Cobit(R) 5 Fundamentos

(51) 9-8935-4789
proyectos_tic@jagi.pe
www.jagi.pe
COBIT® 5 Fundamentos
Mg. Ing. Jack Daniel Cáceres Meza, PMP
ITIL® EXPERT
Gerente de Proyectos

(51) 9-8935-4789
www.jagi.pe
2
Datos del expositor
Ingeniero Electrónico
• UNMSM
• Reg. CIP Nº 95664
• 34 años de vida
profesional
Experiencia
• Gestión de Proyectos /
Servicios / Seguridad de
información / Calidad
(www.jagi.pe)
• Mejora continua /
Normalización /
Cumplimiento normativo
/ Re-diseño de procesos
• Consultoría, gestión,
instrucción en las TIC
• Jefatura de centros de
cómputo – centros de
datos
• Planeamiento
estratégico de las TIC
• Auditoría informática y
de seguridad de
información
• Diseño e
implementación de
redes
LAN/WAN/WiFi/WIMAX,
VoIP
• Docencia universitaria,
ponencias, paneles,
capacitación
(www.jagitech.pe)
Certificaciones
• ITIL® EXPERT
• Project Management
Professional -PMP
• ISO/IEC20000
• Auditor ISO27001 (IRCA)
• Certified Integrator in
Secure Cloud Services
• ISO/IEC27002
• UNIX / LINUX
• Microsoft MCSE, MCP +
Internet
• CheckPoint Firewall-1
Otros estudios
• Maestría en Ingeniería
de Seguridad
Informática
• Maestría en Dirección
estratégica de las
telecomunicaciones
• Administración de
Empresas,
IDEA/Universidad
Ricardo Palma
• Proyectos de Mejora,
Holos TQC
• Diseño de centros de
datos
• Planeamiento
Estratégico de las
Tecnologías de
Información, ESAN,
Unisys Corp. (USA)

(51) 9-8935-4789
www.jagi.pe
Objetivos del curso
• COBIT® 5 ayuda a maximizar el valor de la información mediante la
incorporación de las últimas técnicas de Gobierno y Gestión de la empresa.
• Así, el curso busca proveer al interesado principios y prácticas mundialmente
aceptados así como herramientas analíticas y modelos para ayudar a
incrementar la confianza y el valor de sistemas de información alineados con los
objetivos del negocio.
• Por tanto, el curso está dirigido, pero no limitados a, los siguientes interesados:
• Ejecutivos de negocios
• Dueños de procesos de TI, responsables de la función de TI
• Responsables de riesgos y de implementar y asegurar controles, responsables de
evaluar y auditar los controles de TI, responsables del cumplimiento, aseguramiento y
control interno de TI, profesionales en aseguramiento de calidad de TI
• Proveedores de servicios de TI, prestadores de servicios de TI, terceros responsables de
apoyar la función de TI
• Usuarios de TI
• Cualquier interesado en el gobierno corporativo de TI y en la generación de valor para el
negocio.

(51) 9-8935-4789
www.jagi.pe
Metodología
• El método de transferencia de conocimiento tendrá un carácter
inductivo, lógico y motivador, intuitivo – visual, activo y flexible.
• Se usarán técnicas de exposición participativa, desarrollo de
trabajo de grupo aplicando los contenidos teóricos recibidos.
• Se analizarán casos donde se requiera proponer alternativas de
solución empleando el conocimiento recibido.
• En general:
• Desarrollo de mapas mentales y revisión de conceptos relacionadas a
preguntas tipo examen COBIT® 5 Fundamentos
• Consultas atendidas en las sesiones y/o por e-mail, durante todo el curso
(respuestas por las mañanas)
• Simulacro de examen tipo COBIT® 5 Fundamentos

(51) 9-8935-4789
www.jagi.pe
5
Sílabo resumen
SESIÓN CONTENIDO HORARIO
01
• Introducción a COBIT® 5
• Características de COBIT® 5
08:00 a 14:00 horas
02
• Principios de COBIT® 5
• Catalizadores de COBIT® 5
08:00 a 14:00 horas
03
• Introducción a la implementación
• Modelo de valoración de la capacidad de
los procesos
08:00 a 14:00 horas
04
• Propuesta de plan de estudio
• Tips
• Simulacro de examen
08:00 a 14:00 horas
La bibliografía oficial debe conseguirse en:
http://www.isaca.org/cobit/pages/default.aspx

(51) 9-8935-4789
www.jagi.pe
Antes de empezar:
algunas reglas básicas de convivencia
• Dentro del salón de clase
• No fumar, comer o beber
• No utilizar equipos individuales de audio o vídeo –a no ser que se empleen
para fines académicos
• Evitar ruidos molestos -apagar el teléfono móvil
• Evitar distracciones
• Fuera del salón de clase
• Evitar generar ruido
• Evitar generar distracciones
• Identificar previamente la logística local (servicios generales)
• Luego de iniciada la clase, no tocar la puerta y esperar a que el
docente les permita el ingreso: 5’, 15’, segunda hora
• Educación, respeto, orden …

(51) 9-8935-4789
www.jagi.pe
¿Dudas, Preguntas,
Consultas, Aportes?

(51) 9-8935-4789
www.jagi.pe
¿Dudas, Preguntas,
Consultas, Aportes?
Empecemos entonces

(51) 9-8935-4789
www.jagi.pe
9
Primero…
“Ningún viento es favorable para
quien no conoce el puerto al que
quiere arribar”
Séneca

(51) 9-8935-4789
www.jagi.pe
Información y tecnología
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
La Información es un recurso
clave para todas las empresas
La Información se crea, usa,
retiene, publica y destruye
La tecnología juega un papel
clave en todas esas acciones
La tecnología penetra todo los aspectos
de la vida personal y los negocios

(51) 9-8935-4789
www.jagi.pe
La tecnología ha
jugado un papel
clave en el éxito
de las empresas y,
más que nunca,
los líderes de TI
tienen la presión
de ayudar a
generar ingresos
y brindar una
ventaja
competitiva.

(51) 9-8935-4789
www.jagi.pe
¿Cómo pueden darse estos
beneficios para crear valor
para los interesados?
TI 

(51) 9-8935-4789
www.jagi.pe
13
Si la junta directiva se preocupa de…
Fuente Deloite Estudio 180 Empresas España 2012

(51) 9-8935-4789
www.jagi.pe
14
¿Valor para los interesados?
• La entrega de valor requiere
un buen gobierno y gestión de
la información y tecnología
• Empresas, ejecutivos y
consejos de administración
deben aceptar que TI es tan
importante como cualquier otra
parte del negocio
• Los requisitos externos del
cumplimiento legal, regulatorio
y contractual relacionadas con
el uso de la información y la
tecnología van en aumento,
amenazando el valor si no se
cumplen

(51) 9-8935-4789
www.jagi.pe
15
Gobierno y Gestión
Gobierno
• Asegura el cumplimiento
de objetivos empresariales
• Evalúa necesidades,
condiciones y opciones de
los interesados
• Dirige a través de la
priorización y toma de
decisiones
• Supervisa (Monitorea) el
desempeño y cumplimiento
contra la dirección y los
objetivos acordados
• Ciclo EDM
(Evaluate-Direct-Monitor)
Gestión
• Planea, Construye,
Opera y Supervisa
(Monitorea):
• Las actividades
fijadas y acordadas
por el cuerpo de
gobierno
• Ciclo PBRM
(Plan-Build-Run-
Monitor)

(51) 9-8935-4789
www.jagi.pe
No se puede gestionar lo que no se comunica
No se puede comunicar lo que no se mide
No se puede medir lo que no se define
No se puede definir lo que no se entiende

(51) 9-8935-4789
www.jagi.pe
17
Entonces se necesitan estrategias.
Pero, ¿quién las hace?
Fuente Deloite Estudio 180 Empresas España 2012

(51) 9-8935-4789
www.jagi.pe
¿Y sobre qué se apoyan estas estrategias?
en la tecnología claro; entonces…
El marco de Gobierno de TI deberá ayudar a la alta dirección a saber si con
la información administrada es posible garantizar el logro de objetivos, ser
flexible, tener un buen manejo de riesgos y reconocer apropiadamente sus
oportunidades actuando acorde a ellas.
FUENTE IT GOVERNANCE INSTITUTE, 2007

(51) 9-8935-4789
www.jagi.pe
19
Suficiente introducción…
“Ningún viento es favorable para
quien no conoce el puerto al que
quiere arribar”
Séneca

(51) 9-8935-4789
www.jagi.pe
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación

(51) 9-8935-4789
www.jagi.pe
¿Hemos experimentado algo de esto?
Los proyectos de TI se justifican en
lenguaje técnico, cuesta entender y
justificar sus beneficios
La alta gerencia recibe métricas de TI
que no logra entender en términos de
negocio
TI se mira como “caja negra”, no se
logra determinar el valor
estratégico que entrega
Se desarrollan/compran sistemas de
información, que no entregan los
beneficios esperados
Los contratos con las software
factory se encarecen, pero la
disponibilidad es baja
Los contratos de servicios TI son
administrados por personas que no
saben de administración
TI se entera a última hora de que
habrá una fusión/cambios
estructurales, o que la adopción de
estándares, normas y otros le traerá
serios cambios radicales
Los usuarios entienden que quien
debe proteger la información es TI, no
ellos. “Los riesgos sólo vienen de los
hackers”
Cada nuevo marco que se quiere
implementar tiene su propia
terminología
Todo se consolida en Excel
Aquí falta Gobierno de TI

(51) 9-8935-4789
www.jagi.pe
22
Pero…
• A fin de poder definir al Gobierno de
TI, debemos iniciar por definir al
Gobierno Corporativo:
• Conjunto de responsabilidades y
prácticas ejecutadas por la junta
directiva y la administración con el fin
de proveer dirección estratégica.
(ISACA, 2010)
• Pero, ¿de qué manera se provee una
correcta dirección estratégica para la
organización?
• Garantizando que los objetivos sean
alcanzados
• Estableciendo que los riesgos son
administrados apropiadamente
• Verificando que los recursos de la
empresa son usados de manera
responsable
• Dirección y control –
hacia donde va TI
para apoyar el
negocio y asegurar
que los objetivos son
alcanzables
• Responsabilidad
• Rendición de cuentas
• Actividades

(51) 9-8935-4789
www.jagi.pe
23
Porque las organizaciones deben
…Tratar con la cantidad de información,
que ha crecido significantemente en el
tiempo.
Proporcionar orientación adicional en el
ámbito de la innovación y las
tecnologías emergentes.
Cubrir completamente las
responsabilidades funcionales de TI y
del negocio, y todos los aspectos que
llevan a la gestión y el gobierno eficaz
de las TI de la empresa, tales como
estructuras organizativas, políticas y
cultura, además de los procesos.
Enlazar y, cuando sea relevante,
alinearse con otros marcos y estándares
principales existentes en el mercado. FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS

(51) 9-8935-4789
www.jagi.pe
El marco COBIT® 5 es de carácter genérico y útil
para las empresas de todos los tamaños, ya sea
comercial, sin fines de lucro o del sector
público
Entra COBIT® 5 en la ecuación
• NO es un estándar o una metodología
• Es un compendio de mejores prácticas aceptadas internacionalmente
• Se enfoca en el control más que en la ejecución
• Puede implementarse acorde a las necesidades

(51) 9-8935-4789
www.jagi.pe
25
¿Inquietudes o exigencias de TI?

(51) 9-8935-4789
www.jagi.pe
El marco COBIT® 5
Ayuda a crear valor óptimo de TI por
mantener un equilibrio entre la
obtención de beneficios y la
optimización de los niveles de riesgo y el
uso de los recursos
Permite que la información y la
tecnología relacionada sean gobernadas
y gestionadas de manera integral para
toda la empresa, abarcando de principio
a fin el negocio y áreas funcionales,
teniendo en cuenta los intereses de las
partes interesadas, internas y externas

(51) 9-8935-4789
www.jagi.pe
GRC
• El ejercicio de la autoridad, control,
gobierno, acuerdo.Gobierno
• Peligro, riesgo de pérdida, daño o
destrucción (el acto o arte de la gestión,
la manera de tratar, dirigir, seguir
adelante, o utilizar, con un propósito,
conducta, administración, dirección,
control)
Riesgo
(Administración)
• El acto de cumplimiento, un
rendimiento, en cuanto a su deseo,
demanda o propuesta; concesión;
presentación
Cumplimiento

(51) 9-8935-4789
www.jagi.pe
¿Qué beneficio brindan la información
y la tecnología a las empresas?
Mantener la calidad de la información para
soportar decisiones de negocio
Generar valor para el negocio desde las
inversiones posibilitadas por TI
Lograr metas estratégicas y mejoras al
negocio mediante el uso eficaz
(excelencia operativa) e innovador de TI
Mantener los riesgos de TI a un nivel
aceptable
Optimizar el costo de los servicios entregados
por TI (y de la tecnología habilitadora)
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados

(51) 9-8935-4789
www.jagi.pe
Así, entender COBIT® 5 permite…
Comprender los niveles riesgos asociados a TI y
tomar decisiones informadas para reducir los
incidentes de seguridad de la información.
Suministrar esta comprensión y la conciencia de
los riesgo para mejorar la prevención, detección y
recuperación dentro de una organización.
Proporcionar herramientas para que las
organizaciones mantengan información de
alta calidad para apoyar las decisiones de
negocios.
Ayudar a una organización a cumplir con los
requisitos reglamentarios y legales o
gubernamentales.
Entender el enfoque COBIT de la gobernanza y su
relación con otras mejores prácticas de TI.

(51) 9-8935-4789
www.jagi.pe
Así, implementar COBIT® 5 permite…
Lograr los objetivos estratégicos y obtener los
beneficios de negocio a través del uso efectivo e
innovador de TI.
Apoyar el cumplimiento de las leyes,
reglamentos, acuerdos contractuales y políticas y
ganar ventaja competitiva sobre otras
organizaciones.
Reducir la complejidad y aumentar la
rentabilidad debido a una mejor y más fácil
integración de las normas de seguridad de
información, buenas prácticas y / o directrices
sectoriales específicas que resultan en la
excelencia operativa a través de una aplicación
fiable, eficiente de la tecnología.
Mejora de la integración de seguridad de la
información en la empresa, lo que resulta en una
mayor satisfacción de los usuarios con las
disposiciones de seguridad de la información y los
resultados FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS

(51) 9-8935-4789
www.jagi.pe
Algunas estadísticas
• 25% de mejora en la satisfacción de los clientes
• 56% de mejora en la gestión de riesgos
• 15% de mejora en la cyber seguridad
• 14% de protección de la reputación
• 28% de reducción de costos de TI

(51) 9-8935-4789
www.jagi.pe
32
Evolución a un marco empresarial
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Auditoría
COBIT1
2005/720001998
EvolucióndelAlcance
1996 2012
Val IT 2.0
(2008)
Risk IT
(2009)

(51) 9-8935-4789
www.jagi.pe
33
Cubo de COBIT
X COBIT 4.1 COBIT 5
Efectividad Utilidad
Eficiencia Usabilidad
Integridad Libre de error
Confiabilidad Credibilidad
Disponibilidad Accesibilidad
Confidencialidad Seguridad
Cumplimiento Conformidad

(51) 9-8935-4789
www.jagi.pe
34
Familia de productos COBIT® 5

(51) 9-8935-4789
www.jagi.pe
35
Lo que la gente dice conocer de
Entendámonos

(51) 9-8935-4789
www.jagi.pe
36
Lo que la gente cree que es CobiT
Entendámonos

(51) 9-8935-4789
www.jagi.pe
37
Lo que la gente ve en CobiT
Entendámonos

(51) 9-8935-4789
www.jagi.pe
38
Lo que realmente es CobiT
Entendámonos

(51) 9-8935-4789
www.jagi.pe
39
Estructura COBIT
Procesos de TI
Requerimientos del
negocio
Declaraciones de control
Prácticas de control
El control
de los
Que
satisfacen los
Es facilitado
por
Que
consideran

(51) 9-8935-4789
www.jagi.pe
40
COBIT aporta al Gobierno corporativo…
Integrando tecnología al Gobierno
Corporativo
Definiendo cuál es el rol del directorio en el
Gobierno de Tecnología
Separando claramente las actividades de
Gestión de las de Gobierno
A comprender que Negocio y Tecnología
están fusionadas
Vinculando cada inversión en Tecnología
con beneficios, recursos, riesgos, y
transparencia

(51) 9-8935-4789
www.jagi.pe
41
COBIT aporta al Gobierno corporativo…
¿Estamos haciendo lo correcto?
• La pregunta estratégica:
¿Está la inversión:
• De acuerdo con nuestra visión
• Coherente con nuestros objetivos de negocio
• Contribuyendo a nuestros objetivos
estratégicos
• Proporcionando valor a un costo económico y
niveles de riesgo aceptable?
¿Estamos obteniendo los beneficios?
• La pregunta de valor:
¿Tenemos:
• Un conocimiento claro y compartido de los
beneficios esperados
• Una responsabilidad clara para realizar los
beneficios
• Una métrica relevante
• Un proceso eficaz de realización de beneficios?
¿Lo estamos logrando bien?
• La pregunta de arquitectura:
¿Está la inversión:
• De acuerdo con nuestra arquitectura
• Coherente con nuestros principios
arquitectónicos
• Contribuyendo a la población de nuestra
arquitectura
• En línea con otras iniciativas?
¿Lo estamos haciendo correctamente?
• La pregunta de entrega:
¿Tenemos:
• Procesos eficaces y disciplinados de dirección,
entrega y gestión de cambios
• Recursos técnicos y de negocio competentes y
disponibles para entregar:
• Las capacidades necesarias
• Los cambios de organización necesarios para
potenciar las capacidades?
COBIT
DECISIONES

(51) 9-8935-4789
www.jagi.pe
En resumen…
Es un marco de gestión cuyos principios rectores y
procesos facilitadores optimizan la información y la
inversión en tecnología y el uso de TI para el
beneficio de las partes interesadas

(51) 9-8935-4789
www.jagi.pe
CONTENIDO
• Motivadores
• Beneficios
• Evolución
• Introducción a la Implementación en COBIT® 5

(51) 9-8935-4789
www.jagi.pe
44
Principios de COBIT® 5
Conductores de valor para los Interesados

(51) 9-8935-4789
www.jagi.pe
45
1. Satisfacer las necesidades de
las partes interesadas
• Las Organizaciones tienen
muchas partes interesadas y
“crear valor” significa cosas
diferentes – a veces
conflictivas – para cada una
de ellas.
• En el Gobierno se trata de
negociar y decidir entre los
diversos intereses de
beneficio de las diferentes
partes interesadas.

(51) 9-8935-4789
www.jagi.pe
1. Satisfacer las necesidades de
las partes interesadas
El sistema de Gobierno deberá
considerar a todas las partes
interesadas al tomar decisiones
con respecto a la evaluación de
riesgos, los beneficios y el manejo
de recursos. Para cada decisión
se puede, y se
debe, hacer las
siguientes
preguntas:
• ¿Quién recibe los
beneficios?
• ¿Quién asume el
riesgo?
• ¿Qué recursos se
necesitan?

(51) 9-8935-4789
www.jagi.pe
47
Cascada de metas de COBIT® 5
• Las necesidades de las Partes Interesadas
deben ser transformadas en una estrategia
accionable para la Organización.
• Las metas en cascada de COBIT 5
traducen las necesidades de las Partes
Interesadas en metas específicas,
accionables y personalizadas dentro del
contexto de la Organización, de las metas
relacionadas con la TI y de las metas
habilitadoras.
desencadenan
Desarrolladas utilizando
dimensiones del BSC/CMI
¿Resultados?
Los catalizadores incluyen procesos, estructuras
organizativas e información, y para cada catalizador
puede definirse un conjunto de metas relevantes en
apoyo de las metas relacionadas con la TI
Necesidades de las Partes
Interesadas (Socios, Accionistas,
etc.) y Metas Empresariales
Mapeo Detallado de las Metas de
Empresa y las Metas
Relacionadas con las TI
Mapeo Detallado de las Metas
Relacionadas con las TI y los
Procesos Relacionados con las TI
Metas Corporativas de COBIT 5
Metas relacionadas con las TI

(51) 9-8935-4789
www.jagi.pe
Cascada de metas de COBIT® 5
Beneficios
• Define objetivos y
metas relevantes y
tangibles a varios
niveles de
responsabilidad.
• Filtra la base de
conocimiento de
COBIT® 5, sobre la
base de las metas
corporativas, para
extraer las guías
relevantes a incluir
en proyectos
específicos de
implementación,
mejora o
aseguramiento.
Consideraciones
• Cada empresa
establece sus
objetivos con
distintas
prioridades, y estas
prioridades pueden
cambiar con el
tiempo.
• La asignación de
relevancia se
acercará a un
continuo de
diversos grados de
correspondencia.
Personalización
• Cada empresa debe
construir su propia
cascada de metas,
compararla con
COBIT y luego
refinarla.

(51) 9-8935-4789
www.jagi.pe
49
2. Cubrir la compañía extremo-a-extremo
(de forma integral)
• Cubre todas las
funciones y procesos
necesarios para
gobernar y gestionar
la información
corporativa y las
tecnologías
relacionadas donde
quiera que esa
información pueda
ser procesada.
• Dado este alcance
corporativo amplio,
COBIT® 5 contempla
todos los servicios TI
internos y externos
relevantes, así como
los procesos de
negocio internos y
externos.
• La información es
una de las categorías
de catalizadores de
COBIT.
• El modelo mediante
el que COBIT® 5
define los
catalizadores
permite a cada grupo
de interés definir
requisitos
exhaustivos y
completos para la
información y el ciclo
de vida de
procesamiento de la
información,
conectando de este
modo el negocio y su
necesidad de una
información
adecuada y la
función TI, y
soportando el
negocio y el enfoque
de contexto.Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados

(51) 9-8935-4789
www.jagi.pe
50
•Recursos organizativos para el gobierno, tales como marcos de referencia, principios,
estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son
dirigidas y los objetivos pueden ser alcanzados.
•Recursos corporativos – por ejemplo, capacidades de servicios (infraestructura TI,
aplicaciones, etc.), personas e información.
Catalizadores de gobierno
•Puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc.
•Es esencial definir bien este alcance del sistema de gobierno.
Alcance de gobierno
•Definen quién está involucrado en el gobierno, cómo se involucran, lo que hacen y cómo
interactúan, dentro del alcance de cualquier sistema de gobierno.
Roles, actividades y relaciones
Enfoque de gobierno

(51) 9-8935-4789
www.jagi.pe
3. Aplicar un marco de referencia
único integrado
COBIT® 5 está
alineado con
los últimos
marcos y
normas
relevantes
usados por las
organizaciones
Corporativo COSO, COSO ERM,
ISO/IEC 9000,
ISO/IEC 31000
Relacionado con
TI
ISO/IEC 38500, ITIL®,
la serie ISO/IEC 27000,
TOGAF,
PMBOK/PRINCE2,
CMMI
Entre otros

(51) 9-8935-4789
www.jagi.pe
• Un marco general
único sirve como una
fuente consistente e
integrada de guía en
un lenguaje común,
no-técnico y
tecnológicamente
agnóstico.
• Proporciona una
arquitectura simple
para estructurar los
materiales de guía y
producir un conjunto
consistente.
• Integra todo el
conocimiento
disperso previamente
en los diferentes
marcos de ISACA.
• Poblar una base de
conocimiento COBIT® 5 que
contiene todas las guías y
contenido producido hasta
ahora y que proporcionará
una estructura para
contenidos futuros
adicionales.
• Proporciona una referencia
base de buenas prácticas
exhaustiva y sólida.

(51) 9-8935-4789
www.jagi.pe
4. Habilitar/facilitar (hacer posible)
un enfoque holístico
Catalizadores
Factores que,
individual y
colectivamente,
influyen sobre
si algo
funcionará – en
este caso, el
gobierno y la
gestión de la
empresa TI.
Son guiados por la
cascada de metas, es
decir, objetivos de alto
nivel relacionados con TI
definen lo que los
diferentes catalizadores
deberían conseguir.
Algunos son también
recursos corporativos
que también
necesitan ser
gestionados y
gobernados:
• La información, que
necesita ser gestionada
como un recurso.
• Servicios,
infraestructura y
aplicaciones.
• Personas, habilidades y
competencias.

(51) 9-8935-4789
www.jagi.pe
Gobierno y Gestión Sistémicos Mediante
Catalizadores Interconectados
Cada catalizador
necesita del
resultado de otros
catalizadores para
ser completamente
efectivo, por
ejemplo, los
procesos necesitan
información, las
estructuras
organizativas
necesitan
habilidades y
comportamiento.
Cada catalizador
proporciona una
salida para beneficio
de otros
catalizadores, por
ejemplo, los
procesos
proporcionan
información,
habilidades y el
comportamiento
hace los procesos
eficientes.
Para una buen toma de decisiones

(51) 9-8935-4789
www.jagi.pe
Breve descripción de los catalizadores
Principios,
Políticas y
Marcos
• Son los vehículos para traducir el comportamiento
deseado en una orientación práctica para la
administración diaria.
Procesos
• Describen una serie organizada de prácticas y
actividades para lograr determinados objetivos y
producir una serie de resultados como apoyo al logro
de las metas globales relacionadas con la TI.
Estructuras
Organizativas
• Constituyen las entidades claves para la toma de
decisiones en una organización.
Cultura, Ética y
Comportamiento
• De los individuos así como de la organización; se
subestima frecuentemente como factor de éxito en
las actividades de gobierno y administración.

(51) 9-8935-4789
www.jagi.pe
Breve descripción de los catalizadores
Información
• Se encuentra presente en todo el ambiente de
cualquier organización; o sea se trata de toda la
información producida y usada por la
Organización.
• La información es requerida para mantener la
organización andando y bien gobernada, pero a
nivel operativo, la información frecuentemente es
el producto clave de la organización en si.
Servicios,
Infraestructura
y Aplicaciones
• Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y
procesamiento de tecnología de la información a
la organización.
Personas,
Habilidades y
Competencias
• Están vinculadas con las personas y son
requeridas para completar exitosamente todas
las actividades y para tomar las decisiones
correctas, así como para llevar a cabo las
acciones correctivas.

(51) 9-8935-4789
www.jagi.pe
Dimensiones (comunes) de los
Catalizadores de COBIT® 5
Conjunto de
dimensiones
comunes
(genéricos)
Proporcionan una manera común,
simple y estructurada de tratar
con los catalizadores
Permiten a una entidad manejar
sus complejas interacciones
Facilitan resultados exitosos de los
catalizadores

(51) 9-8935-4789
www.jagi.pe
58
Dimensiones comunes

(51) 9-8935-4789
www.jagi.pe
59
Buenas prácticas
Buenas prácticas significa que se está de
acuerdo, en general, en que la aplicación de
estas habilidades, herramientas y técnicas
puede aumentar las posibilidades de éxito
de una amplia variedad de proyectos.
Buenas prácticas no significa que el
conocimiento descrito deba aplicarse
siempre de la misma manera en todos los
proyectos; la organización y/o el equipo de
dirección del proyecto son responsables de
establecer lo que es apropiado para un
proyecto determinado.

(51) 9-8935-4789
www.jagi.pe
60
5. Separar el Gobierno de la
Gestión
Gobierno
• Asegura que se evalúan las
necesidades, condiciones y
opciones de las partes
interesadas para determinar que
se alcanzan las metas
corporativas equilibradas y
acordadas; estableciendo la
dirección a través de la
priorización y la toma de
decisiones; y midiendo el
rendimiento y el cumplimiento
respecto a la dirección y metas
acordadas.
• En la mayoría de las empresas, el
gobierno es responsabilidad del
consejo de administración bajo
la dirección de su presidente.
Gestión
• La gestión planifica, construye,
ejecuta y controla actividades
alineadas con la dirección
establecida por el cuerpo de
gobierno para alcanzar las metas
empresariales.
• En la mayoría de las empresas, la
gestión es responsabilidad de la
dirección ejecutiva bajo la
dirección del CEO.
La posición de COBIT® 5 sobre esta fundamental
distinción entre gobierno y gestión es:

(51) 9-8935-4789
www.jagi.pe
61
Modelo de Referencia de
Procesos de COBIT® 5
Una empresa puede
organizar sus procesos
como crea conveniente,
siempre y cuando las metas
de gobierno y gestión
queden cubiertas.
EDM
PBRM

(51) 9-8935-4789
www.jagi.pe
37 procesos de
gobierno y gestión

(51) 9-8935-4789
www.jagi.pe
Habiltiadores/Catalizadores COBIT® 5

(51) 9-8935-4789
www.jagi.pe
Categorías de catalizadores
Son el vehículo para traducir el comportamiento deseado en guías prácticas
para la gestión del día a día.
Principios, políticas y
marcos de referencia
Describen un conjunto organizado de prácticas y actividades para alcanzar
ciertos objetivos y producir un conjunto de resultados que soporten las
metas generales relacionadas con TI.
Procesos
Son las entidades de toma de decisiones clave en una organización.
Estructuras
organizativas
De los individuos y de la empresa son muy a menudo subestimados como
factor de éxito en las actividades de gobierno y gestión.
Cultura, ética y
comportamiento
Impregna toda la organización e incluye toda la información producida y
utilizada por la empresa. A nivel operativo, la información es muy a
menudo el producto clave de la empresa en sí misma.
Información
Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la
empresa, servicios y tecnologías de procesamiento de la información.
Servicios,
infraestructuras y
aplicaciones
Están relacionadas con las personas y son necesarias para poder completar
de manera satisfactoria todas las actividades y para la correcta toma de
decisiones y de acciones correctivas.
Las personas,
habilidades y
competencias FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS

(51) 9-8935-4789
www.jagi.pe
66
Dimensiones comunes
Proporcionan una manera
común, simple y
estructurada de tratar con
los catalizadores
Las
empresas
esperan
resultados
positivos de
la aplicación
y uso de los
catalizadores

(51) 9-8935-4789
www.jagi.pe
67
Partes interesadas
Participantes que juegan un papel
activo y/o tienen un interés en el mismo.

(51) 9-8935-4789
www.jagi.pe
68
Partes interesadas
Todas las cuestiones mencionadas se
pueden relacionar con las metas
corporativas y servir como entradas
a la cascada de metas, lo que permite que
puedan ser resueltas con efectividad.
Las necesidades de las partes
interesadas se traducen en
metas para la empresa, las
cuales se traducen, a su vez, en
metas TI para ésta.

(51) 9-8935-4789
www.jagi.pe
69
Se pueden definir en términos de:Las metas
•Resultados esperados del catalizador
•Aplicación u operativa del propio catalizador
Calidad IntrínsecaCategoría:
•Medida en la que los catalizadores trabajan de forma precisa, objetiva y proporcionan
unos resultados precisos, objetivos y de confianza.
Calidad ContextualCategoría:
•Medida en la que los catalizadores y sus resultados, en el contexto en el que operan,
se ajustan a un propósito (los resultados deberían ser relevantes, completos, estar
actualizados, ser apropiados, consistentes, comprensibles y fáciles de usar).
Accesibilidad y SeguridadCategoría:
•Medida en la que los catalizadores y sus resultados son accesibles y están protegidos:
•Los catalizadores están disponibles cuando, y si, se necesitan.
•Sus resultados están protegidos, es decir, el acceso está restringido a quiénes están
autorizados y los necesitan.

(51) 9-8935-4789
www.jagi.pe
70
Algunas partes interesadas definen y
establecen las políticas mientras que las otras
tienen que alinearse y cumplir con ellas.
Los principios, políticas y marcos de referencia son los instrumentos para comunicar
las reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los
define el Consejo y el comité ejecutivo de dirección.
Los principios han de ser:
• Limitados en número
• Redactados en un lenguaje sencillo, expresando de la forma más clara posible, los
valores fundamentales de la empresa.

(51) 9-8935-4789
www.jagi.pe
71
Las políticas tienen un ciclo de vida que ha de apoyar la consecución
de las metas definidas. Los marcos de referencias son clave porque
proporcionan la estructura para definir una directriz coherente
• Las buenas prácticas requieren que las políticas formen parte del marco de
gobierno y de gestión general, proporcionando una estructura (jerárquica) a la que
deberían ceñirse todas las políticas y actuando de enlace con los principios
subyacentes.
• Las políticas deberían estar alineadas con el umbral de riesgo de la empresa.
• Las políticas necesitan ser revalidadas y/o actualizadas a intervalos regulares.

(51) 9-8935-4789
www.jagi.pe
72
Las partes interesadas y sus
niveles de responsabilidad están
documentadas en las matrices
RACI.
Las métricas se pueden definir como ‘una
entidad cuantificable que permite medir la
consecución de las metas de un proceso. Las
métricas deberían ser – específicas,
medibles, practicables (permitan tomar
decisiones), relevantes y oportunas–
(SMART)

(51) 9-8935-4789
www.jagi.pe
73
Modelo RACI COBIT® 5

(51) 9-8935-4789
www.jagi.pe
74
Un estructura organizativa tiene un ciclo de
vida. Es creada, existe y es ajustada y,
finalmente, puede ser disuelta. Durante su
creación, se debe definir un mandato –una
razón y un propósito para su existencia.

(51) 9-8935-4789
www.jagi.pe
75
Se pueden
distinguir
varias
buenas
prácticas
para las
estructuras
organizativa
s como:
Principios
operativos
Las modalidades prácticas respecto a
cómo la estructura operará, como
frecuencia de reuniones, documentación
y reglas de mantenimiento.
Composición Las estructuras tienen miembros, los
cuales son partes interesadas internas
o externas.
Ámbito de control Los límites de los derechos de
decisión de la estructura organizativa.
Niveles de
autorización/
derechos de decisión
Las decisiones que la estructura está
autorizada a tomar.
Delegación de
autoridad
La estructura puede delegar (un
subconjunto de) sus derechos de
decisión a otras estructuras
dependientes que le reportan.
Procedimiento de
escalado
La ruta de escalado para una
estructura organizativa describe las
acciones requeridas en caso de
problemas en la toma de decisiones.

(51) 9-8935-4789
www.jagi.pe
Conjunto de conductas individuales
y colectivas dentro de una empresa
Ética organizativa, éticas individuales,
comportamientos individuales
Una empresa puede identificar cambios necesarios y
trabajar orientada hacia su implementación.

(51) 9-8935-4789
www.jagi.pe
El alcance del catalizador información
se refiere principalmente a la fase de
“información” dentro del ciclo de la
información, pero también se cubren
los aspectos de datos y conocimientos
en COBIT® 5.

(51) 9-8935-4789
www.jagi.pe
• Las inversiones en información y tecnologías relacionadas se basan
en los casos de negocio, que incluyen análisis costo-beneficio.
• El costo y beneficio no se refiere sólo a factores tangibles y medibles,
sino que también tiene en cuenta factores intangibles tales como la
ventaja competitiva, la satisfacción del cliente y la incertidumbre de la
tecnología.
• Sólo cuando se aplica o se utiliza el recurso de la información es
cuando una empresa genera beneficios de la misma, por lo que el valor
de la información está determinado únicamente a través de su uso
(internamente o mediante su venta), ya que la información no tiene
valor intrínseco.
• Es sólo cuando se pone la información en acción cuando se puede
generar ese valor.

(51) 9-8935-4789
www.jagi.pe
79
El grado en que los valores de los datos están en
conformidad con los valores reales o verdaderos.
Calidad
intrínseca
• Precisión El grado en que la información es correcta y confiable
• Objetividad El grado en que la información es objetiva, sin prejuicios e
imparcial
• Credibilidad El grado en que la información es considerada como
verdadera y creíble
• Reputación El grado en que la información está altamente
considerada en términos de su origen o contenido
Las metas para la información están divididas
en tres sub-dimensiones de calidad:

(51) 9-8935-4789
www.jagi.pe
80
El grado en que la información es aplicable a la
tarea del usuario de la información y es
presentada en una manera clara e inteligible,
reconociendo que la calidad de la información
depende del contexto de su uso.
Calidad contextual
y de
representatividad
• Relevancia: El grado en que la información es aplicable y útil para la tarea a realizar
• Completitud: El grado en que la información no tiene carencias y es de la suficiente
profundidad y amplitud para la tarea a realizar
• Vigencia: El grado en que la información está lo suficientemente actualizada para la tarea
a realizar
• La cantidad apropiada de información: El grado en que el volumen de información es
adecuado para la tarea a realizar
• Representación concisa: El grado en que la información se representa de forma compacta
• Representación consistente: El grado en que la información se presenta en el mismo
formato
• Interpretabilidad: El grado en que la información está expresada en los idiomas, símbolos y
unidades apropiados, con definiciones claras
• Comprensibilidad: El grado en que la información sea fácil de comprender
• Facilidad de manipulación: El grado en que la información es fácil de manipular y de
aplicar a diferentes tareas

(51) 9-8935-4789
www.jagi.pe
81
El grado en que la información está disponible o que
puede obtenerse.
Accesibilidad
y seguridad:
•Disponibilidad/ oportunidad: El grado en que la información está disponible
cuando se requiera, o que es rápida y fácilmente recuperable
•Acceso restringido: El grado en que el acceso a la información se restringe
adecuadamente a las partes autorizadas

(51) 9-8935-4789
www.jagi.pe
82
Las metas de la capacidad de nivel de servicio se
expresan en términos de servicio — aplicaciones,
infraestructura, tecnología — y de niveles de servicio,
teniendo en cuenta que los servicios y niveles de
servicio son más económicos para la empresa.
Las capacidades de servicio en el futuro o en proyecto se
describen normalmente mediante una arquitectura objetivo.
Dicha arquitectura cubre los bloques constituyentes, tales
como futuras aplicaciones y el modelo de infraestructura
objetivo y también describe los vínculos y las relaciones entre
estos bloques de construcción.

(51) 9-8935-4789
www.jagi.pe
83
Principios de arquitectura
• Los componentes comunes de la arquitectura deberían ser utilizados en el
diseño e implementación de soluciones como parte de las arquitecturas
objetivo o de transición.
Reutilización
• Las soluciones deberían ser adquiridas a menos que exista una razón para
aprobar su desarrollo interno.
Comprar frente a construir
• La arquitectura de la empresa debería ser diseñada y mantenida para ser tan
simple como sea posible sin dejar de cumplir con los requisitos de la
empresa.
Simplicidad
• La arquitectura de la empresa debería incorporar agilidad para satisfacer las
cambiantes necesidades de negocio de una manera eficaz y eficiente.
Agilidad
• La arquitectura de la empresa debería aprovechar los estándares abiertos de
la industria.
Apertura

(51) 9-8935-4789
www.jagi.pe
84

(51) 9-8935-4789
www.jagi.pe
85

(51) 9-8935-4789
www.jagi.pe
CONTENIDO
• Motivadores
• Beneficios
• Evolución
• Introducción a la implementación en COBIT® 5

(51) 9-8935-4789
www.jagi.pe
87
Governance of Enterprise IT (GEIT)
• Actualmente la GEIT (Gobierno
corporativo de TI) se basa en 3
pilares:
• Garantizar la realización de
beneficios
• Optimizar los recursos
• Optimizar Riesgos
• Esta visión integral de las
iniciativas de TI asegura que
todos los proyectos de TI
aprobados traerá un poco de
valor a la empresa, a un costo
aceptable y bajo riesgos
comprendidos y aceptados con
un ROI conocido (Retorno sobre
la Inversión) o un VOI estimado
(Valor sobre la inversión).
• Las iniciativas GEIT deben tomar
una visión equilibrada y holística
de las cinco áreas de interés de
GEIT:
• Alineación estratégica
• El riesgo de la gestión
• La entrega de valor
• La gestión de recursos
• La medición del desempeño

(51) 9-8935-4789
www.jagi.pe
88
Algunas reflexiones…
• Podemos obtener un valor
óptimo aprovechando
COBIT como marco para
construir sobre las
iniciativas GEIT solo si es
adoptado y adaptado de
manera eficaz para
ajustarse al entorno único
de cada empresa.
• Cada enfoque de
implementación también
necesitará resolver
desafíos específicos,
incluyendo la gestión de
cambios a la cultura y el
comportamiento.

(51) 9-8935-4789
www.jagi.pe
Usualmente padecemos de… (pain points)

(51) 9-8935-4789
www.jagi.pe

(51) 9-8935-4789
www.jagi.pe
Veamos…
Así, esta parte tratará el tema
de implementación desde un
punto de vista de alto nivel
ISACA
proporciona
amplias y
prácticas guías
de
implementación
en su publicación
COBIT 5
Implementación,
que está basada
en un ciclo de
vida de mejora
continua.
Pero… no está
pensada con un
enfoque prescriptivo
ni como una
solución completa,
sino más bien como
una guía para evitar
los obstáculos más
comunes,
aprovechar las
mejores prácticas y
ayudar en la
creación de
resultados
satisfactorios.

(51) 9-8935-4789
www.jagi.pe
92
Mapa de implementación de
Gobierno de TI en las organizaciones

(51) 9-8935-4789
www.jagi.pe
93
Diagrama ejemplo

(51) 9-8935-4789
www.jagi.pe
Entonces… debemos considerar el contexto
empresarial
Contexto
empresarial
El gobierno y la
gestión de la TI
empresarial no
suceden de manera
aislada.
Cada empresa
necesita diseñar su
propio plan de
implantación,
atendiendo a los
factores específicos
del entorno interno y
externo de la
empresa
Recordemos, el
enfoque óptimo para
el gobierno y gestión
de la TI empresarial
será distinto para
cada empresa,
siendo necesario
entender y
considerar el
contexto para
adoptar y adaptar
COBIT de modo
efectivo en la
implementación de
los catalizadores de
gobierno y gestión
de TI empresarial.

(51) 9-8935-4789
www.jagi.pe
95
Y… debemos crear el entorno apropiado
La mayoría de las iniciativas relacionadas con TI fracasan a menudo por una dirección,
soporte y supervisión inadecuados por las distintas partes interesadas necesarias.
El apoyo y orientación de las partes interesadas clave es crítico para que las mejoras
sean adoptadas y mantenidas.
Los requerimientos basados en aspectos sensibles y factores actuales deberían ser
identificados por la dirección como áreas que tienen que ser consideradas.
Desde el inicio se debe solicitar el compromiso e interiorización de las partes
interesadas más relevantes.
Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser
claramente expresados en términos de negocio y resumidos en un caso de negocio.
Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos
adecuados para apoyar el programa.
Los roles y responsabilidades esenciales del programa deberían ser definidos y
asignados.

(51) 9-8935-4789
www.jagi.pe
96
Además… debemos reconocer los puntos débiles y
sus eventos desencadenantes… aquí algunos
solamente• Frustración a nivel de negocio con iniciativas fallidas,
incrementando los costos de TI y la percepción de bajo valor
de negocio.
• Incidentes significativos relativos al riesgo de TI, como
pérdida de datos y fallos en proyectos.
• Problemas en la externalización de la entrega del servicio,
como por ejemplo el fallo sistemático al mantener los niveles
de servicio acordados.
• Incapacidad de cumplir con requerimientos regulatorios o
contractuales.
• Limitación por TI de las capacidades de innovación de la
compañía y la agilidad de negocio.
• Hallazgos periódicos de auditoría en relación al bajo
rendimiento de TI o notificación de problemas de calidad de
servicio de TI.
• Gastos de TI ocultos o malintencionados.
• Duplicación o superposición entre iniciativas, o despilfarro de
recursos, como la cancelación prematura de un proyecto.
• Insuficientes recursos de TI, personal con habilidades
inadecuadas, agotado o insatisfecho.
• Fallos en los cambios de TI a la hora de alcanzar las
necesidades de negocio y entregados tarde o con sobre
costo. Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados

(51) 9-8935-4789
www.jagi.pe
97
Y… facilitar el cambio… y no negar o minimizar
lo evidente
• Miembros del consejo, altos directivos y ejecutivos de
alto nivel que son reticentes en implicarse con las TI o
una ausencia de patrocinadores de las TI
comprometidos y satisfechos.
• Modelos operativos de TI complejos.
• Fusiones, adquisiciones o desinversiones.
• Un movimiento en el mercado, la economía o en una
posición competitiva.
• Un cambio en el modelo operativo de negocio o en el
modelo de dotación de recursos.
• Nuevos requerimientos regulatorios y legales.
• Un cambio tecnológico significativo o un nuevo
paradigma.
• Un proyecto de ámbito corporativo.
• Un nuevo CEO, CFO, CIO, etc.
• Auditorías externas o revisiones de consultores.
• Una nueva estrategia o prioridad de negocio.
•… Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados

(51) 9-8935-4789
www.jagi.pe
98
Un enfoque de ciclo de vida
A lo largo del tiempo, el ciclo de
vida debería seguirse de modo
iterativo, al tiempo que se
construye un modelo sostenible
de gobierno y gestión de TI
corporativa.
GEIT se enfoca en la Mejora continua,
Gestión del cambio (cambio
organizacional - comportamientos y
cultura), y en la Gestión de la cartera y
del portafolio, para asegurarse de que
TI no está cegado en un mundo aparte,
sino integrado de forma que el negocio
puede confiar en él como un aliado
importante y uno de los facilitadores
del éxito de las organizaciones.

(51) 9-8935-4789
www.jagi.pe
99
Resumamos
Fase 1 • Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio
a un nivel de dirección ejecutiva.
Fase 2
• Define el alcance de la iniciativa de implementación o mejora empleando el
mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI
asociados, y considerando cómo los escenarios de riesgos podrían destacar los
procesos clave en los que focalizarse. Se lleva a cabo una evaluación del estado
actual y se identifican los problemas y deficiencias mediante la ejecución de un
proceso de revisión de capacidad.
Fase 3
• Establece un objetivo de mejora, seguido de un análisis más detallado
aprovechando las directrices de COBIT para identificar diferencias y posibles
soluciones. Algunas soluciones pueden ser beneficios inmediatos y otras
actividades de largo plazo.
Fase 4 • Planifica soluciones prácticas y desarrolla un plan de cambios para la
implementación.
Fase 5
• Las soluciones propuestas son implementadas. Se pueden definir las
mediciones y establecer la supervisión empleando las metas y métricas de
COBIT.
Fase 6 • Se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y
de la supervisión de la consecución de los beneficios esperados.
Fase 7 • Se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para
el gobierno o la gestión de la TI empresarial.

(51) 9-8935-4789
www.jagi.pe
100
Caso de negocio

(51) 9-8935-4789
www.jagi.pe
101
El caso de negocio no es un
documento estático puntual,
sino una herramienta
dinámica y operativa que
debe ser continuamente
actualizada para reflejar las
previsiones actuales, de
manera que se pueda
mantener una perspectiva de
la viabilidad del programa.

(51) 9-8935-4789
www.jagi.pe
102
Bueno, el caso de negocio debería incluir
Los objetivos de beneficio de
negocio, su alineación con la
estrategia de negocio y los
propietarios asociados del beneficio
(quién dentro del negocio será
responsable de asegurarlos).
Los cambios de negocio requeridos para
crear el valor previsto. Esto podría
basarse en comprobaciones y análisis de
deficiencias de capacidad y deberían
indicar claramente qué está dentro del
ámbito y qué está fuera de él.
Las inversiones precisas para
realizar los cambios de gobierno y
gestión de TI corporativa (basado en
estimaciones de proyectos
necesarios).
Los costos ordinarios de TI y de negocio.
Los beneficios esperados de operar
en el nuevo modo.
El riesgo inherente en los puntos
anteriores, incluyendo cualquier
restricción o dependencia (basado en los
desafíos y factores de éxito).
Roles, responsabilidades y
obligaciones relativas a la iniciativa.
Cómo la inversión y la creación de valor
serán supervisadas a través del ciclo de
vida económico y cómo se usarán las
métricas (basado en metas y métricas).

(51) 9-8935-4789
www.jagi.pe
103
Un ejemplo
Fortalezasydebilidades
Amenazasy
Oportunidades
ANÁLISIS
EXTERNO
Factores regulatorios
Económicos
Tecnológicos
Marco
Presupuestario
. . .
¿dónde
estamos?
VISIÓN
MISIÓN
OBJETIVOS
ESTRATÉGICOS
(¿a dónde
queremos llegar?
METAS
INDICADORES
ÁREAS CLAVES DE
DESEMPEÑO
PROGRAMAS, PLANES
TÁCTICOS Y OPERATIVOS,
PROYECTOS
DIAGNÓSTICO
INTERNO
Unidades estratégicas
Estructura
Procesos
Funciones
Recursos
. . .
¿quiénes somos y
por qué estamos
aquí?
¿dónde
estamos?
¿cómo lo hacemos y cómo
sabemos si hemos llegado?
(seguimiento, re-planificación,
procesos, mejora continua,
seguridad…)
JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES
¿cómo mantenemos el
impulso?

(51) 9-8935-4789
www.jagi.pe
104

(51) 9-8935-4789
www.jagi.pe
105
Trabajemos un poco…
Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
Tell me and I will forget
Show me and I will remember
Involve me and I will understand
-Lao Tse

(51) 9-8935-4789
www.jagi.pe
Veamos…
• COBIT® 5 incluye un modelo de capacidad de procesos,
basado en la norma ISO/IEC 15504 de Ingeniería de
Software-Evaluación de Procesos.
• Un modelo de procesos define un catálogo, una colección
estructurada, buenas prácticas que describen las
características de un proceso efectivo.
• La ISO/IEC 15504 proporciona los principios requeridos para
realizar una evaluación de la implantación de dicho modelo de
procesos en una organización.
• Software Process Improvement Capability Determination
(SPICE) significa «Determinación de la Capacidad de
Mejora del Proceso de Software»
Fuente: ISO/IEC 15504

(51) 9-8935-4789
www.jagi.pe
ISO/IEC 15504
Esta
evaluación
es muy
exigente
respecto a lo
que debe
cumplir cada
proceso para
ascender de
nivel, y
permite,
entre otras
cosas, lo
siguiente:
Establecer un punto de referencia para la evaluación de la capacidad.
Realizar revisiones sobre “el estado actual (as-is)” y “el estado
objetivo (to-be)” para asistir al órgano de Gobierno y de Gestión de
la empresa en la toma de decisiones de inversiones para la mejora de
procesos.
Realizar un análisis de carencias e información sobre la planificación
de mejoras para apoyar la definición de proyectos de mejora
justificables.
Proporcionar al órgano de Gobierno y de Gestión de la empresa los
porcentajes de evaluación para medir y monitorizar la capacidad
actual.
La evaluación de las prácticas del proceso revelará qué prácticas
faltan o están fallando, habilitando la implementación y/o la mejora
de esas prácticas y permitiendo alcanzar todos los objetivos de los
procesos.
Fuente: ISO/IEC 15504

(51) 9-8935-4789
www.jagi.pe
Términos clave
• La calidad de un producto o servicio está altamente influenciada por el
proceso que se utiliza (CMMI).
• Para el establecimiento o medición del nivel de implantación de las
prácticas descritas en el modelo se utilizan dos enfoques, que permiten
alcanzar los mismos resultados pero utilizando estrategias diferentes.
Calidad
• Conjunto de prácticas, preestablecidas por el modelo, que se deben
garantizar por la Organización en su conjunto.
• Es decir, o se cumplen todas o no se tiene el nivel de madurez.
• En términos del modelo son las áreas de proceso que se consideran en cada
nivel de madurez y que van evolucionando.
Nivel de madurez
• Es un análisis individual y no de conjunto.
• Por cada área de proceso se evoluciona de generar los artefactos o
resultados del proceso, a gestionar la ejecución del proceso hasta tenerlo
definido como proceso estándar.
• La idea es que mejora la calidad de los productos propios del proceso y en
su conjunto contribuyen a mejorar la calidad del producto o servicio que se
desarrolla.
Nivel de capacidad
Fuente: http://gesegtic.blogspot.pe/2014/09/analisis-de-madurez-y-capacidad-de.html

(51) 9-8935-4789
www.jagi.pe
110
Nivel 0 –
Inmadura
Nivel 1 –
Básica
Nivel 2 –
Gestionada
Nivel 3 –
Establecida
Nivel 4 –
Predecible
Nivel 5 –
Optimizado
La
organización
mejora en
forma
continua los
procesos
para cumplir
los objetivos
de negocio
La
organización
gestiona de
forma
cuantitativa
los procesos
La
organización
utiliza
procesos
definidos
basados en
estándares
La
organización
gestiona los
procesos y
los
productos
resultantes
se
establecen,
controlan y
mantienen
La
organización
implementa
y alcanza los
objetivos de
los procesos
La organización
no tiene una
implementació
n efectiva de
procesos
PA 5.1
Innovación del
proceso
PA 5.2
Optimización
del proceso
PA 4.1
Medición del
proceso
PA 4.2 Control
del proceso
PA 3.1 Definición
del proceso
PA 3.2
Implementación
del procesoPA 2.1 Gestión
del rendimiento
PA 2.2 Gestión
del producto de
trabajo
PA 1.1
Rendimiento
del proceso
6 niveles de capacidad
9 atributos de proceso
Niveles de capacidad,
atributos de proceso de
ISO/IEC 15504

(51) 9-8935-4789
www.jagi.pe
111
Realización de la evaluación
ISO/IEC 15504-2
COBIT® 5
Process Assessment
Model (PAM):
Using COBIT® 5
• Evidencias de Realización del
Proceso (Dimensión del proceso) –
outcomes.
• Evidencias de la Capacidad del
Proceso (Dimensión de la capacidad)
–prácticas genéricas/atributos.

(51) 9-8935-4789
www.jagi.pe
112
Elementos de la norma ISO/IEC 15504-2
Fuente ISO/IEC 15504-2
La norma describe los requisitos
mínimos para realizar una
evaluación asegurando un nivel
de consistencia y capacidad de
repetición.

(51) 9-8935-4789
www.jagi.pe
… ISO/IEC 15504
Debe
tenerse
en cuenta
que
Alcanzar el nivel 1 requiere que el atributo de
rendimiento sea alcanzado ampliamente, lo que
significa que el proceso se ejecuta con éxito y la
organización obtiene los resultados esperados.
El proceso debe estar
descrito en términos de
su propósito y
resultados.
Si el resultado requerido de
un proceso no se alcanza de
manera continuada, el
proceso no alcanza su
objetivo y necesita ser
mejorado.

(51) 9-8935-4789
www.jagi.pe

(51) 9-8935-4789
www.jagi.pe
Niveles de capacidad
El proceso de evaluación de COBIT® 5
(PAM) está basado en evidencia para
permitir una evaluación confiable,
coherente y repetible en el ámbito del
Gobierno y la Gestión de las TI de la
Empresa.
El PAM de COBIT® 5 se compone de un conjunto de indicadores de desempeño y
capacidad del proceso. Los indicadores se utilizan como base para recopilar pruebas
objetivas que permitan a un evaluador asignar calificaciones.

(51) 9-8935-4789
www.jagi.pe
Escala de evaluación
• N - No alcanzado (0 - 15%)
• Hay muy poca o ninguna evidencia de que se alcanza el atributo definido en el proceso
de evaluación.
• P - Parcialmente alcanzado (>15% - 50%)
• Hay alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso
evaluado.
• Algunos aspectos del logro del atributo pueden ser impredecibles.
• L – Ampliamente alcanzado (>50% - 85%)
• Hay evidencias de un enfoque sistemático y de un logro significativo del atributo definido
en el proceso evaluado.
• Pueden encontrarse algunas debilidades relacionadas con el atributo en el proceso
evaluado.
• F - Completamente alcanzado (>85%-100%)
• Se ha conseguido totalmente el atributo definido.
• No existen debilidades significativas relacionadas con el atributo en el proceso evaluado.

(51) 9-8935-4789
www.jagi.pe
Proceso de evaluación
1. Initiate an
assessment
(assessment sponsor)
2. Select assessor and
assessment team
3. Plan the assessment,
including processes
and organizational unit
to be assessed
(lead assessor and
assessment team)
4. Pre-assessment
briefing
5. Data collection 6. Data validation
7. Process rating
8. Reporting the
assessment result
Fuente: https://en.wikipedia.org/wiki/ISO/IEC_15504

(51) 9-8935-4789
www.jagi.pe
118
Un ejemplo
Fuente: RODRIGO MUÑOZ SERNA, MARIO ALBERTO MARTINEZ ARIAS.
“Caracterización de Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL, CMMI DEV, PMBOK,
para la implementación en la industria Editorial Colombiana, apoyando el proceso de transformación digital”.
MAESTRÍA EN GESTIÓN INFORMÁTICA Y TELECOMUNICACIONES. SANTIAGO DE CALI. 2012

(51) 9-8935-4789
www.jagi.pe
119
Trabajemos un poco…
Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
Tell me and I will forget
Show me and I will remember
Involve me and I will understand
-Lao Tse

(51) 9-8935-4789
www.jagi.pe
¿Dudas, Preguntas,
Consultas, Aportes?
Repasemos

(51) 9-8935-4789
www.jagi.pe
•A. Gestión de Operaciones de TI
•B. Asegurar la Optimización de Recursos
•C. Creación de un enfoque holístico
•D. Gestión de la Información
¿Qué principio es clave para el buen gobierno y gestión de la empresa?
•A. Estructuras organizativas
•B. Procesos
•C. Las personas, habilidades y competencias
•D. Principios, políticas y marcos
¿Qué habilitador describe las entidades clave en la toma de decisiones en una
organización?
•A. Manejo de la Continuidad
•B. Gestionar las operaciones
•C. Gestionar los Riesgos
•D. Gestionar la disponibilidad y la capacidad
¿Qué proceso se incluirá en el dominio del proceso construir, adquirir y
poner en práctica de la Gestión Corporativa de TI?
•A. Gráficos RACI
•B. Aspectos Culturales
•C. Capacidades de servicio
•D. Objetivos comerciales
¿Qué producen los procesos como resultado de su funcionamiento?

(51) 9-8935-4789
www.jagi.pe
Plan de estudio y tips
• Entender, organizar la información recibida
• Entienda que la estructura (orden) presentada es un compendio de
mejores prácticas en la industria
• Céntrese en conocimientos recibidos –no en la experiencia personal
(esto es fatal estadísticamente)
• Entienda los términos y sus -sutiles- diferencias
• No olvide las equivalencias de las palabras
• Identifique las palabras clave que son útiles para usted
• Identifique qué es primero, o qué no tiene relación (distractores)
• Las preguntas no siempre están circunscritas a módulos
específicos; algunas respuestas pueden requerir
entendimiento de interrelaciones, qué o en dónde se hace
qué, procesos y sub-procesos, y funciones involucradas
en COBIT® 5
• No asuma lo que no está escrito

(51) 9-8935-4789
www.jagi.pe
Plan de estudio y tips
• Las preguntas son 40 –se aprueba con un mínimo de 65%
respuestas correctas
• Lea la pregunta, identifique en qué módulo se centra o con cuáles se
relaciona y trate de encontrar una respuesta –SIN MIRAR LAS
ALTERNATIVAS
• Busque los distractores en la respuesta
• Busque LA MEJOR respuesta SEGÚN COBIT® 5
• No necesariamente -ni siempre- la respuesta más simple es la
correcta –ni tampoco la más desarrollada  analice, más palabras
no siempre implica más claridad
• Busque relación entre palabras clave en la pregunta con la
respuesta
• Identifique las combinaciones que son incorrectas

(51) 9-8935-4789
www.jagi.pe
Gracias por su atención
¿Dudas, Preguntas,
Consultas, Aportes?
Cualquier esfuerzo resulta
ligero con el hábito.
Tito Livio

Cobit(R) 5 Fundamentos

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Cobit(R) 5 Fundamentos

Similar a Cobit(R) 5 Fundamentos (20)

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Último

Último (10)

Cobit(R) 5 Fundamentos