COBIT 4.

0
COBIT define las actividades de TI en un modelo de 34 procesos genricos agrupados
en 4 dominios:
Planear y Organizar Estrategias y tcticas! Identificar la manera en "ue TI
pueda contri#uir de la me$or manera al logro de los o#$etivos del negocio!
%d"uirir e Implementar Identificaci&n de soluciones' desarrollo o ad"uisici&n'
cam#ios y(o mantenimiento de sistemas e)istentes!
Entregar y *ar +oporte Cu#re la entrega de los servicios re"ueridos! Incluye
la prestaci&n del servicio' la administraci&n de la seguridad y de la continuidad'
el soporte del servicio a los usuarios' la administraci&n de los datos y de las
instalaciones operacionales!
,onitorear y Evaluar Todos los procesos de TI de#en evaluarse de forma
regular en el tiempo en cuanto a su calidad y cumplimiento de los
re"uerimientos de control! Este dominio a#arca la administraci&n del
desempe-o' el monitoreo del control interno' el cumplimiento regulatorio y la
aplicaci&n del go#ierno!
.os dominios se e"uiparan a las reas tradicionales de TI de planear' construir'
e$ecutar y monitorear!
COBIT proporciona un modelo de procesos de referencia y un lengua$e com/n para
"ue cada uno en la empresa visualice y administre las actividades de TI! .a
incorporaci&n de un modelo operacional y un lengua$e com/n para todas las partes de
un negocio involucradas en TI es uno de los pasos iniciales ms importantes 0acia un
#uen go#ierno!
Tam#in #rinda un marco de tra#a$o para la medicin y monitoreo del desempe-o de
TI' comunicndose con los proveedores de servicios e integrando las me$ores
prcticas administrativas!
1n modelo de procesos fomenta la propiedad de los procesos' permitiendo "ue se
definan las responsa#ilidades! Para go#ernar efectivamente TI' es importante
determinar las actividades y los riesgos "ue re"uieren ser administrados! 2stos se
pueden resumir como sigue:
LOS PROCESOS REQUIEREN CONTROLES
Control pol3ticas' procedimientos' prcticas y estructuras organizacionales
dise-adas para #rindar una seguridad razona#le "ue los o#$etivos de negocio se
alcanzarn' y los eventos no deseados sern prevenidos o detectados y corregidos!
O#$etivos de Control re"uerimientos m3nimos para un control efectivo de cada
proceso de IT!
4erencia usa los procesos para organizar y administrar las actividades de TI en curso!
Cada proceso de TI de COBIT tiene un o#$etivo de control de alto nivel y un n/mero de
o#$etivos de control detallados
%dems de los o#$etivos de control detallados' cada proceso COBIT tiene
re"uerimientos de control genricos "ue se identifican con PCn' "ue significa n/mero
de control de proceso:
5esumen COBIT Pgina 6 de 7
PC1 Dueo del proceso %signar un due-o para cada proceso COBIT de tal manera
"ue la responsa#ilidad sea clara!
PC2 Reiterativo *efinir cada proceso COBIT de tal forma "ue sea repetitivo!
PC3 Metas y objetivos Esta#lecer metas y o#$etivos claros para cada proceso
COBIT para una e$ecuci&n efectiva!
PC4 Roles y responsabilidades *efinir roles' actividades y responsa#ilidades claros
en cada proceso COBIT para una e$ecuci&n eficiente!
PC5 Desempeo del proceso ,edir el desempe-o de cada proceso COBIT en
comparaci&n con sus metas!
PC6 Polticas! planes y procedimientos *ocumentar' revisar' actualizar' formalizar y
comunicar a todas las partes involucradas cual"uier pol3tica' plan & procedimiento "ue
impulse un proceso COBIT!
.os propietarios de procesos de#en entender "u entradas re"uieren de otros
procesos y "ue re"uieren otros de sus procesos!
5oles y responsa#ilidades documentados Clave para un go#ierno efectivo!
4rfica RACI 8"uin es responsa#le' "uin rinde cuentas' "uin es consultado y "uien
informado9 para cada proceso!
5endir cuentas la persona "ue provee autorizaci&n y direccionamiento a una
actividad!
5esponsa#ilidad la persona "ue realiza la actividad!
Consultado e Informado garantizan "ue todas las personas "ue son re"ueridas
estn involucradas y dan soporte al proceso!
CONTROLES DEL NEGOCIO CONTROLES DE TI
O!"eti#o$ de ne%ocio +e fi$an a nivel de direcci&n e$ecutiva! +e esta#lecen
pol3ticas y se toman decisiones de c&mo aplicar y administrar los recursos
empresariales para e$ecutar la estrategia de la compa-3a!
.os controles TI se gu3an por este con$unto de o#$etivos y pol3ticas de alto nivel!
Contro&e$ de ne%ocio a nivel de procesos de negocio! +on controles para
actividades espec3ficas del negocio! .a mayor3a de los procesos de negocio
estn automatizados e integrados con los sistemas aplicativos de TI muc0os
de los controles a este nivel estn automatizados 'contro&e$ de &($
()&ic(cione$*! P!e!: Integridad' precisi&n' validez' autorizaci&n' segregaci&n de
funciones:
Otros controles como procedimientos manuales 8autorizaci&n de transacciones'
separaci&n de funciones conciliaciones manuales!!!9 'contro&e$ m(n+(&e$*!
Ser#icio$ TI Proporcionados para soportar los procesos de negocio! +uelen
estar compartidos por varios procesos de negocio! % estos servicios se tam#in
aplican controles 'contro&e$ %ener(&e$ de TI*! P!e!: desarrollo de sistemas'
administraci&n de cam#ios' seguridad' operaciones del computador' :
Con"+nto recomend(do de contro&e$ de &($ ()&ic(cione$,
Contro&e$ de ori%en de d(to$- (+tori.(cin
"C1 Procedimientos de preparaci#n de datos
"C2 Procedimientos de autori$aci#n de documentos %uente
"C3 Recolecci#n de datos de documentos %uente
"C4 Manejo de errores en documentos %uente
"C5 Retenci#n de documentos %uente
Contro&e$ de entr(d( de d(to$
"C6 Procedimientos de autori$aci#n de captura de datos
"C& 'eri%icaciones de precisi#n! inte(ridad y autori$aci#n
5esumen COBIT Pgina ; de 7
"C) Manejo de errores en la entrada de datos
Contro&e$ en e& Proce$(miento de d(to$
"C* +nte(ridad en el procesamiento de datos
"C1, 'alidaci#n y edici#n del procesamiento de datos
"C11 Manejo de errores en el procesamiento de datos
Contro&e$ de $(&id( de d(to$
"C12 Manejo y retenci#n de salidas
"C13 Distribuci#n de salidas
"C14 Cuadre y conciliaci#n de salidas
"C15 Revisi#n de salidas y manejo de errores
"C16 Provisi#n de se(uridad para reportes de salida
Contro&e$ de &/mite$
"C1& "utenticidad e inte(ridad
"C1) Protecci#n de in%ormaci#n sensitiva durante su transmisi#n y transporte
GENERADORES DE 0EDICIONES
.as empresas de#en medir d&nde se encuentran y d&nde se re"uieren me$oras' e
implementar un $uego de 0erramientas gerenciales para monitorear esta me$ora!
<=asta d&nde de#emos ir> <Est $ustificado el costo por el #eneficio>
Para responder a esto COBIT utiliza:
0ode&o$ de m(d+re. "ue facilitan la evaluaci&n por medio de #enc0mar?ing y
la identificaci&n de las me$oras necesarias en la capacidad
0et($ y medicione$ de desempe-o para los procesos de TI c&mo los
procesos satisfacen las necesidades del negocio y de TI' y c&mo se usan para
medir el desempe-o de los procesos internos
0et($ de (cti#id(de$ para facilitar el desempe-o efectivo de los procesos
1sando los procesos de madurez desarrollados para cada uno de los 34 procesos TI
la administraci&n podr identificar:
El desempe-o real de la empresa@*&nde se encuentra la empresa 0oy 89
El estatus actual de la industria@.a comparaci&n 89
El o#$etivo de me$ora de la empresa@*&nde desea estar la empresa 89
Modelo genrico de madurez
0 No e1i$tente. Carencia completa de cual"uier proceso reconoci#le! .a empresa no
0a reconocido si"uiera "ue e)iste un pro#lema a resolver!
2 Inici(&. E)iste evidencia "ue la empresa 0a reconocido "ue los pro#lemas e)isten y
re"uieren ser resueltos! +in em#argoA no e)isten procesos estndar en su lugar
e)isten enfo"ues ad -oc "ue tienden a ser aplicados de forma individual o caso por
caso! El enfo"ue general 0acia la administraci&n es desorganizado!
3 Re)eti!&e. +e 0an desarrollado los procesos 0asta el punto en "ue se siguen
procedimientos similares en diferentes reas "ue realizan la misma tarea! Bo 0ay
entrenamiento o comunicaci&n formal de los procedimientos estndar' y se de$a la
responsa#ilidad al individuo! E)iste un alto grado de confianza en el conocimiento de
los individuos y' por lo tanto' los errores son muy pro#a#les!
4 De5inido! .os procedimientos se 0an estandarizado y documentado' y se 0an
difundido a travs de entrenamiento! +in em#argo' se de$a "ue el individuo decida
utilizar estos procesos' y es poco pro#a#le "ue se detecten desviaciones! .os
procedimientos en s3 no son sofisticados pero formalizan las prcticas e)istentes!
4 Admini$tr(do. Es posi#le monitorear y medir el cumplimiento de los procedimientos
y tomar medidas cuando los procesos no estn tra#a$ando de forma efectiva! .os
5esumen COBIT Pgina 3 de 7
procesos estn #a$o constante me$ora y proporcionan #uenas prcticas! +e usa la
automatizaci&n y 0erramientas de una manera limitada o fragmentada!
6 O)timi.(do. .os procesos se 0an refinado 0asta un nivel de me$or prctica' se
#asan en los resultados de me"or($ contin+($ y en un modelo de madurez con otras
empresas! TI se usa de forma integrada para automatizar el flu$o de tra#a$o' #rindando
0erramientas para me$orar la calidad y la efectividad' 0aciendo "ue la empresa se
adapte de manera rpida!
0EDICI7N DEL DESE0PE8O
+e definen met($ a nivel de Begocio' TI' Proceso y %ctividad
+e definen m9tric($ a nivel de negocio' de TI y de proceso!
+e utilizan dos tipos de mtrica:
Indicadores clave de metas 8C4I9 indican 8despus del 0ec0o9 si un proceso
0a alcanzado o no sus re"uerimientos de negocio!
Indicadores clave de desempe-o 8CPI9 indican c&mo se est desempe-ando
un proceso 8si ser facti#le o no alcanzar la meta9!
.os indicadores de metas de #a$o nivel se convierten en indicadores de desempe-o
para los niveles altos!
,etas de actividad ,etas de Proceso ,etas de TI ,etas de Begocio
CPI ,trica de Begocio C4I
CPI ,trica de TI C4I
CPI ,trica de Proceso C4I
Caractersticas de mtricas efectivas:
1na alta proporci&n entendimientoDesfuerzo 8esto es' el entendimiento del
desempe-o y del logro de las metas en contraste con el esfuerzo de lograrlos9
*e#en ser compara#les internamente 8esto es' un porcenta$e en contraste con
una #ase o n/meros en el tiempo9
*e#en ser compara#les e)ternamente sin tomar en cuenta el tama-o de la
empresa o la industria
Es me$or tener pocas mtricas 8"uiz una sola muy #uena "ue pueda ser
influenciada por distintos medios9 "ue una lista ms larga de menor calidad
*e#e ser fcil de medir y no se de#e confundir con las metas
0ARCO DE TRABA:O GENERAL DE COBIT:
El modelo de procesos de COBIT compuesto de 4 dominios "ue contienen 34
procesos genricos' administrando los rec+r$o$ de TI para proporcionar in5orm(cin
al negocio de acuerdo con los re"uerimientos del negocio y de go#ierno!
,OBITO5E%5 E EF%.1%5
,E6 ,onitorear y evaluar el desempe-o de TI!
,E; ,onitorear y evaluar el control interno
,E3 4arantizar cumplimiento regulatorio!
,E4 Proporcionar go#ierno de TI!
P.%BE%5 E O54%BIG%5
PO6 *efinir el plan estratgico de TI!
PO; *efinir la ar"uitectura de la informaci&n
5esumen COBIT Pgina 4 de 7
PO3 *eterminar la direcci&n tecnol&gica!
PO4 *efinir procesos' organizaci&n y relaciones de TI!
PO7 %dministrar la inversi&n en TI!
POH Comunicar las aspiraciones y la direcci&n de la gerencia!
POI %dministrar recursos 0umanos de TI!
POJ %dministrar calidad!
POK Evaluar y administrar riesgos de TI
PO6L %dministrar proyectos!
%*M1I5I5 E I,P.%BT%5
%I6 Identificar soluciones automatizadas!
%I; %d"uirir y mantener el softNare aplicativo!
%I3 %d"uirir y mantener la infraestructura tecnol&gica
%I4 Oacilitar la operaci&n y el uso!
%I7 %d"uirir recursos de TI!
%IH %dministrar cam#ios!
%II Instalar y acreditar soluciones y cam#ios!
EBT5E4%5 E *%5 +OPO5TE
*+6 *efinir y administrar niveles de servicio!
*+; %dministrar servicios de terceros!
*+3 %dministrar desempe-o y capacidad!
*+4 4arantizar la continuidad del servicio!
*+7 4arantizar la seguridad de los sistemas!
*+H Identificar y asignar costos!
*+I Educar y entrenar a los usuarios!
*+J %dministrar la mesa de servicio y los incidentes!
*+K %dministrar la configuraci&n!
*+6L %dministrar los pro#lemas!
*+66 %dministrar los datos!
*+6; %dministrar el am#iente f3sico!
*+63 %dministrar las operaciones!
5esumen COBIT Pgina 7 de 7
IBOO5,%CIPB
Efectividad
Eficiencia
Confidencialidad
Integridad
*isponi#ilidad
Cumplimiento
Confia#ilidad
5EC15+O+
%plicaciones
Informaci&n
Infraestructura
Personas