COBIT VERSIÓN 5

PORTADA
Contenido
COBIT VERSIÓN 5....................................................................................................................... 1
INTRODUCCIÓN ......................................................................................................................... 3
El Marco de COBIT los 5 principios básicos ............................................................................... 4
Los Principios de COBIT 5 .......................................................................................................... 5
Habilitadores de COBIT 5 .......................................................................................................... 5
Principios para la Gestión de Riesgos........................................................................................ 6
Tipos de Riesgos ........................................................................................................................ 6
Perspectivas .............................................................................................................................. 6
Gestión de Riesgos de TI COBIT 5.............................................................................................. 7
Líneas de Defensa contra el Riesgo ........................................................................................... 7
Procesos COBIT5 para Riesgo .................................................................................................... 8
Factores de Riesgos Internos .................................................................................................... 8
¿Es COBIT 5 un modelo superior a otros modelos de control aceptados? ............................... 9
Conclusiones ............................................................................................................................. 9
INTRODUCCIÓN
COBIT 5 ayuda a las empresas a generar un valor óptimo de TI mediante un balance entre
el logro de beneficios y la optimización de los niveles de riesgo y el uso de recursos.
Permite que la información y la tecnología relacionada se gobiernen y gestionen de
manera holística en toda la empresa, de extremo a extremo del negocio y en las diferentes
áreas de responsabilidad funcional, considerando los intereses relacionados con TI de las
partes interesadas externas e internas. Los principios y catalizadores de COBIT 5 son
genéricos y útiles para empresas de cualquier tamaño, sean éstas comerciales,
organizaciones sin fines de lucro o del sector público.
El Marco de COBIT los 5 principios básicos
1. Satisfacción de las necesidades de los accionistas: se alinean las necesidades de los
accionistas con los objetivos empresariales específicos, objetivos de TI y objetivos
habilitadores. Se optimiza el uso de recursos cuando se obtienen beneficios con un nivel
aceptable de riesgo.

2.Considerar la empresa de punta a punta: el gobierno de TI y la gestión de TI son

asumidos desde una perspectiva global, de tal modo que se cubren todas las necesidades
corporativas de TI. Esto se aplica desde una perspectiva "de punta a punta" basada en los
7 habilitadores de COBIT.

3.Aplicar un único modelo de referencia integrado: COBIT 5 integra los mejores

marcos de Information Systems Audit and Control Association (ISACA) como Val IT,
que relaciona los procesos de COBIT con los de la gerencia requeridos para conseguir un
buen valor de las inversiones en TI. También se relaciona con Risk IT, lanzado por
ISACA para ayudar a organizaciones a equilibrar los riesgos con los beneficios.

Se considera el uso de Business Model for Information Security (BMIS) e IT Assurance

Framework (ITAF). Además permite alinearse con los principales estándares o marcos
como Information Technology Infrastructure Library (ITIL), The Open Group
Architecture Forum (TOGAF), Project Management Body of Knowledge (PMBOK),
PRojects IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring
Organizations of the Treadway Commission (COSO) y estándares ISO.

4.Posibilitar un enfoque holístico: los habilitadores de COBIT 5 están identificados en

siete categorías que abarcan la empresa de punta a punta. Individual y colectivamente,
estos factores influyen para que el gobierno de TI y la gestión de TI operen en función de
las necesidades del negocio.

5.Separar el gobierno de la gestión: COBIT 5 distingue con claridad los ámbitos del
gobierno de TI y la gestión de TI. Se entiende por gobierno de TI las funciones
relacionadas con la evaluación, la dirección y el monitoreo de las TI. El gobierno busca
asegurar el logro de los objetivos empresariales y también evalúa las necesidades de los
accionistas, así como las condiciones y las opciones existentes. La dirección se concreta
mediante la priorización y la toma efectiva de decisiones. Y el monitoreo abarca el
desempeño, el cumplimiento y el progreso en función con los objetivos acordados. La
gestión está más relacionada con la planificación, la construcción, la ejecución y el
monitoreo de las actividades alineadas con la dirección establecida por el organismo de
gobierno para el logro de los objetivos empresariales.
Los Principios de COBIT 5

Habilitadores de COBIT 5
Principios para la Gestión de Riesgos

Tipos de Riesgos

Perspectivas
COBIT 5 para Riesgos presenta dos perspectivas en el uso de COBIT en un contexto de
riesgo:
– la función de riesgo.
– la gestión de riesgos.
• La perspectiva de la función de riesgo se centra en lo que se necesita para construir y
mantener la función de riesgo en la empresa.
• La perspectiva de la gestión de riesgos se centra en los procesos básicos de gobierno y
gestión del riesgo para optimizar el riesgo y en cómo identificar, analizar, responder y
reportar sobre el riesgo a diario
Gestión de Riesgos de TI COBIT 5
Para lograr un programa efectivo de Gestión de Riesgos de TI básicamente se debe buscar
un balance enfocándose en:
► Las políticas y procesos con buenos estándares de cumplimiento de las legislaciones
y regulaciones.
► El soporte a los objetivos del negocio
► Integración con el Gobierno Corporativo
► Complementar estos esfuerzos con
► El soporte de la Tecnología de la Información.
► La educación de los recursos.

Esto se logra con un enfoque consistente, integrado y alineado con el gobierno de la

empresa. Garantizar que las decisiones de TI se han tomado en línea con los objetivos
Garantizando la supervisión de los procesos de manera efectiva y transparente y el
cumplimiento.

Líneas de Defensa contra el Riesgo

LA PRIMERA LÍNEA DE DEFENSA: GESTIÓN OPERATIVA.

Los gerentes operativos de TI poseen y gestionan los riesgos. Son responsables de
implementar acciones correctivas para abordar el proceso y las deficiencias de control.
Se encargan del mantenimiento efectivo de controles internos, ejecutar procedimientos
de riesgo y el control sobre una base del día a día. Identifica, evalúa, controla y mitiga los
riesgos, orienta el desarrollo e implementación de políticas y procedimientos internos y
asegura que las actividades sean compatibles con las metas y objetivos.
LA SEGUNDA LINEA DE DEFENSA: LA FUNCIÓN DE RIESGO Y FUNCIONES
DE CUMPLIMIENTO.
La función de gestión de riesgos (y/o comité) facilita y supervisa la aplicación de la
gestión eficaz de los riesgos, prácticas de gestión operativa y dar asistencia de riesgos a
los dueños en la definición del objetivo de la exposición al riesgo y la notificación
adecuada de riesgos relacionados con la información en toda la organización.
LA TERCER LINEA DE DEFENSA: LA AUDITORIA
La función de Auditoría provee una evaluación independiente de la gestión y función de
riesgos. Informan a los órganos de Gobierno o Dirección respecto de la eficacia de estas
actividades.

Procesos COBIT5 para Riesgo

Proporcionan una guía básica sobre cómo definir, operar y supervisar un sistema de
gestión de Riesgo.

Supone que la gestión de riesgos un fenómeno generalizado en toda la empresa, con

aspectos de relacionados en todas las actividades y procesos realizados.

Entregan metas y métricas de TI con sus actividades, relaciones y matrices RACI de

responsabilidad para cada proceso.
Entrega prácticas de gestión o de gobierno detalladas para cada uno de los 37 procesos
definidos en el modelo Son un apoyo al Gobierno de la TI y la Gestión de los Riesgos.

Factores de Riesgos Internos

- Capacidad de Gerenciamiento de Riesgos de TI

Indicador de cuan bien la Organización ejecuta los procesos clave de riesgo

utilizando
los catalizadores corporativos asociados.
• Tiene impacto en las decisiones de riesgo empresariales.
• Tiene impacto en la presencia o ausencia de controles y su efectividad.

- Capacidad de la TI

Indicador de las capacidades relacionadas a la Tecnología de la información. Un

mayor
nivel de madurez impacta en mayor capacidad de los procesos de TI.
• Reduce la frecuencia de los eventos
• Reduce el impacto empresarial cuando los eventos ocurren.
¿Es COBIT 5 un modelo superior a otros modelos de
control aceptados?
La mayoría de los ejecutivos conocen la importancia de los marcos generales de control
en relación con la responsabilidad fiduciaria, tales como COSO, Cadbury, CoCo,
Sarbanes-Oxley. Sin embargo, no necesariamente son conscientes del nivel de detalle de
cada uno. Por otro lado, los ejecutivos cada vez más conocen la importancia de guías
técnicas como ITIL (para la gestión de servicios de TI) e ISO 27001 (para seguridad de
información).

Si bien estos estándares y modelos enfatizan el control del negocio y la seguridad y

servicio de TI, COBIT es el único que se ocupa de los controles específicos de TI desde
la perspectiva del negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e ITIL. No
se pretende que COBIT reemplace estos modelos de control, sino lo que se destacan son
los elementos de gobierno y gestión y las prácticas necesarias para crear valor para la
compañía.

Conclusiones