que dependen de TI, que no
estn cubiertos por un plan de continuidad
DS5: Garantizar la Seguridad de los Sistemas
La necesidad de mantener la integridad de la informacin y de proteger los
activos de TI, requiere de un proceso de administracin de la seguridad. Este
proceso incluye el establecimiento y mantenimiento de roles y
responsabilidades de seguridad, polticas, estndares y procedimientos de TI.
La administracin de la seguridad tambin incluye realizar monitoreo de
seguridad y pruebas peridicas as como realizar acciones correctivas sobre las
debilidades o incidentes de seguridad identificados. Una efectiva
administracin de la seguridad protege todos los activos de TI para minimizar
el impacto en el negocio causado por vulnerabilidades o incidentes de
seguridad.
Control sobre el proceso TI de: Garantizar la seguridad de los sistemas
Que satisface el requerimiento del negocio de TI para: Mantener la integridad
de la informacin y de la infraestructura de procesamiento y minimizar el
impacto de las vulnerabilidades e incidentes de seguridad
Enfocndose en: La definicin de polticas, procedimientos y estndares de
seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las
vulnerabilidades e incidentes de seguridad
Se logra con:
El entendimiento de los requerimientos, vulnerabilidades y amenazas de
seguridad.
La administracin de identidades y autorizaciones de los usuarios de
forma estandarizada.
Probando la seguridad de forma regular
Y se mide con:
El nmero de incidentes que daan la reputacin con el pblico
El nmero de sistemas donde no se cumplen los requerimientos de
seguridad
El nmero de de violaciones en la segregacin de tareas
DS6: Identificar y Asignar Costos
La necesidad de un sistema justo y equitativo para asignar costos de TI al
negocio, requiere de una medicin precisa y un acuerdo con los usuarios del
negocio sobre una asignacin justa. Este proceso incluye la construccin y
operacin de un sistema para capturar, distribuir y reportar costos de TI a los
Contaduria Pblica
Pgina 28
COBIT
usuarios de los servicios. Un sistema equitativo de costos permite al negocio

tomar decisiones ms informadas respectos al uso de los servicios de TI.
Control sobre el proceso TI de: Identificar y asignar costos
Que satisface el requerimiento del negocio de TI para: Transparentar y
entender los costos de TI y mejorar la rentabilidad a travs del uso bien
informado de los servicios de TI
Enfocndose en: El registro completo y preciso de los costos de TI, un sistema
equitativo para asignacin acordado con los usuarios de negocio, y un sistema
para reportar oportunamente el uso de TI y los costos asignados
Se logra con:
La alineacin de cargos con la calidad y cantidad de los servicios
brindados
La construccin y aceptacin de un modelo de costos complete
La aplicacin de cargos con base en la poltica acordada
Y se mide con:
Porcentaje de facturas de servicios de TI aceptadas/pagadas por la
gerencia del negocio.
Porcentaje de variacin entre los presupuestos, pronsticos y costos
actuales.
Porcentaje de costos totales de TI que son distribuidos de acuerdo con
los modelos acordados
DS7: Educar y Entrenar a los Usuarios
Para una educacin efectiva de todos los usuarios de sistemas de TI,
incluyendo aquellos dentro de TI, se requieren identificar las necesidades de
entrenamiento de cada grupo de usuarios. Adems de identificar las
necesidades, este proceso incluye la definicin y ejecucin de una estrategia
para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un
programa efectivo de entrenamiento incrementa el uso efectivo de la
tecnologa al disminuir los errores, incrementando la productividad y el
cumplimiento de los controles clave tales como las medidas de seguridad de
los usuarios.
Control sobre el proceso TI de: Educar y entrenar a los usuarios
Que satisface el requerimiento del negocio de TI para: El uso efectivo y
eficiente de soluciones y aplicaciones tecnolgicas y el cumplimiento del
usuario con las polticas y procedimientos
Enfocndose en: Un claro entendimiento de las necesidades de entrenamiento
de los usuarios de TI, la ejecucin de una efectiva estrategia de entrenamiento
y la medicin de resultados
Se logra con:
Contaduria Pblica
Pgina 29
COBIT
Establecer un programa de entrenamiento

Organizar el entrenamiento
Impartir el entrenamiento
Monitorear y reportar la efectividad del entrenamiento
Y se mide con:
Nmero de llamadas de soporte debido a problemas de entrenamiento
Porcentaje de satisfaccin de los Interesados con el entrenamiento
recibido
Lapso de tiempo entre la identificacin de la necesidad de
entrenamiento y la imparticin del mismo
DS8: Administrar la Mesa de Servicio y los Incidentes
Responder de manera oportuna y efectiva a las consultas y problemas de los
usuarios de TI, requiere de una mesa de servicio bien diseada y bien
ejecutada, y de un proceso de administracin de incidentes. Este proceso
incluye la creacin de una funcin de mesa de servicio con registro,
escalamiento de incidentes, anlisis de tendencia, anlisis causa-raz y
resolucin. Los beneficios del negocio incluyen el incremento en la
productividad gracias a la resolucin rpida de consultas. Adems, el negocio
puede identificar la causa raz (tales como un pobre entrenamiento a los
usuarios) a travs de un proceso de reporte efectivo.
Control sobre el proceso TI de: Administrar la mesa de servicio y los incidentes
Que satisface el requerimiento del negocio de TI para: Permitir el efectivo uso
de los sistemas de TI garantizando la resolucin y el anlisis de las consultas
de los usuarios finales, incidentes y preguntas
Enfocndose en: Una funcin profesional de mesa de servicio, con tiempo de
respuesta rpido, procedimientos de escalamiento claros y anlisis de
tendencias y de resolucin
Se logra con:
Instalacin y operacin de un servicio de una mesa de servicios
Monitoreo y reporte de tendencias
Definicin de procedimientos y de criterios de escalamiento claros
Y se mide con:
Satisfaccin del usuario con el soporte de primera lnea
Porcentaje de incidentes resueltos dentro de un lapso de tiempo
aceptable / acordado.
ndice de abandono de llamadas
DS9: Administrar la Configuracin
Garantizar la integridad de las configuraciones de hardware y software requiere
establecer y mantener un repositorio de configuraciones completo y preciso.
Este proceso incluye la recoleccin de informacin de la configuracin inicial, el
establecimiento de normas, la verificacin y auditora de la informacin de la
Contaduria Pblica
Pgina 30
COBIT
configuracin y la actualizacin del repositorio de configuracin conforme se

necesite. Una efectiva administracin de la configuracin facilita una mayor
disponibilidad, minimiza los problemas de produccin y resuelve los problemas
ms rpido.
Control sobre el proceso TI de: Administrar la configuracin
Que satisface el requerimiento del negocio de TI para: Optimizar la
infraestructura, recursos y capacidades de TI, y llevar registro de los activos de
TI.
Enfocndose en: Establecer y mantener un repositorio completo y preciso de
atributos de la configuracin de los activos y de lneas base y compararlos
contra la configuracin actual
Se logra con:
El establecimiento de un repositorio central de todos los elementos de la
configuracin
La identificacin de los elementos de configuracin y su mantenimiento
Revisin de la integridad de los datos de configuracin
Y se mide con:
El nmero de problemas de cumplimiento del negocio debido a
inadecuada configuracin de los activos.
El nmero de desviaciones identificadas entre el repositorio de
configuracin y la configuracin actual de los activos.
Porcentaje de licencias compradas y no registradas en el repositorio
DS10: Administracin de Problemas

Una efectiva administracin de problemas requiere la identificacin y
clasificacin de problemas, el anlisis de las causas desde su raz, y la
resolucin de problemas. El proceso de administracin de problemas tambin
incluye la identificacin de recomendaciones para la mejora, el mantenimiento
de registros de problemas y la revisin del estatus de las acciones correctivas.
Un efectivo proceso de administracin de problemas mejora los niveles de
servicio, reduce costos y mejora la conveniencia y satisfaccin del usuario.
Control sobre el proceso TI de: Administracin de problemas
Que satisface el requerimiento del negocio de TI para: Garantizar la
satisfaccin de los usuarios finales con ofrecimientos de servicios y niveles de
servicio, reducir el retrabajo y los defectos en la prestacin de los servicios y de
las soluciones
Enfocndose en: Registrar, rastrear y resolver problemas operativos;
investigacin de las causas raz de todos los problemas relevantes y definir
soluciones para los problemas operativos identificados
Contaduria Pblica
Pgina 31
COBIT
Se logra con:
Realizando un anlisis de causas raz de los problemas reportados
Analizando las tendencias
Tomando propiedad de los problemas y con una resolucin de problemas
progresiva.
Y se mide con:
Nmero de problemas recurrentes con impacto en el negocio
Porcentaje de problemas resueltos dentro del perodo de tiempo
solicitado
Frecuencia de los reportes o actualizaciones sobre un problema en curso,
con base en la severidad del problema
DS11: Administracin de Datos
Una efectiva administracin de datos requiere de la identificacin de
requerimientos de datos. El proceso de administracin de informacin tambin
incluye el establecimiento de procedimientos efectivos para administrar la
librera de medios, el respaldo y la recuperacin de datos y la eliminacin
apropiada de medios. Una efectiva administracin de datos ayuda a garantizar
la calidad, oportunidad y disponibilidad de la informacin del negocio.
Control sobre el proceso TI de: Administracin de datos
Que satisface el requerimiento del negocio de TI para: Optimizar el uso de la
informacin y garantizar la disponibilidad de la informacin cuando se requiera.
Enfocndose en: Mantener la integridad, exactitud, disponibilidad y proteccin
de los datos.
Se logra con:
Respaldando los datos y probando la restauracin
Administrando almacenamiento de datos en sitio y fuera de sitio.
Desechando de manera segura los datos y el equipo
Y se mide con:
Satisfaccin del usuario con la disponibilidad de los datos.
Porcentaje de restauraciones exitosas de datos.
Nmero de incidentes en los que tuvo que recuperarse datos sensitivos
despus que los medios haban sido desechados
DS12: Administracin del Ambiente Fsico
La proteccin del equipo de cmputo y del personal, requiere de instalaciones
bien diseadas y bien administradas. El proceso de administrar el ambiente
fsico incluye la definicin de los requerimientos fsicos del centro de datos
(site), la seleccin de instalaciones apropiadas y el diseo de procesos
efectivos para monitorear factores ambientales y administrar el acceso fsico.
La administracin efectiva del ambiente fsico reduce las interrupciones del
negocio ocasionadas por daos al equipo de cmputo y al personal.
Contaduria Pblica
Pgina 32
COBIT
Control sobre el proceso TI de: Administracin del ambiente fsico.

Que satisface el requerimiento del negocio de TI para: Proteger los activos de
cmputo y la informacin del negocio minimizando el riesgo de una
interrupcin del servicio.
Enfocndose en: Proporcionar y mantener un ambiente fsico adecuado para
proteger los activos de TI contra acceso, dao o robo.
Se logra con:
Implementando medidas de seguridad fsicas.
Seleccionando y administrando las instalaciones
Y se mide con:
Tiempo sin servicio ocasionado por incidentes relacionados con el
ambiente fsico
Nmero de incidentes ocasionados por fallas o brechas de seguridad
fsica
Frecuencia de revisin y evaluacin de riesgos fsicos.
DS13: Administracin de Operaciones
Un procesamiento de informacin completo y apropiado requiere de una
efectiva administracin del procesamiento de datos y del mantenimiento del
hardware. Este proceso incluye la definicin de polticas y procedimientos de
operacin para una administracin efectiva del procesamiento programado,
proteccin de datos de salida sensitivos, monitoreo de infraestructura y
mantenimiento preventivo de hardware. Una efectiva administracin de
operaciones ayuda a mantener la integridad de los datos y reduce los retrasos
en el trabajo y los costos operativos de TI.
Control sobre el proceso TI de: Administrar operaciones
Que satisface el requerimiento del negocio de TI para: Mantener la integridad
de los datos y garantizar que la infraestructura de TI puede resistir y
recuperase de errores y fallas
Enfocndose en: Cumplir con los niveles operativos de servicio para
procesamiento de datos programado, proteccin de datos de salida sensitivos y
monitoreo y mantenimiento de la infraestructura
Se logra con:
Operando el ambiente de TI en lnea con los niveles de servicio
acordados y con las instrucciones definidas
Manteniendo la infraestructura de TI
Y se mide con:
Nmero de niveles de servicio afectados a causa de incidentes en la
operacin.
Contaduria Pblica
Pgina 33
COBIT
d)
Horas no planeadas de tiempo sin servicio a causa de incidentes en la

operacin.
Porcentaje de activos de hardware incluidos en los programas de
mantenimiento
Procesos del COBIT #4 - MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en

cuanto a su calidad y cumplimiento de los requerimientos de control. Este
dominio abarca la administracin del desempeo, el monitoreo del control
interno, el cumplimiento regulatorio y la aplicacin del gobierno. Por lo general
abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas antes de que sea
demasiado tarde?
La Gerencia garantiza que los controles internos son efectivos y eficientes?
Puede vincularse el desempeo de lo que TI ha realizado con las metas del
negocio?
Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?
ME1: Monitorear y Evaluar el Desempeo de TI

Una efectiva administracin del desempeo de TI requiere un proceso de
monitoreo. El proceso incluye la definicin de indicadores de desempeo
relevantes, reportes sistemticos y oportunos de desempeo y tomar medidas
expeditas cuando existan desviaciones. El monitoreo se requiere para
garantizar que las cosas correctas se hagan y que estn de acuerdo con el
conjunto
de
direcciones
y
polticas.
Control sobre el proceso TI de: Monitorear y evaluar el desempeo de TI
Que satisface el requerimiento del negocio de TI para: Transparencia y
entendimiento de los costos, beneficios, estrategia, polticas y niveles de
servicio de TI de acuerdo con los requisitos de gobierno
Enfocndose en: Monitorear y reportar las mtricas del proceso e identificar e
implementar acciones de mejoramiento del desempeo
Se logra con:
Cotejar y traducir los reportes de desempeo de proceso a reportes
gerenciales
Comparar el desempeo contra las metas acordadas e iniciar las
medidas correctivas necesarias
Contaduria Pblica
Pgina 34
COBIT
Y se mide con:
Satisfaccin de la gerencia y de la entidad de gobierno con los reportes
de desempeo
Nmero de acciones de mejoramiento impulsadas por las actividades de
monitoreo
Porcentaje de procesos crticos monitoreados
OBJETIVOS DE CONTROL
ME1.1 Enfoque del Monitoreo
Establecer un marco de trabajo de monitoreo general y un enfoque que definan
el alcance, la metodologa y el proceso a seguir para medir la solucin y la
entrega de servicios de TI, y Monitorear la contribucin de TI al negocio.
Integrar el marco de trabajo con el sistema de administracin del desempeo
corporativo.
ME1.2 Definicin y Recoleccin de Datos de Monitoreo
Trabajar con el negocio para definir un conjunto balanceado de objetivos de
desempeo y tenerlos aprobados por el negocio y otros interesados relevantes.
Definir referencias con las que comparar los objetivos, e identificar datos
disponibles a recolectar para medir los objetivos. Se deben establecer procesos
para recolectar informacin oportuna y precisa para reportar el avance contra
las metas.
ME1.3 Mtodo de Monitoreo
Garantizar que el proceso de monitoreo implante un mtodo (Ej. Balanced
Scorecard), que brinde una visin sucinta y desde todos los ngulos del
desempeo de TI y que se adapte al sistema de monitoreo de la empresa.
ME1.4 Evaluacin del Desempeo
Comparar de forma peridica el desempeo contra las metas, realizar anlisis
de la causa raz e iniciar medidas correctivas para resolver las causas
subyacentes.
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
Proporcionar reportes administrativos para ser revisados por la alta direccin
sobre el avance de la organizacin hacia metas identificadas, especficamente
en trminos del desempeo del portafolio empresarial de programas de
inversin habilitados por TI, niveles de servicio de programas individuales y la
contribucin de TI a ese desempeo. Los reportes de estatus deben incluir el
grado en el que se han alcanzado los objetivos planeados, los entregables
obtenidos, las metas de desempeo alcanzadas y los riesgos mitigados.
Durante la revisin, se debe identificar cualquier desviacin respecto al
desempeo esperado y se deben iniciar y reportar las medidas de
administracin adecuadas.
ME1.6 Acciones Correctivas
Identificar e iniciar medidas correctivas basadas en el monitoreo del
desempeo, evaluacin y reportes. Esto incluye el seguimiento de todo el
Contaduria Pblica
Pgina 35
COBIT
monitoreo, de los reportes y de las evaluaciones con:

Revisin, negociacin y establecimiento de respuestas de administracin
Asignacin de responsabilidades por la correccin
Rastreo de los resultados de las acciones comprometidas.
ME2: Monitorear y Evaluar el Control Interno

Establecer un programa de control interno efectivo para TI requiere un proceso
bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de
las excepciones de control, resultados de las auto-evaluaciones y revisiones
por parte de terceros. Un beneficio clave del monitoreo del control interno es
proporcionar seguridad respecto a las operaciones eficientes y efectivas y el
cumplimiento de las leyes y regulaciones aplicables.
Control sobre el proceso TI de: Monitorear y evaluar el control interno.
Que satisface el requerimiento del negocio de TI para: Proteger el logro de los
objetivos de TI y cumplir las leyes y reglamentos relacionados con TI.
Enfocndose en: El monitoreo de los procesos de control interno para las
actividades relacionadas con TI e identificar las acciones de mejoramiento.
Se logra con:
La definicin de un sistema de controles internos integrados en el marco
de trabajo de los procesos de TI
Monitorear y reportar la efectividad de los controles internos sobre TI
Reportar las excepciones de control a la gerencia para tomar acciones
Y se mide con:
Nmero de brechas importantes del control interno
Nmero de iniciativas para la mejora del control
Nmero y cubrimiento de auto evaluaciones de control
ME2.1 Monitoreo del Marco de Trabajo de Control Interno
Monitorear de forma continua, comparar y mejorar el ambiente de control de TI
y el marco de trabajo de control de TI para satisfacer los objetivos
organizacionales.
ME2.2 Revisiones de Auditora
Monitorear y evaluar la eficiencia y efectividad de los controles internos de
revisin de la gerencia de TI.
ME2.3 Excepciones de Control
Identificar las excepciones de control, y analizar e identificar sus causas raz
subyacentes. Escalar las excepciones de control y reportar a los interesados
apropiadamente. Establecer acciones correctivas necesarias.
Contaduria Pblica
Pgina 36
COBIT
ME2.4 Control de Auto Evaluacin

Evaluar la completitud y efectividad de los controles de gerencia sobre los
procesos, polticas y contratos de TI por medio de un programa continuo de
auto-evaluacin.
ME2.5 Aseguramiento del Control Interno
Obtener, segn sea necesario, aseguramiento adicional de la completitud y
efectividad de los controles internos por medio de revisiones de terceros.
ME2.6 Control Interno para Terceros
Evaluar el estado de los controles internos de los proveedores de servicios
externos. Confirmar que los proveedores de servicios externos cumplen con los
requerimientos legales y regulatorios y obligaciones contractuales.
ME2.7 Acciones Correctivas
Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los
controles de evaluacin y los informes.
ME3: Garantizar el Cumplimiento con Requerimientos Externos
Una supervisin efectiva del cumplimiento requiere del establecimiento de un
proceso de revisin para garantizar el cumplimiento de las leyes, regulaciones
y requerimientos contractuales. Este proceso incluye la identificacin de
requerimientos de cumplimiento, optimizando y evaluando la respuesta,
obteniendo aseguramiento que los requerimientos se han cumplido y,
finalmente integrando los reportes de cumplimiento de TI con el resto del
negocio.
Control sobre el proceso TI de: Garantizar el cumplimiento regulatorio
Que satisface el requerimiento del negocio de TI para: Cumplir las leyes y
regulaciones
Enfocndose en: La identificacin de todas las leyes y regulaciones aplicables y
el nivel correspondiente de cumplimiento de TI y la optimizacin de los
procesos de TI para reducir el riesgo de no cumplimiento.
Se logra con:
La identificacin de los requisitos legales y regulatorios relacionados con
TI
La evaluacin del impacto de los requisitos regulatorios
El monitoreo y reporte del cumplimiento de los requisitos regulatorios
Y se mide con:
El costo del no cumplimiento de TI, incluyendo arreglos y multas
Tiempo promedio de demora entre la identificacin de los problemas
externos de cumplimiento y su resolucin
Frecuencia de revisiones de cumplimiento
Contaduria Pblica
Pgina 37
COBIT
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y
Cumplimientos Contractuales
Identificar, sobre una base continua, leyes locales e internacionales,
regulaciones, y otros requerimientos externos que se deben de cumplir para
incorporar en las polticas, estndares, procedimientos y metodologas de TI de
la organizacin.
ME3.2 Optimizar la Respuesta a Requerimientos Externos
Revisar y ajustar las polticas, estndares, procedimientos y metodologas de TI
para garantizar que los requisitos legales, regulatorios y contractuales son
direccionados y comunicados.
ME3.3 Evaluacin del Cumplimiento con Requerimientos Externos
Confirmar el cumplimiento de polticas, estndares, procedimientos
metodologas de TI con requerimientos legales y regulatorios.
ME3.4 Aseguramiento Positivo del Cumplimiento

Obtener y reportar garanta de cumplimiento y adhesin a todas las polticas
internas derivadas de directivas internas o requerimientos legales externos,
regulatorios o contractuales, confirmando que se ha tomado cualquier accin
correctiva para resolver cualquier brecha de cumplimiento por el dueo
responsable del proceso de forma oportuna.
ME3.5 Reportes Integrados
Integrar los reportes de TI sobre requerimientos legales, regulatorios y
contractuales con las salidas similares provenientes de otras funciones del
negocio.
ME4: Proporcionar Gobierno de TI
El establecimiento de un marco de trabajo de gobierno efectivo, incluye la
definicin de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar as que las inversiones empresariales en TI
estn alineadas y de acuerdo con las estrategias y objetivos empresariales.
Control sobre el proceso TI de: Proporcionar gobierno de TI.
Que satisface el requerimiento del negocio de TI para: La integracin de un
gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las
leyes y regulaciones.
Enfocndose en: La elaboracin de informes para el consejo directivo sobre la
estrategia, el desempeo y los riesgos de TI y responder a los requerimientos
de gobierno de acuerdo a las directrices del consejo directivo.
Se logra con:
El establecimiento de un marco de trabajo para el gobierno de TI,
integrado al gobierno corporativo
Contaduria Pblica
Pgina 38
COBIT
La obtencin de aseguramiento independientes sobre el estatus del

gobierno de TI
Y se mide con:
La frecuencia de informes del consejo directivo sobre TI a los interesados
(incluyendo el nivel de madurez)
La frecuencia de los reportes de TI hacia el consejo directivo (incluyendo
el nivel de madurez)
Frecuencia de revisiones independientes del cumplimiento de TI
ME4.1 Establecimiento de un Marco de Gobierno de TI
Definir, establecer y alinear el marco de gobierno de TI con la visin completa
del entorno de control y Gobierno Corporativo. Basar el marco de trabajo en un
adecuado proceso de TI y modelo de control y proporcionar la rendicin de
cuentas y prcticas inequvocas para evitar una rotura en el control interno y la
revisin. Confirmar que el marco de gobierno de TI asegura el cumplimiento
con las leyes y regulaciones y que esta alineado, y confirma la entrega de, la
estrategia y objetivos empresariales. Informa del estado y cuestiones de
gobierno de TI.
ME4.2 Alineamiento Estratgico
Facilitar el entendimiento del consejo directivo y de los ejecutivos sobre temas
estratgicos de TI tales como el rol de TI, caractersticas propias y capacidades
de la tecnologa. Garantizar que existe un entendimiento compartido entre el
negocio y la funcin de TI sobre la contribucin potencial de TI a la estrategia
del negocio. Trabajar con el consejo directivo para definir e implementar
organismos de gobierno, tales como un comit estratgico de TI, para brindar
una orientacin estratgica a la gerencia respecto a TI, garantizando as que
tanto la estrategia como los objetivos se distribuyan en cascada hacia las
unidades de negocio y hacia las unidades de TI y que se desarrolle certidumbre
y confianza entre el negocio y TI. Facilitar la alineacin de TI con el negocio en
lo referente a estrategia y operaciones, fomentando la co-responsabilidad entre
el negocio y TI en la toma de decisiones estratgicas y en la obtencin de los
beneficios provenientes de las inversiones habilitadas con TI.
ME4.3 Entrega de Valor
Administrar los programas de inversin habilitados con TI, as como otros
activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible
para apoyar la estrategia y los objetivos empresariales. Asegurarse de que los
resultados de negocio esperados de las inversiones habilitadas por TI y el
alcance completo del esfuerzo requerido para lograr esos resultados est bien
entendido, que se generen casos de negocio integrales y consistentes, y que
los aprueben los interesados, que los activos y las inversiones se administren a
lo largo del ciclo de vida econmico, y que se lleve a cabo una administracin
activa del logro de los beneficios, tales como la contribucin a nuevos
servicios, ganancias de eficiencia y un mejor grado de reaccin a los
requerimientos de los clientes. Implementar un enfoque disciplinado de la
administracin del portafolio, programa y proyecto, enfatizando que el negocio
Contaduria Pblica
Pgina 39
COBIT
asume la propiedad de todas las inversiones habilitadas con TI y que TI

garantiza la optimizacin de los costos por la prestacin de los servicios y
capacidades de TI.
ME4.4 Administracin de Recursos
Revisar inversin, uso y asignacin de los activos de TI por medio de
evaluaciones peridicas de las iniciativas y operaciones de TI para asegurar
recursos y alineamiento apropiados con los objetivos estratgicos y los
imperativos de negocios actuales y futuros.
ME4.5 Administracin de Riesgos
Trabajar con el consejo directivo para definir el nivel de riesgo de TI aceptable
por la empresa y obtener garanta razonable que las practicas de
administracin de riesgos de TI son apropiadas para asegurar que el riesgo
actual de TI no excede el riesgo aceptable de direccin. Introducir las
responsabilidades de administracin de riesgos en la organizacin, asegurando
que el negocio y TI regularmente evalan y reportan riesgos relacionados con
TI y su impacto y que la posicin de los riesgos de TI de la empresa es
transparente a los interesados.
ME4.6 Medicin del Desempeo
Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o
que el progreso hacia las metas de TI cumple las expectativas. Donde los
objetivos confirmados no se han alcanzado o el progreso no es el esperado,
revisar las acciones correctivas de gerencia. Informar a direccin los portafolios
relevantes, programas y desempeos de TI, soportados por informes para
permitir a la alta direccin revisar el progreso de la empresa hacia las metas
identificadas.
ME4.7 Aseguramiento Independiente
Garantizar de forma independiente (interna o externa) la conformidad de TI con
la legislacin y regulacin relevante; las polticas de la organizacin,
estndares y procedimientos; practicas generalmente aceptadas; y la
efectividad y eficiencia del desempeo de TI.
3.4.
COBIT 5
Provee de un marco de trabajo integral que ayuda a las empresas a alcanzar

sus objetivos para el gobierno y la gestin de las TI corporativas. Dicho de una
manera sencilla, ayuda a las empresas a crear el valor ptimo desde IT
manteniendo el equilibrio entre la generacin de beneficios y la optimizacin
de los niveles de riesgo y el uso de recursos.
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holstico
para toda la empresa, abarcando al negocio completo de principio a fin y las
reas funcionales de responsabilidad de TI, considerando los intereses
relacionados con TI de las partes interesadas internas y externas. COBIT 5 es
genrico y til para empresas de todos los tamaos, tanto comerciales, como
sin nimo de lucro o del sector pblico
Contaduria Pblica
Pgina 40
COBIT
COBIT 5 se basa en cinco principios claves para el gobierno y la gestin de las

TI empresariales:
Principio 1. Satisfacer las Necesidades de las Partes Interesadas

Las empresas existen para crear valor para sus partes interesadas
manteniendo el equilibrio entre la realizacin de beneficios y la
optimizacin de los riesgos y el uso de recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para
permitir la creacin de valor del negocio mediante el uso de TI. Dado que
toda empresa tiene objetivos diferentes, una empresa puede
personalizar COBIT 5 para adaptarlo a su propio contexto mediante la
cascada de metas, traduciendo metas corporativas de alto nivel en otras
metas ms manejables, especficas, relacionadas con TI y mapendolas
con procesos y prcticas especficos.
Principio 2: Cubrir la Empresa Extremo-a-ExtremoCOBIT 5

integra el gobierno y la gestin de TI en el gobierno corporativo:
Cubre todas las funciones y procesos dentro de la empresa; COBIT 5
no se enfoca slo en la funcin de TI, sino que trata la informacin
y las tecnologas relacionadas como activos que deben ser tratados
como cualquier otro activo por todos en la empresa.
Considera que los catalizadores relacionados con TI para el gobierno
y la gestin deben ser a nivel de toda la empresa y de principio a
fin, es decir, incluyendo a todo y todos internos y externos los
que sean relevantes para el gobierno y la gestin de la informacin
de la empresa y TI relacionadas.
Principio 3: Aplicar un Marco de Referencia nico integradoHay

muchos estndares y buenas prcticas relativos a TI, ofreciendo cada
uno ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a
alto nivel con otros estndares y marcos de trabajo relevantes, y de este
modo puede hacer la funcin de marco de trabajo principal para el
gobierno y la gestin de las TI de la empresa.
Principio 4: Hacer Posible un Enfoque HolsticoUn gobierno y

gestin de las TI de la empresa efectivo y eficiente requiere de un
enfoque holstico que tenga en cuenta varios componentes interactivos.
COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la
implementacin de un sistema de gobierno y gestin global para las TI
de la empresa. Los catalizadores se definen en lneas generales como
cualquier cosa que puede ayudar a conseguir las metas de la empresa.
El marco de trabajo COBIT 5 define siete categoras de catalizadores:
Principios, Polticas y Marcos de Trabajo

Procesos
Estructuras Organizativas
Cultura, tica y Comportamiento
Informacin
Servicios, Infraestructuras y Aplicaciones
Contaduria Pblica
Pgina 41
COBIT
Personas, habilidades y competencias
Principio 5: Separar el Gobierno de la GestinEl marco de trabajo

COBIT 5 establece una clara distincin entre gobierno y gestin. Estas
dos disciplinas engloban diferentes tipos de actividades, requieren
diferentes estructuras organizativas y sirven a diferentes propsitos. La
visin de COBIT 5 en esta distincin clave entre gobierno y gestin es:
Gobierno
El Gobierno asegura que se evalan las necesidades, condiciones y opciones

de las partes interesadas para determinar que se alcanzan las metas
corporativas equilibradas y acordadas; estableciendo la direccin a travs de la
priorizacin y la toma de decisiones; y midiendo el rendimiento y el
cumplimiento respecto a la direccin y metas acordadas.
En muchas corporaciones, el gobierno global es responsabilidad del comit de
direccin bajo el liderazgo del presidente. Algunas responsabilidades de
gobierno especficas se pueden delegar en estructuras organizativas especiales
al nivel apropiado, particularmente en las corporaciones ms grandes y
complejas.
Gestin
La gestin planifica, construye, ejecuta y controla actividades alineadas con la

direccin establecida por el cuerpo de gobierno para alcanzar las metas
empresariales.
En muchas empresas, la gestin es responsabilidad de la direccin ejecutiva
bajo el liderazgo del Director General Ejecutivo (CEO). Juntos, estos cinco
principios habilitan a la empresa a construir un marco de gestin de gobierno y
gestin efectivo que optimiza la inversin y el uso de informacin y tecnologa
para el beneficio de las partes interesadas.
IV.
DIFERENCIAS ENTRE EL MODELO DE MADUREZ DE COBIT 4.1 Y EL

MODELO DE CAPACIDAD DE LOS PROCESOS DE COBIT 5
Los elementos del enfoque del modelo de madurez de COBIT 4.1 se muestran
en la figura
Resumen del modelo de madurez de COBIT 4.1
Contaduria Pblica
Pgina 42
COBIT
Usar el modelo de madurez de COBIT 4.1 para la mejora de procesos - evaluar

la madurez de un proceso, definir nivel objetivo de madurez e identificar las
deficiencias- requera utilizar los siguientes componentes de COBIT 4.1:
Primero, era necesario hacer un anlisis para comprobar si los objetivos de
control de los procesos se cumplan.
Despus, el modelo de madurez incluido en la gua de gestin para cada
proceso poda ser utilizada para obtener un perfil de madurez del proceso.
Adems, el modelo de madurez genrico de COBIT 4.1 proporcionaba seis
atributos diferentes que eran de aplicacin a cada proceso y ayudaban en la
obtencin de una perspectiva ms detallada del nivel de madurez del proceso.
Los controles de proceso son objetivos de control genricos tambin
necesitaban ser revisados cuando se llevaba a cabo un anlisis de proceso. Los
controles de procesos se solapan parcialmente con los atributos genricos del
modelo de madurez.
El enfoque de COBIT 5 de capacidad de los procesos se puede resumir como se
muestra en la figura que sigue
Resumen del modelo capacidad de procesos de COBIT 5

Contaduria Pblica
Pgina 43
COBIT
Existen seis niveles de capacidad que se pueden alcanzar por un proceso,

incluida la designacin de proceso incompleto si las prcticas definidas en el
proceso no alcanzan la finalidad prevista:
0 Proceso incompletoEl proceso no est implementado o no

alcanza su propsito. A este nivel, hay muy poca o ninguna
evidencia de ningn logro sistemtico del propsito del proceso.
1 Proceso ejecutado (un atributo) El proceso implementado
alcanza su propsito.
2 Proceso gestionado (dos atributos) El proceso ejecutado
descrito anteriormente est ya implementado de forma gestionada
(planificado, supervisado y ajustado) y los resultados de su
ejecucin
estn
establecidos,
controlados
y
mantenidos
apropiadamente.
3 Proceso establecido (dos atributos) El proceso gestionado
descrito anteriormente est ahora implementado usando un proceso
definido que es capaz de alcanzar sus resultados de proceso.
4 Proceso predecible (dos atributos) El proceso establecido
descrito anteriormente ahora se ejecuta dentro de lmites definidos
para alcanzar sus resultados de proceso.
5 Proceso optimizado (dos atributos) El proceso predecible
descrito anteriormente es mejorado de forma continua para cumplir
con los metas empresariales presentes y futuros.
Contaduria Pblica
Pgina 44
COBIT
Cada nivel de capacidad puede ser alcanzado slo cuando el nivel inferior se
ha alcanzado por completo. Por ejemplo, un nivel 3 de capacidad de proceso
(establecido) requiere que los atributos de definicin y despliegue del proceso
se hayan alcanzado ampliamente, sobre la consecucin completa de los
atributos del nivel 2 de madurez de procesos (proceso gestionado).
Existe una diferencia significativa entre el nivel 1 de capacidad de procesos y
los niveles superiores. Alcanzar el nivel 1 requiere que el atributo de
rendimiento sea alcanzado ampliamente, lo que significa que el proceso se
ejecuta con xito y la organizacin obtiene los resultados esperados. Es
entonces cuando los niveles de capacidad superiores aaden diferentes
atributos al proceso. En este esquema de evaluacin, alcanzar un nivel 1 de
capacidad, incluso en una escala de 5, es ya un logro importante para la
organizacin. Ha de tenerse en cuenta que (basndose en motivos de
viabilidad y coste-beneficio) cada empresa de forma individual deber elegir su
objetivo o nivel deseado, que raramente ser uno de los ms altos.
Las diferencias ms importantes entre un anlisis de capacidad de procesos
basado en la norma ISO/IEC 15504 y el modelo de madurez actual de COBIT 4.1
(y los modelos similares de Val IT y Risk IT basados en dominios) se pueden
resumir como sigue:
La nomenclatura y significado de los niveles definidos en la ISO/IEC

15504 son muy diferentes de aquellos de COBIT 4.1.
En la norma ISO/IEC 15504 los niveles de capacidad se definen por un
conjunto de nueve atributos de proceso. Estos atributos cubren algo del
terreno cubierto por los atributos de madurez COBIT 4.1 y/o los controles
de proceso, pero solo en cierta medida y de forma distinta.
Los requisitos para un modelo de referencia para procesos compatible con la

norma ISO/IEC 15504.2 prescriben que en la descripcin de cualquier proceso
que se vaya a analizar, por ejemplo cualquier proceso de gobierno o gestin de
COBIT 5:
El proceso est descrito en trminos de su propsito y resultados.

La descripcin del proceso no debe contener ningn aspecto del marco
de medicin por debajo del nivel 1, lo que significa que cualquier
caracterstica del atributo de un proceso no puede aparecer dentro de la
descripcin del proceso. Si un proceso es supervisado y medido, o si est
formalmente descrito, etc., no puede ser parte de la descripcin del
proceso o cualquiera de las actividades o prcticas inferiores. Esto
implica que las descripciones del proceso- como se incluyen en COBIT 5:
Procesos Catalizadores- contienen solamente los pasos necesarios para

alcanzar el propsito y las metas reales del proceso.
Siguiendo los puntos anteriores, las atributos comunes aplicables a todos los
procesos de la empresa, los cuales produjeron la duplicacin de objetivos de
control en la publicacin de COBIT 3 Edicin y se agruparon en los objetivos de
control de procesos (PC) in COBIT 4.1, estn ahora definidos en los niveles 2 a
Contaduria Pblica
Pgina 45
COBIT
5 del modelo de evaluacin.
V.
DIFERENCIAS EN LA PRCTICA
De las descripciones previas, est claro que hay algunas diferencias prcticas
asociadas con el cambio en los modelos de evaluacin de procesos. Los
usuarios han de ser conscientes de estos cambios y tenerlos en cuenta en sus
planes de accin.
Los principales cambios a considerar incluyen:
Aunque es tentador comparar los resultados entre COBIT 4.1 y COBIT 5
debido a la aparente similitud de las escalas numricas y las palabras
usadas para describirlas, tal comparacin es difcil por las diferencias de
mbito de aplicacin, foco e intencin.
En general, los resultados de la evaluacin sern menores al usar el
modelo de capacidad de procesos de COBIT 5. En el modelo de madurez
de COBIT 4.1, un proceso poda alcanzar un nivel 1 2 sin alcanzar
completamente todos los objetivos del proceso; con los niveles de la
capacidad de procesos de COBIT 5, esto implicara un resultado inferior,
entre 0 y 1.
Las escalas de capacidad de COBIT 4.1 y COBIT 5 se pueden considerar
mapeadas.
Ya no se incluye dentro de los contenidos detallados de un proceso en

COBIT 5 un modelo especfico de madurez para cada proceso. Esto es
porque el enfoque de la norma ISO/IEC 15504 para la evaluacin de la
capacidad de procesos no lo requiere, incluso lo prohbe. En cambio, el
enfoque de la norma define la informacin requerida en el modelo de
referencia de procesos (el modelo de procesos que debe ser usado en la
evaluacin):
-
Descripcin del proceso, con la declaracin de propsitos.

Prcticas base, que son las equivalentes a prcticas de gestin o de
gobierno en COBIT 5.
Productos de trabajo, que son el equivalente a las entradas y salidas
en trminos de COBIT 5.
El modelo de madurez de COBIT 4.1 produca un perfil de madurez de la

empresa. El principal propsito de este perfil era identificar en qu
dimensin o para qu atributos haba debilidades especficas que
necesitaban mejoras. Este enfoque era usado por las empresas cuando
haba un enfoque hacia la mejora ms que para obtener un nmero de
madurez para incluirlo en un informe. En COBIT 5 el modelo de
evaluacin proporciona una escala de medida para cada atributo de
capacidad y gua sobre cmo aplicarlo, por lo que por cada proceso se
puede hacer un anlisis para cada uno de los nueve atributos de
capacidad.
Contaduria Pblica
Pgina 46
COBIT
Los atributos de madurez de COBIT 4.1 y los atributos de capacidad de

los procesos de COBIT 5 no son idnticos. Estos se solapan/mapean
hasta cierto punto. Las empresas que hayan utilizado el enfoque de
atributos del modelo de madurez de COBIT 4.1 pueden reutilizar los
datos de sus evaluaciones existentes y reclasificarlos segn las
evaluaciones de atributos de COBIT
Tabla de Comparacin De los niveles de madurez (COBIT 4.1) y los

niveles de capacidad de procesos (COBIT 5)
Tabla de comparacin de los atributos de madurez (COBIT 4.1) y los

atributos de proceso (COBIT 5)
Contaduria Pblica
Pgina 47
COBIT
VI.
BENEFICIOS DE LOS CAMBIOS
Los beneficios del modelo de capacidad de los procesos de COBIT 5,

comparados con los modelos de madurez de COBIT 4.1, incluyen:
Enfoque mejorado en los procesos en ejecucin, para confirmar que se
est realmente consiguiendo su objetivo y que est entregando los
resultados esperados.
Contenido simplificado a travs de la eliminacin de duplicados, porque
la evaluacin del modelo de madurez de COBIT 4.1 requera el uso de un
nmero de componentes especficos, incluido el modelo de madurez
genrico, los modelos de madurez de los procesos, objetivos de control y
controles de procesos para apoyar las evaluaciones de los procesos.
Confiabilidad y repetitividad mejorada de las actividades y valoraciones
de la evaluacin de la capacidad de los procesos, reduciendo discusiones
y falta de acuerdo entre las partes interesadas sobre los resultados de la
evaluacin.
Incremento de la utilidad de los resultados de la evaluacin de la
capacidad de los procesos, ya que el nuevo modelo establece una base
para que se lleven a cabo evaluaciones ms formales y rigurosas, tanto
para propsitos internos como externos.
Cumplimiento con un estndar de evaluacin de procesos generalmente
aceptado y de esta forma con un fuerte soporte al enfoque de
evaluacin de procesos por el mercado.
VII.
VENTAJAS Y DESVENTAJAS DE COBIT
VENTAJAS
La toma de decisiones para niveles gerenciales es ms eficaz, porque
COBIT ayuda la direccin en la definicin de un plan de TI estratgico, la
definicin de la arquitectura de la informacin, la adquisicin del
hardware necesario TI y el software para ejecutar una estrategia TI, la
aseguracin del servicio continuo, y la supervisin del funcionamiento
del sistema TI.
Los usuarios se benefician de COBIT debido al aseguramiento
proporcionado a ellos si los usos que ayudan en la reunin, el
tratamiento, y el reportaje de informacin cumplen con COBIT ya que
Contaduria Pblica
Pgina 48
COBIT
esto implica mandos y la seguridad es en el lugar para gobernar los

procesos.
A interventores porque esto les ayuda a identificar cuestiones de control
de TI dentro de la infraestructura TI de una empresa. Esto tambin les
ayuda a corroborar sus conclusiones de auditoria.
DESVENTAJAS
Las buenas prcticas de COBIT estn enfocadas fuertemente en el control y de
menor forma en la ejecucin. El marco de referencia mejora las reas de TI
desde el punto de vista solamente del gobierno corporativo. COBIT es un
modelo ambicioso que requiere de un profundo estudio para realizar la
implementacin dentro de la organizacin.
VIII.
Los estndares no cubren todos los temas en detalle.

No existe un estndar que abarque todos los temas (gestin, seguridad,
calidad, desarrollo, continuidad, etc.).
Se requiere de un esfuerzo de la organizacin, para adoptar los
estndares.
Evolucin Gestin aceptado internacionalmente que se adopta por las
empresas y se Contemple en el da a da por los gerentes de negocio.
Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
incrementar su valor a travs de las tecnologas, y permite su
alineamiento con los objetivos del negocio
Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar
y Dar Soporte y Monitorear y Evaluar.
A veces proporciona un modelo de procesos de referencia y un lenguaje
comn para todos los implicados en los trabajos de la organizacin.
Se pueden tomar decisiones de TI e inversin de las infraestructuras de
TI.
BIBLIOGRAFIA
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
http://www.marblestation.com/?p=645
TOOMEY, M. (2009). Impulsando el liderazgo de TI atravs del buen gobierno
corporativo con las TI. Australia: Atos consulting.
COBIT Objetivos de Control Tercera Edicin Emitido por el Comit Directivo de
COBIT y El IT Governance Institute MR
Cobit 4.0 en espaol (PDF)
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.sh
tml#cobit
http://www.monografias.com/trabajos38/cobit/cobit.shtml
Contaduria Pblica
Pgina 49
COBIT
http://www.es.wikipedia.org/wiki/COBIT
http://www.comip.mendoza.gov.ar/cobit.do
Contaduria Pblica
Pgina 50

COBIT

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

COBIT

Загружено:

Авторское право:

Доступные форматы

COBIT

Gabinete de Auditoria de Sistemas

Hoy en da, uno de los aspectos ms importantes (y crticos a la vez) para el

Aumento de la dependencia de la informacin, as como de los sistemas

Para muchas organizaciones, la informacin y las tecnologas que las soportan

Gabinete de Auditoria de Sistemas

De esta forma, la gestin de la informacin necesita tener una apreciacin y un

Garantizando que los objetivos sean alcanzados

Como se puede observar, se toman en cuenta tres aspectos importantes que

Lograr una interaccin del gobierno de TI con la tica y cultura de la

Gabinete de Auditoria de Sistemas

establecidos en la organizacin, ni tampoco las leyes regulatorias de la

2.2 Enfoque del Gobierno de TI

Fuente de Consulta: IT Governance Institute, 2007

Gabinete de Auditoria de Sistemas

soportan el cumplimiento de los objetivos estratgicos. De esta manera el ciclo

Gabinete de Auditoria de Sistemas

Mapa de implementacin de Gobierno de TI para la

Identificar las necesidades de la organizacin es un punto primordial,

FIGURA 2: Mapa de implementacin de Gobierno de TI en las organizaciones

Gabinete de Auditoria de Sistemas

Fuente de Consulta: ISACA, 2010.

Gabinete de Auditoria de Sistemas

FIGURA 3: Diagrama de la misin de COBIT

Fuente de Consulta: IT Governance Institute, 2007

Fuente de Consulta: ISACA, 2010

Gabinete de Auditoria de Sistemas

1998 para avanzar en el entendimiento y la adopcin de principios de gobierno

Gabinete de Auditoria de Sistemas

El enfoque del control en TI se lleva a cabo visualizando la informacin

Gabinete de Auditoria de Sistemas

Entendidas como sistemas de informacin, que integran procedimientos

El Marco de Referencia de COBIT 4.1, est conformado por 34 Objetivos de

Planificacin y Organizacin, proporciona la direccin para la entrega de

Gabinete de Auditoria de Sistemas

objetivos de control? Primero, seleccionar aquellos que sean aplicables al

a) Procesos del COBIT #1 - PLANEAR Y ORGANIZAR

Estn alineadas las estrategias de TI y del negocio?

Gabinete de Auditoria de Sistemas

PO1: Definir un plan estratgico de TI

Gabinete de Auditoria de Sistemas

soporte al plan estratgico del negocio

PO2. Definir la Arquitectura de la Informacin

Gabinete de Auditoria de Sistemas

trminos de productos, servicios y mecanismos de aplicacin. El plan se debe

Gabinete de Auditoria de Sistemas

Gabinete de Auditoria de Sistemas

Gabinete de Auditoria de Sistemas

de servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas y

Gabinete de Auditoria de Sistemas

Gabinete de Auditoria de Sistemas

P10: Administrar Proyectos

Gabinete de Auditoria de Sistemas

Es probable que los nuevos proyectos generen soluciones que

AI1: Identificar Soluciones Automatizadas

Gabinete de Auditoria de Sistemas

Nmero de proyectos donde los beneficios establecidos no se lograron

AI2: Adquirir y Mantener Software Aplicativo

Que satisface el requerimiento del negocio de TI para: Adquirir y dar

Gabinete de Auditoria de Sistemas

Enfocndose en: Proporcionar plataformas adecuadas para las aplicaciones del

Gabinete de Auditoria de Sistemas

de apoyo al usuario y a la operacin

Gabinete de Auditoria de Sistemas