U1S3 Fundamentos de AI COBIT5.0

UNIVERSIDAD TECNOLÓGICA ISRAEL
INGENIERIA EN SISTEMAS
QUITO - ECUADOR
NOVENO NIVEL
TEMA: UNIDAD 1_AUDITORIA INFORMATICA – GESTIÓN DE

ASEGURAMIENTO – FUNDAMENTOS - COBIT
AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

INDICE DE CONTENIDO
Control Objectives for Information and Related Technologies - COBIT

(Objetivos de control para la información y tecnologías relacionadas)
1. Antecedentes
2. Generalidades de COBIT

INDICE DE CONTENIDO

Estructura de COBIT 4.1

• Dominios, Procesos y Objetivos de COBIT
El Modelo de Madurez de COBIT 4,1
• Planear y Organizar (PO)
• Modelo de Madurez del Gobierno de TI
• Adquirir e Implementar (AI)
• Beneficios del Modelo de Madurez
• Entregar y Soportar (DS)
• Las 3 dimensiones del Modelo de Madurez
• Monitorear y Evaluar (ME)
• Radar de Madurez
• Revisión General de los Elementos de COBIT
• Las entradas y salidas del proceso
Métricas e Indicadores.
• Modelo RACI
• Conceptos Clave
• Guías de Aseguramiento de TI VAL-IT & la Implementación de un
• Situación Ejemplo
• Productos o Recursos Gobierno de TI
• Sistemas de Medición: “Balanced ScoreCard”
para TI • Fase 1: Identificación de Necesidades
• Reportes • Fase 2: Visualización de la Solución
• Fase 3: Plan de Solución
• Fase 4: Implementación de la Solución
• Fase 5: Operación de la Solución

INDICE DE CONTENIDO

Marco de Cobit 5
Los 5 Principios de Cobit 5 La Familia de Productos de COBIT 5
Procesos Habilitadores •
Implementación
•

OBJETIVOS
Identificar las Normas aplicables a la Auditoria Informática.
• Presentar los fundamentos de la versión 4.1 y 5 de

Cobit.
• Realizar un análisis comparativo de las dos versiones
del marco de referencia Cobit.
Análisis Comparativo de las dos Versiones

COBIT 5.0 - FUNDAMENTOS
Se publica oficialmente el 10 de abril de 2012. Ayuda a las

Organizaciones a crear un valor óptimo a partir de la TI, al
mantener un equilibrio entre la realización de beneficios y la
optimización de los niveles de riesgo y utilización de los recursos.
COBIT 5 permite que las tecnologías de la información y

relacionadas se gobiernen y administren de una manera holística
a nivel de toda la Organización, incluyendo el alcance completo
de todas las áreas de responsabilidad funcionales y de negocios,
considerando los intereses relacionados con la TI de las partes
interesadas internas y externas.
Los principios y habilitadores de COBIT 5 son genéricos y
útiles para las Organizaciones de cualquier tamaño, bien sean
comerciales, sin fines de lucro o en el sector público.

Valor para las Partes Interesadas
Para lograr valor para las partes interesadas de la Organización, se

requiere un buen gobierno y una buena administración de los
activos de TI y de la información.
Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben
acoger la TI como cualquier otra parte importante del negocio.
Cada día aumentan y se complican más los requisitos externos,
tanto legales como de cumplimiento regulatorio y contractual,
relacionados con el uso de la información y la tecnología en la
Organización, amenazando el patrimonio si no se cumplen.
COBIT5 proporciona un marco integral que ayuda a las
Organizaciones a lograr su metas y entregar valor mediante un
gobierno y una administración efectivos de la TI de la
Organización.

Gobierno y Administración
El Gobierno asegura el logro de los objetivos de la

Organización, al evaluar las necesidades de las partes
interesadas, así como las condiciones y opciones; fijando
directivas al establecer prioridades y tomar decisiones; así como
monitorear el desempeño, cumplimiento y progreso,
comparándolos contra las directivas y objetivos acordados
(EDM).
La Administración planifica, construye, ejecuta y monitorea
las actividades conforme a las directivas fijadas por el ente de
Gobierno para lograr los objetivos de la Organización (PBRM por
su sigla en inglés – PCEM)
COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y
Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e
información así como su uso en beneficio de las partes interesadas.

El Marco de COBIT 5.0
El producto principal COBIT 5, de amplia cobertura

Contiene el resumen ejecutivo y la descripción completa de todos
los componentes del marco de COBIT 5:
Los 5 Principios de COBIT 5
Los 7 Habilitadores de COBIT 5, más:
Una introducción a la guía de implementación proporcionada
por ISACA (Implementación de COBIT 5)
Una introducción al Programa de Evaluación de COBIT (que
no se refiere específicamente al COBIT 5) y el enfoque de la
capacidad de los procesos que ISACA adopta para COBIT.

Principios
1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral
Principios de
COBIT 5
4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado
Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.

Principios
Las Compañías existen para crear valor para sus partes

interesadas.
Necesidades
de las partes
interesadas
Objetivos del Gobierno: Creación de Valor
Realización Optimización Optimización

de Beneficios de Riesgos de Recursos

Principios
Las Organizaciones tienen muchas partes interesadas y “crear valor”
significa cosas diferentes – a veces conflictivas – para cada una de
ellas.
En el Gobierno se trata de negociar y decidir entre los diversos
intereses de beneficio de las diferentes partes interesadas.
El sistema de Gobierno deberá considerar a todas las partes
interesadas al tomar decisiones con respecto a la evaluación de
riesgos, los beneficios y el manejo de recursos.
Para cada decisión se puede, y se debe, hacer las siguientes
preguntas:
- ¿Quién recibe los beneficios?
- ¿Quién asume el riesgo?
- ¿Qué recursos se necesitan?
Las necesidades de las Partes Interesadas deben ser transformadas
en una estrategia accionable para la Organización.
Las metas en cascada de COBIT 5 traducen las necesidades de las
Partes Interesadas en metas específicas, accionables y personalizadas
dentro del contexto de la Organización, de las metas relacionadas con
la TI y de las metas habilitadoras.

Principios
Impulsadores de las Partes Interesadas
(Medio Ambiente, Evolución Tecnológica, …)
Influencian
Necesidades de las Partes Interesadas

Metas de la Organización
Pasan a
Metas Relacionadas con TI
Pasan a
Metas Habilitadoras
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados

Principios
Los beneficios de las Metas en Cascada de COBIT 5:
Permite definir las prioridades para implementar, mejorar y
asegurar el gobierno corporativo de la TI, en base de los
objetivos (estratégicos) de la Organización y los riesgos
relacionados:
En la práctica, las metas en cascada:
Definen los objetivos y las metas tangibles y relevantes,
en diferentes niveles de responsabilidad.
Filtran la base de conocimiento de COBIT 5, en base de
las metas corporativas para extraer una orientación
relevante para la inclusión en los proyectos específicos de
implementación, mejora o aseguramiento.
Claramente identifican y comunican qué importancia
tienen los habilitadores (algunas veces muy
operacionales) para lograr las metas corporativas.

Principios
COBIT 5 se concentra en el gobierno y la administración de la
tecnología de la información y relacionadas desde una
perspectiva integral a nivel de toda la Organización.
Esto significa que COBIT 5:
Integra el gobierno de la TI corporativa en el gobierno
corporativo, o sea, el sistema de gobierno para la TI
corporativa propuesto por COBIT 5 se integra, de una
manera fluida, en cualquier sistema de gobierno, toda vez
que COBIT 5 está alineado a los últimos desarrollos en
gobierno corporativo.
Cubre todas las funciones y los procesos dentro de la
Organización; COBIT 5 no solamente se concentra en
la “Función de la TI”, sino trata la tecnología de la
información y relacionadas como activos que necesitan
ser manejados como cualquier otro activo, por todos en la
Organización

Principios
Los Componentes Claves de un Sistema
de Gobierno
Objetivo del Gobierno: Creación de Valor

Habilitadores Alcance del

de Gobierno Gobierno
Roles, Actividades y Relaciones
Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.

Principios
Los Componentes Claves de un Sistema

de Gobierno
Roles, Actividades y Relaciones

Instruir y
Delegan Fijar
Dueños y Ente Alinear Operaciones
Directivas Administración
Partes Regulador y
Interesadas Rendición de Monitorear
Ejecución
Informar
Cuentas
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.

Principios
COBIT 5 está alineado con los últimos marcos y normas
relevantes usados por las organizaciones:
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC
31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie
ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI
Etc.
Así se permite a la Organización utilizar COBIT 5 como
integrador macro en el marco de gobierno y administración.
ISACA está desarrollando el modelo de capacidad de los
procesos para facilitar al usuario de COBIT el mapeo de las
prácticas y actividades contra los marcos y normas de
terceros.

Principios
Fuente COBIT® 5, Figura 10. © 2012 ISACA® Todos los derechos

reservados.

Principios
Los Habilitadores de COBIT 5 son:
• Factores que, individual y colectivamente, influyen sobre si
algo funcionará – en el caso de COBIT, Gobierno y
Administración sobre la TI corporativa.
• Impulsados por las metas en cascada, o sea: las metas de
alto nivel relacionadas con la TI definen qué deberían lograr
los diferentes habilitadores.
• Descritos por el marco de COBIT 5 en siete categorías

Principios
2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento
1. Principios, Políticas y Marcos
6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades
y Aplicaciones y Competencias
RECURSOS
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.

Principios
1. Procesos – Describen una serie organizada de prácticas y actividades para lograr
determinados objetivos y producir una serie de resultados como apoyo al logro de las
metas globales relacionadas con la TI.
2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de
decisiones en una organización.
3. Cultura, Ética y Comportamiento – De los individuos así como de la organización;
se subestima frecuentemente como factor de éxito en las actividades de gobierno y
administración.
4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento
deseado en una orientación práctica para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización;
o sea se trata de toda la información producida y usada por la Organización. La
información es requerida para mantener la organización andando y bien gobernada,
pero a nivel operativo, la información frecuentemente es el producto clave de la
organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología
y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la
información a la organización.
7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son
requeridas para completar exitosamente todas las actividades y para tomar las
decisiones correctas, así como para llevar a cabo las acciones correctivas.

Principios
Administración y Gobierno sistémico mediante
habilitadores interconectados – Para lograr los objetivos
principales de la Organización, siempre debe considerarse
una serie interconectada de habilitadores, o sea, cada
habilitador:
Necesita una entrada de otros habilitadores para ser
completamente efectivo, o sea, los procesos necesitan
información, las estructuras organizacionales necesitan
habilidades y comportamiento.
Entrega un producto de salida a beneficio de otros
habilitadores, o sea, los procesos entregan información,
las habilidades y el comportamiento hacen que los
procesos sean eficientes.
Esto constituye un principio CLAVE que surge del trabajo de
desarrollo de ISACA en el Modelo de Negocios para la
Seguridad de la Información (BMIS por su sigla en inglés).

Principios
Las Dimensiones Habilitadores de COBIT 5:
Todos los habilitadores tienen una serie de dimensiones comunes. Dicha
serie de dimensiones comunes:
• Proporciona una manera común, sencilla y estructurada para
tratar los habilitadores
• Permite a una entidad manejar sus interacciones complejas
• Facilita resultados exitosos de los habilitadores
Partes Metas Ciclo de Vida Buenas Prácticas
Dimensión de
Habilitadores
Interesadas • Calidad Intrínseca • Planificar • Prácticas
• Calidad Contextual • Diseñar • Productos de
• Internas (Relevancia, •Construir/Adquirir/ Trabajo
• Externas Efectividad) Crear/Implementar (Entradas/Salidas)
• Accesabilidad y • Usar/Operar
Seguridad • Evaluar/Monitorear
• Actualizar/Disponer
¿Se atienden las ¿Se Logran las Metas ¿Se administra el ¿Se aplican Buenas
Necesidades de las de los Habilitadores?
Desempeño de los Ciclo de Vida? Prácticas?
Administración del
Habilitadores Partes Interesadas?
Métricas para el Logro de las Metas Métricas para la Aplicación de Prácticas

(Indicadores de Resultados) (Indicadores de Desempeño)
Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.

Principios
Separar el Gobierno de la Administración:

El marco de COBIT 5 plasma una distinción muy clara entre el
Gobierno y la Administración.
Dichas dos disciplinas:
Comprenden diferentes tipos de actividades
Requieren diferentes estructuras organizacionales
Cumplen diferentes propósitos
Gobierno— En la mayoría de las organizaciones el Gobierno
es responsabilidad de la Junta Directiva bajo el liderazgo de
su Presidente.
Administración— En la mayoría de las organizaciones, la
Administración es responsabilidad de la Gerencia Ejecutiva,
bajo el liderazgo del Gerente General (CEO).

Principios
• El Gobierno asegura que se evalúen las necesidades de las
partes interesadas, así como las condiciones y opciones, para
determinar los objetivos corporativos balanceados acordados a
lograr; fijando directivas al establecer prioridades y tomar
decisiones; así como monitorear el desempeño, cumplimiento
y progreso comparándolos contra las directivas y objetivos
fijados (EDM).
• La Administración planifica, construye, ejecuta y
monitorea las actividades conforme a las directivas fijadas por
el ente de Gobierno para lograr los objetivos de la Compañía
(PBRM por su sigla en inglés – PCEM).

Principios
Necesidades del Negocio

Gobierno
Evaluar
Dirijir Monitorear
Retroalimentación Gerencial
Administración
Planificar Construir Operar Monitorear

(APO) (BAI) (DSS) (MEA)

Principios
El marco de COBIT 5 describe siete categorías de
habilitadores (Principio 4). Los procesos constituyen una
categoría.
Una compañía puede organizar sus procesos como estime
conveniente, siempre y cuando queden cubiertos todos los
objetivos necesarios de gobierno y administración. Las
compañías más pequeñas podrán tener menos procesos, las
compañías más grandes y más complejas podrán tener
muchos procesos, todos para cubrir los mismos objetivos.
COBIT 5 incluye un Modelo de Referencia de Procesos
(PRM por su sigla en inglés), que define y describe en detalle
un número de procesos de administración y de gobierno. Los
detalles de dicho modelo habilitador específico pueden
encontrarse en el Volumen de COBIT 5: Procesos
Habilitadores.

Habilitadores
2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento
1. Principios, Políticas y Marcos
6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias
RECURSOS
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados

Habilitadores
COBIT 5: Procesos Habilitadores complementa COBIT 5 y
contiene una guía detallada de referencias a los procesos
definidos en el Modelo de Referencia de Procesos de COBIT 5:
En el Capítulo 2 se recapitula las metas en cascada de
COBIT 5 y se complementa con una serie de métricas
ejemplo para las metas corporativas y las metas
relacionadas con la TI.
En el Capítulo 3 se explica el Modelo de Procesos de
COBIT 5 y se definen sus componentes.
En el Capítulo 4 se muestra el diagrama de dicho Modelo
de Referencias de Procesos.
El Capítulo 5 contiene la información detallada de
procesos para todos los 37 procesos de COBIT 5 en el
Modelo de Referencias de Procesos.

Habilitadores
Partes Interesadas Metas Ciclo de Vida Buenas Prácticas
Dimensión de Habilitadores
• Internas • Calidad Intrínseca • Planificar • Prácticas del Proceso,
• Externas • Calidad Contextual • Diseñar Actividades, Actividades
(Relevancia, •Construir/Adquirir/ detalladas
Efectividad) Crear/Implementar • Productos de Trabajo
• Accesabilidad y • Usar/Operar (Entradas/Salidas)
Seguridad • Evaluar/Monitorear
• Actualizar/Disponer
Prácticas genéricas para los
procesos
Administración del Desempeño
¿Se Atienden las

Necesidades ¿Se logran las Metas de los ¿Se Administra el Ciclo de ¿Se Aplican Buenas
de los Habilitadores
de las Partes Interesadas? Habilitadores? Vida? Prácticas?
Métricas para el Logro de las Metas Métricas para la Aplicación de Prácticas

(Indicadores de Resultados) (Indicadores de Desempeño)

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Habilitadores
EDM01 Asegurar
que se fija el Marco EDM02 Asegurar EDM04 Asegurar EDM05 Asegurar
EDM03 Asegurar
de Gobierno y su la Entrega de Valor la Optimización de la Transparencia a
la Optimización de
Mantenimiento los Recursos las partes
los Riesgos
interesadas
Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar APO02 Administrar
APO03 Administrar
APO04 Administrar APO05 Administrar APO06 Administrar APO07 Administrar
el Marco de la la Estrategia la Arquitectura la Innovación el Portafolio el Presupuesto y los el Recurso Humano
Administración de TI Corporativa Costos
MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeño y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos la Seguridad
las Relaciones
Servicios
Construir, Adquirir e Implementar
BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definición de la Identificación y Habilitación del Aceptación de
Disponibilidad y Cambios
Proyectos Requerimientos Construcción de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno
BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuración
Entregar, Servir y Dar Soporte
DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas la Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos
Fuente: COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados. Procesos para la Administración de TI Corporativa

Habilitadores
•El Modelo de Referencia de Procesos de COBIT 5 subdivide las

actividades y prácticas de la Organización relacionadas con la TI
en dos áreas principales – Gobierno y Administración – con la
Administración a su vez dividida en dominios de procesos:
•El Dominio de GOBIERNO contiene cinco procesos de
gobierno; dentro de cada proceso se definen las prácticas
para Evaluar, Dirigir y Monitorear (EDM).
•Los cuatro dominios de la ADMINISTRACIÓN están
alineados con las áreas de responsabilidad de Planificar,
Construir, Operar y Monitorear (PBRM por su sigla en
inglés).

Implementación
•La mejora del Gobierno Corporativo de la Tecnología de la

Información (GEIT por su sigla en inglés) ha sido
ampliamente reconocida por altos directivos como una parte
esencial del gobierno corporativo.
•La información y la presencia general de la tecnología de
información ocupan cada día una parte más importante de
todo aspecto de la vida comercial y pública.
•La necesidad de generar más valor de las inversiones en la
Tecnología y de administrar una gama creciente de riesgos
relacionados con la Tecnología nunca ha sido mayor que
ahora.
•Una regulación y legislación cada vez más estricta sobre el
uso comercial de la información también impulsa una mayor
concientización de la importancia de un ambiente de TI bien
gobernado y administrado.

Implementación
• ISACA ha desarrollado el marco de COBIT 5 para ayudar a
las compañías a implementar unos habilitadores de gobierno
sanos. De hecho, la implementación de un buen GEIT es casi
imposible sin la activación de un marco efectivo de gobierno.
También están disponibles las mejores prácticas y los
estándares que soportan al COBIT 5.
• Los marcos, mejores prácticas y normas son útiles solamente
si son adoptados y adaptados de manera efectiva. Hay que
superar muchos retos y resolver varios asuntos para poder
implementar GEIT de manera exitosa.
• COBIT 5: Implementación les proporciona una guía de
orientación acerca de cómo hacerlo.

Implementación
• COBIT 5: Implementación cubre los siguientes asuntos:

• Posicionamiento de GEIT en la organización
• Adopción de los primeros pasos para mejorar GEIT
• Factores de éxito y retos para la implementación
• Habilitación del cambio de comportamiento y
organizacional relacionado con el GEIT
• Implementación de una mejora continua que incluye
la habilitación del cambio y la gestión del programa
• Uso de COBIT 5 y sus componentes.

Implementación
• Gestión del Programa

• Habilitación del Cambio • Ciclo de Vida de Mejora Continua
Fuente: COBIT® 5, Figura 17. © 2012 ISACA® Todos derechos reservados. (anillo exterior)
(anillo medio) (anillo interior)

Familia de Productos
COBIT ® 5
Guías de Habilitadores de COBIT® 5

® ®
COBIT 5: COBIT 5: Otras Guías
Procesos Habilitadores Información Habilitadora Habilitadoras
Guias Profesionales de Orientación de COBIT® 5

®
COBIT 5 COBIT ® 5 ®
® COBIT 5 Otras Guías
COBIT 5 Implementación Para la Seguridad Para el
Para Riesgos Profesionales
de la Información Aseguramiento
COBIT® 5 Ambiente Colaborativo En Línea
Fuente COBIT® 5, Figura 11. © 2012 ISACA® Todos los Derechos Reservados.

Productos Futuros de Apoyo:

• Guías Profesionales de Orientación:
• COBIT 5 para la Seguridad de Información
• COBIT 5 para el Aseguramiento
• COBIT 5 para Riesgos
• Guías de Orientación de los Habilitadores:
• COBIT 5: Información Habilitadora
• COBIT En Línea Reemplazo
• COBIT Programa de Evaluación:
• Modelo de Evaluación de Procesos (PAM):
Usando COBIT 5
• Guía para Asesores: Usando COBIT 5
• Guía de Auto-Evaluación: Usando COBIT 5



Recuperado de: https://francoitgrc.files.wordpress.com/2012/04/cobit-5-final-abril-2012-v31.jpg

ANALISIS DE DIFERENCIAS
COBIT 4.1 COBIT 5.0

3 Principios (Procesos de TI, Recursos de TI, Requerimientos del 5 Principios (Satisfacer las necesidades de las partes
Negocio) interesadas, Cubrir la Compañía de Forma Integral, Aplicar un
solo marco Integrado, Habilitar un enfoque holístico, Separar el
Gobierno de la Administración)
Define las actividades de TI en un modelo genérico de procesos Cuenta con cinco dominios (APO, CAI, ESS, ME, EDM que cubre
organizado en 4 dominios (PO, AI, ES, ME) el antiguo proceso ME4 de COBIT 4.)
Cuenta con 34 procesos Cuenta con 37 procesos
Cambio del objetivo de control de varios procesos a otro dominio:
PO10 – Administrar los proyectos, pasó al Dominio BAI.
AI5 – Procurar recursos de IT, pasó al Dominio APO.
DS1 – Definir y Administrar los niveles de servicio, pasó al Dominio APO.
DS2 – Administrar los servicios de Terceros, pasó al Dominio APO.
DS3 – Administrar el desempeño y la capacidad, pasó al Dominio BAI.
DS6 – Identificar y asignar costos, pasó al Dominio APO.
DS7 – Educar y Entrenar a los usuarios, pasó al Dominio APO.
DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar los Servicios de Seguridad
En el dominio APO – Administrar, Planear y Organizar, es donde se observa mayor reorganización interna de los objetivos de control,
es decir que un antiguo proceso de COBIT 4.1, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en
COBIT 5.

Análisis Comparativo de las dos Versiones
Fuente: José Ángel Peña Ibarra, CGEIT, CRISC, Evento Técnico ISACA Monterrey

COBIT 4.1 COBIT 5.0
Nuevos procesos :
EDM1 – Definir el Framework para el Gobierno
APO1 – Definir el Framework para la Administración
APO4 – Gestionar Innovación
APO13 – Gestionar Seguridad (también hay un Proceso DSS05
Gestionar los Servicios de Seguridad)
BAI8 – Gestión del Conocimiento
Metas de Negocio y Metas de TI de tinte genérico Metas de Negocio y Metas de TI diferenciadas: Primarias o
Secundarias
Metas de Negocio (17) Metas de Negocio (17) mejor estructuradas tanto en sus
contenidos como en la distribución respecto a las Perspectivas del
Balanced Scorecard (Financiera, Cliente, Interna, Aprendizaje)
Metas de TI 28 Metas de TI 17 especificando cada una a cuál perspectiva del
Balan Scorecard corresponde (Financiera, Cliente, Interna,
Aprendizaje)
Pentágono para Gobierno de TI (Alineación estratégica, Entrega El pentágono se transforma en el nuevo dominio : Prácticas para
de Valor, Gestión de Riesgos, Gestión de Recursos, Medición del Evaluar y Dirigir (Governance) Práctica de Dirigir (Management),
Desempeño) Estrategia de Valor EDM2, Administración de recursos EDM4,
Administración de Riesgos EDM3, Medir el Desempeño EDM5 +
MEA

Metas de Negocio y de TI
Fuente: COBIT® 5, Figura 5. © 2012 ISACA® Todos los Derechos Reservados.

COBIT 4.1 COBIT 5.0
Criterios de Información: Efectividad, Eficiencia, Integridad, Criterios de Información: Utilidad, Usabilidad, Libre de error,
Confiabilidad, Disponibilidad, Confidencialidad, Cumplimiento. Credibilidad, Accesibilidad, Seguridad, Conformidad
Modelos de Madurez: No existente, Inicial/Ad hoc, Repetible Modelos de Madurez en base a la ISO/IEC 15504 Software
pero intuitivo, Proceso Definido, Gestionado, Optimizado Engineering – Process Assessment Standard: Incompleto,
Alcanzado, Gestionado, Establecido, Predecible, Optimizado

Modelos de Capacidad del Proceso y Evaluaciones
Modelos de Capacidad de Procesos

COBIT 4.1/5
© 2012 ISACA® Todos los Derechos Reservados.
48
Modelos de Capacidad del Proceso y Evaluaciones
Modelos de Capacidad de Procesos
Fuente COBIT® 5, Figura 19. © 2012 ISACA® Todos los Derechos Reservados.
49
COBIT 4.1 COBIT 5.0
Directrices Familia de Productos: El Framework, Guía de Facilitadores o

Catalizadores (Guía de Referencia de Procesos y Otras Guías), Guías
Prácticas (Guías de Implementación, Guías para la Seguridad, Otras
Guías), Entorno Colaborativo Online
Esta alineado con los últimos marcos y normas relevantes usadas por
las organizaciones. Corporativo: COSO, COSO ERM, ISO/IEC 9000,
ISO/IEC 31000 Relacionado con TI: ISO/IEC 38500, ITIL, la serie
ISO/IEC 27000, TOGAF, PMBOK/PRICE2, CMMI…Etc
Separa el Gobierno de la Administración
Proporciona entradas y salidas para cada proceso Proporciona entradas y salidas para cada práctica de Administración
Nuevos nombre para las métricas, Metas Corporativas, Metas
Relacionadas con la Tecnología y Metas de Procesos
Objetivos de control, los procesos de VAL IT y Risk IT son documentos Integra y actualiza todo el contenido anterior en un único modelo nuevo,
separados haciéndolo más fácil de entender para los usuarios y de utilizar el
materia al implementar las mejoras.
Matriz RACI Matriz RACI, con un rango más claro, detallado y completo de cuadros
y actores de roles de Tecnología y negocios genéricos para cada
práctica de administración, que permita una mejor definición de las
responsabilidades de los actores o nivel de involucramiento al diseñar e
implementar procesos.

Modelo Integrador de Val IT, Risk IT y COBIT 4.1 en un solo documento
Fuente COBIT® 5 – Procesos Catalizadores, Figura 13. © 2012 ISACA® Todos los Derechos Reservados.

Matriz RACI
Fuente: COBIT® 4.1, página 39. © 2007 IT Governance Institute® Todos Los Derechos
Reservados

Matriz RACI
Source: COBIT® 5: Procesos Habilitadores, página 31. © 2012 ISACA® Todos los derechos reservados

Cuando una organización ya ha hecho importantes

inversiones en implementar COBIT 4.1 y se
encuentra a mitad del proyecto, es recomendable
que complete dicha iniciativa en lugar de mezclar
las 2 versiones.
COBIT 5 abre una nueva etapa para el gobierno y

el management de TI, que implicará que todos los
involucrados, más alla del rol (CEO, CIO, CRO,
CISO, CCO, Advisor, Auditor, etc), evolucionemos
estratégicamente sincronizados con este nuevo
estándar.

Sugerencias, Dudas o Preguntas
¡ Gracias por su atención!

Referencia Bibliográfica
Técnicas de la auditoría informática, Objetivos y métodos de la
auditoría informática (pág. 3 – 26)
http://site.ebrary.com/lib/uisraelsp/reader.action?docID=10272178
Cobit 5, Traducción al Español Cortesía de ISACA Capítulo de Panamá
Cobit 5, Procesos Catalizadores
Cobit 5, Un marco de Negocio para el Gobierno y la Gestión de las TI de

la Empresa

Tareas – Componente Autónomo
Revisión y lectura comprensiva de Objetivos y métodos de la auditoría informática (pág. 3
– 26) del texto Técnicas de la auditoría informática
http://site.ebrary.com/lib/uisraelsp/reader.action?docID=10272178
Lectura y resolución del capítulo 2The Cybersecurity Sorcery Cube – A World of wizards,
heroes, and criminals del curso Cybersecurity Essentials de CISCO
Revisión de la Versión 5 del marco de referencia COBIT

Tareas – Componente Práctico
U1S2: Mapeo Resolución No JB-2005-834 con COBIT 5 Catalizadores
Indicaciones:
a. La tarea debe realizarse en los grupos de máximo 5 personas.
b. El líder de grupo debe distribuir la carga del proyecto y consolidar todo en un archivo excel o word.
c. Los puntos de la Resolución No JB-2005-834 que deben mapearse o relacionarse con COBIT 5 son:
1. Articulo 4, numeral 4.3 Tecnología de la Información
2. Articulo 15, Sección IV - Continuidad del Negocio.
3. Articulo 16, Sección IV - Continuidad del Negocio.
4. Articulo 20, Sección VI - Servicios Provistos por Terceros
5. Articulo 21, 22, Sección VII - Seguridad de la Información
Los subnumerales de menor detalle son los que se deben considerar para establecer la relación con los
Dominios, y procesos de COBIT 4.1, por ejemplo:
El Articulo 22 es el titulo dentro de esta tenemos 22.1 Este es el subtitulo y dentro de esta tenemos el
22.1.1 este seria el nivel al que debemos establecer la relación, es decir se debe establecer la relación
con el nivel de mayor apertura

U1S3 Fundamentos de AI COBIT5.0

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

U1S3 Fundamentos de AI COBIT5.0

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD TECNOLÓGICA ISRAEL

TEMA: UNIDAD 1_AUDITORIA INFORMATICA – GESTIÓN DE

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Control Objectives for Information and Related Technologies - COBIT

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Control Objectives for Information and Related Technologies - COBIT

Estructura de COBIT 4.1

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Control Objectives for Information and Related Technologies - COBIT

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Identificar las Normas aplicables a la Auditoria Informática.

• Presentar los fundamentos de la versión 4.1 y 5 de

Análisis Comparativo de las dos Versiones

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Se publica oficialmente el 10 de abril de 2012. Ayuda a las

COBIT 5 permite que las tecnologías de la información y

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Valor para las Partes Interesadas

Para lograr valor para las partes interesadas de la Organización, se

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

El Gobierno asegura el logro de los objetivos de la

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

El Marco de COBIT 5.0

El producto principal COBIT 5, de amplia cobertura

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Las Compañías existen para crear valor para sus partes

Objetivos del Gobierno: Creación de Valor

Realización Optimización Optimización

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Necesidades de las Partes Interesadas

Metas Relacionadas con TI

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Objetivo del Gobierno: Creación de Valor

Realización Optimización Optimización

Habilitadores Alcance del

Roles, Actividades y Relaciones

Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Los Componentes Claves de un Sistema

Roles, Actividades y Relaciones

Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Fuente COBIT® 5, Figura 10. © 2012 ISACA® Todos los derechos

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

2. Procesos 3. Estructuras 4. Cultura, Ética

1. Principios, Políticas y Marcos

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Partes Metas Ciclo de Vida Buenas Prácticas

Habilitadores Partes Interesadas?

Métricas para el Logro de las Metas Métricas para la Aplicación de Prácticas

Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

Separar el Gobierno de la Administración:

AUDITORIA INFORMÁTICA Ing. Christian Vaca B. CPA MSc.