Guía Metodológica para COBIT 4.1

GUA METODOLGICA COBIT 4.
GUA METODOLOGICA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.
Contenido
OBJETIVO ............................................................................................................................................................................. 5
ALCANCE .............................................................................................................................................................................. 5
PROPSITO ......................................................................................................................................................................... 5
A QUIEN VA DIRIGIDA ...................................................................................................................................................... 5
DESCRIPCIN ..................................................................................................................................................................... 6
USO RECOMENDADO DE LA GUA ............................................................................................................................... 9
1. IDENTIFICACIN Y EVALUACIN DE LA ORGANIZACIN ........................................................................... 10
1.1 Conocer la organizacin.................................................................................................................................... 10
1.2 Entregables ......................................................................................................................................................... 11
2. IDENTIFICACIN Y EVALUACIN DEL REA DE TI. ....................................................................................... 14
2.1 Conocer el rea .................................................................................................................................................. 14
2.2 Entregables ......................................................................................................................................................... 15
3. IDENTIFICACIN Y EVALUACIN DE LOS PROCESOS DEL REA DE TI ................................................ 19
3.1 Conocer los procesos de TI .............................................................................................................................. 19
3.2 Introduccin a los procesos COBIT ................................................................................................................. 20
3.3 Introduccin a controles .................................................................................................................................... 21
3.3.1 Los procesos requieren controles.................................................................................................................. 21
3.3.2 Controles del negocio y de TI ................................................................................................................... 23
3.3.3 Controles generales de TI y controles de aplicacin ............................................................................ 24
3.4 Documentacin de procesos ............................................................................................................................ 25
3.4.2 Introduccin a los componentes esenciales de COBIT........................................................................ 26
3.5 Relacionar los procesos COBIT con los procesos del rea ........................................................................ 27
3.6 Relacionar las metas de TI de COBIT con las metas de TI del rea ......................................................... 27
3.7 Introduccin de objetivos de Control ............................................................................................................... 28
3.8 Relacionar los objetivos de control de COBIT con el rea de TI ................................................................ 28
3.9 Responder preguntas gerenciales ................................................................................................................... 28
3.10 Entregables ......................................................................................................................................................... 28
4 APLICACIN DE COBIT .......................................................................................................................................... 41
Pgina 1
GUA METODOLGICA COBIT 4.1
4.1 Introduccin a las metas de negocio de TI y metas de TI de COBIT ........................................................ 41

4.1.1 CRITERIOS DE INFORMACIN DE COBIT ............................................................................................... 42
4.1.2 METAS DE NEGOCIO Y DE TI ..................................................................................................................... 43
4.1.3 RECURSOS DE TI ........................................................................................................................................... 44
4.2 Mapear la informacin de TI obtenida............................................................................................................. 45
4.3 Directrices gerenciales ...................................................................................................................................... 46
4.3.1 Introduccin a las directrices gerenciales............................................................................................... 46
4.3.1.1 Entradas y salidas de proceso ............................................................................................................. 46
4.3.1.2 Matriz RACI ............................................................................................................................................. 46
4.3.1.3 Metas y mtricas .................................................................................................................................... 47
4.4 Revisar las directrices gerenciales .............................................................................................................. 50
4.5 Modelo de madurez ........................................................................................................................................... 50
4.5.1 Introduccin a modelo de madurez ......................................................................................................... 50
4.5.2 Determinar la madurez de cada proceso ............................................................................................... 55
4.6 Entregables ..................................................................................................................................................... 55
5 ANALISIS DE COBIT ................................................................................................................................................. 63
5.1 Anlisis del rea de TI ....................................................................................................................................... 63
5.2 Siguiente iteracin de COBIT ........................................................................................................................... 63
6 RESULTADOS DEL DESARROLLO DE LA GUIA ............................................................................................... 65
GLOSARIO.......................................................................................................................................................................... 66
Pgina 2
Ilustraciones
ILUSTRACIN 1. FASES DE LAS GUA ......................................................................................................................................................... 6

ILUSTRACIN 2.LOS 4 DOMINIOS INTERRELACIONADOS DE COBIT ....................................................................................................... 20
ILUSTRACIN 3. MODELO DE CONTROL COBIT ..................................................................................................................................... 22
ILUSTRACIN 4. NAVEGACIN EN COBIT............................................................................................................................................... 26
ILUSTRACIN 5. PRINCIPIO BSICO DE COBIT ...................................................................................................................................... 42
ILUSTRACIN 6. METAS DE TI Y ARQUITECTURA EMPRESARIAL PARA TI ............................................................................................... 44
ILUSTRACIN 7.EJEMPLO RELACIN ENTRE METAS ............................................................................................................................... 48
ILUSTRACIN 8. EJEMPLO IMPULSORES DE DESEMPEO ...................................................................................................................... 48
ILUSTRACIN 9. RELACIN ENTRE PROCESOS, METAS Y MTRICAS ...................................................................................................... 49
ILUSTRACIN 10. PRESENTACIN DE METAS Y MTRICAS ..................................................................................................................... 50
ILUSTRACIN 11. POSIBLE NIVEL DE MADUREZ DE UN PROCESO DE TI................................................................................................. 51
ILUSTRACIN 12. REPRESENTACIN GRFICA MODELO MADUREZ ....................................................................................................... 52
ILUSTRACIN 13. ENLACE METAS TI A PROCESOS TI ........................................................................................................................... 56
ILUSTRACIN 14. NAVEGACIN EN COBIT ........................................................................................................................................... 56
ILUSTRACIN 15. DESCRIPCIN DEL PROCESO ...................................................................................................................................... 57
ILUSTRACIN 16. OBJETIVOS DE CONTROL ............................................................................................................................................ 58
ILUSTRACIN 17. DESCRIPCIN OBJETIVO DE CONTROL ...................................................................................................................... 58
ILUSTRACIN 18. ENTRADAS Y SALIDAS ................................................................................................................................................. 59
ILUSTRACIN 19. MATRIZ RACI.............................................................................................................................................................. 59
ILUSTRACIN 20. METAS Y MTRICAS .................................................................................................................................................... 60
ILUSTRACIN 21. MODELO DE MADUREZ ............................................................................................................................................... 61
ILUSTRACIN 22. GRFICA NIVEL DE MADUREZ DEL PROCESO .............................................................................................................. 62
ILUSTRACIN 23. MADUREZ EMPRESA ................................................................................................................................................... 64
Pgina 3
Tablas
TABLA 1. PLANTILLA ORGANIZACIONAL .................................................................................................................................................. 13
TABLA 2. PLANTILLA TI ............................................................................................................................................................................ 17
TABLA 3. PLANTILLA SUB-REAS TI ........................................................................................................................................................ 18
TABLA 4. CONTROLES PROCESOS .......................................................................................................................................................... 23
TABLA 5. CONTROLES DE APLICACIN .................................................................................................................................................... 25
TABLA 6. COMPONENTES COBIT ........................................................................................................................................................... 27
TABLA 8. PLANTILLA DE PROCESOS........................................................................................................................................................ 30
TABLA 9. PLANTILLA DE ACTIVIDADES .................................................................................................................................................... 31
TABLA 10.PLANTILLA DE RELACIN DE PROCESOS ................................................................................................................................ 32
TABLA 11. PLANTILLA DE RELACIN DE METAS DE TI ............................................................................................................................ 33
TABLA 12. PLANTILLA DE RELACIN DE OBJETIVOS DE CONTROL ......................................................................................................... 39
TABLA 13. PREGUNTAS GERENCIALES .................................................................................................................................................... 40
TABLA 14. CRITERIOS DE INFORMACIN................................................................................................................................................. 42
TABLA 15. RECURSOS DE TI ................................................................................................................................................................... 45
TABLA 16. MODELO GENRICO DE MADUREZ ......................................................................................................................................... 53
Pgina 4
GUA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.
OBJETIVO
Proporcionar una herramienta til y de fcil entendimiento que permita la implementacin de COBIT en
aquellas empresas que tienen su propia rea de TI.
ALCANCE
Determinar el estado de madurez actual del rea de TI, y lo que se debe hacer para mejorar los distintos
aspectos de la misma para conseguir una nivel de madurez mayor, segn sea el caso. Esto basndose
en el marco de referencia COBIT 4.1.
PROPSITO
Esta gua se desarrolla con el fin de apoyar a los coordinadores, directores y/o CEOs en su labor de
mejoramiento de procesos y control en el rea de TI. Se utilizarn diferentes plantillas que permiten
evaluar y medir los diferentes aspectos actuales del rea de TI, como tambin permitirn ver el avance y
el desarrollo de estos durante y despus de la implementacin de COBIT.
A QUIEN VA DIRIGIDA
Esta gua va dirigida a aquellos profesionales que tengan un rol gerencial dentro del rea de TI que estn
interesados en la implementacin de COBIT en su rea.
Pgina 5
DESCRIPCIN
La gua se encuentra estructurada de tal forma que se pueda realizar el proceso de mejoramiento y control
a travs de seis fases, las cuales estn contenidas en dos etapas principales:
Identificacin y
Aplicacin de Analisis de
evaluacin de la COBIT 4.1 COBIT
organizacin.
Identificacin Resultados de la
Identificacin y evaluacin implementacin
y evaluacin de los
del area de TI. procesos del
area de TI.
Ilustracin 1. Fases de las gua.
La primera etapa es de aplicacin, en la cual se siguen las primeras cuatro fases de la siguiente manera:
1. Identificacin y evaluacin de la organizacin. En esta fase se har un conocimiento ms

profundo de la organizacin en la que se desea aplicar esta gua, obteniendo la informacin sobre el
core del negocio, los objetivos de la misma, hacia donde se est o se quiere dirigir; es decir; sus
metas generales; y, su estructura y funcionamiento interno. Para esto se realizan las siguientes
actividades:
Conocer la organizacin. Identificar los elementos organizacionales nombrados
anteriormente segn la informacin proporcionada por la organizacin, basndose en la
plantilla dada en esta gua.
Plantilla de resultados.
2. Identificacin y evaluacin del rea de TI. En esta fase se conocer el rea de TI de la

organizacin, obteniendo la informacin de sus objetivos, su estructura interna, su importancia y/o
dependencia para la empresa y su funcionamiento en el da a da. Las actividades a realizar son:
Conocer el rea. Hacer un anlisis y estudio profundo al rea de TI, que permita conocer su
Pgina 6
estructura a nivel gerencial y la forma en que esta opera en el da a da, adems determinar
la forma en que el rea contribuye al core del negocio. Para esta actividad esta gua ofrece
una plantilla que permita obtener la informacin relevante para la aplicacin de COBIT.
Plantilla de resultados.
3. Identificacin y evaluacin de los procesos del rea de TI. En esta fase se conoce el rea de TI
a nivel operativo, ya que se debe obtener toda la informacin relacionada con los procesos que se
llevan a cabo en esta, su documentacin, si la hay, y los controles y mtricas existentes sobre los
mismo, si es que se tienen. Adems de las personas encargadas de cada proceso y la importancia
de los mismos. Basndose en esta informacin obtenida, se hace una relacin entre esta
informacin y COBIT. Esto se hace con el fin de determinar los procesos que inicialmente se
incluirn en COBIT y de comenzar a ver y entender el rea en trminos de COBIT, lo cual facilita la
implementacin de la misma. Las actividades relevantes de esta fase son:
Conocer los procesos de TI. Usar las plantillas dadas por la gua para documentar los
procesos importantes que se tienen en el rea, se encuentren documentados o no.
Documentacin de procesos. Se debe tomar la plantilla proporcionada por COBIT 4.1 de
cada uno de los procesos seleccionados, y revisar cada una de sus secciones con el fin de
entender a nivel general lo que implica cada proceso. Esta gua contiene un formato que
explica de forma clara la plantilla de procesos de COBIT.
Relacionar los procesos COBIT con los procesos del rea. Determinar cules procesos
listados en COBIT se estn realizando en el rea de TI.
Relacionar las metas de TI de COBIT con las metas de TI del rea. Determinar cules
metas de TI listadas en COBIT se cumplen en el rea de TI.
Relacionar los objetivos de control de COBIT con el rea de TI. Determinar cules
objetivos de control listados en COBIT se cumplen en el rea de TI.
Responder preguntas gerenciales: Se deben responder las preguntas planteadas en esta
gua, con el fin de determinar la perspectiva que tiene(n) la(s) persona(s) involucrada(s) en
la implementacin de COBIT.
Plantilla de procesos y relacin de COBIT vs rea.
4. Aplicacin de COBIT 4.1. Esta es la fase principal de la gua; basados en la informacin obtenida
en las fase anteriores se comienza la implementacin de COBIT en el rea de TI. En esta se usarn
las plantillas de COBIT, que hacen referencia a las metas de TI y los procesos de TI; para hacer el
mapeo entre la informacin obtenida en las fases anteriores y COBIT, adems se desarrolla COBIT
Pgina 7
para los procesos actuales de la organizacin, Para esto se realizaran las siguientes actividades:
Mapear la informacin de TI obtenida. En esta actividad se toman las plantillas resultantes
en la fase 3, y a partir de esta, se relaciona la informacin obtenida, con cada una de las
metas de TI de COBIT 4.1, con el fin de reflejar lo que se tiene en la actualidad a nivel
organizacional en TI basados en COBIT. El formato para esta actividad se explicara ms
adelante.
Revisar las directrices gerenciales: COBIT contiene un componente llamado directrices
generales de cada uno de sus procesos, con lo cual se busca tener una visin completa de
cmo administrar y medir el proceso. Por lo tanto, se debe revisar y entender este
componente en cada uno de los procesos para la correcta implementacin de COBIT y
adems obtener un mayor beneficio de la misma; para lo cual la gua proporciona un formato
en el que se explica cada uno de los puntos de este componente, con el fin de adaptarlo a
cualquier organizacin.
Determinar la madurez de cada proceso. Se debe tomar cada uno de los procesos
seleccionados y determinar el nivel de madurez de cada proceso con el fin de poder
identificar en donde se encuentra hoy la empresa, el estatus de la misma respecto a su
entorno, en donde desea estar la empresa y el crecimiento requerido entre como es y
como ser. Para eso se debe utilizar la plantilla establecida en COBIT 4.1.
La segunda etapa es de anlisis y retroalimentacin, basada en la etapa anterior, y se siguen las siguientes
dos fases:
5. Anlisis de COBIT. Esta fase consta de dos sub-fases, en la primer sub-fase se hace un anlisis
completo de los resultados obtenidos a partir de la fase anterior, en la que se determina, basndose
en las herramientas de COBIT, en qu nivel de madurez se encuentra la organizacin, como est el
rea de TI en trminos generales, y determinar que tan alineada esta la estrategia de TI con la
estrategia del negocio. Para esta sub-fase se realizarn las siguientes actividades:
Obtener el nivel de madurez: Se obtiene el nivel de madurez del rea en general,
basndose en los resultados obtenidos en la fase anterior.
Anlisis de resultados: Se hace un anlisis de los resultados obtenidos, basndose en lo
que se obtuvo en el archivo de COBIT.
En la segunda sub-fase se reutiliza esta gua, basndose en anlisis de resultados de la fase anterior.
Iteracin de la gua: Realizar la gua desde un punto determinado para complementar y
mejorar lo que se obtuvo hasta el momento.
6. Resultados de la implementacin. En esta ltima fase se tiene un archivo que permite ver de
Pgina 8
forma concisa la labor realizada durante esta gua. Esto basado en toda la informacin obtenida de
las cinco fases anteriores.
USO RECOMENDADO DE LA GUA

La gua debe ser desarrollada segn se muestra en la Ilustracin 1, ya que cada una de las fases requiere
su fase anterior para su completo entendimiento, adems de esta forma se asegura el xito de la
implementacin de COBIT, pues se va adquiriendo el conocimiento necesario fase a fase, hasta lograr un
muy buen entendimiento de esta metodologa. Esta gua proporciona una herramienta de apoyo con el fin
de sintetizar toda la informacin, y de facilitar el desarrollo de esta gua, por lo cual, la gran mayora de los
puntos descritos en este documento se deben desarrollar sobre la herramienta, tal y como se indicar en
cada tem; de lo contario, no se asegura un correcto entendimiento y desarrollo tanto de la gua, como de
COBIT.
Pgina 9
ETAPA 1
Esta es una etapa de aplicacin en la cual se hace un levantamiento de informacin y se desarrolla COBIT.
Para esto la gua proporciona una herramienta de apoyo que permite el desarrollo de esta etapa a travs de
las siguientes cuatro fases:
1. IDENTIFICACIN Y EVALUACIN DE LA ORGANIZACIN
La identificacin y evaluacin de la organizacin busca que la(s) persona(s) interesadas en realizar la

implementacin de COBIT entiendan en un 100 % la organizacin en la que estn, es decir, que haya un
conocimiento de qu hace la empresa, cmo funciona, en qu momento se encuentra, hacia donde quiere ir,
cules son sus lineamientos principales, como es su estructura internamente, en que sector se encuentra, sus
polticas y su entorno interno y externo. Esta informacin se obtiene a partir de los documentos
organizacionales existentes en la compaa. La gua proporciona un formato para obtener la informacin
necesaria y relevante de esta fase. Se considera necesaria y relevante aquella informacin que es importante
para la implementacin de COBIT. En esta fase debe usarse la herramienta de apoyo de esta gua.
Los objetivos de esta fase son los siguientes:
Obtener la informacin corporativa necesaria para brindarle a la(s) persona(s) involucradas en la

implementacin de COBIT el conocimiento necesario sobre la organizacin.
Obtener la informacin corporativa que permita la correcta relacin con las metas de negocio de
COBIT 4.1.
1.1 Conocer la organizacin
En esta primera etapa es necesario que aquella(s) persona(s) involucrada(s) con la implementacin de
COBIT conozcan la organizacin; para lo cual es importante conocer los tems claves para la
organizacin, los cuales son:
Core del negocio: Esto es determinar qu es lo que caracteriza, define y diferencia a la

organizacin en el mercado.
Los valores de la organizacin.
Misin de la empresa.
Visin de la compaa.
Objetivos de la organizacin.
Estructura organizacional de la compaa: Determinar las principales reas de la organizacin.
Polticas internas de la organizacin: Se deben listar todo tipo de polticas contempladas dentro
de la compaa.
Productos: Se deben listar los productos que ofrece la compaa.
Pgina 10
Clientes: Listar los clientes con los que cuenta segn su importancia, la cual se mide en una
escala de, alta, media y baja.
Entorno: En este tem se determina en que nicho de mercado se encuentra la compaa y sus
competidores.
Estado actual: Este tem hace referencia a determinar en donde se encuentra la compaa en la
actualidad, para lo cual se debe contemplar el nmero de empleados, las sedes con las que
cuenta, cantidad e innovacin de sus productos, nmero de clientes y su importancia en el
mercado.
1.2 Entregables
El entregable final de esta fase es:
Durante esta etapa de la gua se debe desarrollar y entregar la plantilla organizacional (Plantilla
OrganizacionalTabla 1) diligenciada por la(s) persona(s) responsable(s) del desarrollo de COBIT.
Esta incluye todos los puntos importantes para conocer la organizacin, los cuales han sido
descritos y explicados en la seccin 1.1.
Pgina 11
PLANTILLA ORGANIZACIONAL
Nombre de la empresa
ITEMS ORGANIZACIONALES
Core del negocio

(Que caracteriza, define y
diferencia la organizacin)

Valores.

Misin
Visin

Objetivos

Estructura
organizacional
(Principales reas de la
organizacin)

Polticas internas.

Productos

Pgina 12

Alta

Media

Clientes
(Listar los clientes segn
su importancia)

Baja

Nicho de mercado
Entorno
(Nicho de mercado de la
compaa y sus Competidores
competidores)

Nmero de empleados
Cantidad de productos
Nmero de clientes
Estado actual
(En donde se encuentra la

compaa en la Sedes
actualidad)

Importancia en el mercado (Ranking)
Tabla 1. Plantilla Organizacional
Pgina 13
2. IDENTIFICACIN Y EVALUACIN DEL REA DE TI.
La identificacin y evaluacin del rea de TI tiene como objetivo que la(s) persona(s) encargadas de la
implementacin de COBIT conozcan y entiendan en un 100% esta rea, ya que es en esta rea es en donde
se implementar COBIT. Esto es, conocer el rea desde todos los puntos posibles; financiera, operativa y
administrativamente. Basados en esto, es necesario, conocer y entender el objetivo principal del rea, sus
objetivos, su estructura organizacional, los puntos crticos de la misma, sus funciones principales, la
importancia del rea para las dems reas, el valor de la misma para la consecucin de los objetivos de la
empresa, sus polticas, controles existentes, la forma en que operan cada una de sus reas y finalmente, su
estado actual y hacia donde se est enfocando el rea en un futuro cercano. Esta informacin es obtenida ya
sea a travs del conocimiento que tiene la persona, encargada del rea y adems de la implementacin de
COBIT; o por los documentos y entrevistas dadas por las personas de TI, la forma de obtener la informacin
vara segn la compaa. Esta obtencin de informacin se debe hacer tanto a nivel general del rea, como a
cada una de las sub-reas que estn dentro de TI. Con el fin de consolidar la informacin relevante e
importante para el correcto desarrollo de COBIT sin importar como sea obtenida la informacin, la gua define
y proporciona un formato que contiene toda esta indagacin. En esta fase debe usarse la herramienta de
apoyo de esta gua.
Obtener la informacin necesaria para brindarle a la(s) persona(s) encargada(s) de implementar

COBIT el conocimiento necesario sobre el rea de TI.
Obtener la informacin del rea de TI necesaria que permita la correcta relacin con las metas de
TI de COBIT 4.1.
2.1 Conocer el rea
En esta etapa se hace un anlisis y estudio profundo sobre el rea de TI, con el fin de identificar sus
puntos principales para su operacin en el da a da, en el corto y largo plazo. Adicionalmente, se busca
determinar de qu forma esta rea est contribuyendo al core y metas del negocio. Para obtener la
informacin que contribuye a lograr estos objetivos es necesario conocer los siguientes tems:
Objetivo principal: Determinar cul es el objetivo principal del rea de TI.

Objetivos del rea: Listar cuales son los objetivos del rea, tanto generales como especficos, si
los hay.
Estructura organizacional: Determinar cmo est estructurada el rea de TI, es decir, el
organigrama de la misma. Tambin es necesario hacer una breve descripcin de las sub-reas que
se muestran en el organigrama, para un mejor entendimiento de las mismas. Se deja un formato, el
cual es sencillo de modificar, simplemente se debe adicionar o eliminar segn sea el caso.
Funciones principales: Listar las funciones principales que se realizan en el rea.
Polticas: Listar las polticas contempladas en el rea.
Pgina 14
Controles existentes: Listar los controles establecidos por el rea. Esto es aquellos
procedimientos, prcticas y estructuras organizacionales diseadas para brindar una seguridad
razonable al rea; o aquellas que previenen o detectan eventos no deseados.
Puntos crticos: Se deben listar aquellos puntos que se consideran crticos para el rea.
Soporta a: Listar aquellas reas de la compaa que dependen del rea de TI. Se debe poner una
escala de dependencia, la cual se mide en una escala de alta, media y baja.
Importancia: Determinar la importancia del rea de TI para la compaa. Esta escala se mide en
nivel de importancia, es decir, alta, media o baja. Esta se asigna basado en el tem anterior, lo cual
se hace asignando la escala que ms se repiti en ese tem.
2.2 Entregables
Los entregables finales de esta fase son:
Durante esta etapa de la gua se debe desarrollar y entregar la plantilla TI (Tabla 2) diligenciada por
la(s) persona(s) responsable(s) de la implementacin de COBIT. Esta incluye todos los puntos
importantes para conocer el rea de TI, los cuales han sido descritos e explicados en la seccin
2.1.
Se debe diligenciar la plantilla de sub-rea TI (Tabla 3), la cual est basada en la plantilla de TI, y
contiene varios de los puntos descritos en la seccin anterior. Esta se aplica a cada una de las
sub-reas que se tienen en el rea de TI.
Pgina 15
PLANTILLA TI
Objetivo principal
(Objetivo principal del
rea de TI)

Objetivos del rea.

Funciones

Principales

Polticas

Controles
existentes

Puntos crticos
Pgina 16
(Cuales son los puntos

crticos del rea de TI)

reas Dependencia reas Dependencia
Soporta a
(reas de la compaa
que dependen del
rea de TI)

Importancia
Estructura organizacional (Organigrama del rea)
Tabla 2. Plantilla TI
Pgina 17
PLANTILLA SUB-REAS TI
Sub-rea
Objetivo principal
(Objetivo principal del
sub-rea de TI)

Objetivos del rea.

Funciones
Principales

Polticas

Controles
existentes

Puntos crticos
(Cuales son los puntos
crticos del rea de TI)

Importancia
Tabla 3. Plantilla sub-reas TI
Pgina 18
3. IDENTIFICACIN Y EVALUACIN DE LOS PROCESOS DEL REA DE TI
Con base a la informacin y el conocimiento adquirido en la fase anterior sobre el rea de TI y sus sub-reas,
se puede comenzar a conocer el rea a nivel operativo, es decir, enfatizar en cada uno de los procesos que
son ejecutados para cumplir al 100% con su operacin. En esta fase no solo se obtendr una lista de todos
los procesos, sino que tambin se determinar cuales estn documentados, que tipo de documentacin es,
como son documentados; adems, conocer si hay informacin adicional en la documentacin, como lo son,
los controles y las mtricas para el proceso, la persona responsable del mismo, y si se ha determinado la
importancia que este tiene para una correcta operacin. Esta informacin ser obtenida tanto, por los
documentos existentes, como tambin por el conocimiento y las entrevistas realizadas a las personas
responsables de sus procesos. Esta gua proporciona una plantilla para consolidar la informacin descrita
anteriormente. En esta fase debe usarse la herramienta de apoyo de esta gua.
Los objetivos de esta fase son:
Obtener toda la informacin existente sobre los procesos que se ejecutan en el rea de TI de la
organizacin.
Asignar los responsables de cada uno de los procesos del rea de TI.
Conocer la perspectiva que tienen sobre el rea de TI los responsables de la misma.
Relacionar los procesos del rea de TI con los procesos de COBIT 4.1.
3.1 Conocer los procesos de TI
En esta etapa se obtiene cada uno de los procesos del rea de TI, junto con su documentacin. Con el fin
de determinar que est establecido como proceso y la forma en que se documenta. En esta
documentacin se incluirn los siguientes tems:
Nombre del proceso

Descripcin del proceso
Objetivo
Actividades: Que actividades apoyan la ejecucin del proceso, la descripcin de cada una de
estas y adems quienes son los responsables de las mismas.
Mtricas: Como se esta midiendo la correcta ejecucin del proceso o la efectividad del mismo.
Procesos relacionados: Que otros procesos estn relacionados con el proceso.
Responsable(s).
Importancia o criticidad: Que importancia o criticidad tiene el proceso para el rea de TI.
Pgina 19
3.2 Introduccin a los procesos COBIT
COBIT define las actividades de TI en un modelo genrico de procesos organizado en cuatro dominios.
Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y
Evaluar. Los dominios se equiparan a las reas tradicionales de TI de planear, construir, ejecutar y
monitorear.
El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn

para que todos en la empresa visualicen y administren las actividades de TI. La incorporacin de un
modelo operativo y un lenguaje comn para todas las partes de un negocio involucradas en TI es uno de
los pasos iniciales ms importantes hacia un buen gobierno. Un modelo de procesos fomenta la propiedad
de los procesos, permitiendo que se definan las responsabilidades.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser
administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir,
ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la siguiente
figura, se llaman:
Ilustracin 2.Los 4 dominios interrelacionados de COBIT
o Planear y Organizar (PO): Proporciona direccin para la entrega de soluciones (AI) y la entrega
de servicio (DS).
o Adquirir e Implementar (AI): Proporciona las soluciones y las pasa para convertirlas en servicios.
o Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales.
o Monitorear y Evaluar (ME): Monitorear todos los procesos para asegurar que se sigue la direccin
provista.
PLANEAR Y ORGANIZAR (PO)

Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede
contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin
estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente,
se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.
Pgina 20
ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o
adquiridas as como implementadas e integradas en los procesos del negocio. Adems, el cambio y el
mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las
soluciones sigan satisfaciendo los objetivos del negocio.
ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin
de los datos y de las instalaciones operativos.
MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el
monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver
Error! No se encuentra el origen de la referencia.) para la lista completa). Mientras la mayora de las
empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la
mayora tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran
todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser
utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es
necesario que apliquen todas, y, aun ms, se pueden combinar como se necesite por cada empresa.
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta.
Informacin de cmo se pueden medir las metas, tambin se proporcionan cules son sus actividades
clave y entregables principales, y quin es el responsable de ellas.
3.3 Introduccin a controles
COBIT define objetivos de control para los 34 procesos, as como para el proceso general y los controles
de aplicacin.
3.3.1 Los procesos requieren controles
Control se define como las polticas, procedimientos, prcticas y estructuras organizacionales diseadas
para brindar una seguridad razonable que los objetivos de negocio se alcanzarn, y los eventos no
deseados sern prevenidos o detectados y corregidos.
COBIT se basa en el siguiente modelo de control estndar:
Pgina 21
Ilustracin 3. Modelo de Control COBIT
Para lograr un gobierno efectivo, los gerentes de operaciones deben implementar los controles necesarios
dentro de un marco de control definido para todos los procesos TI. Ya que los objetivos de control de TI de
COBIT estn organizados por procesos de TI, el marco de trabajo brinda vnculos claros entre los
requerimientos de gobierno de TI, los procesos de TI y los controles de TI.
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos de
control detallados. Como un todo, representan las caractersticas de un proceso bien administrado. Cada
proceso COBIT tiene requerimientos de control genricos, los cuales son:
CONTROLES PROCESOS
Definir y comunicar procesos, metas y objetivos especficos, medibles,
Metas y objetivos accionables, reales, orientados a resultado y en tiempo (SMART) para la
del Proceso ejecucin efectiva de cada proceso de TI. Asegurando que estn enlazados a
las metas de negocio y se soportan por mtricas adecuadas.
Asignar un dueo para cada proceso de TI, y definir claramente los roles y
responsabilidades del dueo del proceso. Incluye, por ejemplo,
Propiedad del
responsabilidad del diseo del proceso, interaccin con otros procesos,
proceso
rendicin de cuentas de los resultados finales, medicin del desempeo del
proceso y la identificacin de mejora de las oportunidades.
Disear y establecer cada proceso clave de TI de tal manera que sea repetible
y consecuentemente produzca los resultados esperados. Proveer una
secuencia lgica pero flexible y escalable de actividades que lleve a los
Proceso repetible
resultados deseados y que sea lo suficientemente gil para manejar las
excepciones y emergencias. Usar procesos consistentes, cuando sea posible,
y ajustarlos slo cuando no se pueda evitar.
Definir las actividades clave y entregables finales del proceso. Asignar y

Roles y comunicar roles y responsabilidades no ambiguas para la ejecucin efectiva y
responsabilidades eficiente de las actividades clave y su documentacin, as como la rendicin
de cuentas para los entregables finales del proceso.
Polticas, planes y Definir y comunicar cmo todas las polticas, planes y procedimientos que
Pgina 22
procedimientos dirigen los procesos de TI estn documentados, revisados, mantenidos,

aprobados, almacenados, comunicados y usados para el entrenamiento.
Asignar responsabilidades para cada una de estas actividades y en momentos
oportunos, revisar si se ejecutan correctamente. Asegurar que las polticas,
planes y procedimientos son accesibles, correctos, entendidos y actualizados.
Identificar un conjunto de mtricas que proporcionen visin de las salidas y el

desempeo del proceso. Establecer objetivos que se reflejen en las metas del
proceso y los indicadores de desempeo de tal manera que permitan el logro
Desempeo del
de las metas de los procesos. Definir como los datos son obtenidos. Comparar
proceso
las medidas actuales con los objetivos y tomar las acciones sobre las
desviaciones cuando sea necesario. Alinear mtricas, objetivos y mtodos con
el enfoque de monitoreo global del desempeo de TI.
Tabla 4. Controles Procesos
Los controles efectivos reducen el riesgo, aumentan la probabilidad de la entrega de valor y aumentan la
eficiencia, debido a que habr menos errores y un enfoque de administracin ms consistente.
3.3.2 Controles del negocio y de TI
El sistema de control interno de la empresa impacta en TI a tres niveles:
Al nivel de direccin ejecutiva, se fijan los objetivos de negocio, se establecen polticas y se

toman decisiones de cmo aplicar y administrar los recursos empresariales para ejecutar la
estrategia de la compaa. El enfoque genrico hacia el gobierno y el control se establece por parte
del consejo y se comunica a todo lo largo de la empresa. El ambiente de control de TI es guiado por
este conjunto de objetivos y polticas de alto nivel.
Al nivel de procesos de negocio, se aplican controles para actividades especficas del negocio.
La mayora de los procesos de negocio estn automatizados e integrados con los sistemas
aplicativos de TI, dando como resultado que muchos de los controles a este nivel estn
automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos
controles dentro del proceso de negocios permanecen como procedimientos manuales, como la
autorizacin de transacciones, la separacin de funciones y las conciliaciones manuales. Los
controles al nivel de procesos de negocio son, por lo tanto, una combinacin de controles manuales
operados por el negocio, controles de negocio y controles de aplicacin automatizados. Ambos son
responsabilidad del negocio en cuanto a su definicin y administracin aunque los controles de
aplicacin requieren que la funcin de TI d soporte a su diseo y desarrollo.
Para soportar los procesos de negocio, TI proporciona servicios, por lo general de forma
compartida, por varios procesos de negocio, as como procesos operativos y de desarrollo de TI
que se proporcionan a toda la empresa, y mucha de la infraestructura de TI provee un servicio
comn (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los controles
aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI. La
operacin formal de estos controles generales es necesaria para que d confiabilidad a los
controles en aplicacin. Por ejemplo, una deficiente administracin de cambios podra poner en
Pgina 23
riesgo (por accidente o de forma deliberada) la confiabilidad de los chequeos automticos de

integridad.
3.3.3 Controles generales de TI y controles de aplicacin
Los controles generales son aquellos que estn inmersos en los procesos y servicios de TI.
Algunos ejemplos son:
Desarrollo de sistemas
Administracin de cambios
Seguridad
Operaciones de computo
Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general
como controles de aplicacin. Por ejemplo:
Integridad (Completitud)
Precisin
Validez
Autorizacin
Segregacin de funciones.
COBIT asume que el diseo e implementacin de los controles de aplicacin automatizados son
responsabilidad de TI, y estn cubiertos en el dominio de Adquirir e Implementar, con base en los
requerimientos de negocio definidos, usando los criterios de informacin de COBIT. La
responsabilidad operativa de administrar y controlar los controles de aplicacin no es de TI, sino del
dueo del proceso de negocio.
Por lo tanto, la responsabilidad de los controles de aplicacin es una responsabilidad conjunta, fin a
fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera:
La empresa es responsable de:

o Definir apropiadamente los requisitos funcionales y de control
o Uso adecuado de los servicios automatizados.
TI es responsable de:
o Automatizar e implementar los requisitos de las funciones de negocio y de control.
o Establecer controles para mantener la integridad de controles de aplicacin.
Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero slo los
aspectos de desarrollo de los controles de aplicacin; la responsabilidad de definir y el uso
operativo es de la empresa.
Pgina 24
La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones:
CONTROLES DE APLICACIN
Asegurar que los documentos fuente estn preparados por personal
autorizado y calificado siguiendo los procedimientos establecidos,
Preparacin y
teniendo en cuenta una adecuada segregacin de funciones respecto al
autorizacin de
origen y aprobacin de estos documentos. Los errores y omisiones
informacin
pueden ser minimizados a travs de buenos diseos de formularios de
fuente
entrada. Detectar errores e irregularidades para que sean informados y
corregidos.
Establecer que la entrada de datos se realice en forma oportuna por

Recoleccin y personal calificado y autorizado. Las correcciones y reenvos de los datos
entrada de que fueron errneamente ingresados se deben realizar sin comprometer
informacin los niveles de autorizacin de las transacciones originales. En donde sea
fuente apropiado para reconstruccin, retener los documentos fuente originales
durante el tiempo necesario.
Chequeos de
Asegurar que las transacciones son exactas, completas y vlidas. Validar
Exactitud,
los datos ingresados, y editar o devolver para corregir, tan cerca del punto
Integridad y
de origen como sea posible.
Autenticidad
Integridad y Mantener la integridad y validacin de los datos a travs del ciclo de

Validez del procesamiento. Deteccin de transacciones errneas no interrumpe el
Procesamiento procesamiento de transacciones validas.
Establecer procedimientos y responsabilidades asociadas para asegurar
Revisin de
que la salida se maneja de una forma autorizada, entregada al
Salidas,
destinatario apropiado, y protegida durante la transmisin; que se verifica,
Reconciliacin y
detecta y corrige la exactitud de la salida; y que se usa la informacin
Manejo de Errores
proporcionada en la salida.
Antes de pasar datos de la transaccin entre aplicaciones internas y
Autenticacin e funciones de negocio/operativas (dentro o fuera de la empresa), verificar
Integridad de el apropiado direccionamiento, autenticidad del origen e integridad del
Transacciones contenido. Mantener la autenticidad y la integridad durante la transmisin
o el transporte.
Tabla 5. Controles de aplicacin
3.4 Documentacin de procesos
La navegacin en COBIT de un proceso es un formato que proporciona esta metodologa para

documentar cada uno de los procesos de TI, por lo cual es parte fundamental porque un objetivo final de
esta gua es tener cada uno de los procesos del rea de TI de esta forma.
Para cada uno de los procesos TI de COBIT, se proporciona un objetivo de control de alto nivel, junto con
las metas y mtricas clave en forma de cascada.
Pgina 25
Ilustracin 4. Navegacin en COBIT
3.4.2 Introduccin a los componentes esenciales de COBIT
El marco de trabajo de COBIT est compuesto de los siguientes componentes esenciales, organizados
en los 34 procesos de TI, brindando as una visin completa de cmo controlar, administrar y medir
Pgina 26
cada proceso. Cada proceso est cubierto en cuatro secciones, y cada seccin constituye
aproximadamente una pgina, de la manera siguiente:
COMPONENTES COBIT
Secciones Contenido Descripcin
Descripcin del proceso que resume los objetivos del
proceso
El objetivo de control de alto nivel representado en Describen lo que el
Seccin 1 formada de cascada. dueo requiere hacer.
El mapeo de este proceso con los criterios de Se indica con una P la
informacin, con los recursos de TI y con las reas de relacin primaria y con
enfoque de gobierno de TI. una S la secundaria.
Seccin 2 Los objetivos de control detallados para este proceso.
Lo que el dueo del

Las entradas del proceso. proceso requiere de
otros.
Lo que el dueo debe
Las salidas del proceso.
Seccin 3 entregar.
Qu se debe delegar y a
La matriz RACI.
quin.
Cmo se debe medir el
Las metas y las mtricas.
proceso.
Qu se debe hacer para
Seccin 4 El modelo de madurez para el proceso.
mejorar.
Tabla 6. Componentes COBIT
3.5 Relacionar los procesos COBIT con los procesos del rea
En esta etapa la gua proporciona una plantilla en la que se listan los procesos establecidos por COBIT 4.1
(ver Tabla 9), en la cual se debe colocar si ese proceso se cumple en el rea. Esta informacin se completa
basndose en la informacin obtenida en las fases anteriores y por el conocimiento de las personas
encargadas del rea.
En la herramienta de apoyo de esta gua, al usar esta plantilla, al hacer doble click sobre el nombre del
proceso encontrar la descripcin del mismo, para entender de una mejor forma a que hace referencia
cada uno de estos.
3.6 Relacionar las metas de TI de COBIT con las metas de TI del rea
En esta etapa la gua proporciona una plantilla en la que se listan las metas de TI establecidos por COBIT
4.1, en la cual se debe colocar si esa meta se cumple en el rea. Esta informacin se completa basndose
en la informacin obtenida en las fases anteriores y por el conocimiento de las personas encargadas del
rea.
Pgina 27
3.7 Introduccin de objetivos de Control
Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a

considerar por la gerencia para un control efectivo de cada proceso de TI. Estos:
Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo.

Consisten en polticas, procedimientos, prcticas y estructuras organizacionales.
Estn diseadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se
conseguirn y que los eventos no deseables se prevendrn, detectarn y corregirn.
La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control:
Seleccionando aquellos aplicables.

Decidir aquellos que deben implementarse.
Elegir como implementarlos (frecuencia, extensin, automatizacin, etc.)
Aceptar el riesgo de no implementar aquellos que podran aplicar.
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos
de control detallados. Como un todo, representan las caractersticas de un proceso bien administrado. Los
objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, AI, DS y
ME) ms un nmero de proceso y un nmero de objetivo de control.
3.8 Relacionar los objetivos de control de COBIT con el rea de TI
En esta etapa la gua proporciona una plantilla en la que se listan los objetivos de control establecidos por
COBIT 4.1, en la cual se debe colocar si cada uno de esos objetivos se cumple en el rea. Esta
informacin se completa basndose en la informacin obtenida en las fases anteriores y por el
conocimiento de las personas encargadas del rea.
En la herramienta de apoyo de esta gua, al usar esta plantilla, al hacer doble click sobre el nombre del
objetivo de control encontrar la descripcin del mismo, para entender de una mejor forma a que hace
referencia cada uno de estos.
3.9 Responder preguntas gerenciales
Antes de comenzar a desarrollar COBIT, la gua proporciona ciertas preguntas con el fin de conocer que
visin tiene los responsables del rea de TI en la actualidad.
3.10 Entregables
Los entregables propuestos son:
Durante esta etapa de la gua se debe desarrollar y entregar la plantilla de procesos (Tabla 7 )
diligenciada por la(s) persona(s) responsable(s) de la implementacin de COBIT. Esta incluye la
informacin necesaria para conocer cada uno de los procesos del rea. Esta plantilla no hace parte
Pgina 28
de la herramienta de apoyo de la gua, ya que solo se utiliza para un conocimiento general del
rea. Cada tem ha sido explicado en la seccin 3.1.
Tambin se debe diligenciar la plantilla de actividades (Tabla 8), la cual incluye la informacin
importante de las actividades que apoyan cada proceso. Esta plantilla no hace parte de la
herramienta de apoyo de la gua, ya que solo se utiliza para un conocimiento general del rea.
Se debe completar la plantilla de relacin de procesos ( Tabla 9), en la cual se debe colocar SI en
caso de que se considere que se cumple en el rea o NO en caso contrario.
Se debe completar la plantilla de relacin de metas de TI ( Tabla 9), en la cual se debe colocar SI en
caso de que se considere que se cumple en el rea o NO en caso contrario.
Se debe completar la plantilla de relacin de Objetivos de Control (Tabla 11), en la cual se debe
colocar SI en caso de que se considere que se cumple en el rea o NO en caso contrario.
En esta fase la(s) persona(s) responsable(s) de la implementacin de COBIT deben desarrollar la
plantilla de preguntas gerenciales (Tabla 12). Deben responder SI o NO. Las preguntas estn
divididas en 4 grupos, en donde cada grupo representa un dominio. Adems hay un campo
adicional por cada domino, por si se desea aclarar algn aspecto respecto a alguna pregunta.
PLANTILLA PROCESOS
Nombre del
proceso
Descripcin
Objetivo(s)
Mtricas
(Como se esta
midiendo la correcta

ejecucin del proceso
o la efectividad del
mismo)
Pgina 29

Procesos

relacionados (Que
otros procesos estn
relacionados con el
proceso)

Responsable(s)
Importancia o Escala de
criticidad medicin
Tabla 7. Plantilla de Procesos
PLANTILLA ACTIVIDADES
ACTIVIDAD
DESCRIPCIN
Responsable(s)
ACTIVIDAD
DESCRIPCIN
Responsable(s)
ACTIVIDAD
Pgina 30
DESCRIPCIN
Responsable(s)
Tabla 8. Plantilla de Actividades
RELACIN DE PROCESOS
ID
Dominio Procesos COBIT Se ejecuta (SI/NO)
proceso
P01 Definir un plan estratgico de TI
P02 Definir la Arquitectura de la Informacin
P03 Determinar la Direccin Tecnolgica
P04 Definir los Procesos, Organizacin y Relaciones de TI
P05 Administrar la Inversin en TI
Planear y
organizar Comunicar las Aspiraciones y la Direccin de la
P06
Gerencia
P07 Administrar Recursos Humanos de TI
P08 Administrar la Calidad
P09 Evaluar y Administrar los Riesgos de TI
P10 Administrar Proyectos
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnolgica
Adquirir e
AI4 Facilitar la operacin y el uso
implementar
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
Entregar y DS4 Garantizar la continuidad del servicio
dar soporte DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
Pgina 31
DS9 Administrar la configuracin

DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones
ME1 Monitorear y Evaluar el Desempeo de TI
Monitorear ME2 Monitorear y Evaluar el Control Interno
y evaluar ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
Tabla 9.Plantilla de relacin de procesos
RELACIN DE METAS DE TI
Metas de TI Se cumple (SI/NO)
Responder a requerimientos de negocio alineado con la estrategia de

1
negocio
Responder a los requerimientos de gobierno en lnea con la direccin
2
ejecutiva
Asegurar la satisfaccin del usuario final con la oferta de servicios y
3
niveles de servicio
4 Optimizar el uso de la informacin
5 Crear agilidad de TI
Definir como la funcionalidad de negocio y requerimientos de control se
6
trasladan en soluciones efectivas
7 Adquirir y mantener sistemas de aplicacin integrados y estandarizados
8 Adquirir y mantener una infraestructura de TI integrada y estandarizada
9 Adquirir y mantener habilidades de TI que responden a la estrategia de TI
10 Asegurar la satisfaccin mutua de relaciones con terceras partes
Asegurar la integracin sin fisuras de las aplicaciones dentro de los
11
procesos del negocio
Asegurar la transparencia y comprensin de costes de TI, beneficios,
12
estrategia, polticas y niveles de servicio
Asegurar el uso apropiado y desempeo de las soluciones de aplicacin y
13
tecnologa
14 Tener en cuenta y proteger todos los activos de TI
15 Optimizar la infraestructura, recursos y capacidades de TI.
16 Reducir los defectos de la solucin y entrega de servicio y reelaborar
17 Proteger el logro de los objetivos de TI
Establecer la claridad del impacto de negocio de los riesgos a los objetivos
18
y recursos de TI
Asegurar que la informacin critica y confidencial se retiene a aquellos que
19
no deben tener acceso
Pgina 32
Asegurar que las transacciones de negocio automatizadas y los cambios a

20
la informacin son confiables
Asegurar que los servicios de TI y la infraestructura pueden resistir
21 apropiadamente y recuperar fallos debido a errores, ataques deliberados o
desastres
Asegurar el mnimo impacto de negocio en caso de una interrupcin de
22
servicios de TI o cambios
23 Estar seguros que los servicios de TI estn disponibles segn se requiere
Mejorar la eficiencia de costes de TI y sus contribuciones a la rentabilidad
24
del negocio
Entregar proyectos a tiempo y sobre presupuesto, reuniendo los
25 estndares de calidad
Mantener la integridad de la informacin e infraestructura de
26
procesamiento
27 Asegurar que TI cumple con la legislacin, regulacin y contratos.
Asegurar que TI demuestra la eficiencia de costes de la calidad de
28
servicios, mejoras continuas y disposicin para cambios futuros.
Tabla 10. Plantilla de relacin de Metas de TI
RELACIN OBJETIVOS DE CONTROL
ID Proceso ID O.C Objetivo de Control Se ejecuta (SI/NO)
P01.1 Administracin del Valor de TI

P01.2 Alineacin de TI con el Negocio
P01.3 Evaluacin del Desempeo y la Capacidad Actual
P01
P01.4 Plan Estratgico de TI
P01.5 Planes Tcticos de TI
P01.6 Administracin del Portafolio de TI
P02.1 Modelo de Arquitectura de Informacin Empresarial
Diccionario de Datos Empresarial y Reglas de Sintaxis
P02.2
P02 de Datos
P02.3 Esquema de Clasificacin de Datos
P02.4 Administracin de Integridad
P03.1 Planeacin de la Direccin Tecnolgica
P03.2 Plan de Infraestructura Tecnolgica
P03 P03.3 Monitoreo de Tendencias y Regulaciones Futuras
P03.4 Estndares Tecnolgicos
P03.5 Consejo de Arquitectura de TI
P04.1 Marco de Trabajo de Procesos de TI
P04.2 Comit Estratgico de TI
P04 P04.3 Comit Directivo de TI
P04.4 Ubicacin Organizacional de la Funcin de TI
P04.5 Estructura Organizacional
Pgina 33
P04.6 Establecimiento de Roles y Responsabilidades

P04.7 Responsabilidad de Aseguramiento de Calidad de TI
Responsabilidad sobre el Riesgo, la Seguridad y el
P04.8
Cumplimiento
P04.9 Propiedad de Datos y de Sistemas
P04.10 Supervisin
P04.11 Segregacin de Funciones
P04.12 Personal de TI
P04.13 Personal Clave de TI
P04.14 Polticas y Procedimientos para Personal Contratado
P04.15 Relaciones
P05.1 Marco de Trabajo para la Administracin Financiera
P05.2 Prioridades Dentro del Presupuesto de TI
P05 P05.3 Proceso Presupuestal
P05.4 Administracin de Costos de TI
P05.5 Administracin de Beneficios
P06.1 Ambiente de Polticas y de Control
Riesgo Corporativo y Marco de Referencia de Control
P06.2
Interno de TI
P06
P06.3 Administracin de Polticas para TI
P06.4 Implantacin de Polticas de TI
P06.5 Comunicacin de los Objetivos y la Direccin de TI
P07.1 Reclutamiento y Retencin del Personal
P07.2 Competencias del Personal
P07.3 Asignacin de Roles
P07.4 Entrenamiento del Personal de TI
P07
P07.5 Dependencia Sobre los Individuos
P07.6 Procedimientos de Investigacin del Personal
P07.7 Evaluacin del Desempeo del Empleado
P07.8 Cambios y Terminacin de Trabajo
P08.1 Sistema de Administracin de Calidad
P08.2 Estndares y Prcticas de Calidad
P08.3 Estndares de Desarrollo y de Adquisicin
P08
P08.4 Enfoque en el Cliente de TI
P08.5 Mejora Continua
P08.6 Medicin, Monitoreo y Revisin de la Calidad
P09.1 Marco de Trabajo de Administracin de Riesgos
P09.2 Establecimiento del Contexto del Riesgo
P09
P09.3 Identificacin de Eventos
P09.4 Evaluacin de Riesgos de TI
Pgina 34
P09.5 Respuesta a los Riesgos

Mantenimiento y Monitoreo de un Plan de Accin de
P09.6
Riesgos
P10.1 Marco de Trabajo para la Administracin de Programas
P10.2 Marco de Trabajo para la Administracin de Proyectos
P10.3 Enfoque de Administracin de Proyectos
P10.4 Compromiso de los Interesados
P10.5 Declaracin de Alcance del Proyecto
P10.6 Inicio de las Fases del Proyecto
P10.7 Plan Integrado del Proyecto
P10 P10.8 Recursos del Proyecto
P10.9 Administracin de Riesgos del Proyecto
P10.10 Plan de Calidad del Proyecto
P10.11 Control de Cambios del Proyecto
P10.12 Planeacin del Proyecto y Mtodos de Aseguramiento
Medicin del Desempeo, Reporte y Monitoreo del
P10.13
Proyecto
P10.14 Cierre del Proyecto
Definicin y Mantenimiento de los Requerimientos
A1.1
Tcnicos y Funcionales del Negocio
A1.2 Reporte de Anlisis de Riesgos
AI1
Estudio de Factibilidad y Formulacin de Cursos de
A1.3
Accin Alternativos
A1.4 Requerimientos, Decisin de Factibilidad y Aprobacin
AI2.1 Diseo de Alto Nivel
AI2.2 Diseo Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
Configuracin e Implantacin de Software Aplicativo
AI2.5
AI2 Adquirido
AI2.6 Actualizaciones Importantes en Sistemas Existentes
AI2.7 Desarrollo de Software Aplicativo
AI2.8 Aseguramiento de la Calidad del Software
AI2.9 Administracin de los Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo
AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica
Proteccin y Disponibilidad del Recurso de
AI3.2
AI3 Infraestructura
AI3.3 Mantenimiento de la Infraestructura
AI3.4 Ambiente de Prueba de Factibilidad
AI4.1 Plan para Soluciones de Operacin
AI4 Transferencia de Conocimiento a la Gerencia del
AI4.2
Negocio
Pgina 35
AI4.3 Transferencia de Conocimiento a Usuarios Finales

Transferencia de Conocimiento al Personal de
AI4.4
Operaciones y Soporte
AI5.1 Control de Adquisicin
AI5.2 Administracin de Contratos con Proveedores
AI5
AI5.3 Seleccin de Proveedores
AI5.4 Adquisicin de Recursos de TI
AI6.1 Estndares y Procedimientos para Cambios
AI6.2 Evaluacin de Impacto, Priorizacin y Autorizacin
AI6 AI6.3 Cambios de Emergencia
AI6.4 Seguimiento y Reporte del Estatus de Cambio
AI6.5 Cierre y Documentacin del Cambio
AI7.1 Entrenamiento
AI7.2 Plan de Prueba
AI7.3 Plan de Implantacin
AI7.4 Ambiente de Prueba
AI7 AI7.5 Conversin de Sistemas y Datos
AI7.6 Pruebas de Cambios
AI7.7 Prueba de Aceptacin Final.
AI7.8 Promocin a Produccin
AI7.9 Revisin Posterior a la Implantacin
Marco de Trabajo de la Administracin de los Niveles
DS1.1
de Servicio
DS1.2 Definicin de Servicios
DS1.3 Acuerdos de Niveles de Servicio
DS1 DS1.4 Acuerdos de Niveles de Operacin
Monitoreo y Reporte del Cumplimento de los Niveles de
DS1.5
Servicio
Revisin de los Acuerdos de Niveles de Servicio y de
DS1.6
los Contratos
Identificacin de Todas las Relaciones con
DS2.1
Proveedores
DS2 DS2.2 Gestin de Relaciones con Proveedores
DS2.3 Administracin de Riesgos del Proveedor
DS2.4 Monitoreo del Desempeo del Proveedor
DS3.1 Planeacin del Desempeo y la Capacidad
DS3.2 Capacidad y Desempeo Actual
DS3 DS3.3 Capacidad y Desempeo Futuros
DS3.4 Disponibilidad de Recursos de TI
DS3.5 Monitoreo y Reporte
DS4.1 Marco de Trabajo de Continuidad de TI
DS4
DS4.2 Planes de Continuidad de TI
Pgina 36
DS4.3 Recursos Crticos de TI

DS4.4 Mantenimiento del Plan de Continuidad de TI
DS4.5 Pruebas del Plan de Continuidad de TI
DS4.6 Entrenamiento del Plan de Continuidad de TI
DS4.7 Distribucin del Plan de Continuidad de TI
DS4.8 Recuperacin y Reanudacin de los Servicios de TI
Almacenamiento de Respaldos Fuera de las
DS4.9
Instalaciones
DS4.10 Revisin Post Reanudacin
DS5.1 Administracin de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administracin de Identidad
DS5.4 Administracin de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 Definicin de Incidente de Seguridad
DS5
DS5.7 Proteccin de la Tecnologa de Seguridad
DS5.8 Administracin de Llaves Criptogrficas
Prevencin, Deteccin y Correccin de Software
DS5.9
Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
DS6.1 Definicin de Servicios
DS6.2 Contabilizacin de TI
DS6
DS6.3 Modelacin de Costos y Cargos
DS6.4 Mantenimiento del Modelo de Costos
Identificacin de Necesidades de Entrenamiento y
DS7.1
Educacin
DS7
DS7.2 Imparticin de Entrenamiento y Educacin
DS7.3 Evaluacin del Entrenamiento Recibido
DS8.1 Mesa de Servicios
DS8.2 Registro de Consultas de Clientes
DS8 DS8.3 Escalamiento de Incidentes
DS8.4 Cierre de Incidentes
DS8.5 Anlisis de Tendencias
DS9.1 Repositorio y Lnea Base de Configuracin
Identificacin y Mantenimiento de Elementos de
DS9 DS9.2
Configuracin
DS9.3 Revisin de Integridad de la Configuracin
DS10.1 Identificacin y Clasificacin de Problemas
DS10 DS10.2 Rastreo y Resolucin de Problemas
DS10.3 Cierre de Problemas
Pgina 37
Integracin de las Administraciones de Cambios,

DS10.4
Configuracin y Problemas
Requerimientos del Negocio para Administracin de
DS11.1
Datos
DS11.2 Acuerdos de Almacenamiento y Conservacin
DS11.3 Sistema de Administracin de Libreras de Medios
DS11
DS11.4 Eliminacin
DS11.5 Respaldo y Restauracin
Requerimientos de Seguridad para la Administracin de
DS11.6
Datos
DS12.1 Seleccin y Diseo del Centro de Datos
DS12.2 Medidas de Seguridad Fsica
DS12 DS12.3 Acceso Fsico
DS12.4 Proteccin Contra Factores Ambientales
DS12.5 Administracin de Instalaciones Fsicas
DS13.1 Procedimientos e Instrucciones de Operacin
DS13.2 Programacin de Tareas
DS13 DS13.3 Monitoreo de la Infraestructura de TI
DS13.4 Documentos Sensitivos y Dispositivos de Salida
DS13.5 Mantenimiento Preventivo del Hardware
ME1.1 Enfoque del Monitoreo
ME1.2 Definicin y Recoleccin de Datos de Monitoreo
ME1.3 Mtodo de Monitoreo
ME1
ME1.4 Evaluacin del Desempeo
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
ME1.6 Acciones Correctivas
ME2.1 Monitoreo del Marco de Trabajo de Control Interno
ME2.2 Revisiones de Auditora
ME2.3 Excepciones de Control
ME2 ME2.4 Auto Evaluacin del Control
ME2.5 Aseguramiento del Control Interno
ME2.6 Control Interno para Terceros
ME2.7 Acciones Correctivas
Identificar los Requerimientos de las Leyes,
ME3.1
Regulaciones y Cumplimientos Contractuales
ME3.2 Optimizar la Respuesta a Requerimientos Externos
ME3 Evaluacin del Cumplimiento con Requerimientos
ME3.3
Externos
ME3.4 Aseguramiento Positivo del Cumplimiento
ME3.5 Reportes Integrados
ME4 ME4.1 Establecimiento de un Marco de Gobierno de TI
Pgina 38
ME4.2 Alineamiento Estratgico

ME4.3 Entrega de Valor
ME4.4 Administracin de Recursos
ME4.5 Administracin de Riesgos
ME4.6 Medicin del Desempeo
ME4.7 Aseguramiento Independiente
Tabla 11. Plantilla de relacin de Objetivos de Control
PREGUNTAS GERENCIALES
Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los

Planear y organizar
objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las necesidades

del negocio?
Observaciones
Es probable que los nuevos proyectos generen soluciones que

satisfagan las necesidades del negocio?
Es probable que los nuevos proyectos sean entregados a tiempo y
Adquirir e dentro del presupuesto?
implementar Trabajaran adecuadamente los nuevos sistemas una vez
implementados?
Los cambios no afectaran a las operaciones actuales del negocio?
Observaciones
Se estn entregando los servicios de TI de acuerdo con las

prioridades del negocio?
Estn optimizando los costos de TI?

Entregar y dar
soporte Es capaz la fuerza de trabajo de utilizar los sistemas de TI de
manera productiva y segura?
Estn implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?
Pgina 39
Observaciones
Se mide el desempeo de TI para detectar los problemas antes de

que sea demasiado tarde?
La Gerencia garantiza que los controles internos son efectivos y
Monitorear y eficientes?
evaluar Puede vincularse el desempeo de lo que TI ha realizado con las
metas del negocio?
Se miden y reportan los riesgos, el control, el cumplimiento y el
desempeo?
Observaciones
Tabla 12. Preguntas gerenciales
Pgina 40
4 APLICACIN DE COBIT
Esta es la fase principal de la gua, ya que es en est, en la que se hace el desarrollo completo de COBIT;
basados en la informacin obtenida en las etapas anteriores y en la informacin proporcionada en esta fase
sobre COBIT, se hace el mapeo de lo que se tiene en el actualidad en el rea de TI, con lo propuesto en esta
metodologa, para luego comenzar a desarrollar cada uno de los procesos actuales basndose en COBIT 4.1.
Durante esta etapa la(s) persona(s) involucrada(s) en la implementacin de COBIT se darn cuenta la utilidad
de la gua, ya que si esta es seguida como se ha planteado, se facilitar el entendimiento y el desarrollo de la
metodologa, y lo ms importante, se estar desarrollando COBIT en el rea de TI sin necesidad de ser un
experto en el tema, y con la certeza de que se est haciendo de una forma efectiva y conveniente para el
rea. Para esto, la gua proporciona todas las herramientas necesarias para lograr lo dicho anteriormente; ya
sean grficas, plantillas o formatos necesarios para el caso. En esta fase debe usarse la herramienta de
apoyo de esta gua.
Brindarle a la(s) persona(s) involucrada(s) en la implementacin de COBIT las herramientas e

informacin necesaria para el entendimiento de esta metodologa.
Mapear por completo la informacin del rea de TI obtenida con COBIT 4.1.
Obtener la madurez de los procesos actuales del rea de TI basados en COBIT 4.1.
Desarrollar COBIT en el rea de TI de la organizacin.
4.1 Introduccin a las metas de negocio de TI y metas de TI de COBIT
COBIT se basa en el siguiente principio: Para proporcionar la informacin que la empresa requiere para lograr
sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto
estructurado de procesos que provean los servicios que entregan la informacin empresarial requerida. Como
lo muestra la siguiente figura.
Pgina 41
Ilustracin 5. Principio Bsico de COBIT
Para cumplir con este principio COBIT ofrece herramientas que garantizan la alineacin con los
requerimientos del negocio.
4.1.1 CRITERIOS DE INFORMACIN DE COBIT
Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de
control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Para esto
se definieron los siguientes siete criterios de informacin:
CRITERIOS DE INFORMACIN
Tiene que ver con que la informacin sea relevante y pertinente a los procesos
Efectividad del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
Consiste en que la informacin sea generada con el ptimo (ms productivo y
Eficiencia
econmico) uso de los recursos.
Se refiere a la proteccin de informacin sensitiva contra revelacin no
Confidencialidad
autorizada.
Est relacionada con la precisin y completitud de la informacin, as como con
Integridad
su validez de acuerdo a los valores y expectativas del negocio.
Se refiere a que la informacin est disponible cuando sea requerida por los
Disponibilidad procesos del negocio en cualquier momento. Tambin concierne a la proteccin
de los recursos y las capacidades necesarias asociadas.
Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales
a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios
Cumplimiento
impuestos externamente, as como polticas internas.
Se refiere a proporcionar la informacin apropiada para que la gerencia

Confiabilidad administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
Tabla 13. Criterios de Informacin
Pgina 42
4.1.2 METAS DE NEGOCIO Y DE TI
Mientras que los criterios de informacin proporcionan un mtodo genrico para definir los
requerimientos del negocio, la definicin de un conjunto de metas genricas de negocio y de TI ofrece
una base ms refinada y relacionada con el negocio para el establecimiento de requerimientos de
negocio y para el desarrollo de mtricas que permitan la medicin con respecto a estas metas. Toda
empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas como metas del
negocio para TI.
Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia de la
empresa, debe existir una propiedad y una direccin clara de los requerimientos por parte del negocio
(el cliente) y un claro entendimiento para TI, de cmo y qu debe entregar (el proveedor). La Ilustracin
6 muestra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos
relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI). Estos objetivos a su vez,
deben conducir a una clara definicin de los propios objetivos de TI (las metas de TI), y luego stas a
su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) requeridos para
ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial. Para que el
cliente entienda las metas y los scorecard de TI, todos estos objetivos y sus mtricas asociadas se
deben expresar en trminos de negocio significativos para el cliente, y esto, combinado con una
alineacin efectiva de la jerarqua de objetivos, asegurar que el negocio pueda confirmar que TI
puede, con alta probabilidad, dar soporte a las metas del negocio.
Una vez que han sido definidas las metas alineadas, ests requieren ser monitoreadas para garantizar
que la entrega cumple con las expectativas. Esto se logra con mtricas derivadas de las metas y
capturadas en el scorecard de TI.
Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos objetivos y
mtricas asociadas deben expresarse en trminos de negocio significativos para el cliente. Esto,
combinado con un alineamiento efectivo de los objetivos jerrquicos asegurara que el negocio puede
confirmar que es probable que TI soporte los objetivos de la empresa.
Pgina 43
Ilustracin 6. Metas de TI y arquitectura empresarial para TI
4.1.3 RECURSOS DE TI
La organizacin de TI se desempea con respecto a estas metas como un conjunto de procesos definidos
con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnologa para ejecutar
aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la informacin del
negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI, como
se muestra en la Ilustracin 6.
Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los
recursos requeridos para crear una capacidad tcnica adecuada (Ej., un sistema de planeacin de
recursos empresariales [ERP]) para dar soporte a la capacidad del negocio (Ej., implementando una
cadena de suministro) que genere el resultado deseado (Ej., mayores ventas y beneficios financieros).
Pgina 44
Los recursos de TI identificados en COBIT se pueden definir como sigue:
RECURSOS DE TI
Incluyen tanto sistemas de usuario automatizados como procedimientos
Aplicaciones
manuales que procesan informacin.
Los datos en todas sus formas, de entrada, procesados y generados por los
Informacin sistemas de informacin, en
cualquier forma en que sean utilizados por el negocio.
Tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de

administracin de base de datos, redes, multimedia, etc., as como el sitio donde
Infraestructura
se encuentran y el ambiente que los soporta) que permiten el procesamiento de
las aplicaciones.
Personal requerido para planear, organizar, adquirir, implementar, entregar,

soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas
Personas
pueden ser internas, por outsourcing o contratadas, de acuerdo a como se
requieran.
Tabla 14. Recursos de TI
4.2 Mapear la informacin de TI obtenida
En esta etapa se deben tomar como gua las plantillas resultantes de las fase 2 y 3 (Ver Seccin 2.2 y
Entregables), y la plantilla de Metas de TI proporcionada por COBIT 4.1. Para esta parte de la gua se
usara la plantilla llamada Enlace metas TI a procesos TI (Ver Ilustracin 13) la cual contiene los siguientes
campos:
Metas de TI: Corresponden a las metas de TI que son planteadas por COBIT.
Procesos: Son los IDs de los procesos planteados por COBIT.
Criterios de informacin: Ver Criterios de informacin. En este campo, algunos de estos
criterios contienen la letra P o S, las cuales son referencias primarias y secundarias que se basan
en un agregado de los criterios para cada proceso de TI y en una evaluacin subjetiva de qu es
primario y qu es secundario para la meta de TI., debido a que algunos procesos tienen mayor
impacto en la meta de TI que otros. Estos son simples indicativos propuestos por COBIT.
La(s) persona(s) responsable(s) de la implementacin de COBIT deben seguir el siguiente procedimiento:
1) En la plantilla de Enlace metas TI a procesos TI (Ver Ilustracin 13) se deben poner en azul
aquella metas que aparecen en SI en la Plantilla de relacin de Metas de TI, las cuales se deben
seleccionar (filtrar por color), con el fin de obtener solo aquellas que se estn cumpliendo
actualmente en el rea.
2) Tomar cada uno de los procesos correspondientes a las metas seleccionadas, y revisar si en
procesos cumplidos aparecen con NO, en caso de ser as, estos deben ponerse en rojo en la
Pgina 45
Plantilla de relacin de procesos. Con esto se busca determinar aquellos procesos que
probablemente se estn cumpliendo en el rea, pero no se tienen presentes.
Con esto se busca reflejar la actualidad a nivel organizacional del rea de TI, es decir, determinar la
cantidad de metas que se tienen, si son las esperadas, si son las deseadas, y adems cuales estn
faltando. Adicional a esto, ya se puede ver y entender el rea de TI en trminos de COBIT, lo cual es
fundamental para la correcta implementacin de esta metodologa.
4.3 Directrices gerenciales
4.3.1 Introduccin a las directrices gerenciales
Estas directrices lo que buscan es que exista un mejor control y una mejor administracin de los procesos,
adems que estos sean fciles de entender tanto para la persona directamente responsable como para las
personas interesadas en medir el desempeo del rea. Estas directrices, se dividen en:
4.3.1.1 Entradas y salidas de proceso

Los dueos de procesos deben entender qu entradas requieren de otros procesos y qu requieren otros
de sus procesos. COBIT brinda ejemplos genricos de las entradas y salidas clave para cada proceso
incluyendo los requerimientos externos de TI. Existen algunas salidas que son entradas a todos los dems
procesos, marcadas como "TODOS" en las tablas de salidas, pero no se mencionan como entradas en
todos los procesos.
4.3.1.2 Matriz RACI

El entendimiento de los roles y responsabilidades para cada proceso es clave para un gobierno efectivo.
COBIT proporciona una matriz RACI (quin es responsable, quin rinde cuentas, quin es consultado y
quien informado) para cada proceso. Rendir cuentas significa la responsabilidad termina aqusta es la
persona que provee autorizacin y direccionamiento a una actividad. Responsabilidad se refiere a la
persona que realiza la actividad. Los otros dos roles (consultado e informado) garantizan que todas las
personas que son requeridas estn involucradas y dan soporte al proceso.
Los roles en la matriz RACI estn clasificados para todos los procesos como sigue:
Director ejecutivo (CEO)

Director financiero (CFO)
Ejecutivos del negocio
Director de Informtica (CIO)
Dueo del proceso de negocio
Jefe de operaciones
Arquitecto en jefe
Jefe de desarrollo
Jefe de administracin de TI (para empresas grandes, el jefe de funciones como recursos humanos,
presupuestos y control interno)
La oficina o funcin de administracin de proyectos (PMO)
Cumplimiento, auditora, riesgo y seguridad (grupos con responsabilidades de control que no tienen
responsabilidades operativas de TI)
Pgina 46
4.3.1.3 Metas y mtricas

Una necesidad bsica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qu
nivel de administracin y control debe proporcionar. Para decidir el nivel correcto, la gerencia debe
preguntarse: Hasta dnde debemos ir?, y est el costo justificado por el beneficio?
La obtencin de una visin objetiva del nivel de desempeo propio de una empresa no es sencilla. Qu
se debe medir y cmo? Las empresas deben medir dnde se encuentran y dnde se requieren mejoras, e
implementar un juego de herramientas gerenciales para monitorear esta mejora. Dos de las maneras en
que COBIT desarrolla estos temas son:
Metas y mediciones de desempeo para los procesos de TI, que demuestran cmo los procesos
satisfacen las necesidades del negocio y de TI, y cmo se usan para medir el desempeo de los
procesos internos basados en los principios de un marcador de puntuacin balanceado (balanced
scorecard).
Metas de actividades para facilitar el desempeo efectivo de los procesos.
Medicin del desempeo
Las mtricas y las metas se definen en COBIT a tres niveles:
Las metas y mtricas de TI que definen lo que el negocio espera de TI (lo que el negocio usara
para medir a TI).
Metas y mtricas de procesos que definen lo que el proceso de TI debe generar para dar
soporte a los objetivos de TI (cmo sera medido el dueo del proceso de TI)
Mtricas de desempeo de los procesos (miden qu tan bien se desempea el proceso para
indicar si es probable alcanzar las metas).
Las metas estn definidas de arriba hacia abajo por lo que una meta de negocio determinar varias metas
de TI que la soporten. Una meta de TI se logra por un proceso o la interaccin de varios procesos. Por lo
tanto, las metas de TI ayudan a definir las diferentes metas de proceso. A su vez, cada meta de proceso
requiere varias actividades, estableciendo as las metas de actividad. La siguiente figura proporciona un
ejemplo de las relaciones de las metas de negocio, TI, procesos y actividades.
Pgina 47
Ilustracin 7.Ejemplo Relacin entre metas
Existen dos tipos de mtricas:
Medidas de resultado: Indican cuando las metas se han conseguido. Estas pueden medirse slo
despus el hecho y, por eso, se llaman indicadores pasados.
Indicadores de Desempeo: Indican si es probable conseguir la meta. Se pueden medir antes de
que el resultado sea claro y, por eso, se llaman indicadores futuros.
Las medidas de resultado de el nivel mas bajo se convierten en indicadores de desempeo para las de
nivel mas alto.
Los indicadores de resultado definen mediciones que informan a gerenciadespus del hechocuando
una funcin, proceso o actividad de TI ha alcanzado sus metas. Los indicadores de resultados de las
funciones de TI a menudo se expresan en trminos de criterios de la informacin:
Disponibilidad de informacin necesaria para dar soporte a las necesidades del negocio
Ausencia de riesgos de integridad y de confidencialidad
Eficiencia en costos de procesos y operaciones
Confirmacin de confiabilidad, efectividad y cumplimiento
Los indicadores de desempeo definen las medidas que determinan lo bien que el negocio, la funcin de
TI o los procesos de TI se estn realizando para que se consigan las metas. Son indicadores futuros de
que las metas sern probablemente conseguidas, impulsando as a las metas de nivel ms alto. A menudo
miden la disponibilidad de capacidades, prcticas y habilidades apropiadas, y el resultado de las
actividades subyacentes. Por ejemplo, un servicio entregado por TI es una meta para TI pero es un
indicador de desempeo y una capacidad para el negocio. Esto es debido a que los indicadores de
desempeo se refieren a veces como impulsores de desempeo, particularmente en el balanced
scorecards.
Ilustracin 8. Ejemplo Impulsores de Desempeo
Pgina 48
Por lo tanto, las mtricas provistas son tanto medidas de resultado de la funcin de TI, proceso de TI o
meta de la actividad que miden, como un indicador de desempeo que impulsa las metas de ms alto
nivel del negocio, funcin de TI o proceso de TI.
La siguiente figura ilustra la relacin entre las metas de negocio, de TI, de proceso y de las actividades, y
las diferentes mtricas. La cascada de metas es ilustrada desde arriba a la izquierda hasta arriba a la
derecha. Debajo de la meta est su medida de resultado. La flecha indica que la misma mtrica es un
indicador de desempeo para la meta de ms alto nivel.
Ilustracin 9. Relacin entre procesos, metas y mtricas
COBIT proporciona mtricas slo para los resultados de las metas de TI marcadas por la lnea punteada.
Mientras que tambin son indicadores de desempeo para las metas de negocio para TI, COBIT no
proporciona medidas de resultado para las metas de negocio.
Las mtricas se han desarrollado con las siguientes caractersticas:
Un alto ratio de visin a esfuerzo (Ej., visin del desempeo y logro de las metas comparado con el
esfuerzo de capturarlas)
Comparable internamente (Ej. Porcentaje contra una base o nmeros en el tiempo)
Comparable externamente sin tener en cuenta el tamao de la empresa o industria.
Mejor tener pocas mtricas buenas (puede incluso ser una muy buena que puede ser influenciadas
por diferentes significados) que una lista ms larga de mtricas de poca calidad.
Fcil de medir, no confundir con los objetivos.
Pgina 49
Para cada proceso de TI en COBIT, las metas y mtricas se presentan, como se indica en la siguiente
figura:
Ilustracin 10. Presentacin de metas y mtricas
4.4 Revisar las directrices gerenciales
En esta etapa se deben revisar las directrices gerenciales de cada uno de los procesos seleccionados,
con el fin de conocer mejor lo que COBIT establece para cada uno de estos, y comenzar a aplicarlo en los
procesos del rea.
4.5 Modelo de madurez
4.5.1 Introduccin a modelo de madurez
Los Modelos de madurez facilitan la evaluacin por medio de benchmarking y la identificacin de las
mejoras necesarias en la capacidad.
En el rea de TI el dueo del proceso se debe poder evaluar de forma progresiva, contra los objetivos de
control. Esto responde a tres necesidades:
1) Una medicin relativa de dnde se encuentra la empresa.
Pgina 50
2) Una manera de decidir hacia dnde ir de forma eficiente.

3) Una herramienta para medir el avance contra la meta.
El modelo de madurez para la administracin y el control de los procesos de TI se basa en un mtodo de

evaluacin de la organizacin, de tal forma que se pueda evaluar a s misma desde un nivel de no-
existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el
Software Engineering Institute defini para la madurez de la capacidad del desarrollo de software.
Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso hara que el
sistema fuera difcil de usar y sugerira una precisin que no es justificable debido a que en general, el fin
es identificar dnde se encuentran los problemas y cmo fijar prioridades para las mejoras. El propsito
no es avaluar el nivel de adherencia a los objetivos de control.
Los niveles de madurez estn diseados como perfiles de procesos de TI que una empresa reconocera
como descripciones de estados posibles actuales y futuros. No estn diseados para ser usados como un
modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las
condiciones del nivel inferior. Con los modelos de madurez de COBIT, a diferencia de la aproximacin del
CMM original de SEI, no hay intencin de medir los niveles de forma precisa o probar a certificar que un
nivel se ha conseguido con exactitud. Una evaluacin de la madurez de COBIT resultara en un perfil
donde las condiciones relevantes a diferentes niveles de madurez se han conseguido, como se muestra
en el siguiente ejemplo grfico:
70.00%
60.00%
50.00%
40.00%
30.00%
20.00%
10.00%
0.00%
MM Nivel 1 MM Nivel 2 MM Nivel 3 MM Nivel 4 MM Nivel 5
Ilustracin 11. Posible nivel de madurez de un Proceso de TI
Esto se debe a que cuando se emplea la evaluacin de la madurez con los modelos de COBIT, a menudo
algunas implementaciones estarn en diferentes niveles aunque no est completa o suficiente. Estas
fortalezas pueden apalancarse para seguir mejorando la madurez. Por ejemplo, algunas partes del
proceso pueden estar bien definidas, y, an cuando est incompleto, sera errneo decir que no est
definido del todo.
Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la
gerencia podr identificar:
Pgina 51
El desempeo real de la empresaDnde se encuentra la empresa hoy

El estatus actual de la industriaLa comparacin
El objetivo de mejora de la empresaDnde desea estar la empresa
El crecimiento requerido entre como es y como ser
Para hacer que los resultados sean utilizables con facilidad en resmenes gerenciales, donde se
presentarn como un medio para dar soporte al caso de negocio para planes futuros, se requiere contar
con un buen mtodo grfico de presentacin.
Ilustracin 12. Representacin grfica Modelo Madurez
El desarrollo se bas en las descripciones del modelo de madurez genrico descritas en la tabla siguiente:
MODELO GENERICO DE MADUREZ
0 No Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera

existente que existe un problema a resolver.
Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser
resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc
1 Inicial
que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la
administracin es desorganizado.
Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares
2 Repetible
en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin
Pgina 52
formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un

alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son
muy probables.
Los procedimientos se han estandarizado y documentado, y se han difundido a travs de

entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es
3 Definido
poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados
pero formalizan las prcticas existentes.
Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas

4 cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo
Administrado constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas
de una manera limitada o fragmentada.
Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados de
mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma
5 Optimizado integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se
adapte de manera rpida.
Tabla 15. Modelo genrico de madurez
La ventaja de un modelo de madurez es que es relativamente fcil para la direccin ubicarse a s misma en la
escala y evaluar qu se debe hacer si se requiere desarrollar una mejora. La escala incluye al 0 ya que es
muy posible que no existan procesos en lo absoluto. La escala del 0-5 se basa en una escala de madurez
simple que muestra como un proceso evoluciona desde una capacidad no existente hasta una capacidad
optimizada.
Sin embargo, la capacidad administrativa de un proceso no es lo mismo que el desempeo. La capacidad

requerida, como se determina en el negocio y en las metas de TI, puede no requerir aplicarse al mismo nivel
en todo el ambiente de TI, es decir, de forma inconsistente o slo a un nmero limitado de sistemas o
unidades. La medicin del desempeo es esencial para determinar cul es el desempeo real de la empresa
en sus procesos de TI.
El modelo de madurez es una forma de medir qu tan bien estn desarrollados los procesos administrativos,
esto es, qu tan capaces son en realidad. Qu tan bien desarrollados o capaces deberan ser, principalmente
dependen de las metas de TI y en las necesidades del negocio subyacentes a las cuales sirven de base.
Cunta de esa capacidad es realmente utilizada actualmente para retornar la inversin deseada en una
empresa. Por ejemplo, habr procesos y sistemas crticos que requieren de una mayor administracin de la
seguridad que otros que son menos crticos. Por otro lado, el grado y sofisticacin de los controles que se
requiere aplicar en un proceso estn ms definidos por el apetito de riesgo de una empresa y por los
requerimientos aplicables.
Las escalas del modelo de madurez ayudarn a los profesionales a explicarle a la gerencia dnde se
encuentran los defectos en la administracin de procesos de TI y a establecer objetivos donde se requieran.
El nivel de madurez correcto estar influenciado por los objetivos de negocio de una empresa, por el ambiente
operativo y por las prcticas de la industria. Especficamente, el nivel de madurez en la administracin se
Pgina 53
basar en la dependencia que tenga la empresa en TI, en su sofisticacin tecnolgica y, lo ms importante, en

el valor de su informacin.
Un punto de referencia estratgico para una empresa que ayuda a mejorar la administracin y el control de los
procesos de TI se puede encontrar observando los estndares internacionales y las mejores prcticas. Las
prcticas emergentes de hoy en da se pueden convertir en el nivel esperado de desempeo del maana y por
lo tanto son tiles para planear dnde desea estar la empresa en un lapso de tiempo.
Los modelos de madurez se desarrollan empezando con el modelo genrico cualitativo (ver Tabla 15. Modelo
genrico de madurezModelo genrico de madurez) al cual se aaden, en forma creciente, algunos principios
contenidos en los siguientes atributos, a travs de niveles:
Conciencia y comunicacin
Polticas, estndares y procedimientos
Herramientas y automatizacin
Habilidades y experiencia
Responsabilidad y rendicin de cuentas
Establecimiento y medicin de metas
En resumen, los modelos de madurez brindan un perfil genrico de las etapas a travs de las cuales
evolucionan las empresas para la administracin y el control de los procesos de TI, estos son:
Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de
madurez.
Una escala donde la diferencia se puede medir de forma sencilla.
Una escala que se presta a s misma para una comparacin prctica.
La base para establecer el estado actual y el estado deseado.
Soporte para un anlisis de brechas para determinar qu se requiere hacer para alcanzar el nivel
seleccionado.
Tomado en conjunto, una vista de cmo se administra TI en la empresa.
Los modelos de madurez COBIT se enfocan en la capacidad, y no necesariamente en el desempeo. No son

un nmero al cual hay que llegar, ni estn diseados para ser una base formal de certificacin con niveles
discretos que formen umbrales difciles de atravesar.
Sin embargo, se disearon para ser aplicables siempre, con niveles que brindan una descripcin que una
empresa pueda reconocer como la mejor para sus procesos. El nivel correcto est determinado por el tipo de
empresa, por su medio ambiente y por la estrategia.
El desempeo, o la manera en que la capacidad se usa y se implanta, es una decisin de rentabilidad. Por
ejemplo, un alto nivel de administracin de la seguridad quiz se tenga que enfocar slo en los sistemas
empresariales ms crticos.
Para finalizar, mientras los niveles de madurez ms altos aumentan el control del proceso, la empresa an
necesita analizar, con base en los impulsores de riesgo y de valor, cules mecanismos de control debe
aplicar. Las metas genricas de negocio y de TI, como se definen en este marco de trabajo, ayudarn a
realizar este anlisis. Los objetivos de control de COBIT guan los mecanismos de control y stos se enfocan
Pgina 54
en qu se hace en el proceso; los modelos de madurez se enfocan principalmente en qu tan bien se

administra un proceso.
Un ambiente de control implantado de forma adecuada, se logra cuando se han conseguido los tres aspectos
de madurez (capacidad, desempeo y control). El incremento en la madurez reduce el riesgo y mejora la
eficiencia, generando menos errores, ms procesos predecibles y un uso rentable de los recursos.
4.5.2 Determinar la madurez de cada proceso
En esta etapa se busca determinar la madurez de los procesos que se tienen en el rea de TI actualmente.
La(s) persona(s) responsable(s) de la implementacin de COBIT debe seguir el siguiente procedimiento:
1) En la plantilla de Enlace Metas TI a Procesos TI se debe seleccionar (hacer click) cada uno de los
procesos, e ir a la seccin de modelo de madurez (ver Ilustracin 14. Navegacin en COBIT). All se
mostrarn cada una de los niveles de madurez del proceso junto con sus descripciones
correspondientes (ver Ilustracin 21)
2) Por cada uno de los procesos se debe determinar cules de estas descripciones se cumplen, y se
debe poner en azul (el tono se muestra en la hoja) cada una de las que son realizadas en el rea.
Cabe aclarar que estas descripciones no son excluyente de un nivel a otro, ni tampoco es
necesario que se estn realizando completamente, tal y como se describe en la seccin anterior.
3) Cuando se haya completado el chequeo de cada una de las descripciones del proceso, se debe
hacer click sobre el nombre de este, lo cual mostrar una tabla (ver Ilustracin 22) con la grfica de
la madurez del proceso.
4.6 Entregables
Los entregables finales de esta fase se encuentran en la herramienta de apoyo en la seccin llamada fase
4. Los cuales se muestran a continuacin:
Pgina 55
Ilustracin 13. Enlace Metas TI a Procesos TI
Ilustracin 14. Navegacin en COBIT
Pgina 56
Ilustracin 15. Descripcin del proceso
Pgina 57
Ilustracin 16. Objetivos de Control
Ilustracin 17. Descripcin Objetivo de Control
Pgina 58
Ilustracin 18. Entradas y Salidas
Ilustracin 19. Matriz RACI
Pgina 59
Ilustracin 20. Metas y Mtricas
Pgina 60
Ilustracin 21. Modelo de Madurez
Pgina 61
Ilustracin 22. Grfica nivel de madurez del proceso
Pgina 62
Etapa 2
En esta etapa se hace el anlisis y la retroalimentacin de los resultados obtenidos en la etapa anterior; y la
validacin de la utilidad y efectividad de esta gua. Para esto se deben cumplir las siguientes dos fases:
5 ANALISIS DE COBIT
Esta es la fase final de la gua, se determinar como esta el rea de TI a nivel general, y que mejoras quedan
por hacer basndose en la informacin obtenida en las cuatro fases anteriores. Esta etapa se puede dividir en
2 sub-fases; en la primera, se hace el anlisis completo de los resultados obtenidos, lo cual es, determinar en
que nivel de madurez se encuentra la organizacin desde el punto de vista de TI, como est actualmente el
rea de TI, establecer que tan alineada esta la estrategia de TI con la estrategia del negocio, y adems
enfatizar en aquellas mejoras que se deben realizar para alcanzar el estado deseado por los encargados del
rea; en la segunda, se determina a qu punto debo volver, para continuar con la implementacin de COBIT
en el rea de TI.
Los objetivos de esta fase son:
Determinar qu medidas son necesarias para mejorar el rea de TI.
5.1 Anlisis del rea de TI
En esta etapa se deben tomar cada una de las tablas de madurez de los procesos desarrollados y
determinar cuntos procesos hay en MM nivel 0, nivel 1 hasta nivel 5, y basndose en estos resultados
completar la tabla Madurez Empresa. Al completar esta tabla, se mostrar automticamente una grafica con
el estado actual del rea de TI de la organizacin.
Basados en esta grfica, las grficas individuales de los procesos, y la dems informacin obtenida
durante el desarrollo de esta gua; la(s) persona(s) involucrada(s) deben determinar cul es el siguiente
paso a seguir por parte de ellos, con el fin de comenzar a realizar las mejoras necesarias en el rea
basndose en la informacin ofrecida en esta gua y su herramienta de apoyo.
En esta etapa se aconseja que se tomen aquellos procesos que estn en un nivel de madurez por debajo
del requerido (si este es el caso), y se apliquen aquellas medidas establecidas por COBIT 4.1 ofrecidas
en la herramienta de apoyo de este documento.
5.2 Siguiente iteracin de COBIT
A partir del anlisis realizado en el paso anterior se debe volver a un punto determinado de esta gua y
seguir nuevamente el procedimiento establecido, esto con el fin de llegar a tener en algn momento el rea
de TI gobernada por COBIT en un 100%.
Pgina 63
Ilustracin 23. Madurez Empresa
Pgina 64
6 RESULTADOS DEL DESARROLLO DE LA GUIA
En esta etapa simplemente se listan los puntos importantes que se obtuvieron con esta gua.
El resultado principal de esta gua es haber desarrollado COBIT 4.1 en el rea de TI, y esto se ve
reflejado en la documentacin obtenida con esta gua.
Hay un resultado intangible, el cual es, facilitar el entendimiento y manejo de la metodologa COBIT
sin ser un experto en la materia.
Se logro sintetizar la informacin relevante del rea de TI, de su estado actual, y adicionalmente,
indica que se debe hacer para mejorar las distintas debilidades y deficiencias encontradas durante el
desarrollo de esta gua (Archivo COBIT 4.1)
Pgina 65
GLOSARIO
Actividad- Las medidas principales tomadas para operar un proceso.
Arquitectura de la Informacin- Ver arquitectura de TI.
Arquitectura de TI- Un marco integrado para evolucionar o dar mantenimiento a TI existente y adquirir nueva
TI para alcanzar las metas estratgicas y de negocio de la empresa.
Arquitectura empresarial para TI- Respuesta en la entrega de TI, provista por procesos claramente definidos
usando sus recursos (aplicaciones, informacin, infraestructura y personas).
Arquitectura empresarial- Mapa de rutas tecnolgicas orientada al negocio para el logro de las metas y
objetivos de negocio.
Balanced Scorecard Un mtodo para medir las actividades de una empresa en trminos de su visin y
estrategias, proporcionando una vista rpida e integral del desempeo del negocio a la gerencia. Es una
herramienta administrativa cuyo fin es medir un negocio desde las siguientes perspectivas: financiera, del
cliente, del negocio y del aprendizaje (Robert S. Kaplan y David Norton, 1992).
Benchmarking- Un proceso utilizado en administracin, en particular en la administracin estratgica, en el

cual las compaas evalan varios aspectos de sus procesos de negocio con respecto a las mejores prcticas,
por lo general dentro de su propia industria.
Capacidad- Contar con los atributos necesarios para realizar o lograr.
Cliente- Una persona o entidad externa o interna que recibe los servicios empresariales de TI.
COBIT- Los Objetivos de Control para la Informacin y la Tecnologa relacionada.
Control- Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proporcionar
una garanta razonable de que los objetivos del negocio se alcanzaran y los eventos no deseados sern
prevenidos o detectados.
Domino- Agrupacin de objetivos de control en etapas lgicas en el ciclo de vida de inversin en TI.
Empresa Un grupo de individuos que trabajan juntos para un fin comn, por lo general dentro del contexto
de una forma organizacional, como una corporacin agencia pblica, entidad de caridad o fondo.
Estndar- Una prctica de negocio o producto tecnolgico que es una prctica aceptada, avalada por la
empresa o por el equipo gerencial de TI. Los estndares se pueden Implementar para dar soporte a una
poltica o a un proceso, o como respuesta a una necesidad operativa. As como las polticas, los estndares
deben incluir una descripcin de la forma en que se detectar el incumplimiento.
Gobierno- El mtodo por medio del cual una organizacin es dirigida, administrada o controlada.
Madurez- Indica el grado de confiabilidad o dependencia que el negocio puede tener en un proceso, al
alcanzar las metas y objetivos deseados.
Pgina 66
Mtrica- Un estndar para medir el desempeo contra la meta.
Objetivo de control- Una declaracin del resultado o propsito que se desea alcanzar al Implementar
procedimientos de control en un proceso en particular.
Poltica- Por lo general, un documento que ofrece un principio de alto nivel o una estrategia a seguir. El
propsito de una poltica es influenciar y guiar la toma de decisiones presente y futura, haciendo que estn de
acuerdo a la filosofa, objetivos y planes estratgicos establecidos por los equipos gerenciales de la empresa.
Adems del contenido de la poltica, esta debe describir las consecuencias de la falta de cumplimiento de la
misma, el mecanismo para manejo de excepciones y la manera en que se verificar y medir el cumplimiento
de la poltica.
Procedimiento- Una descripcin de una manera particular de lograr algo; una forma establecida de hacer las
cosas; una serie de pasos que se siguen en un orden regular definido, garantizando un enfoque consistente y
repetitivo hacia las actividades.
Proceso- Por lo general, un conjunto de procedimientos influenciados por las polticas y estndares de la
organizacin, que toma las entradas provenientes de un nmero de fuentes, incluyendo otros procesos,
manipula las entradas, y genera salidas, incluyendo a otros procesos, para los clientes de los procesos. Los
procesos tienen razones claras de negocio para existir, dueos responsables, roles claros y responsabilidades
alrededor de la ejecucin del proceso, as como los medios para medir el desempeo.
Riesgo- El potencial de que una amenaza especfica explote las debilidades de un activo o grupo de activos
para ocasionar prdida
y/o dao a los activos. Por lo general se mide por medio de una combinacin del impacto y la probabilidad de
ocurrencia.
TI- Tecnologa de informacin.
Pgina 67

Guía Metodológica para COBIT 4.1

Cargado por

Copyright:

Formatos disponibles

Guía Metodológica para COBIT 4.1

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía Metodológica para COBIT 4.1

Cargado por

Copyright:

Formatos disponibles

GUA METODOLGICA COBIT 4.

GUA METODOLOGICA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.

4.1 Introduccin a las metas de negocio de TI y metas de TI de COBIT ........................................................ 41

ILUSTRACIN 1. FASES DE LAS GUA ......................................................................................................................................................... 6

GUA PARA IMPLEMENTAR COBIT EN LAS AREAS DE TI.

Ilustracin 1. Fases de las gua.

1. Identificacin y evaluacin de la organizacin. En esta fase se har un conocimiento ms

2. Identificacin y evaluacin del rea de TI. En esta fase se conocer el rea de TI de la

USO RECOMENDADO DE LA GUA

1. IDENTIFICACIN Y EVALUACIN DE LA ORGANIZACIN

La identificacin y evaluacin de la organizacin busca que la(s) persona(s) interesadas en realizar la

Los objetivos de esta fase son los siguientes:

Obtener la informacin corporativa necesaria para brindarle a la(s) persona(s) involucradas en la

1.1 Conocer la organizacin

Core del negocio: Esto es determinar qu es lo que caracteriza, define y diferencia a la

Core del negocio

2. IDENTIFICACIN Y EVALUACIN DEL REA DE TI.

Los objetivos de esta fase son los siguientes:

Obtener la informacin necesaria para brindarle a la(s) persona(s) encargada(s) de implementar

2.1 Conocer el rea

Objetivo principal: Determinar cul es el objetivo principal del rea de TI.

(Cuales son los puntos

3. IDENTIFICACIN Y EVALUACIN DE LOS PROCESOS DEL REA DE TI

Los objetivos de esta fase son:

3.1 Conocer los procesos de TI

Nombre del proceso

3.2 Introduccin a los procesos COBIT

El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn

Ilustracin 2.Los 4 dominios interrelacionados de COBIT

PLANEAR Y ORGANIZAR (PO)

ADQUIRIR E IMPLEMENTAR (AI)

ENTREGAR Y DAR SOPORTE (DS)

MONITOREAR Y EVALUAR (ME)

3.3 Introduccin a controles

3.3.1 Los procesos requieren controles

COBIT se basa en el siguiente modelo de control estndar:

Ilustracin 3. Modelo de Control COBIT

Definir las actividades clave y entregables finales del proceso. Asignar y

procedimientos dirigen los procesos de TI estn documentados, revisados, mantenidos,

Identificar un conjunto de mtricas que proporcionen visin de las salidas y el

Tabla 4. Controles Procesos

3.3.2 Controles del negocio y de TI

El sistema de control interno de la empresa impacta en TI a tres niveles:

Al nivel de direccin ejecutiva, se fijan los objetivos de negocio, se establecen polticas y se

riesgo (por accidente o de forma deliberada) la confiabilidad de los chequeos automticos de

3.3.3 Controles generales de TI y controles de aplicacin

La empresa es responsable de:

La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones:

Establecer que la entrada de datos se realice en forma oportuna por

Integridad y Mantener la integridad y validacin de los datos a travs del ciclo de

3.4 Documentacin de procesos

La navegacin en COBIT de un proceso es un formato que proporciona esta metodologa para

Ilustracin 4. Navegacin en COBIT

3.4.2 Introduccin a los componentes esenciales de COBIT

Seccin 2 Los objetivos de control detallados para este proceso.

Lo que el dueo del

3.7 Introduccin de objetivos de Control

Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a