Este documento presenta una introducción al marco COBIT (Control Objectives for Information and Related Technology). Explica que COBIT ayuda a las empresas a alcanzar sus objetivos de gobierno y gestión de TI manteniendo un equilibrio entre los beneficios generados y la optimización de riesgos y recursos. Además, describe los cinco principios de COBIT, incluyendo satisfacer las necesidades de las partes interesadas, cubrir la empresa de extremo a extremo y aplicar un marco de referencia único integrado.
1. Profesor : Ramos Reyes Joshep
COBIT 5
CONTABILIDAD PARA
GESTION
Blas Pagola Eli 12200218
Esteves Rosales Neil 11200211
Julca Mejía Wilson 11200__
Prado Tenorio Andrés 12200229
Quintanilla Pérez Diana 12200213
Rojas Barraza Judiht 12200200
2. CAPÍTULO 1: Visión General del COBIT
Introducción a COBIT 5
Empezaremos este informe con 2 preguntas fundamentales que nos describirán a grandes rasgos el tema en
general:
¿Qué es COBIT? Estas siglas significan CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGY. Que en español significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas.
¿Qué es ISACA? Es un Líder global proveedor de conocimiento, certificaciones, comunidad, promoción y
educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial y gestión de TI
y riesgo relacionado con TI y cumplimiento. Diseña la publicación del COBIT, principalmente como una
fuente de educación para profesionales del gobierno de las TI empresariales (GEIT), del aseguramiento, del
riesgo y de la seguridad.
“LA INFORMACIÓN ES UN RECURSO CLAVE PARA TODAS LA EMPRESAS” y desde el
momento en que la información se crea hasta que es destruida, la tecnología juega un papel importantísimo.
LAS EMPRESAS Y SUS EJECUTIVOS SE ESFUERZAN EN:
-Mantener información de alta calidad para soportar las decisiones del negocio.
-Generar el valor al negocio con las inversiones en TI, por ej., alcanzado metas estratégicas y generando
beneficios al negocio a través de un uso de las TI eficaz e innovador.
-Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y eficiente.
- Mantener los riesgos relacionados con TI en un nivel aceptable.
- Optimizar el coste de los servicios y tecnologías de TI.
-Cumplir con las constantemente crecientes leyes, regulaciones, acuerdos contractuales y políticas
aplicables.
Empresas de éxito han reconocido que el comité y los ejecutivos deben aceptar las T I como cualquier parte
importante de hacer negocios. TI debe incluirse en el enfoque del gobierno y la gestión; cada vez de aprueba
más legislación y se implementan regulaciones para cubrir esta necesidad.
COBIT 5 ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI
corporativas. En cristiano, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio
entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de
recursos.
COBIT5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando
al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los
intereses relacionados con TI de las partes interesadas internas y externas.
5 PRINCIPIOS DEL COBIT:
a) Satisfacer las Necesidades de las Partes Interesadas.
b) Cubrir la Empresa Extremo a Extremo
c) Aplicar un Marco de Referencia Único Integrado.
d) Hacer posible un Enfoque Holístico.
e) Separar el Gobierno de la Gestión.
3. CAPÍTULO 2
Principio 1: Satisfacer las necesidades d las partes interesadas
Toda empresa busca crear valor. Esto significa conseguir beneficios a un coste óptimo
De los recursos mientras se optimiza el riesgo, estos beneficios se relacionan con partes interesadas, es decir
se crea valor dependiendo de aquellas partes, suele darse el caso de que las partes interesadas tengan objetivos
contradictorios.
Por lo que el sistema de gobierno debe considerar todas las partes al tomar decisiones sobre beneficios
.evaluación de riesgos y recursos.
Se debe responder a las siguientes preguntas:
¿Para quién son los beneficios?
¿Quién asume el riesgo?
¿Qué recursos se requieren?
En nuestra realidad cada empresa opera en un contexto diferente; este contexto está determinado por factores
externos (el mercado, la industria, geopolítica, etc.) y factores internos (la cultura, organización, umbral de
riesgo, etc.) y requiere un sistema de gobierno y gestión personalizado.
Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible.
COBIT 5 ofrece un mecanismo para traducir las necesidades de las partes interesadas en metas corporativas,
metas relacionadas con las TI y metas catalizadoras específicas, útiles y a medida. Denominada La cascada de
metas.
Esta traducción permite establecer metas específicas en todos los niveles y en todas las áreas de la empresa en
apoyo de los objetivos generales y requisitos de las partes interesadas y así, efectivamente, soportar la
alineación entre las necesidades de la empresa y las soluciones y servicios de TI.
Pasos:
Paso 1. Los Motivos de las Partes Interesadas Influyen en las
Necesidades de las Partes Interesadas
Paso 1. Los Motivos de las Partes Interesadas Influyen en las
Necesidades de las Partes Interesadas
Paso 3. Cascada de Metas de Empresa a Metas
Relacionadas con las TI
Paso 4. Cascada de Metas Relacionadas con las TI Hacia
Metas Catalizadoras
CAPÍTULO 3
Principio 2: Cubrir la empresa de extremo a extremo
Este capítulo trata acerca del principio 2 denominado: Cubrir a empresa de extremo a extremo; este principio
enfatiza en el gobierno y gestión de la información relacionada con la tecnología desde una perspectiva
global.
Enfatizando en dos puntos:
Integrar el sistema gobierno para la empresa TI en el sistema de gobierno corporativo.
Cubrir todas las funciones y procesos necesarios para gobernar y gestionar la información corporativa y
las tecnologías relacionadas ,esto quiere decir los servicios TI y los procesos del negocio
Este principio es un enfoque de gobierno que consta de componentes claves:
4. En nuestra realidad ,podemos deducir que las grandes empresas si buscan crear valor y tienen estructurado
sus elementos para lograr esos objetivos,
las empresas buscan tener ventajas
competitivas , refinar sus procesos y
minimizar riesgos , en contraste con esto
las pequeñas y medianas empresas no
cuentan con los recursos necesarios para
estructurar objetivos claros .
Un claro ejemplo : Banco Interbank
tiene un objetivo definido :El tiempo vale
más que el dinero . Le agrego valor a sus
procesos, no solo satisface las
necesidades básicas del cliente sino que
busca optimizar un recurso escaso: el
tiempo.
En contra parte podemos mencionar a
una empresa Textil X que cuenta solo
con recursos básicos para sus procesos de producciónh, es decir produce pero su producto no tiene un plus.
CAPÍTULO 4
PRINCIPIO 3: APLICAR UN MARCO DE REFERENCIA ÚNICO INTEGRADO
¿Por qué diremos que el COBIT 5 es un marco de Referencia Único Integrado?
Este principio es importante porque integra diferentes marcos de referencia; tales como COBIT 4.1, Val
IT, Risk IT, y las normas ISO relacionadas; para así proporcionar guía y asistencia a las empresas.
En mi opinion el COBIT es un modelo para auditar la gestión y control de los sistemas de
información y tecnología, dirigido u orientado a todos los sectores de una organización
Proporciona una arquitectura simple para estructurar los materiales de guía y producir un conjunto
consistente.
Es por ello que diremos que El Cobit 5 permite a las empresas
utilizarse como un marco integrador de gobierno y administración de
TI.
Además el COBIT 5 se alinea con los estándares y marcos de
referencia más relevantes usados por las empresas:
Empresariales: COSO, COSO ERM, ISO/IEC 9000,
Relacionados con TI: ISO/IEC 38500, ITIL, serie ISO/IEC
27000, TOGAF,
5. ESTANDARES Y MARCOS DE REFERENCIA
ISO/IEC 38500 ITIL
ISO/IEC
27000
ISO/IEC
31000
TOGAF
Integración de
Modelos de Madurez
de las Capacidades
(CMMI)
PRINCE2
Principios
Procesos
en:
Seguridad,
Riesgo,
Riesgo
Arquitectura
Empresarial
Construcción y
Adquisición de
aplicaciones
Procesos
relativos al
portafolio
P1:
Responsabilidad
Dominio
DSS
Dominio
EDM
Dominio
EDM
ADM Dominio BAI Dominio APO
P2 Estrategia
Dominio
BAI
Dominio
APO
Dominio
APO
Dominio
APO
P3: Adquisición
Dominio
APO
Dominio DSS
P4: Rendimiento
Supervisión
y Evaluación
Supervisión y
Evaluación
Procesos de
gestión de
procesos y
programa
P5:
Conformidad
Dominio
MEA
Dominio APO Dominio BAI
P6:
Comportamiento
Humano
6. DIMENSI
ON
Principios,
políticas y
marco de
referencia
Procesos
Estructuras
organizativas
Información
Cultura, ética y
comportamiento
Servicios,
infraestructura y
aplicaciones
Personas
habilidades y
competencias
Partes
interesadas
Ejecutivo de
dirección,
gerentes,
proveedores,
auditores,
clientes y
agencias
Clientes, socios
comerciales,
accionistas y
reguladores, el
Consejo, la
dirección,
empleados.
Miembros individuales
de la estructura,
entidades
organizativas, clientes,
proveedores y
reguladores.
Las partes
interesadas
cambian
conforme el
ciclo de vida,
planificadores
de la
información,
adquirentes de
la información,
usuarios de la
información.
Empresa entera
(gerentes, recursos
humanos),
reguladores, p. ej.
auditores externos o
entidades de
supervisión.
Departamentos de TI
internos, gerentes de
operaciones,
proveedores
outsourcing. Los
usuarios de los
servicios, los usuarios
del negocio, externos:
socios empresariales,
Clientes, proveedores.
directivos,
gerentes, socios,
formadores,
reclutadores,
desarrolladores,
técnicos
especialistas,
etc.
Metas
comunicar
las reglas
para el
apoyo a las
metas del
gobierno y
los valores
de la
empresa
Cambia el estado
o mejora a otros
procesos.
Apoyar las
metas
empresariales
principios operativos
bien definidos y
aplicación de buenas
prácticas. El resultado
debe ser buenas
actividades y
decisiones.
Deben Tener:
Calidad
intrínseca.
Calidad
contextual y de
representativid
ad,
Accesibilidad
y seguridad
Alcanzar una ética
organizativa en la
cual la empresa
quiere subsistir
Tener servicios y
niveles de servicio
más económicos para
la empresa
Buen nivel de
educación y
capacitación
para llevar a
cabo con éxito
las actividades
de la empresa
Ciclo de
vida
las políticas
tiene un
ciclo de vida
que apoya al
cumplimient
o de las
metas
definidas
define, crea,
opera, supervisa
y se
adapta/actualiza
o retira
Es creada y define un
propósito para su
existencia, existe y es
ajustada y, finalmente,
puede ser disuelta.
Planificar,
Diseño,
construir/adqui
rir,
Usar/operar,
supervisión y
desecho.
Comienza desde una
cultura existente, la
empresa puede
adaptarlos de
acuerdo a las
necesidades
Depende del marco de
tiempo de la
arquitectura,
arquitectura de
transición (el
desgaste)
A base del
conocimiento
actual se puede
planificar lo que
tiene que saber,
las habilidades
se desarrollan,
pueden ser
eliminada
7. Buenas
Practicas
Proporcion
a una
estructura
jerarquica,
gestiona
riesgos, se
actualiza,
Proporciona
requerimientos
para el gobierno y
gestion, Las
actividades
proporcionan el
cómo, el porqué y
el qué implementar
en las practicas, las
entradas y salidas
sostienen la
operación del
proceso
reuniones,
documentación y
reglas de
mantenimiento.
Toma de buenas
decisiones,
describe las
acciones
requeridas para
solucionar un
problema.
Atributos:
soporte físico,
canal de acceso a
la información,
el
idioma/formato,
identificador del
tipo de
información,
horizonte
temporal y grado
de detalle,
sentido en el
contexto
Comunicación de
los
comportamientos
deseados, brindar
incentivos,
Reglas y normas
proveen guía
sobre el
comportamiento
organizativo
deseado
Reutilización,
Simplicidad,
Agilidad
las diferentes
actividades
requieren
especificas
habilidades y
un cierto nivel,
ejemplo
gestión de la
información,
análisis del
negocio.
Relaciones
Reflejan la
cultura y
ética de la
empresa.
Los procesos
y actividades
ejecutan las
políticas.
Las
estructuras
organizativa
s pueden
definir e
implementar
políticas en
su ámbito.
Las políticas
también son
información.
Los procesos
necesitan y
producen
información,
Los procesos
necesitan estructuras
organizativas y roles
para operar,
proporcionan y
requieren
capacidades de
servicio
proporcionan,
necesitan, políticas
para asegurar su
implementación y
ejecución, la
culturales y
comportamiento
determinan la buena
ejecución de los
procesos.
La cultura y
comportamiento
determinan la
eficiencia y
efectividad de las
estructuras
organizativas,
tienen en cuenta la
competencia de sus
miembros, sus
propósitos son
guiados por el
marco de políticas,
necesita
información para
tomar decisiones(
producen
información,
salidas)
Los procesos
necesitan y
brindan
información, las
estructuras
organizativas
necesitan y
brindan
información, las
políticas,
principios y
marco de
referencia son
información.
Los procesos deben
tener un
comportamiento de
cumplimiento. Las
estructuras
organizativas deben
implementar sus
decisiones (se usa
incentivos).
Los principios y
políticas comunican
el comportamiento
deseado.
La información es
una de las
capacidades de
servicio y se ayuda
a través de procesos
para la entrega de
servicios internos y
externos. Se
construye una
cultura orientada al
servicio. las
entradas y salidas de
las prácticas y las
actividades de
gestión pueden
incluir las
capacidades de
servicio.
Los procesos
necesitan ciertas
habilidades para
tomar
decisiones en
las estructuras
organizativas.
Se enlaza a la
cultura, la ética
y la conducta a
través de las
habilidades de
comportamiento
.
La definición de
capacidades también es
información.
8. Capítulo 6 : Principio: Separar el gobierno de la gestión
El marco de trabajo COBIT tiene como objetivo crear valor a la empresa , para ellos tiene estructurado roles,
actividades y relaciones; este marco tiene una clara distinción entre gobierno y gestión que a continuación se
detallaran :
Gobierno (EFICIENTE Y EFICAZ) Gestión
Estable la dirección para alcanzar las metas
empresariales.
Ejecuta las direcciones para alcanzar las metas
empresariales.
Evaluar ,orientar y vigilar necesidades,
condiciones y opciones
Planificar ,construir ,ejecutar y supervisor
actividades alineadas a la dirección.
Interacciones
Catalizador Interacción Gobierno - Gestión
Procesos
Modelo de procesos que específica prácticas y actividades para cada
proceso , incluyendo también matriz RACI ( responsabilidades y roles)
Información
MP describe las entradas y salidas de los procesos basadas en prácticas a
otros procesos.
Estructuras
organizativas
Estructuras organizativas: composición y ámbito de decisiones que
establecen la orientación y decisiones y operaciones que las
implementan.
Principios ,políticas
y marcos
Establecer decisiones y ejecutar decisiones interactúan y se rigen a través
de principios, políticas y marcos.
Servicios
,infraestructura y
aplicaciones
El órgano de gobierno evalúa, establece y supervisa basado en
información proporcionada por las aplicaciones e infraestructura.
El modelo de referencia de procesos de COBIT 5:
DOMINIO PROCESOS
Evaluar ,orientar y supervisar GOBIERNO (EDM) 5
Alinear, Planificar y Organizar GESTION (APO)- Align, Plan and Organize 13
Construir, Adquirir e Implementar GESTION (BAI)- Build, Acquire and Implement)
10
Entregar, dar Servicio y Soporte GESTION (DSS)- Deliver, Service and Support 6
Supervisar ,Evaluar y valorar GESTION (MEA)-Monitor, Evaluate and Assess 3
CAPÍTULO 7: Implementación
COBIT no está pensado para que se cumpla al pie de la letra, sino como una guía para evitar problemas
comunes, explotar las buenas prácticas para así poder alcanzar las metas satisfactoriamente es decir cada
empresa de acuerdo a su contexto empresarial necesita diseñar su propio plan de implantación de acuerdo a
factores internos y externos, como (misión, visión, políticas y prácticas de gobierno, capacidad y recursos
disponibles, plan de negocio y perspectivas estratégicas)
Por lo tanto es muy importante entender el contexto para poder adaptar de forma adecuada el COBIT.
Puntos para la implementación con éxito:
Que la dirección proporcione la iniciativa y directrices para la iniciativa, así como un decidido
compromiso y apoyo.
9. Todas las partes deben apoyar en el gobierno y gestión.
Asegurar la comunicación efectiva y habilitación de los cambios necesarios.
Personalizar COBIT y otras prácticas para ajustarlos al entorno de la empresa.
Priorizar las mejoras más beneficiosas que sean más sencillas de implementar.
La mayoría de iniciativas relacionadas a las TI fracasan a menudo por una dirección, soporte y supervisión
inadecuados.
Los diagnósticos y valoraciones de COBIT, permite crear consenso y generar compromiso en todos los
niveles, para luego definir y asignar roles y responsabilidades.
Puntos débiles y eventos desencadenantes
Pérdida de datos y fallos en proyectos.
Fallos al mantener niveles de servicios acordados.
Incapacidad de cumplir con requerimientos regulatorios o contractuales.
Limitación por TI
Despilfarro de recursos, cancelación de proyectos por duplicidad o superposición entre iniciativas.
Insuficientes recursos de TI, personal con habilidades inadecuadas, agotados, insatisfechos.
Directivos reticentes (desconfiados) a implicarse con las TI.
Facilitando el cambio
El desconocimiento y la resistencia al cambio necesitan ser resueltas de forma adecuada (por ejemplo por
quién y de qué manera será comunicado la implementación del programa) para que haya un interés común en
adoptarlo.
Fases
1. Reconocimiento y aceptación de la necesidad de mejora. Identificar puntos débiles
2. Se define el alcance de la mejora de metas de la empresa con COBIT
3. Se establece un objetivo de mejora, con un análisis usando las directrices de COBIT
4. Planificar soluciones prácticas.
5. Mide, supervisa para asegurar que se mantiene la alineación con el negocio.
6. Supervisar si se ha conseguido los beneficios esperados.
7. Revisa el éxito global de la iniciativa.
Caso de Negocio
-Objetivos alineados con la estrategia y los propietarios asociados.
-Análisis de las deficiencias de capacidad (qué es lo que tengo y que es lo que no tengo)
-Costes de la TI y de negocio.
-Beneficios esperados.
-Riesgos inherentes en los puntos anteriores.
-Roles, responsabilidades y obligaciones.
-Como se supervisará la inversión y creación de valor
CAPÍTULO 8: MODELO DE CAPACIDAD DE LOS PROCESOS DE COBIT 5
Esté capítulo está relacionado con el catalizador “Proceso”. Se contempla 6 niveles de capacidad con 9
atributos de proceso dispersos en cada nivel según el ISO/IEC 15504.
1. Incompleto: El proceso no está implementado o no alcanza su objetivo.
2. Ejecutado: El proceso implementado alcanza su propósito
3. Gestionado: El proceso ejecutado está implantado de forma gestionada.
4. Establecido: El proceso gestionado está implementado mediante un proceso definido
5. Predecible: El proceso establecido ahora se ejecuta dentro de los límites establecidos
6. Optimizado: El proceso predecible es mejorado de forma continua.
10. Evaluación de la capacidad de procesos
Objetivo: Determinar la capacidad y el perfil de todos los procesos dentro del marco de la evaluación con la
finalidad de lograr su optimización.
Proceso de evaluación en COBIT 5
Evaluar la capacidad del proceso consiste en definir en qué nivel de logro está cada atributo de cada uno de
los procesos que proporciona Cobit 5:
N (No alcanzado), P (Parcialmente alcanzado), L (Ampliamente alcanzado), F (Completamente alcanzado) .
BIBLIOGRAFÍA:
http://www.isaca.org/COBIT/Documents/COBIT5-Framework-Spanish.pdf
http://www.scribd.com/doc/242249272/Simulador-CoBiT-5-t-xlsx
https://www.youtube.com/watch?v=fskJELjF3Z4
https://www.youtube.com/watch?v=z7Hi0yp2Q_0
https://www.youtube.com/watch?v=yQ0IPa79bHo
https://www.youtube.com/watch?v=Y8kqh9q3Jwg&list=PLrAWWpbaj-7JJO4XbM1v8UjsAB2urRYga
http://en.wikipedia.org/wiki/COBIT
http://en.wikipedia.org/wiki/ISACA
http://186.42.96.211:8080/jspui/bitstream/123456789/211/3/Tesis%20Zamora%20Edwin%20Patricio.pdf
http://dspace.ups.edu.ec/handle/123456789/2695
http://www.isaca.org/Groups/Professional-English/projectprogramportfolio-management-p3m/
Pages/ViewDiscussion.aspx?PostID=42