COBIT® 5 Foundation 1.0.1 ES

COBIT® 5 Foundation
COBIT® 5 Foundation
Training content licensed to New Horizons, issued on 10-05-2018, edition 2018 by New Horizons Peru S.A.
www.ITpreneurs.com
Derechos de Autor
Fundamentos de COBIT® 5, Curso en clase,

lanzamiento1.0.1
Información del Registro y de la Marca Registrada para Socios/Interesados.
Este producto incluye COBIT® 5, usado bajo autorización de ISACA®. © 2012 ISACA®. Todos los derechos reservados.
COBIT® es una marca registrada de Information Systems Audit and Control Association® (ISACA®).
Copyright © 2013 ITpreneurs. Todos los derechos reservados.

La información contenida en este material está sujeta a cambios sin previo aviso. Este material contiene información
con derechos de autor que está protegida por los mismos.
Ninguna parte de este material puede ser fotocopiado, reproducido o traducido a otros idiomas sin el consentimiento
de ITpreneurs Nederland B.V.
El lenguaje usado en este curso es español latinoamericano. Nuestra fuente de referencia de gramática, sintaxis y
mecanismos es la Real Academia Española.
Contenidos
Lista de Íconos iii
Agradecimientos iv
Follow Us v
EULA vii
Temas Adicionales ix
Módulo 1: Introducción al curso 1
Módulo 2: ¿Por qué COBIT?: Retos de gobierno y gestión en TI 7
Módulo 3: COBIT 5: Una Introducción 29
Tarea I: Retos de TI (Opcional) 51
Módulo 4: COBIT 5: Habilitadores 55
Módulo 5: COBIT 5: Satisfacer las necesidades de las partes interesadas 83
Tarea II: La Cascada de Metas 109
Módulo 6: COBIT 5: Introducción a COBIT 5 –Procesos Habilitadores 113
Tarea III: Las preocupaciones de los Interesados y los Principios de Gobierno de TI 135
Módulo 7: COBIT 5: Los procesos de COBIT 5 141
Módulo 8: COBIT 5: Los componentes del proceso de COBIT 5 155
Tarea IV: Identif car los procesos, prácticas y metas de TI 173
Módulo 9: COBIT 5: Evaluaciones de la capacidad de los procesos 177
Módulo 10: Guía de preparación para el examen 207
Plan de estudios 213
Examen de Prueba 231
Apéndice A: Caso de Estudio “Callwick” 251
Apéndice B: Glosario 255
Apéndice C: Tablas de Referencia 265
Apéndice D: Respuestas 273
Apéndice E: Guía de referencia de los procesos 313
Apéndice F: Guía Cobit® 5 Fundamentos para candidatos al examen 341
Notas de lanzamiento 345
Forma de retroalimentación 347
Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. i
LISTA DE ÍCONOS
Se refiere al contenido que es necesario para que los participantes
comprendan los conceptos clave
Se refiere a aprendizaje colectivo, en donde se motiva al grupo a ofrecer ideas

sin analizar para finalizar la solución después de hacer una lluvia de ideas
Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. iii
AGRADECIMIENTOS
Nos gustaría agradecer sinceramente a los expertos que han contribuido a la creación de
Fundamentos de COBIT 5 de ITpreneurs
Autores / Expertos en la Materia
 Hardy, Gary – IT winners, ITpreneurs
Gary Hardy es Director de ITWinners, una compañía de consultoría y educación estratégica
de gobierno de TI basada en Cape Town. Es uno de los generadores del marco de trabajo de
COBIT y ha sido miembro líder del equipo de desarrollo de COBIT desde su nacimiento en
1992. Gary siempre ha sido un apasionado con respecto a la educación de COBIT e inició el
programa de educación de COBIT de ISACA en 2003. Como él dice “una buena práctica es
sólo tan buena como las personas que la usan”. Gary ha entrenado a cientos de personas
en COBIT en muchas partes del mundo y es reconocido mundialmente como el líder del
conocimiento de Gobierno de TI. Es un miembro antiguo de ISACA, ha sido miembro de la
junta directiva de ISACA, Vicepresidente Regional y Presidente de Capítulo. Es el arquitecto
del portafolio de educación de Gobierno de TI de ITpreneurs, así como el líder del Centro de
Excelencia de Gobierno de TI de Sudáfrica Deloitte
Miembros del Comité de Revisión :

 Monteiro, Cesar – IT partners
 Neves, Adriano – Real Project
 Foederer, Marcel – ITpreneurs
 Thomas, Mark – Escoute
 Howard, Jim – Gdit
 Caniglia, Don – IX
 Botha, Johan – Excellence Circle
 Payne, Rob – Lode Star Strategy Consultinsg
 Rantanen, Marko – Wakaru
iv Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.
www.ITpreneurs.com
Follow us
Before you start the course, please take a moment to:
“Like us” on Facebook
http://www.facebook.com/ITpreneurs
“Follow us” on Twitter
http://twitter.com/ITpreneurs
"Add us in your circle" on Google Plus
http://gplus.to/ITpreneurs
"Link with us" on Linkedin
http://www.linkedin.com/company/ITpreneurs
"Watch us" on YouTube
http://www.youtube.com/user/ITpreneurs
Copyright © 201 ITpreneurs. All rights reserved
Manual del alumno | EULA
Contrato de Licencia de Usuario Final de COBIT
¡Bienvenido al Curso COBIT Fundamentos!
En este momento estás leyendo la Guía del Estudiante que se te proporciona como parte del curso de
capacitación. Antes de continuar, es importante que revises la siguiente información.
COBIT 5 es un marco de negocios para el gobierno y gestión de TI. ITpreneurs es un Sublicenciatario del
Contenido y del Programa de Estudios de COBIT 5 y cuenta con los permisos necesarios para desarrollar y
entregar Cursos de COBIT 5 Fundamentos a los Usuarios Finales. Este permiso le fue otorgado a ITpreneurs por
APMG, quien a su vez está autorizado por ISACA, el dueño del marco de COBIT 5.
Como alumno del curso (Usuario Final), tienes permiso para usar los materiales que te estamos entregando y que
forman parte del curso que impartimos. Esto no te permite copiar, publicar, reproducir, distribuir, otorgar licencias o
vender el Contenido de COBIT 5, en ningún formato, incluyendo adaptación no autorizada, y con ningún fin.
Podrás utilizar los materiales de capacitación para tu uso personal. No podrás utilizar los materiales con fines
comerciales, incluyendo la impartición de capacitaciones.
El Contenido de COBIT 5 se te entrega sin garantía alguna, “tal cual está” y “con todos sus defectos”. ISACA
y APMG no ofrecen garantías, ni explícitas ni implícitas, a ITpreneurs, a ustedes los Usuarios Finales, ni a
terceros. Las garantías de viabilidad comercial, funcionamiento para un propósito o actividad específica y la
garantía de no violación de derechos de terceros, se excluyen de manera expresa. Asimismo, ISACA y APMG
no serán en ningún caso responsables de cumplir las garantías u otros tipos de compromisos llevados a cabo
por el Sublicenciatario o cualquier otro tercero.
La participación en este curso de capacitación implica la aceptación de los términos y condiciones
establecidos en este Acuerdo. Si no aceptas o existe alguna razón que no te permita aceptar este
Acuerdo, por favor infórmaselo al instructor lo antes posible, pues de ser así, no podrás continuar con
tu participación en el curso y se te solicitará que devuelvas la guía del estudiante que te fue entregada.
Deseamos que disfrutes mucho este Curso de COBIT y que la experiencia de aprendizaje con ITpreneurs te
resulte valiosa. En caso de tener preguntas adicionales, por favor contáctanos en el correo info@itpreneurs.com
Definiciones:
1. “Contenido de COBIT 5” se refiere al marco de COBIT 5, las guías habilitadoras de COBIT 5 y

al programa de estudio de COBIT 5 Fundamentos.
2. “Usuario Final”: refiere a los individuos (no una compañía) que asisten a las presentaciones del
Curso.
3. “Persona” refiere al individuo, corporación, sociedad anónima, propietario individual,

empresa conjunta, agencia de gobierno o cualquier organización o entidad, ya sea de
gobierno o de otro tipo.
4. “Curso” se refiere a los documentos y presentaciones creados por el Sublicenciatario

con el propósito de llevar a cabo la capacitación de nivel COBIT 5 Fundamentos, usando
contenido de COBIT 5, proporcionado a Usuarios finales. Dichos cursos no incluirán la
creación de software con fines de capacitación, ni de software de capacitación como
servicio, ni ofertas de cursos en línea. Los cursos ofrecidos bajo esta licencia deberán
llevar como título “COBIT Fundamentos (Nivel)”.
5. “Sublicenciatario” refiere a aquellas partes autorizadas por el APMG para crear un Curso
de Nivel de COBIT a partir del contenido de COBIT 5.
Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. vii
Manual del alumno | Temas Adicionales
COBIT 5
No. de Nombre del módulo No. de tema Temas Adicionales

principal
módulo (cubriendo (Estos temas no forman parte del
Temas programa
Adicionales) de estudios del APMG)
2 ¿Por qué COBIT?: Retos de

gobierno y gestión en TI
2.1
Manteniendo TI funcionando
Alineando TI con negocios
Entrega de valor
Seguridad
Cumplimiento regulatorio
Dominando la complejidad
Optimizando costos de TI
2.2
Equilibrando desempeño y cumplimiento
Gobierno y gestión
Objetivo del gobierno de TI: Generación
de valor
Partes interesadas internas y externas
claves
Beneficios clave
5 COBIT 5: Cumpliendo con

las necesidades de las
partes interesadas
5.1
Preguntas muestra para partes
interesadas internas
5.2
Ejemplos – Objetivos de TI que
desencadenan en procesos
Ejemplos 1
Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. ix
COBIT® 5 Fundamentos
No. de Nombre del módulo No. de tema Temas Adicionales

principal
módulo (cubriendo (Estos temas no forman parte del
Temas programa
Adicionales) de estudios del APMG)
6 COBIT 5: Introducción a los
Procesos C5
6.3
Componentes del proceso
7 COBIT 5: Los procesos de

COBIT 5
7.1 El dominio del gobierno
7.2 Los dominios de la gestión
8 COBIT 5: Componentes del

proceso de COBIT 5
8.2 Prácticas y Actividades
Ejemplo de prácticas: EDM01.01
Ejemplo de actividades: EDM01.01
8.4 Objetivos y métricas vinculadas con TI
Ejemplo EDM01
9 COBIT 5: Evaluaciones de
las capacidades del proceso
9.2
Análisis de brecha
x Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.
&2%,7
)XQGDPHQWRV
0yGXOR,QWURGXFFLyQDOFXUVR
Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 1
COBIT ® 5 Fundamentos
,QWURGXFFLyQ

Introducción al curso
Introducción

Presentación ¡Bienvenidos!
de alumnos y
Por favor preséntese y describa sus conocimientos actuales sobre COBIT® y
del instructor
gobierno de TI. Especifique:

• Nombre
Objetivos de
• Profesión
aprendizaje del
curso • Puesto
• Experiencia en Gobierno de TI

• Familiaridad con COBIT
Visión general del
curso • Expectativas del participante sobre el curso

Agenda del curso
de 3 días

Sobre el órgano
rector

2

2EMHWLYRVGHDSUHQGL]DMHGHOFXUVR
Introducción
Presentación de En este curso, aprenderás acerca de:

alumnos y del
instructor • Los principales retos de usar TI
• Conceptos y beneficios de gobierno de TI
• Marco, principios y habilitadores de COBIT 5
Objetivos de
• Relación entre las necesidades de los interesados y el gobierno
aprendizaje
del curso • Enfoque para implementar COBIT 5
• Estructura del modelo de referencia de procesos de COBIT 5
Visión general del • Dominios de gobierno y de gestión

curso • Componentes de los procesos de COBIT 5
• Necesidad de realizar evaluaciones de capacidad
• Enfoque de COBIT 5 basado en la norma ISO/IEC 15504
Agenda del curso • Aplicación del enfoque del nivel de madurez de COBIT 4 con COBIT 5
de 3 días
Sobre el órgano
rector
2 Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.
Manual del alumno | Introducción al curso
5HVXPHQJHQHUDOGHOFXUVR
Introducción
Presentación de Este curso consiste en los siguientes módulos:

alumnos y del
instructor • ¿Por qué COBIT? – Retos de Gestión y Gobierno de TI
• COBIT 5: Introducción
• COBIT 5: Habilitadores
Objetivos de
aprendizaje del • COBIT 5: Cumpliendo con las necesidades de las partes interesadas
curso
• COBIT 5: Introducción a COBIT 5 – Procesos Habilitadores
• COBIT 5: Los procesos de COBIT 5
• COBIT 5: Los componentes de los procesos de COBIT 5
Visión general
del curso • COBIT 5: Evaluación de la capacidad de los procesos
Agenda del curso

de 3 días
Sobre el órgano
rector
Mis notas
$JHQGDGHOFXUVR
Agenda del curso
Presentación de Día 1
alumnos y del
instructor Tiempo
Módulo Tema Inicio Final
total (horas)
1 Introducción 09:00 09:30 00:30
Objetivos de 2 ¿Por qué COBIT? – Retos en el gobierno y la gestión de TI 09:30 10:30 01:00
aprendizaje del
curso Descanso 10:30 10:45 00:15
3 COBIT 5: Introducción 10:45 11:45 01:00
Ejercicio 1: Retos de TI para Callwick (Opcional) 11:45 12:45 01:00
Visión general del
curso COMIDA/ ALMUERZO 12:45 01:45 01:00
4 COBIT 5: Habilitadores 01:45 02:45 01:00
Descanso 02:45 03:00 00:15
COBIT 5: Cumpliendo las necesidades de las partes
Agenda del 5
interesadas
03:00 04:15 01:15
curso de 3
Resumen Día 1, Preguntas y Respuestas 04:15 04:30 00:15
días
Tiempo total 7:30
Total – (menos tiempo de comida y descansos) 6:00

Sobre el órgano
rector
Agenda del curso
Presentación de Día 2
alumnos y del
instructor Tiempo
Módulo Tema Inicio Final
total (horas)
Ejercicio 2: La cascada de objetivos 09:00 10:00 01:00
Objetivos de Descanso 10:00 10:15 00:15

aprendizaje del
curso 6 COBIT 5: Introducción a COBIT 5 – Procesos habilitadores 10:15 11:00 00:45
Ejercicio 3: Preocupaciones de las partes interesadas y
11:00 12:00 01:00
principios de gobierno de TI
7 COBIT 5: Los procesos de COBIT 5 12:00 12:30 00:30
Visión general del
8 COBIT 5: Los componentes del proceso de COBIT 5 01:30 02:30 01:00
Descanso 02:30 02:45 00:15

Agenda del Ejercicio 4 – Identificar procesos, prácticas y objetivos de TI 02:45 03:45 01:00
curso de 3
días 9 COBIT 5: Evaluación de las capacidad de los procesos 03:45 04:45 01:00
Tiempo total 07:45
Sobre el órgano Total – (menos comida, descansos) 06:15

rector
Manual del alumno | Introducción al curso
Agenda del curso
Presentación de Día 3 (opcional)

alumnos y del
Tiempo
instructor
Módulo Tema Inicio Final total (en
horas)
10 Guía para la preparación del examen 09:00 09:30 00:45
Objetivos de
11 Revisión de temas clave de COBIT 5 para el examen 09:30 10:15 00:45
aprendizaje del
curso Descanso 10:15 10:30 00:15
Examen de prueba 10:30 11:30 01:00
12 Estudio individual 11:30 12:00 00:30
Visión general del
13 Examen 13:00 14:00 01:00
Agenda del
curso de 3
días
Sobre el órgano
rector

Mis notas
6REUHHOyUJDQRUHFWRU

Presentación de COBIT 5: fue desarrollado por ISACA.
alumnos y del
instructor ISACA: (www.isaca.org) - Fundado en 1969
• OBJETIVO: Proporcionar liderazgo y orientación sobre cómo dirigir y controlar la
tecnología de la información en una empresa
Objetivos de • Cuenta con más de 95,000 miembros en 160 países
aprendizaje del
curso • ISACA es líder mundial en aseguramiento, control, seguridad y gobierno de TI

Visión general del
curso

Agenda del curso
de 3 días

Sobre el
órgano rector

8

Presentación de ISACA es responsable de:

alumnos y del
instructor • Desarrollar COBIT
• Apoyar a líderes empresariales y a los consejos directivos en sus
responsabilidades de gobierno de TI ofreciéndoles investigación y casos de estudio
Objetivos de originales
aprendizaje del
curso • Patrocinar conferencias internacionales
• Publicar la revista de Control de Sistemas de Información
• Desarrollar estándares internacionales de auditoría a sistemas de información y
Visión general del control
curso
• Administrar las certificaciones y designaciones mundialmente reconocidas:
o Auditor de Sistemas de Información Certificado (CISA)
o Gestión de Seguridad de Información Certificada (CISM)
o Certificación en el Gobierno del TI de la Empresa (CGEIT)
Agenda del curso o Certificación en Riesgo y Control de los Sistemas de Información (CRISC).
de 3 días
Sobre el
órgano rector

&2%,7
)XQGDPHQWRV

0yGXOR
¢3RUTXp&2%,7"5HWRVGHJRELHUQR\JHVWLyQHQ7,

5HVXPHQJHQHUDOGHOPyGXOR
¿Por qué COBIT?: Retos del gobierno y gestión en TI
Fundamentos Resumen general del módulo
Temas tratados
Los temas de este módulo son:
• 2.1: Retos Clave del Uso de TI
• 2.2: Introducción a Gobierno de TI
• 2.3: Resumen del Módulo

Fundamentos Resumen general del módulo
Objetivos de aprendizaje del módulo

• Listar algunos de los retos principales del uso de TI
• Definir el gobierno de TI
• Identificar los habilitadores del gobierno de TI
• Entender la diferencia entre gobierno y gestión
• Identificar a los interesados claves, así como sus roles y responsabilidades, y su interés en el
gobierno de TI
• Identificar los beneficios del gobierno de TI
Manual del alumno | ¿Por qué COBIT?: Retos de gobierno y gestión en TI.
5HWRVFODYHGHOXVRGH7,
Fundamentos 2.1 Retos principales del uso de TI
3XQWRVLPSRUWDQWHV
9HDPRVFXiOHVVRQDOJXQRVGHORVUHWRVSULQFLSDOHVDORVTXHVHHQIUHQWDQORVXVXDULRV
GH7,

Mis notas
5HVXPHQJHQHUDO
Resumen
general
Mantener TI
operando
Mantener TI
funcionando
Alinear TI
Optimizar
con el
costos
negocio
Alinear TI con
negocios
Manejar la Entregar
Entregar valor complejidad valor
Seguridad
Cumplir con
Seguridad
regulaciones
3XQWRVLPSRUWDQWHV

/DVHPSUHVDVXVDQ7,FRPRVRSRUWHSDUDVXVDFWLYLGDGHVGHQHJRFLRV\SDUDHO
FXPSOLPLHQWRGHREMHWLYRVHVWUDWpJLFRV(VSRUHOORTXHOHGHVWLQDQFDQWLGDGHVLPSRUWDQWHV
GHUHFXUVRV\GLQHUR

7DPELpQHVQHFHVDULRTXHDGDSWHQODLQIUDHVWUXFWXUDGH7,\ORVUHTXLVLWRVGHLQIRUPDFLyQ
DODVQHFHVLGDGHVFDPELDQWHVGHVXVQHJRFLRV\TXHWRPHQHQFXHQWDODVFRPSOHMLGDGHV
\ULHVJRVLQKHUHQWHVDOD7,
0DQWHQHU7,HQIXQFLRQHV
Resumen general
Fallas operativas de TI
Mantener TI
funcionando
Errores al momento de Mala planificación de las

Alinear TI con introducir cambios capacidades de almacenamiento
negocios
ecesarias para la red
necesarias re
Entregar valor
f
Pruebas insuficientes a de respaldo/planes
Falta respaldo/plane de
Seguridad
contingencia para cuando ocurre una
falla de un componente crítico de TI
La continuidad de los servicios de TI para las operaciones críticas de

negocios es fundamental.
3XQWRVLPSRUWDQWHV

/DPD\RUSDUWHGHODVHPSUHVDVHVSHUDQTXHORVVHUYLFLRVGH7,HVWpQGLVSRQLEOHV;
&XDQGRORVVLVWHPDVGH7,IDOODQHOLPSDFWRVXHOHVHUVLJQLILFDWLYRQHJRFLRVSHUGLGRV
UHGXFFLyQHQODVJDQDQFLDV\KDVWDGDxRHQODLPDJHQGHODHPSUHVD

(OGtDDGtDGHORVQHJRFLRVSXHGHYHUVHDIHFWDGRSRUFRPSOHWRVLORVVLVWHPDVLQWHUQRVGH
7,FRPRORVRQHPDLOSURFHVDPLHQWRUHSRUWH\UDVWUHRGHGRFXPHQWRV\GHPiVIDOODQ

8QDIDOODWDQVLPSOHFRPRTXHXQVHUYLGRUH[FHGDVXFDSDFLGDGGHDOPDFHQDPLHQWR
SXHGHGHWHQHUODVRSHUDFLRQHVGHXQGHSDUWDPHQWRHQWHUR

(QSURFHVRVGHQHJRFLRVGHPD\RUQLYHOFUtWLFREDQFDSRU,QWHUQHW\SURFHVDPLHQWRGH
FRPSUDVHOLPSDFWRHVSRUVXSXHVWRPXFKRPD\RUDVtFRPRHOHIHFWRQHJDWLYRVREUH
ORVLQJUHVRV\UHSXWDFLyQGHODHPSUHVD
$OLQHDQGR7,FRQ1HJRFLRV
Resumen general La brecha entre las expectativas de negocios y las capacidades de TI existe
por las siguientes razones:
• Falta de habilidad de TI para alinearse con las prioridades del negocio
• Requerimientos del negocio mal definidos
Mantener TI
funcionando • Brechas en la comunicación entre el negocio y TI
• Falta de conocimientos sobre las soluciones potenciales de TI
Alinear TI con
negocios
Entregar valor
Organización
Seguridad
Es de suma importancia que el negocio dirija las iniciativas de TI con la

finalidad de hacer entrega de los beneficios y cumplir los objetivos de
negocio.
3XQWRVLPSRUWDQWHV

$OLQHDU7,FRQORVQHJRFLRVHVPiVLPSRUWDQWHTXHQXQFD(QODPD\RUtDGHODVHPSUHVDV
ORVQHJRFLRV\7,QRVXHOHQDOLQHDUVHKDFLDHOPLVPRSURSyVLWR

(QFRQVHFXHQFLDODVGHFLVLRQHV\DFFLRQHVQRHVWiQVLHPSUHVLQFURQL]DGDVORFXDOOOHYD
DOIUDFDVRGHSUR\HFWRVGH7,SpUGLGDGHGLQHUR\WLHPSRDVtFRPRXQVHQWLPLHQWR
JHQHUDOGHGHViQLPRIUHQWHDSUR\HFWRVGH7,

(OSDSHOGHO'LUHFWRU*HQHUDOGH,QIRUPiWLFD&,2HQYDULDVHPSUHVDVHVWiFDPELDQGR
GUiVWLFDPHQWHORV&,2VVHFRQYLHUWHQFRQPiVIUHFXHQFLDHQSXHQWHVHQWUH7,\HOUHVWR
GHODHPSUHVD

7RPHPRVHOHMHPSORGHXQDFRQVWUXFWRUD/DFRQVWUXFWRUDHGLILFDGHDFXHUGRFRQ
UHTXLVLWRV\SUHVXSXHVWRV6LORVUHTXLVLWRVQRVRQFODURVGHVGHXQSULQFLSLR\VLQRH[LVWH
FRRUGLQDFLyQHQWUHSUHVXSXHVWRV\FRVWRVHYHQWXDOHVHOFRVWRGHODFRQVWUXFFLyQ
LQFUHPHQWDUi
(QWUHJDQGR
Resumen general
¿Por qué los proyectos de TI fracasan en la entrega de valor?
Ausencia de
Mantener TI patrocinadores
funcionando de negocios
comprometidos
Alinear TI con Ausencia de

negocios casos de Mala gestión
negocios de los
definidos para programas y
iniciativas proyectos
relativas a TI
Entregar valor
Supervisión
inadecuada del
cumplimiento
Seguridad
de beneficios
Identifica los proyectos de TI correctos, define claramente los beneficios

esperados y monitorea la creación –a tiempo y dentro de presupuesto– de
estos beneficios.
3XQWRVLPSRUWDQWHV

3RUTXpIUDFDVDQHQJHQHUDUYDORUORVSUR\HFWRVGH7,"

(VELHQVDELGRTXHPXFKRVSUR\HFWRVGH7,QRORJUDQVXVREMHWLYRVGHQHJRFLR\SRUOR
WDQWRIUDFDVDQHQWDQWRTXHQRSURSRUFLRQDQYDORU$OJXQRVHVWXGLRVVXJLHUHQTXHWUHVGH
FXDWURSUR\HFWRVQRORJUDQORVEHQHILFLRVHVSHUDGRV

0XFKRVSUR\HFWRVQRVRQVXSHUYLVDGRVKDVWDVXFRQFOXVLyQ8QRGHORVDQDOLVWDV
SULQFLSDOHV*DUWQHUHVWLPDTXHFDGDDxRVHGHVSHUGLFLDQPLOHVGHPLOORQHVGHGyODUHVHQ
QXHYDVLQLFLDWLYDVGH7,TXHUHVXOWDQPDOGLULJLGDV\SRFRH[LWRVDV

6RQYDULDVODVFDXVDVDWULEXLEOHVDHVWDVIDOODV3RUXQDSDUWHVXHOHVHUFRP~QXQDPDOD
GHILQLFLyQ\SODQLILFDFLyQGHORVUHTXHULPLHQWRVDOSULQFLSLRGHOSUR\HFWR(VWRSXHGH
DJUDYDUVHSRUXQFRQWUROGHSUR\HFWRLQVXILFLHQWHGXUDQWHODHQWUHJD(VGHFLUDVXQWRVGH
FDUiFWHUQRWpFQLFRWHUPLQDQHVWURSHDQGRORVSURVSHFWRVGHXQSUR\HFWRGH7,

3RURWUDSDUWHORVFRVWRVGHXQSUR\HFWRGH7,VXHOHQVHUPX\DOWRV(QPXFKDV
RFDVLRQHVODSDUWHGHQHJRFLRVQRHQWLHQGHELHQHVWRVFRVWRVORTXHJHQHUDPiVUHWRV
HQFXHVWLyQGHDOLQHDPLHQWR\GLILFXOWDGHVSDUDODHQWUHJDGHYDORU
6HJXULGDG
Resumen general Factores responsables del incremento en el riesgo de las violaciones de

seguridad:
• Políticas de seguridad mal definidas
• Falta o insuficiente supervisión de eventos que pueden impactar en la seguridad de
Mantener TI la información.
funcionando
• Falta de conciencia de los usuarios sobre los riesgos de seguridad de la
información.
• Falta de conciencia por parte de la gerencia acerca de la importancia de proteger la
Alinear TI con información
negocios
Entregar valor
Seguridad
Asegura que exista una conciencia de las responsabilidades y riesgos de

Seguridad de TI.
3XQWRVLPSRUWDQWHV

(QHOPXQGRGHKR\FRQVXVDPELHQWHVGH7,DOWDPHQWHFRPSOHMRVHLQWHUFRQHFWDGRVOD
VHJXULGDGLQIRUPiWLFDVLJXHVLHQGRXQJUDQUHWR

3RUXQDSDUWHHO,QWHUQHWQRVKDWUDtGRHQWUHRWURVDYDQFHVWHFQROyJLFRVHQRUPHVH
LQLPDJLQDEOHVLQFUHPHQWRVSURGXFWLYRV\UiSLGDVVROXFLRQHVGHQHJRFLRVDVtFRPR
QXHYDV\PD\RUHVRSRUWXQLGDGHVSDUDPHMRUDUHOVHUYLFLRDFOLHQWHVFRQYLUWLHQGRDOPXQGR
HQXQD³SHTXHxDDOGHD´3HURSRURWUDSDUWHWRGRHVWRFRQOOHYDXQLPSRUWDQWHULHVJRHQ
PDWHULDGHVHJXULGDGSDUDODVHPSUHVDV

/DVHJXULGDGHQ7,HVWiURGHDGDGHPXFKRVUXPRUHVORTXHSURYRFDTXHVHD
PDOHQWHQGLGD

'HVDIRUWXQDGDPHQWHODVROXFLyQPiVFRP~QDHVWHSUREOHPDHVTXHODJHUHQFLDGHOHJXH
ORFRQFHUQLHQWHDVHJXULGDGGH7,DXQJUXSRGHH[SHUWRVWpFQLFRV6LQHPEDUJRHQ
PXFKDVVLWXDFLRQHVODYXOQHUDELOLGDGGHODVHPSUHVDVQRHVVyORGHWLSRWpFQLFD&RQ
IUHFXHQFLDHVHOUHVXOWDGRGHODSRFDFRQFLHQFLDTXHVHWLHQHVREUHORVSUREOHPDVUHDOHV

(QWRQFHVSDUDDWHQGHU\VXSHUDUGHPDQHUDHIHFWLYDORVULHVJRVGHVHJXULGDGLQKHUHQWHV
D7,ODVHPSUHVDVUHTXLHUHQVXSHUYLVLyQSRUSDUWHGHODJHUHQFLDHMHFXWLYDPHGLDQWH
SUiFWLFDVSDUDHOJRELHUQRGHOULHVJR\SUiFWLFDVGHJHVWLyQHVSHFtILFDVTXHSXHGDQ
DWHQGHUODVFRPSOHMLGDGHV~QLFDVGHODVHJXULGDG
S J
&XPSOLPLHQWRUHJXODWRULR
Cumplimiento Dado el intenso y generalizado uso de TI, las empresas se tienen que
regulatorio asegurar de que los requerimientos legales, regulatorios y contractuales sean
entendidos y de que se hayan implementado medidas razonables para
atenderlos.
Manejar la Esto incluye las responsabilidades de los proveedores de servicios
complejidad subcontratados y de otros socios del negocio.
Optimización de
costos de TI
Empresa
Clientes Proveedores
Proveedores de servicios
Es de gran importancia asegurar el cumplimiento de los requerimientos

legales y contractuales, tanto internamente como con proveedores de
servicios y socios comerciales.
10
3XQWRVLPSRUWDQWHV

/DJOREDOL]DFLyQORVHVFiQGDORVHPSUHVDULDOHV\ODVFULVLVILQDQFLHUDVKDQOOHYDGRDXQ
LQFUHPHQWRHQODVUHJXODFLRQHVILQDQFLHUDV\GHEXHQJRELHUQRHPSUHVDULDOHQYDULRV
SDtVHV

(OXVRPDVLYRGH7,\GHUHGHVSDUDHOPDQHMRGHLQIRUPDFLyQSHUVRQDOQRVKDOOHYDGRDOD
FUHDFLyQGHQXHYDVOH\HVFRQWUDODSLUDWHUtD

$ORODUJRGHORVDxRVKHPRVYLVWRXQLQFUHPHQWRFRQVWDQWHHQODOHJLVODFLyQUHODFLRQDGD
FRQHOXVRGH7,/DOH\6DUEDQHV2[OH\SRUHMHPSOROOHYyDTXHFRPSDxtDV
UHJLVWUDGDVHQORV(VWDGRV8QLGRVWRPDUDQFRQWUROVREUHORVUHSRUWHVILQDQFLHURVORFXDO
VHH[WLHQGHDXWRPiWLFDPHQWHDOFRQWUROVREUHVLVWHPDVUHODFLRQDGRVGH7,

$OJXQDVRWUDVOH\HV\UHJXODFLRQHVTXHDIHFWDQD7,LQFOX\HQODVUHODFLRQDGDVFRQOD
SURWHFFLyQGHGDWRVSHUVRQDOHV\UHTXLVLWRVHVSHFtILFRVSDUDFLHUWRVVHFWRUHVFRPRVRQ
ORVVHFWRUHVVDOXGIDUPDFpXWLFR\ILQDQFLHUR

&RPRUHVXOWDGRGHHVWRTXH7,FXPSODFRQVXVREOLJDFLRQHVUHJXODWRULDVVHFRQYLHUWHHQ
XQSUHUHTXLVLWRSDUDVXRSHUDFLyQHILFLHQWH\H[LWRVD

0DQHMDQGRODFRPSOHMLGDG
Disponibilidad de
habilidades
Cumplimiento especiales
regulatorio necesarias para
dar atención a un
amplio rango de
tecnologías
Manejar la
complejidad
Inhabilidad para Diversas
enfocarse en los infraestructuras
proveedores de Manejar la técnicas y una
servicios ausencia de
Optimización de importantes y complejidad
estándares
costos de TI gestionar relaciones arquitectónicos
clave
Inhabilidad para
la innovación y la
adaptación a cambios
veloces o a nuevos
desarrollos tecnológicos
o a nuevos
requerimientos del
negocio.
Organiza y homologa la TI empresarial para dar atención a las

complejidades y evitar costos excesivos.
11
3XQWRVLPSRUWDQWHV

/DJHVWLyQGH7,HVXQDWDUHDGHJUDQFRPSOHMLGDGWpFQLFD\RUJDQL]DWLYD

/DVIXQFLRQHVGH7,\DQRVHOLPLWDQ~QLFDPHQWHDOD³)XQFLyQGH7,´VLQRTXHSHUPHDQDO
UHVWRGHODRUJDQL]DFLyQLQFOX\HQGRDXVXDULRVGHQHJRFLRVDVtFRPRDGLYHUVRV
SURYHHGRUHV\VROXFLRQHV

x 7LSRVGLVWLQWRVGHSURYHHGRUHVGHVHUYLFLRVH[WHUQRV8QDHPSUHVDJUDQGHSRGUi
WHQHUFLHQWRVRLQFOXVRPLOHVGHSURYHHGRUHVGH7,\GHVHUYLFLRV

x 3ODWDIRUPDVWpFQLFDVP~OWLSOHV8QDSODWDIRUPDWpFQLFD~QLFD\DQRVLUYHSDUD
DWHQGHUODVFRPSOHMDVQHFHVLGDGHVGHORVXVXDULRVKR\HQGtD/DVHPSUHVDV
JUDQGHVWLHQHQTXHPDQWHQHUYDULDVSODWDIRUPDVWpFQLFDVGHPDQHUDVLPXOWiQHD

x 5HTXHULPLHQWRVGHFRPSHWHQFLDVDYDQ]DGDV/RVVLVWHPDV\VROXFLRQHV
FRPSOHMRVUHTXLHUHQDVXYH]GHFRPSHWHQFLDVWpFQLFDVVXSHULRUHVÒOWLPDPHQWH
HVWDVFRPSHWHQFLDVKDQGHMDGRGHVHURSFLRQDOHVQLFHWRKDYH\VHKDQYXHOWR
REOLJDWRULDVPXVWKDYH
2SWLPL]DQGRORVFRVWRVGH7,
Cumplimiento Falta de
regulatorio habilidades de
gestión
financiera
Costos de
personal excesivos Grandes
que empeoran por pérdidas
Manejar la la alta rotación y las financieras
complejidad pocas ocasionadas por
oportunidades de proyectos
desarrollo Retos fallidos
profesional
relativos a la
Optimización optimización
de costos de de los gastos
TI Procedimientos de TI Costos
excesivos
ineficientes
causados por la
para compras,
mala gestión de
adquisiciones y
los activos de
contrataciones
Los gastos de TI
TI por parte
de las
unidades de
negocios
están fuera de
control
Gestiona TI como si fuera un negocio y de esa manera optimizarás los

costos asociados a la tecnología.
12
3XQWRVLPSRUWDQWHV

/RVFRVWRVUHODWLYRVD7,UHSUHVHQWDQXQDSDUWHPX\LPSRUWDQWHGHORVFRVWRVGHXQD
HPSUHVD6RQDODYH]XQRGHORVHOHPHQWRVPHQRVHQWHQGLGRVGHOSUHVXSXHVWRGHXQD
HPSUHVD

&RQIUHFXHQFLDODDOWDJHUHQFLDOOHJDDSHQVDUTXHORVFRVWRVGH7,HVWiQ³IXHUDGH
FRQWURO´

/RVUHWRVUHODWLYRVDODRSWLPL]DFLyQGHORVJDVWRVGH7,LQFOX\HQ

x $XVHQFLDGHKDELOLGDGHVGHJHVWLyQILQDQFLHUDHQWUHORVJHUHQWHVGH7,
x *UDQGHVSpUGLGDVILQDQFLHUDVFRPRUHVXOWDGRGHSUR\HFWRVIDOOLGRV
x &RVWRVH[FHVLYRVDFDXVDGHXQDPDODJHVWLyQGH7,PDQDJHPHQWRI,7DVVHWV
TXHODSDUWHGHQHJRFLRVQRORJUDHQWHQGHU
x *DVWRLQFRQWURODEOHHQ7,GHODVXQLGDGHVGHQHJRFLRV
x 3URFHGLPLHQWRVLQHILFLHQWHVGHFRPSUDVDGTXLVLFLRQHV\VHOHFFLyQGHFRQWUDWLVWDV
x /RVDOWRVFRVWRVGHOSHUVRQDOHPSHRUDQFRPRUHVXOWDGRGHODDOWDURWDFLyQ\SRFDV
RSRUWXQLGDGHVSRUWXQLGDGHVGHGHVDUUROORSURIRSRUFDUHHUGHYHORSPHQWGH
GHVDUUROORSURIHVLRQDO
,QWURGXFFLyQDOJRELHUQRGH7,
Fundamentos 2.2 Introducción al gobierno de TI
13
*RELHUQRGHODHPSUHVDREMHWLYRV

Gobierno de la Un buen gobierno asegura que los objetivos de la empresa se cumplan
empresa: mediante:
objetivos

Gobierno de TI:
Introducción
Monitorear el
desempeño,
cumplimiento y el
Determinar la progreso con
Equilibrando
Rendimiento y
dirección a través respecto a los planes
Cumplimiento de establecer
Evaluar las prioridades y de
necesidades, tomar decisiones
condiciones y
Diferencia entre
gobierno y gestión
opciones de las
partes interesadas
Objetivo del
gobierno de TI:
Generación de
valor
14
3XQWRVLPSRUWDQWHV

*RELHUQRGHODHPSUHVD
x 3URSRUFLRQDGLUHFFLyQDODHPSUHVD
x $VHJXUDHOFXPSOLPLHQWRGHREMHWLYRV
x (VWDEOHFHTXHORVULHVJRVVHJHVWLRQHQGHIRUPDDSURSLDGD
x 9HULILFDTXHORVUHFXUVRVGHODHPSUHVDVHDQXVDGRVGHPDQHUDUHVSRQVDEOH
*RELHUQRGH7,XQDLQWURGXFFLyQ


Gobierno de la El gobierno de TI es parte integral del gobierno de una
empresa: objetivos
empresa.

Gobierno de
TI:
Introducción
Equilibrando
Rendimiento y
Cumplimiento
Diferencia entre
gobierno y gestión
Objetivo del
gobierno de TI:
Generación de
valor
15
3XQWRVLPSRUWDQWHV
(OJRELHUQRGH7,HVUHVSRQVDELOLGDGGHORVHMHFXWLYRV\GHODMXQWDGHGLUHFWRUHVFRPR
FXDOTXLHURWUDiUHD

7,QRVLHPSUHHVJHVWLRQDGDGHIRUPDHILFLHQWH&RQIUHFXHQFLDHOIXQFLRQDPLHQWRGH7,
LQWHQWDVDWLVIDFHUODVQHFHVLGDGHVGHOQHJRFLR'HVDIRUWXQDGDPHQWH7,VXHOHMXJDUHO
SDSHOGHERPEHUROOHJDDDSDJDUORVLQFHQGLRVPiVXUJHQWHV&RPR\DVHPHQFLRQyORV
REMHWLYRVGH7,VXHOHQQRHVWDUDOLQHDGRVFRQODVQHFHVLGDGHVGHOQHJRFLRSRUORTXHOD
SHUFHSFLyQGHTXH7,QRVLHPSUHFRQWULEX\HDOGHVHPSHxRGHOQHJRFLRUHVXOWDREYLD(O
JRELHUQRGH7,GHEHRFXUULUGHDUULEDKDFLDDEDMR\GHEHUHVXOWDUGHODVQHFHVLGDGHVGH
QHJRFLR&RQIUHFXHQFLDODVSHUVRQDVTXHJULWDQPiVIXHUWHVRQODVTXHUHFLEHQHOPHMRU
VHUYLFLR/DHQWUHJDGHXQVHUYLFLRSRUHMHPSORGHEHKDFHUVHFRQEDVHHQODVSULRULGDGHV
GHOQHJRFLR\HQODVH[LJHQFLHVLQGLYLGXDOHV

(TXLOLEUDQGRGHVHPSHxR\FXPSOLPLHQWR


Gobierno de la El gobierno se trata de lo siguiente:
empresa: objetivos

• Rendimiento: mejorar la rentabilidad, eficiencia, efectividad y crecimiento
• Cumplimiento: adherencia a las leyes, políticas internas y requisitos contractuales
Gobierno de TI:
Introducción
Equilibrando
Rendimiento y
Cumplimiento
Diferencia entre
gobierno y gestión
Cumplimiento
Objetivo del
Rendimiento
gobierno de TI:
Generación de
valor
16
3XQWRVLPSRUWDQWHV

(VQHFHVDULRTXHODVHPSUHVDVHTXLOLEUHQVXVREMHWLYRVGHGHVHPSHxRHVWUDWpJLFRFRQ
VXVREMHWLYRVGHFXPSOLPLHQWRHVGHFLUTXHFXPSODQFRQVXVREMHWLYRV\DWLHQGDQDVX
YH]VXVUHTXHULPLHQWRVREOLJDWRULRV\DVHDQOHJDOHVUHJXODWRULRVFRQWUDFWXDOHVXRWURV

/DJREHUQDELOLGDGFRQVLVWHHQFXPSOLUREMHWLYRVHVWUDWpJLFRVGHGHVHPSHxRDODYH]TXH
VHDWLHQGHQRWURVUHTXHULPLHQWRVREOLJDWRULRVOHJDOHVUHJXODWRULRVFRQWUDFWXDOHVHWF
HVWRFRQEDVHHQODQHFHVLGDGGHGDUFXPSOLPLHQWRUHJXODWRULR(OREMHWLYRFRQVLVWHHQ
ORJUDUDPERVREMHWLYRVGHIRUPDHTXLOLEUDGD

3RUHMHPSORHQXQEDQFRUHFLELUEXHQVHUYLFLRHQOtQHDHVVLQyQLPRGHEXHQGHVHPSHxR
3RURWUDSDUWHHOEDQFRGHEHJHVWLRQDURWURVDVXQWRVFRPRODSULYDFLGDGGHORVGDWRV
EDQFDULRV\ODLQWHJULGDGGHODVFXHQWDVEDQFDULDV<WDPELpQGHEHFXPSOLUFRQORV
UHTXLVLWRVUHJXODWRULRVFRPRSODQHVSDUDODUHFXSHUDFLyQGHGHVDVWUHV(VWRVIRUPDQ
SDUWHGHORVUHTXHULPLHQWRVGHFXPSOLPLHQWGHOEDQFR
'LIHUHQFLDHQWUHJRELHUQR\JHVWLyQ
Gobierno de la El gobierno sirve para asegurar que las necesidades, condiciones y opciones
empresa: objetivos
de los interesados sean evaluadas para determinar, de manera equilibrada y
consensuada, los objetivos de la empresa que deben ser cumplidos. En otras
palabras: se determina la dirección a través de establecer prioridades y toma
Gobierno de TI: de decisiones. El desempeño/rendimiento y el cumplimiento serán
Introducción monitoreados con base en criterios ya establecidos, tales como la dirección a
tomar y los objetivos a cumplir. A su vez, la gerencia ejecuta la dirección
establecida por el Consejo por medio de la planificación, construcción,
Equilibrando
entrega y monitoreo de las actividades operativas con la finalidad de alcanzar
Rendimiento y los objetivos de la empresa.
Cumplimiento
Diferencia
entre gobierno
y gestión
Objetivo del
gobierno de TI:
Generación de
valor
17
3XQWRVLPSRUWDQWHV

(MHPSOR
(O'LUHFWRU*HQHUDOLQGLFDPHGLDQWHXQHQXQFLDGRHQODVSROtWLFDVJHQHUDOHVTXH
FXDOTXLHUFDPELRDORVVLVWHPDVGHSURGXFFLyQVyORSXHGHUHDOL]DUVHPHGLDQWHXQ
SURFHGLPLHQWRIRUPDOGHJHVWLyQGHOFDPELRUHFLpQLQWURGXFLGR/DJHUHQFLDSURPXHYHHVWR
PHGLDQWHXQSURFHVRGHJHVWLyQGHOFDPELRHOFXDOLQFOX\HORVSDVRVQHFHVDULRVSDUDOD
DSUREDFLyQ\ODOLEHUDFLyQDVtFRPRODVXSHUYLVLyQGHODDGKHUHQFLDDHVWDVSUiFWLFDV

2WURHMHPSOR
(ORILFLDOGHVHJXULGDGSURPXHYHXQDGLUHFWLYDTXHUHVWULQJHHODFFHVRDVLWLRV
SRUQRJUiILFRV(OFRQWUROVHDSOLFDSRUPHGLRGHILOWURVHQHO*DWHZD\GH,QWHUQHW\
HVFDQHDQGRHODFFHVRGHORVXVXDULRVD,QWHUQHW

6LVHKDLPSOHPHQWDGRXQDJHVWLyQHIHFWLYDGHOFRQWUROODJHUHQFLDWRPDUiULHVJRV'H
LJXDOPDQHUDXQDFRPSDxtDWRPDUiXQQ~PHURPD\RURPHQRUGHULHVJRVGHDFXHUGRD
VXKLVWRULDGHULHVJRRIUDFDVR

3LHQVDHQXQDFDUUHUDGHDXWRV¢3RUTXpHODXWRWLHQHEXHQRVIUHQRV"3DUDTXHHO
FRQGXFWRUSXHGDPDQHMDUPiVUiSLGRVDELHQGRTXHGHVHUQHFHVDULRSXHGHUHGXFLUOD
YHORFLGDG

$GHPiVGDGRTXH7,KDSHUPLWLGRHODFRSODPLHQWRSHUIHFWRGHORVSURFHVRVGHQHJRFLRV
HQWUHHPSUHVDVH[LVWHXQDQHFHVLGDGFUHFLHQWHGHDVHJXUDUTXHORVFRQWUDWRVLQFOX\DQ
UHTXHULPLHQWRVUHODWLYRVD7,HQiUHDVFRPRSULYDFLGDGFRQILGHQFLDOLGDGSURSLHGDG
LQWHOHFWXDO\VHJXULGDG
2EMHWLYRGHJREHUQDELOLGDGGH7,FUHDFLyQGHYDORU
Gobierno de la El gobierno de TI genera valor para la empresa por medio de las siguientes
empresa: objetivos
actividades:
Gobierno de TI:
Introducción
Equilibrando
Rendimiento y
Cumplimiento
Cumplimiento de Optimización de Optimización de
Beneficios Riesgos Recursos
Diferencia entre
gobierno y gestión
Objetivo del
gobierno de
TI: Generación
de valor
18
3XQWRVLPSRUWDQWHV
(OREMHWLYRGHODJREHUQDELOLGDGGH7,HVFUHDUYDORUSDUDODHPSUHVD
PHGLDQWH
x &XPSOLPLHQWRGHEHQHILFLRV
x 2SWLPL]DFLyQGHULHVJRV
x 2SWLPL]DFLyQGHUHFXUVRV
Mis notas

3DUWHVLQWHUHVDGDVLQWHUQDVFODYH


Interesados Gerente de TI:
internos clave ¿Cómo gestiono
el desempeño de
TI?
Interesados
externos clave
Gerente de
riesgo y Consejo y
cumplimiento: ejecutivos:
Beneficios clave
¿Cómo aseguro el ¿Cómo
de un gobierno de
cumplimiento con
políticas,
Interesados obtengo valor
TI efectivo de TI?
regulaciones y internos
leyes?
clave

Ejecutivo de
Auditor de TI:
negocios y ¿Cómo
propietario del proporciono
proceso: ¿Cómo aseguramiento
aprovecho TI para independiente?
obtener ventajas
estratégicas?

19

3XQWRVLPSRUWDQWHV

(OJRELHUQRGH7,RFXUUHHQGLVWLQWDVFDSDV&RPRFXDOTXLHURWURSURFHVRRSROtWLFDHO
JRELHUQRGH7,LQFOX\HDYDULDVSDUWHVLQWHUHVDGDV/RVOtGHUHVJHUHQWHVHMHFXWLYRV\HO
&RQVHMRGLUHFWLYRWLHQHQSDSHOHVUHVSRQVDELOLGDGHV\SUHRFXSDFLRQHVGLIHUHQWHVHQOR
TXHUHVSHFWDDODLPSOHPHQWDFLyQGHOJRELHUQRGH7,

3RUHMHPSORORVOtGHUHVGHOHTXLSRUHSRUWDQ\UHFLEHQGLUHFFLRQHVGHVXVJHUHQWHV3RUVX
SDUWHORVJHUHQWHVHQWUHJDQLQIRUPHVDORVHMHFXWLYRV\ORVHMHFXWLYRVUHSRUWDQDO&RQVHMR
GLUHFWLYR/DVXQLGDGHVGHQHJRFLRVRQODVUHVSRQVDEOHVGHWUDEDMDUHQFRQMXQWRFRQ7,
SDUDDVHJXUDUTXHORVUHTXHULPLHQWRVGHQHJRFLRVHDQFXPSOLGRV3DUDD\XGDUDORJUDU
HVWRVHQHFHVLWDORVLJXLHQWH

x /RVPLHPEURVGHO&RQVHMRGLUHFWLYRGHEHQWHQHUXQSDSHODFWLYRHQHVWUDWHJLDGH
7,RDOJ~FRPLWpVLPLODU
x /RV&(2VGHEHQSURSRUFLRQDUHVWUXFWXUDVRUJDQL]DFLRQDOHVSDUDGDUVRSRUWHDOD
LPSOHPHQWDFLyQGHXQDHVWUDWHJLDGH7,
x /RV&,2VGHEHQWHQHUHQIRTXHGHQHJRFLRV\VHUYLUFRPRSXHQWHHQWUHHOQHJRFLR
\7,
x 7RGRVORVHMHFXWLYRVGHEHQIRUPDUSDUWHGHXQFRPLWpGHGLUHFFLyQGH7,RVLPLODU

0XFKRVFRQVHMRVOOHYDQDFDERVXVWDUHDVGHJREHUQDELOLGDGDWUDYpVGHFRPLWpVTXH
VXSHUYLVDQFLHUWDVDFWLYLGDGHVFUtWLFDVFRPRDXGLWRUtDVFRPSHQVDFLRQHV\DGTXLVLFLRQHV
(OJUXSRLQWHUQRGHSDUWHVLQWHUHVDGDVPHMRUFRQRFLGRHVHOFRPLWpGHGLUHFFLyQGH7,HO
FXDOVHGHEHHQIRFDUHQHOUDVWUHRGHLQYHUVLRQHVGH7,HOHVWDEOHFLPLHQWRGHSULRULGDGHV
\ODDVLJQDFLyQGHUHFXUVRV
3DUWHVLQWHUHVDGDVH[WHUQDVFODYH

Interesados
internos clave Reguladores:
¿Cumple con las
regulaciones?
Interesados
externos clave
Clientes: ¿Se
Beneficios clave Proveedores:
respeta la
de un gobierno de
privacidad y
Interesados ¿Mi socio de
TI efectivo negocios es
seguridad de mi externos seguro y
información
personal? clave confiable?
Auditor externo:
¿Existen
controles
financieros
adecuados?
20
3XQWRVLPSRUWDQWHV

/DVSDUWHVLQWHUHVDGDVH[WHUQDVWDPELpQWLHQHQXQLQWHUpVHQHOJRELHUQRGH7,

(ODPELHQWHGHJRELHUQRGH7,WDPELpQGHEHVDWLVIDFHUVXVQHFHVLGDGHV
Mis notas
%HQHILFLRVFODYHGHXQDJREHUQDELOLGDGGH7,HIHFWLYD
Interesados • Incremento de la eficiencia y en la optimización de costos

internos clave
• Mejores rendimientos en las inversiones de TI
• Se logra la confianza de la alta gerencia
• Información transparente y relevante sobre el desempeño de TI
Interesados
externos clave • Soluciones y servicios confiables, seguros, y alineados con las necesidades y
prioridades del negocio
• Una empresa ágil que puede responder velozmente a requisitos cambiantes en TI
Beneficios
clave de un
gobierno de TI
efectivo Riesgos Confianza ROI Incidentes
Beneficios Costos Fracasos Transparencia
21
3XQWRVLPSRUWDQWHV
(VWRVVRQDOJXQRVHMHPSORV

6HUYLFLRVPiVFRQILDEOHV(OJRELHUQREXVFDDVHJXUDUTXHORVSURFHVRV\VHUYLFLRV
FUtWLFRVGH7,SXHGDQVHUVXSHUYLVDGRV\TXHFXDOTXLHUIDOODRLQFLGHQWHGHDOWDSULRULGDG
VHDDWHQGLGRRUHVXHOWR7DPELpQSHUPLWHTXHORVVHUYLFLRVTXHUHTXLHUHQGHDOWRVQLYHOHV
GHFRQILDELOLGDGVHDQLPSOHPHQWDGRVFRQXQDLQIUDHVWUXFWXUDUREXVWD\UHVLVWHQWHFRQOD
ILQDOLGDGGHPLQLPL]DUODSUREDELOLGDGGHXQDIDOODRLQWHUUXSFLyQGHOVHUYLFLR(OJRELHUQR
GH7,VLUYHSDUDUHGXFLUULHVJRVPHMRUDUODFDOLGDGGHVHUYLFLRHLQFUHPHQWDUODVDWLVIDFFLyQ
GHOFOLHQWH

0D\RUWUDQVSDUHQFLD/DLPSOHPHQWDFLyQGHXQVLVWHPDGHJRELHUQRGH7,VXHOH
FRQOOHYDUPD\RUWUDQVSDUHQFLDORFXDOLPSOLFDTXHORVLQWHUHVDGRVUHFLELUiQODLQIRUPDFLyQ
TXHUHTXLHUHQHQXQIRUPDWRDGHFXDGR8QPDUFRGHJRELHUQRGH7,HIHFWLYDPHQWH
LPSOHPHQWDGREXVFDDVHJXUDUTXHODLQIRUPDFLyQFRUUHFWDHVWpGLVSRQLEOHSDUDORV
WRPDGRUHVGHGHFLVLRQHVDOQLYHOLQGLFDGRGHORFRQWUDULRODLQIRUPDFLyQVHSLHUGHHQXQ
ODEHULQWRGHGDWRV

5HVSXHVWDGH7,DODVQHFHVLGDGHVGHQHJRFLRV$JLOLGDGIOH[LELOLGDG\FDSDFLGDGGH
UHVSXHVWDVRQDOJXQRVDWULEXWRVHVHQFLDOHVGH7,FXDQGRGHVHPSHxDXQSDSHOGHDSR\RD
ODVQHFHVLGDGHVFDPELDQWHVGHQHJRFLR8QJRELHUQRGH7,HILFLHQWHJDUDQWL]DXQDFDGHQD
GHPDQGRPiVWUDQVSDUHQWHPD\RUHIHFWLYLGDGHQODWRPDGHGHFLVLRQHV\PD\RU
FRQILDQ]DHQODWRPDGHULHVJRV\HQODVLQYHUVLRQHV$GHPiV7,\QHJRFLRVVHSXHGHQ
UHODFLRQDUHQWUHHOORV&RPRUHVXOWDGRODDOWDJHUHQFLDSXHGHWHQHUPiVFRQILDQ]DGHTXH
WRGRPDUFKDHQRUGHQ

&RQILDQ]DGHODDOWDJHUHQFLD8QDWpFQLFDHIHFWLYDGHJRELHUQRGH7,SXHGHVHUYLUSDUD
TXHWRGRVVHVLW~HQHQODPLVPDSiJLQD(VWRSRUHOOHQJXDMHFRP~QTXHFUHDORV
PHFDQLVPRVWUDQVSDUHQWHVGHGHFLVLRQHVTXHIDFLOLWD\ODSUHFLVLyQGHODLQIRUPDFLyQTXH
JHQHUDSDUDODJHUHQFLD&XDQGRODDOWDJHUHQFLDWLHQHXQDLGHDPiVFODUDGHFyPRRSHUD
7,VXFRQILDQ]DKDFLDODVGHFLVLRQHVGHLQYHUVLyQDXPHQWD

0D\RUUHQGLPLHQWRVREUHODLQYHUVLyQ52,8QJRELHUQRGH7,HILFLHQWHD\XGDD
UHGXFLUIDOODVHQORVSUR\HFWRVDRSWLPL]DUODLQIUDHVWUXFWXUDGH7,\DLQFUHPHQWDUOD
HILFLHQFLDGHORVSURFHVRVGH7,0D\RU52,LPSOLFDPD\RUYDORUDOQHJRFLR\PHMRUFDOLGDG
GHVHUYLFLRVORFXDOIDFLOLWDODHVWUDWHJLDGHQHJRFLRVHQJHQHUDO

5HVXPHQGHO0yGXOR
Fundamentos 2.3 Resumen del Módulo
• Con frecuencia, las empresas enfrentan los siguientes retos de TI generando la necesidad de tener
buen gobierno de TI:
o Mantener TI operando
o Alinear TI con negocios
o Valor
o Seguridad
o Cumplimiento regulatorio
o Manejar la complejidad
o Costos
• El gobierno sirve para asegurar que las necesidades, condiciones y opciones de las partes
interesadas sean evaluadas con la finalidad de determinar los objetivos --equilibrados y decididos por
consenso– que se desea alcanzar; la determinación de una dirección por medio del establecimiento
de prioridades y la toma de decisiones; y el monitoreo del rendimiento y cumplimiento con base en los
objetivos y la dirección establecidos por consenso.
• Las partes interesadas internas y externas tienen intereses en juego y papeles que jugar en lo que
refiere a la implementación de gobierno de TI. Su involucramiento en el plan y la claridad de sus
responsabilidades es crucial para lograr una implementación exitosa.
• Un gobierno de TI efectivo nos brinda varios beneficios:
o Servicios más confiables
o Mayor transparencia
o TI responde mejor a las necesidades del negocio
o Confianza de la alta gerencia
o Mayor Rendimiento sobre la Inversión (ROI)
22
3XQWRVLPSRUWDQWHV
5HVXPHORVSXQWRVGHOHFWXUDGHHVWHPyGXOR\DVHJ~UDWHGHTXHWRGRVHQWLHQGDQORV
FRQFHSWRV

&2%,7
)XQGDPHQWRV

0yGXOR&2%,78QD,QWURGXFFLyQ

COBIT 5: Una Introducción
Resumen del Módulo
Temas discutidos
Los temas de este módulo son los siguientes:
• 3.1: El marco de COBIT 5
• 3.2: Principios de COBIT 5
• 3.3: Resumen del módulo

Resumen del Módulo
Objetivos de Aprendizaje del Módulo

• Entender los objetivos del marco de COBIT 5
• Identificar los principios de COBIT 5
Manual del alumno | COBIT 5: Una Introducción

3XQWRVLPSRUWDQWHV

(QHVWHPyGXORKDUHPRVORVLJXLHQWH
x (QWHQGHUORVREMHWLYRVGHOPDUFRGH&2%,7
x ,GHQWLILFDUORVSULQFLSLRVGH&2%,7
x ,GHQWLILFDUORVHOHPHQWRVTXHIDFLOLWDQ&2%,7
x (QWHQGHUODLPSOHPHQWDFLyQGH&2%,7

(OPDUFR&2%,7

3.1 El marco de COBIT 5

4

3XQWRVLPSRUWDQWHV

(FKHPRVXQYLVWD]RDOPDUFRGH&2%,7
5HVXPHQJHQHUDO
Resumen general
El gobierno y gestión efectivos sólo pueden lograrse si se adopta e
implementa un marco adecuado que:

Considere a todas las partes interesadas
Atienda a todos los habilitadores necesarios
Se base en los mejores estándares y prácticas
Cubra el uso de la información y de TI a lo largo y ancho de la empresa
Aclare el alcance del gobierno y de la gestión

3XQWRVLPSRUWDQWHV

/RVPDUFRVGHFRQWURO\JRELHUQRSURSRUFLRQDQXQDEDVHSDUDHVWDEOHFHU\PDQWHQHUHO
JRELHUQRGH7,\WDPELpQHOFXPSOLPLHQWRGHUHTXLVLWRVUHJXODWRULRVORVFXDOHVDXPHQWDQ
FRQWLQXDPHQWH

¿Por qué COBIT 5?

COBIT 5 brinda la siguiente generación de guías de ISACA sobre gobierno y
gestión de TI empresarial. El principal motivante lo constituye la necesidad de
que las empresas hagan frente a:
• Las opiniones de las partes interesadas acerca de lo que esperan de TI
• La naturaleza generalizada de TI
• La creciente dependencia hacia empresas externas, incluyendo empresas de TI
• Un creciente volumen de información
• La importancia de la innovación y del uso de las tecnologías emergentes
• El uso exhaustivo y funcional de TI a lo largo de toda la empresa
• La necesidad de enfocarse en todos los aspectos del gobierno de TI, incluyendo
estructuras organizacionales, políticas, cultura y procesos
• Controlar las soluciones de TI iniciadas y controladas por el usuario
• La generación de valor a partir de TI sin dejar de cumplir con las regulaciones
pertinentes
• Alinear el trabajo con los estándares más recientes y las mejores prácticas
• Simplificar e integrar los lineamientos de ISACA
3XQWRVLPSRUWDQWHV

x 3URSRUFLRQDUPiVYR]DODVSDUWHVLQWHUHVDGDVHQORTXHUHVSHFWDDH[SHFWDWLYDVVREUH
ODLQIRUPDFLyQ\WHFQRORJtDVUHODFLRQDGDVTXpEHQHILFLRVFXiOHVHOQLYHODFHSWDEOHGH
ULHVJRFXiOHVVHUtDQORVFRVWRV\FXiOHVVHUtDQODVSULRULGDGHVSDUDDVHJXUDUTXHHO
YDORUHVSHUDGRHVWpVLHQGRHQJHQHUDOHQWUHJDGR$OJXQRVEXVFDUiQUHWRUQRVDFRUWR
SOD]R\RWURVTXHUUiQVXVWHQWDELOLGDGDODUJRSOD]R$OJXQRVHVWDUiQOLVWRVSDUDWRPDUXQ
ULHVJRDOWRPLHQWUDVTXHRWURVQR(VWDVH[SHFWDWLYDVFRQIOLFWLYDV\HQRFDVLRQHV
GLYHUJHQWHVQHFHVLWDQVHUDWHQGLGDVGHIRUPDHIHFWLYD/DVSDUWHVLQWHUHVDGDVQRVyOR
TXLHUHQYHUVHPiVLQYROXFUDGDVVLQRTXHTXLHUHQPD\RUWUDQVSDUHQFLDDOUHVSHFWRGH
FyPRRFXUULUiQODVFRVDV\ORVUHVXOWDGRVTXHVHUiQREWHQLGR

x $WHQGHUHOKHFKRGHTXHHOp[LWRGHODVHPSUHVDVGHSHQGHFDGDYH]PiVGHOp[LWRGH
QHJRFLRVH[WHUQRVSDUWHVGH7,FRPRSRGUtDQVHUHPSUHVDVVXEFRQWUDWDGDV
SURYHHGRUHVFRQVXOWRUHVFOLHQWHVVHUYLFLRVGHQXEH\RWURVSURYHHGRUHVGHVHUYLFLRV
DVtFRPRHQXQDVHULHGHPHGLGDV\PHFDQLVPRVLQWHUQRVTXHVLUYHQSDUDHQWUHJDUHO
YDORUHVSHUDGR

x /LGLDUFRQODFDQWLGDGGHLQIRUPDFLyQODFXDOKDLQFUHPHQWDGRVLJQLILFDWLYDPHQWH
¢&yPRHVTXHODVHPSUHVDVVHOHFFLRQDQODLQIRUPDFLyQFUHtEOH\UHOHYDQWHTXHOOHYDUi
DXQDWRPDGHGHFLVLRQHVGHQHJRFLRVHIHFWLYD\HILFLHQWH"/DLQIRUPDFLyQGHEHVHU
JHVWLRQDGDGHIRUPDHIHFWLYD\XQPRGHORGHLQIRUPDFLyQHIHFWLYRSXHGHD\XGDUD
ORJUDUOR


x 'DUDWHQFLyQDXQD7,PXFKRPiVJHQHUDOL]DGDVHYXHOYHSDUWHHVHQFLDOGHOQHJRFLR
FDGDYH]PiV\PiV&RQIUHFXHQFLD\DQREDVWDTXH7,VHDXQHQWHVHSDUDGRLQFOXVR
VLHVWiDOLQHDGDFRQHOQHJRFLR(VQHFHVDULRTXHVHDSDUWHLQWHJUDOGHORVSUR\HFWRVGH
QHJRFLRVHVWUXFWXUDVRUJDQL]DFLRQDOHVJHVWLyQGHOULHVJRSROtWLFDVKDELOLGDGHV
SURFHVRVHWF(OUROGHO'LUHFWRUGH,QIRUPiWLFD&,2\ODIXQFLyQGH7,HVWiQ
HYROXFLRQDQGRGHPDQHUDFRQVWDQWH&DGDYH]PiVSHUVRQDVTXHRFXSDQIXQFLRQHVGH
QHJRFLRVWLHQHQKDELOLGDGHVGH7,\HVWiQRHVWDUiQLQYROXFUDGRVHQGHFLVLRQHV\
RSHUDFLRQHVGH7,3RUHOOR7,\QHJRFLRVGHEHQSURFXUDUPHMRULQWHJUDFLyQ

x 3URSRUFLRQDPD\RUGLUHFFLyQHQORTXHDLQQRYDFLyQ\WHFQRORJtDVHPHUJHQWHVVH
UHILHUH$TXtHQWUDQHQMXHJRODFUHDWLYLGDGLQJHQLRGHVDUUROORGHQXHYRVSURGXFWRV
KDFHUORVSURGXFWRVH[LVWHQWHVPiVDWUDFWLYRVSDUDORVFOLHQWHVOOHJDUDQXHYRVWLSRVGH
FOLHQWHV/DLQQRYDFLyQWDPELpQLPSOLFDUDFLRQDOL]DUHOGHVDUUROORGHSURGXFWRVDVtFRPR
ODPDQXIDFWXUD\SURFHVRVGHODFDGHQDGHVXPLQLVWURFRQODILQDOLGDGGHOOHYDU
SURGXFWRVDOPHUFDGRFRQQLYHOHVPD\RUHVGHHILFLHQFLDYHORFLGDG\FDOLGDG

x &XEULUSRUFRPSOHWRWDQWRODVUHVSRQVDELOLGDGHVGHOQHJRFLRFRPRODVIXQFLRQDOHVGH7,
DORDQFKR\ODUJRGHODHPSUHVD$VLPLVPRFXEULUWRGRVORVDVSHFWRVTXHFRQGXFHQD
XQJRELHUQR\JHVWLyQHIHFWLYRGH7,HPSUHVDULDOLQFOX\HQGRHVWUXFWXUDVSROtWLFDV\
FXOWXUDRUJDQL]DFLRQDO\\HQGRPiVDOOiGHORVSURFHVRV

x 2EWHQHUXQPHMRUFRQWUROVREUHODVVROXFLRQHVGH7,LQLFLDGDV\FRQWURODGDVSRUORV
XVXDULRV

x /RJUDUDQLYHOHPSUHVD
o *HQHUDFLyQGHYDORUSRUPHGLRGHOXVRHIHFWLYRHLQQRYDGRUGH7,HPSUHVDULDO
o 6DWLVIDFFLyQGHOXVXDULRGHQHJRFLRVSRUPHGLRGHLQYROXFUDPLHQWR\VHUYLFLRVGH7,
o &XPSOLPLHQWRFRQOH\HVUHJXODFLRQHVFRQWUDWRV\SROtWLFDVLQWHUQDVUHOHYDQWHV
o 0HMRUHVUHODFLRQHVHQWUHODVQHFHVLGDGHVGHQHJRFLRV\ORVREMHWLYRVGH7,

x &RQHFWDUFRQ\HQFDVRVUHOHYDQWHVDOLQHDUVHFRQRWURVPDUFRV\HVWiQGDUHV
LPSRUWDQWHVHQHOPHUFDGRWDOHVFRPR,QIRUPDWLRQ7HFKQRORJ\,QIUDHVWUXFWXUH/LEUDU\
,7,/7KH2SHQ*URXS$UFKLWHFWXUH)UDPHZRUN72*$)3URMHFW0DQDJHPHQW
%RG\RI.QRZOHGJH30%2.35RMHFWV,1&RQWUROOHG(QYLURQPHQWV35,1&(
&RPPLWWHHRI6SRQVRULQJ2UJDQL]DWLRQVRIWKH7UHDGZD\&RPPLVVLRQ&262\ORV
HVWiQGDUHVGHOD2UJDQL]DFLyQ,QWHUQDFLRQDOGH(VWiQGDUHVGH1RUPDOL]DFLyQ,62
(VWRD\XGDUiDTXHODVSDUWHVLQWHUHVDGDVHQWLHQGDQPHMRUGHTXpPDQHUDORVGLVWLQWRV
PDUFRVEXHQDVSUiFWLFDV\HVWiQGDUHVVHSRVLFLRQDQXQDVUHVSHFWRDRWUDV\FyPR
SXHGHQVHUXWLOL]DGDVHQFRQMXQWR
x ,QWHJUDUWRGRVORVSULQFLSDOHVPDUFRV\OLQHDPLHQWRVGH,6$&$HQIRFiQGRVH
SULQFLSDOPHQWHHQ&2%,79DO,7\5LVN,7SHURWDPELpQWRPDQGRHQFXHQWDHO0RGHOR
GH1HJRFLRVSDUDOD6HJXULGDGGHOD,QIRUPDFLyQ%0,6SRUVXVVLJODVHQLQJOpVHO
0DUFRGH$VHJXUDPLHQWRGH7,,7$VVXUDQFH)UDPHZRUN,7$)XQDSXEOLFDFLyQTXH
OOHYDFRPRQRPEUH,QIRUPHGHO&RQVHMRGLUHFWLYRVREUH*RELHUQRHQ7,%RDUG%ULHILQJ
RQ,7*RYHUQDQFH\ORVUHFXUVRVGH/OHYDQGROD*REHUQDELOLGDGKDFLD$GHODQWH
7DNLQJ*RYHUQDQFH)RUZDUG7*)GHWDOPRGRTXH&2%,7FXEUHODHPSUHVDSRU
FRPSOHWR\SURSRUFLRQDXQDEDVHSDUDODLQWHJUDFLyQGHRWURVPDUFRVHVWiQGDUHV\
SUiFWLFDVGHQWURGHXQVRORPDUFR


Beneficios para el negocio

COBIT 5 brinda un marco integral que ayuda a las empresas a lograr sus objetivos de
gobierno y de gestión empresarial de TI. COBIT 5 ayuda a las empresas a:
• Considerar los intereses relativos a TI de las partes interesadas internas y externas
• Generar valor óptimo a partir de TI por medio del cumplimiento de beneficios y la optimización de
riesgos y recursos
• Considerar las áreas de responsabilidad completas en lo que se refiere al negocio y a las áreas
funcionales de TI, sin importar el tamaño ni el rubro (comercial, sin fines de lucro, sector público)
3XQWRVLPSRUWDQWHV

$ORODUJRGHOD~OWLPDGpFDGDHOWpUPLQRµJRELHUQR¶KDSDVDGRDODSULPHUDILODGHLPSRUWDQFLD
HQHOSHQVDPLHQWRGHQHJRFLRVHVWRFRPRUHVSXHVWDDYDULRVHMHPSORVTXHGHPXHVWUDQOD
LPSRUWDQFLDGHXQEXHQJRELHUQR\HQHORWURH[WUHPRHUURUHVGHQHJRFLRVFRQLPSDFWRJOREDO

/DVHPSUHVDVH[LWRVDVKDQUHFRQRFLGRTXHHOFRQVHMRGLUHFWLYR\ORVHMHFXWLYRVGHEHQHQWHQGHU
TXH7,HVSDUWHLPSRUWDQWHGHKDFHUQHJRFLRV\GHEHQDFHSWDUOD'DGRTXHWDQWRHOFRQVHMR
GLUHFWLYRFRPRODJHUHQFLDGHVHPSHxDQIXQFLRQHVGHQHJRFLRV\GH7,DPEDVGHEHQFRODERUDU
\WUDEDMDUHQFRQMXQWRFRQODILQDOLGDGGHTXH7,VHDLQFOXLGDGHQWURGHORUHODWLYRDJRELHUQR\
JHVWLyQ$GHPiVVHDSUXHEDQFRQPD\RUIUHFXHQFLDOH\HV\UHJXODFLRQHVSDUDDWHQGHUHVWD
QHFHVLGDG

&2%,7SURSRUFLRQDXQPDUFRLQWHJUDOTXHD\XGDDODVHPSUHVDVDFXPSOLUVXVREMHWLYRVSDUD
HOJRELHUQR\JHVWLyQGH7,HPSUHVDULDO(QSRFDVSDODEUDVD\XGDDODVHPSUHVDVDJHQHUDU
YDORUySWLPRDSDUWLUGH7,FRQODILQDOLGDGGHJREHUQDUOD\JHVWLRQDUODGHPDQHUDKROtVWLFDSDUD
WRGDODHPSUHVD(VWRLPSOLFDWRPDUHQFXHQWDHOODViUHDVGHUHVSRQVDELOLGDGFRPSOHWDVHQOR
TXHVHUHILHUHDOQHJRFLR\DODViUHDV
IXQFLRQDOHVGH7,FRQVLGHUDQGRORVLQWHUHVHVUHODWLYRVD7,GHODVSDUWHVLQWHUHVDGDVWDQWR
LQWHUQDVFRPRH[WHUQDV&2%,7HVJHQpULFD\~WLOSDUDHPSUHVDVGHWRGRWDPDxR\DVHDQ
FRPHUFLDOHVVLQILQHVGHOXFURRUHODFLRQDGDVDOVHFWRUS~EOLFR


Familia de productos
Las publicaciones centrales de COBIT 5 incluyen COBIT 5 (el Marco), COBIT 5
Procesos Habilitadores*, y COBIT 5 Implementación.
COBIT® 5
Guías Habilitadoras de COBIT 5

COBIT® 5: COBIT® 5: Otras guías de
Procesos Habilitadores Información Habilitadora habilitadores
Guías Profesionales COBIT 5

COBIT® 5 COBIT® 5
Implementación de COBIT® 5 Otras guías
Para Seguridad para
COBIT® 5 de la Información Aseguramien para Riesgos profesionales
Ambiente de colaboración en línea para COBIT 5
*Nota del traductor, el término “enabler” ha sido traducido en este material como “habilitador” en apego al Glosario establecido por ISACA, sin embargo
es factible que se encuentre traducido como “catalizador” en otras traducciones.
3XQWRVLPSRUWDQWHV

/DIDPLOLDGHSURGXFWRV&2%,7LQFOX\HORVVLJXLHQWHVSURGXFWRV
x &2%,7HOPDUFR
x *XtDVGHOKDELOLWDGRUHVGH&2%,7HQODVVHGLVFXWHQDGHWDOOHORVKDELOLWDGRUHVGH
JRELHUQR\JHVWLyQ(VWRLQFOX\H
o &2%,73URFHVRVKDELOLWDGRUHV
o &2%,7,QIRUPDFLyQKDELOLWDGRUDHQGHVDUUROOR
o 2WUDVJXtDVGHKDELOLWDGRUHVUHYLVDUZZZLVDFDRUJFRELW
x *XtDVSURIHVLRQDOHVGH&2%,7ODVFXDOHVLQFOX\HQ
o ,PSOHPHQWDFLyQGH&2%,7
o &2%,7SDUD6HJXULGDGGHOD,QIRUPDFLyQHQGHVDUUROOR
o &2%,7SDUD$VHJXUDPLHQWRHQGHVDUUROOR
o &2%,7SDUD5LHVJRVHQGHVDUUROOR
o 2WUDVJXtDVSURIHVLRQDOHVUHYLVDUZZZLVDFDRUJFRELW
x 8QDPELHQWHFRODERUDWLYRHQOtQHDHOFXDOHVWDUiGLVSRQLEOHSDUDDSR\DUHOXVRGH
&2%,7
3ULQFLSLRVGH&2%,7
3.2 Principios de COBIT 5
Satisfacer las
necesidades de
las partes
interesadas.
Separar el Cubrir la
gobierno de la empresa de
gestión extremo a
Principios extremo.
de
COBIT 5
Hacer Aplicar un
posible un marco único
enfoque integrado.
holístico
9

3XQWRVLPSRUWDQWHV
(OGLVHxRGH&2%,7VHEDVDHQORVVLJXLHQWHVSULQFLSLRV
x &XPSOLUFRQODV1HFHVLGDGHVGHODV3DUWHV,QWHUHVDGDV$OLQHDUVHFRQORVREMHWLYRVGH
ODHPSUHVD\ODVSUHRFXSDFLRQHVLQWHUQDV\H[WHUQDVGHODVSDUWHVLQWHUHVDGDV
x &XEULUOD(PSUHVDGH([WUHPRD([WUHPR&XEULUODVIXQFLRQHVGHQHJRFLRV\GH7,²
WRGDVODVSHUVRQDVTXHXVDQ7,FRPRUHFXUVR
x $SOLFDUXQ0DUFRÒQLFR,QWHJUDGR,6$&$KDFRQVROLGDGRODRULHQWDFLyQUHFLELGDFRQ
DQWHULRULGDGSDUDIRUPDUXQVRORPDUFR
x +DFHUSRVLEOHXQHQIRTXHKROtVWLFL'DUDWHQFLyQDWRGRVORVKDELOLWDGRUHVQHFHVDULRV
x 6HSDUDUHO*RELHUQRGHOD*HVWLyQ$FODUDUTXHH[LVWHXQDGLIHUHQFLDHQWUHJREHUQDU\
JHVWLRQDU(VWRVWpUPLQRVSXHGHQVLJQLILFDUFRVDVFRPSOHWDPHQWHGLIHUHQWHV
GHSHQGLHQGRGHOSDtVDPELHQWHHQWUHRWURVIDFWRUHVSRUORTXHVRQJHQpULFRV\VH
EDVDQHQHVWiQGDUHVDFWXDOHV
3ULQFLSLR±&XPSOLUFRQODVQHFHVLGDGHVGHODVSDUWHVLQWHUHVDGDV
Las empresas existen con la finalidad de crear valor para las partes interesadas. En
Principio 1 - consecuencia, toda empresa tendrá la generación de valor como uno de sus objetivos
Cumplir con las de gobierno.
necesidades de
las partes
interesadas Necesidades de
las partes
Principio 2 - Cubrir interesadas
la empresa de
extremo a extremo
Conllevan
Principio 3 -
Aplicar un marco
único integrado
Objetivo de Gobierno: Creación de valor

Principio 4 - Hacer
posible un enfoque
holístico Realización de Optimización Optimización
Beneficios de Recursos del Riesgo
Principio 5 –
Separar el
gobierno de la
gestión
10
3XQWRVLPSRUWDQWHV
/DFUHDFLyQGHYDORUVLJQLILFDFUHDUEHQHILFLRVDXQFRVWRySWLPRHQWpUPLQRVGHUHFXUVRVD
YH]TXHVHRSWLPL]DHOULHVJRYHUODILJXUD/RVEHQHILFLRVSXHGHQDGRSWDUPXFKDVIRUP
LQFOX\HQGREHQHILFLRVILQDQFLHURVSDUDHPSUHVDVFRPHUFLDOHVVHUYLFLRVS~EOLFRVSDUD
HQWLGDGHVJXEHUQDPHQWDOHVHWF
/DVQHFHVLGDGHVGHODVSDUWHVLQWHUHVDGDVGHEHQWUDQVIRUPDUVHHQXQDHVWUDWHJLDFRUSRUD
IDFWLEOHDFFLRQDEOH/DFDVFDGDGHPHWDVGH&2%,7HVHOPHFDQLVPRTXHWUDGXFHODV
QHFHVLGDGHVGHXQDSDUWHLQWHUHVDGDHQPHWDVHVSHFtILFDVDFFLRQDEOHV\DGDSWDEOHV
'LVFXWLUHPRVHVWRFRQPD\RUGHWDOOHHQHOVLJXLHQWHPyGXOR
3ULQFLSLR±&XEULHQGRODHPSUHVDGHH[WUHPRDH[WUHPR


Principio 1 -

Cumplir con las COBIT 5 ayuda al gobierno y gestión de la información y tecnologías
necesidades de
relacionadas desde una perspectiva que abarca la empresa en su totalidad,
las partes de extremo a extremo. Esto significa que:
interesadas
• COBIT 5 integra el gobierno de la TI empresarial en gobierno empresarial

Principio 2- • COBIT 5 cubre todas las funciones y procesos dentro de la empresa
Cubrir la

empresa de
extremo a Gobierno y Gestión en COBIT 5

extremo
3-
Principio Objetivo de Gobierno: Creación de valor
Aplicar un marco
integrado
único
Realización Optimización Optimización
de Beneficios de Riesgo de Recursos
4 - Hacer
Principio
posible un enfoque

holístico

Habilitadores Alcance del
5–
Principio del gobierno gobierno
Separar el

gobierno de la
gestión

Roles, actividades y relaciones

11

3XQWRVLPSRUWDQWHV
&2%,7DWLHQGHHOJRELHUQR\ODJHVWLyQGHODLQIRUPDFLyQ\WHFQRORJtDVUHODFLRQDGDVGHVGH
XQDSHUVSHFWLYDTXHFXEUHODHPSUHVDDORODUJR\DORDQFKRGHH[WUHPRDH[WUHPR(VWR
VLJQLILFDTXH&2%,7
x ,QWHJUDHOJRELHUQRGH7,HPSUHVDULDODOJRELHUQRGHODHPSUHVD(OVLVWHPDGHJRELHUQR
SDUD7,HPSUHVDULDOHPERQDGHIRUPDSHUIHFWDHQXQVLVWHPDGHJRELHUQRFRUSRUDWLYR
HVWRGHELGRDTXH&2%,7VHDOLQHDFRQODVYLVLRQHVPiVUHFLHQWHVVREUHJRELHUQR
FRUSRUDWLYR
x &XEUHWRGDVODVIXQFLRQHV\SURFHVRVDOLQWHULRUGHODHPSUHVD&2%,7QRVyORVH
HQIRFDHQOD³IXQFLyQGH7,´VLQRTXHWDPELpQWUDWDDODLQIRUPDFLyQ\ODVWHFQRORJtDV
UHODFLRQDGDVFRPRDFWLYRVTXHGHEHQDWHQGHUVHFRPRDFXDOTXLHURWURDFWLYRSRUSDUWH
GHFXDOTXLHUHPSOHDGRHQODHPSUHVD
x &2%,7RIUHFHXQDYLVLyQLQWHJUDO\VLVWpPLFDSDUDHOJRELHUQR\ODJHVWLyQGH7,
HPSUHVDULDOYHU3ULQFLSLRFRQEDVHHQXQQ~PHURGHKDELOLWDGRUHV/RVKDELOLWDGRUHV
FXEUHQDWRGDODHPSUHVD\GHXQH[WUHPRDRWURLQFOX\HQWRGR\DWRGRV\DVHDQ
LQWHUQRVRH[WHUQRVORVTXHSRGUtDQFRQVLGHUDUVHUHOHYDQWHVSDUDHOJRELHUQR\JHVWLyQ
GHODLQIRUPDFLyQGHXQDHPSUHVDDVtFRPRODVWHFQRORJtDVUHODFLRQDGDVLQFOX\HQGR
ODVDFWLYLGDGHV\UHVSRQVDELOLGDGHVWDQWRGHODVIXQFLRQHVGH7,FRPRGHODVIXQFLRQHV
GHQHJRFLRTXHQRWLHQHQUHODFLyQFRQ7,
3ULQFLSLR±&XEULHQGRODHPSUHVDGHH[WUHPRDH[WUHPR&RQW

Principio 1 -
Cumplir con las En COBIT 5 existe una clara diferencia entre las actividades de gobierno y de
necesidades de gestión en los dominios de gobierno y gestión, así como en la interconexión
las partes entre ellos y los participantes involucrados (role players).
interesadas
Principio 2 -
Cubrir la Roles, Actividades y Relaciones
empresa de
extremo a Instruye y
Delega Establece
extremo dirección alinea
Propietarios y Cuerpo de Gestión Operaciónes
Principio 3 - partes gobierno
Rinde cuentas y Ejecución
Aplicar un marco interesadas Supervisa Notifica
único integrado (es responsable)
Principio 4 - Hacer
posible un enfoque
holístico
Principio 5 –
Separar el
gobierno de la
gestión
12

3XQWRVLPSRUWDQWHV
3DUDPiVLQIRUPDFLyQVREUHHVWDYLVLyQJHQpULFDGHJRELHUQRIDYRUGHUHYLVDU/OHYDQGRHO
JRELHUQRKDFLDGHODQWH7DNLQJ*RYHUQDQFH)RUZDUGHQZZZWDNLQJJRYHUQDQFHIRUZDUGRUJ
3ULQFLSLR±$SOLFDQGRXQPDUFR~QLFRHLQWHJUDGR
COBIT 5 se
Principio 1 -
alinea con los
Cumplir con las
necesidades de marcos y
las partes estándares
interesadas relevantes más
recientes
Principio 2 - Cubrir
la empresa de
extremo a extremo
Razones por las

COBIT 5 ofrece
Principio 3 - COBIT 5 también que COBIT 5 cobertura
Aplicar un integra todo el constituye un empresarial
marco único conocimiento
marco único e completa
integrado integrado
Principio 4 - Hacer
posible un enfoque
holístico
COBIT
proporciona una
Principio 5 – estructura
Separar el sencilla
gobierno de la
gestión
13
3XQWRVLPSRUWDQWHV

&2%,7HVXQPDUFR~QLFRHLQWHJUDGRSRUTXH
x 6HDOLQHDFRQORVHVWiQGDUHV\PDUFRVUHOHYDQWHVPiVUHFLHQWHVORFXDOSHUPLWHTXHOD
HPSUHVDXWLOLFH&2%,7FRPRXQPDUFRJHQHUDOLQWHJUDGRUGHJRELHUQR\JHVWLyQ
x 3URSRUFLRQDFREHUWXUDHPSUHVDULDOFRPSOHWD\XQDEDVHSDUDXQDLQWHJUDFLyQHIHFWLYD
GHRWURVPDUFRVHVWiQGDUHV\SUiFWLFDVTXH\DHVWiQVLHQGRXWLOL]DGRV
8QPDUFR~QLFRJHQHUDOVLUYHFRPRXQDIXHQWHFRQVLVWHQWHHLQWHJUDGDTXHEULQGD
GLUHFFLyQHQXQOHQJXDMHFRP~QQRWpFQLFR\GHVSURYLVWRGHWHUPLQRORJtDWHFQROyJLFD
x 3URSRUFLRQDXQDDUTXLWHFWXUDVHQFLOODSRUPHGLRGHODFXDOVHSXHGHQHVWUXFWXUDUORV
PDWHULDOHVTXHVHUYLUiQFRPRJXtDVDVtFRPRHODERUDUXQDVHULHGHSURGXFWRV
FRQVLVWHQWH
x &2%,7WDPELpQLQWHJUDWRGRHOFRQRFLPLHQWRSUHYLDPHQWHGLVSHUVRHQYDULRVPDUFRV
GH,6$&$,6$&$KDLQYHVWLJDGRHOiUHDFODYHGHJRELHUQRHPSUHVDULDOGXUDQWHYDULRV
DxRV\KDGHVDUUROODGRPDUFRVFRPR&2%,79DO,75LVN,7DVtFRPRHO0RGHORGH
1HJRFLRSDUD6HJXULGDGGHOD,QIRUPDFLyQ%XVLQHVV0RGHOIRU,QIRUPDWLRQ6HFXULW\
%0,6ODSXEOLFDFLyQ,QIRUPDFLyQVREUH*RELHUQRGH7,SDUDOD'LUHFFLyQ%RDUG
%ULHILQJRQ,7*RYHUQDQFH\HO0DUFRGH$VHJXUDPLHQWRGH7,,7$VVXUDQFH
)UDPHZRUN,7$)FRQODILQDOLGDGGHSURSRUFLRQDUGLUHFFLyQ\DVLVWHQFLDDODV
HPSUHVDV&2%,7LQWHJUDWRGRHVWHFRQRFLPLHQWR

3ULQFLSLR±$SOLFDQGRXQPDUFR~QLFRHLQWHJUDGR&RQW
Principio 1 - Ésta es la manera en que COBIT 5 logra ser un marco alineado e integrado.
Cumplir con las
necesidades de
las partes Guías de ISACA Nuevos materiales
interesadas existentes Otros estándares
de guía ISACA
(COBIT, Val IT, y marcos
Risk IT, BMIS, …)
la empresa de
extremo a extremo
Base de Conocimientos de COBIT 5
Principio 3 - • Orientación y contenidos actuales Habilitadores

Aplicar un • Estructura para contenidos futuros de COBIT 5
marco único
integrado
Principio 4 - Hacer
posible un enfoque Filtro de contenidos para la Base de
holístico
Conocimiento
Principio 5 – Familia de Productos COBIT 5

Separar el COBIT 5
gobierno de la
gestión Guías de habilitadores COBIT 5
Guías profesionales COBIT 5
Ambiente de colaboración en línea COBIT 5
14
3XQWRVLPSRUWDQWHV

(FKHPRVXQYLVWD]RDO0DUFR~QLFRLQWHJUDGRGH&2%,7
3ULQFLSLR±)DFLOLWDQGRXQDDSUR[LPDFLyQLQWHJUDO
Principio 1 -
Cumplir con las
necesidades de
HABILITADORES DE COBIT 5
las partes
interesadas
Estructuras Cultura, Ética y
Procesos
Principio 2 - Cubrir organizacionales Comportamiento
la empresa de
extremo a extremo
Principio 3 -
Aplicar un marco Marcos, Políticas y Procedimientos
único integrado
Principio 4 -
Hacer posible
un enfoque Servicios Personas,
holístico Información Infraestructura Habilidades y
Aplicaciones Competencias
Principio 5 –
Separar el
gobierno de la
gestión RECURSOS
15
3XQWRVLPSRUWDQWHV

/RVKDELOLWDGRUHVVRQIDFWRUHVTXHGHPDQHUDLQGLYLGXDO\FROHFWLYDLQIOX\HQVREUHODV
SRVLELOLGDGHVGHp[LWRGHDOJR(QHVWHFDVRHVHDOJRWUDWDGHJRELHUQR\JHVWLyQGH7,
HPSUHVDULDO

/RVKDELOLWDGRUHVVRQJXLDGRVSRUODFDVFDGDGHPHWDV
ORVREMHWLYRVGH7,GHDOWRQLYHOGHILQHQODVPHWDVTXHORVKDELOLWDGRUHVGHEHQORJUDU

(OPDUFRGH&2%,7GHVFULEHVLHWHFDWHJRUtDVGHKDELOLWDGRUHV

x 3URFHVRV
x (VWUXFWXUDVRUJDQL]DFLRQDOHV
x &XOWXUDpWLFD\FRPSRUWDPLHQWR
x 0DUFRVSULQFLSLRV\SROtWLFDV
x ,QIRUPDFLyQ
x 6HUYLFLRVLQIUDHVWUXFWXUD\DSOLFDFLRQHV
x 3HUVRQDVKDELOLGDGHV\FRPSHWHQFLDV

$OJXQRVGHORVKDELOLWDGRUHVTXHDSDUHFHQHQHVWDOLVWDVRQDVXYH]UHFXUVRVGHODHPSUHVD
TXHGHEHQVHUJHVWLRQDGRV\JREHUQDGRV(VWRDSOLFDSDUD
x ,QIRUPDFLyQ/DLQIRUPDFLyQGHEHVHUJHVWLRQDGDFRPRXQUHFXUVRSHURFLHUWD
LQIRUPDFLyQFRPRUHSRUWHVJHUHQFLDOHVHLQIRUPDFLyQSDUDODWRPDGHGHFLVLRQHV
FRQVWLWX\HXQKDELOLWDGRULPSRUWDQWHSDUDHOJRELHUQR\ODJHVWLyQGHODHPSUHVD
x 6HUYLFLRLQIUDHVWUXFWXUD\DSOLFDFLRQHV
x 3HUVRQDVKDELOLGDGHV\FRPSHWHQFLDV
3ULQFLSLR±)DFLOLWDQGRXQDDSUR[LPDFLyQLQWHJUDO&RQW
Principio 1 -
Cumplir con las DIMENSIONES FACILITADORAS DE COBIT
necesidades de
las partes
interesadas PARTES METAS CICLO DE VIDA BUENAS
DEL HABILITADOR
INTERESADAS PRÁCTICAS
Principio 2 - Cubrir • Calidad intrínseca • Planificar
DIMENSIÓN
la empresa de • Partes • Calidad • Diseñar • Prácticas

extremo a extremo
interesadas contextual • Productos del
internas • Construir/ Adquirir/
(Relevancia, Crear /Implementar trabajo (Entradas/
• Partes Efectividad) Salidas)
interesadas • Usar/ Operar
• Accesibilidad y
Principio 3 - externas seguridad • Evaluar/ Monitorear
Aplicar un marco
único integrado
• Actualizar/ Eliminar
Principio 4 -
Hacer posible ¿SON ATENDIDAS
¿SE LOGRAN LOS ¿SE APLICAN LAS
un enfoque LAS NECESIDADES ¿SE GESTIONA EL
OBJETIVOS DE LOS BUENAS
GESTIÓN DEL
DE LAS PARTES CICLO DE VIDA?

DESEMPEÑO
holístico HABILITADORES? PRÁCTICAS?

INTERESADAS?
Principio 5 –
Separar el
gobierno de la
MÉTRICAS PARA EL CUMPLIMIENTO DE MÉTRICAS PARA EL CUMPLIMIENTO DE
gestión
METAS LAS BUENAS PRÁCTICAS
(INDICADORES DE RETRASO (INDICADORES DE AVANCE
- LAG INDICATORS-) -LEAD INDICATORS-)
16
3XQWRVLPSRUWDQWHV

7RGRVORVKDELOLWDGRUHVFXHQWDQFRQXQDVHULHGHGLPHQVLRQHVHQFRP~Q
x 3DUWHVLQWHUHVDGDV²FDGDKDELOLWDGRUWLHQHSDUWHVLQWHUHVDGDVTXHSXHGHQVHU
LQWHUQDVRH[WHUQDVDODHPSUHVDFDGDXQDGHHOODVWLHQHVXVSURSLRVLQWHUHVHV\
QHFHVLGDGHVORVFXDOHVDYHFHVHQWUDQHQFRQIOLFWR/DVQHFHVLGDGHVGHODVSDUWHV
LQWHUHVDGDVVHWUDGXFHQHQPHWDVFRUSRUDWLYDVODVFXDOHVDVXYH]VHWUDGXFHQHQ
REMHWLYRVGH7,SDUDODHPSUHVD

x 0HWDV²FDGDKDELOLWDGRUWLHQHXQQ~PHURGHREMHWLYRVRGHUHVXOWDGRVHVSHUDGRV

o &DOLGDGLQWUtQVHFD²KDVWDTXpSXQWRORVKDELOLWDGRUHVSURSRUFLRQDQUHVXOWDGRV
SUHFLVRVREMHWLYRV\GHFRQILDQ]D

o &DOLGDGFRQWH[WXDO²KDVWDTXpSXQWRORVUHVXOWDGRVSURGXFLGRVSRUHO
KDELOLWDGRUVRQDGHFXDGRVSDUDHOSURSyVLWRLQGLFDGR

o $FFHVR\VHJXULGDG²KDVWDTXpSXQWRORVKDELOLWDGRUHVVRQDFFHVLEOHVHVWiQ
GLVSRQLEOHVFXDQGRORVQHFHVLWDV\VRQVHJXURV
x &LFORGHYLGD²FDGDKDELOLWDGRUWLHQHXQFLFORGHYLGDHPSH]DQGRSRUVXFRQFHSFLyQ\
SDVDQGRSRUVXYLGD~WLO\RSHUDWLYDKDVWDOOHJDUDVXHOLPLQDFLyQ

x %XHQDVSUiFWLFDV²VHSXHGHQGHILQLUEXHQDVSUiFWLFDVSDUDFDGDXQRGHORV
KDELOLWDGRUHV
Principio 1 -
Cumplir con las Con la finalidad de gestionar el desempeño de los habilitadores,
necesidades de
las partes
es necesario contestar de manera regular, las siguientes
interesadas preguntas con base en métricas:
la empresa de ¿Se atienden las necesidades de las partes interesadas?
extremo a extremo
¿Se logran los objetivos de los habilitadores?

Principio 3 -
Aplicar un marco
único integrado ¿Se gestiona el ciclo de vida del habilitador?
Principio 4 - ¿Se aplican las buenas prácticas?

Hacer posible
un enfoque
holístico
Principio 5 –
Separar el
gobierno de la
gestión
17
3XQWRVLPSRUWDQWHV

/RVSULPHURVGRVSXQWRVVHUHPLWHQDOUHVXOWDGRORJUDGRSRUXQKDELOLWDGRU$ODVPpWULFDVTXH
VHXWLOL]DQSDUDPHGLUORVREMHWLYRVORJUDGRVVHOHVSXHGHWDPELpQOODPDU³LQGLFDGRUHVGH
UHWUDVRODJLQGLFDWRUV´

/RV~OWLPRVGRVSXQWRVKDFHQUHIHUHQFLDSURSLDPHQWHDOKDELOLWDGRUFRPRWDOHVWDVPpWULFDV
WDPELpQSXHGHQOODPDUVH³LQGLFDGRUHVGHDYDQFHOHDGLQGLFDWRUV´



Principio 1 -
• Un sistema de gobierno eficiente y efectivo requiere que exista una serie de
Cumplir con las
necesidades de interacciones entre gobierno y gestión:
las partes • Los procesos conducen las prácticas y actividades
interesadas
• La información se utiliza para la toma de decisiones y puede ser intercambiada entre
Principio 2 - Cubrir distintos procesos
la empresa de
• Las estructuras organizacionales sirven para la toma de decisione
extremo a extremo
• Los principios, políticas y marcos sirven para institucionalizar las buenas prácticas
deseadas

Principio 3 - • La cultura, ética y el comportamiento
sirven para establecer caracter desde un alto
Aplicar un marco nivel y fomentar la actitud correcta
único integrado
• Se necesitan personas, habilidades y competencias para entender las tareas clave
• Se necesitan servicios, infraestructura y aplicaciones para apoyar las actividades y
funciones de los procesos
Principio 4 -
Hacer posible
un enfoque
holístico

Principio 5 –
Separar el
gobierno de la
gestión

18

3XQWRVLPSRUWDQWHV

,QWHUDFFLRQHVHQWUH*RELHUQR\*HVWLyQHQ&2%,7
KDELOLWDGRU ,QWHUDFFLyQ*RELHUQR*HVWLyQ
3URFHVRV (QHOSURFHVRLOXVWUDWLYRGHOPRGHORGH&2%,7&2%,7
3URFHVRV+DELOLWDGRUHVVHKDFHXQDGLVWLQFLyQHQWUHSURFHVRVGH
JRELHUQR\JHVWLyQ\VHLQFOX\HXQDVHULHGHSUiFWLFDV\
DFWLYLGDGHVSDUDFDGDXQR(OPRGHORGHORVSURFHVRVLQFOX\H
WDPELpQODVWDEODV5$&,HQODVTXHVHGHVFULEHQODV
UHVSRQVDELOLGDGHVGHGLVWLQWDVHVWUXFWXUDVRUJDQL]DFLRQDOHVDVt
FRPRVXVUROHVGHQWURGHODHPSUHVD
,QIRUPDFLyQ (OPRGHORGHORVSURFHVRVGHVFULEHHQWUDGDV\VDOLGDVGHODV
GLVWLQWDVSUiFWLFDVGHOSURFHVRDRWURVSURFHVRVLQFOX\HQGROD
LQIRUPDFLyQLQWHUFDPELDGDHQWUHORVSURFHVRVGHJRELHUQR\
JHVWLyQ/DLQIRUPDFLyQXWLOL]DGDSDUDHYDOXDUGLULJLU\VXSHUYLVDUD
OD7,DQLYHOHPSUHVDULDOVHLQWHUFDPELDHQWUHJRELHUQR\JHVWLyQ
WDO\FRPRVHGHVFULEHHQODVHQWUDGDV\VDOLGDVGHOPRGHORGHO
SURFHVR
,QWHUDFFLRQHVHQWUH*RELHUQR\*HVWLyQHQ&2%,7
KDELOLWDGRU ,QWHUDFFLyQ*RELHUQR*HVWLyQ
(VWUXFWXUDVRUJDQL]DFLRQDOHV &DGDHPSUHVDGHILQHXQJUDQQ~PHURGHHVWUXFWXUDV
RUJDQL]DFLRQDOHV/DVHVWUXFWXUDVSXHGHQDFRSODUVH
DOHVSDFLRGHJRELHUQRRDOGHJHVWLyQ(VWRGHSHQGH
GHVXFRPSRVLFLyQ\VXUDQJRGHGHFLVLRQHV'DGR
TXHODIXQFLyQGHJRELHUQRFRQVLVWHHQHVWDEOHFHU
XQDGLUHFFLyQH[LVWHXQDLQWHUDFFLyQHQWUHODV
GHFLVLRQHVWRPDGDVSRUODVHVWUXFWXUDVGHJRELHUQR
HMGHFLVLRQHVVREUHHOSRUWDIROLRGHLQYHUVLRQHV\ORV
QLYHOHVGHULHVJRDFHSWDEOHV\ODVGHFLVLRQHV\
RSHUDFLRQHVTXHLPSOHPHQWDQODVPLVPDV
3ULQFLSLRVSROtWLFDV\PDUFRV /RVSULQFLSLRVSROtWLFDV\PDUFRVVRQHOYHKtFXOR
PHGLDQWHHOFXDOODVGHFLVLRQHVGHJRELHUQRVH
LQVWLWXFLRQDOL]DQDQLYHOHPSUHVDULDO'HELGRDHOOR
FRQVWLWX\HQXQDLQWHUDFFLyQHQWUHODVGHFLVLRQHVGH
JRELHUQRHVWDEOHFLPLHQWRGHXQDGLUHFFLyQ\OD
JHVWLyQHMHFXFLyQGHGHFLVLRQHV
&XOWXUDpWLFD\ (OFRPSRUWDPLHQWRHVXQKDELOLWDGRUFODYHSDUDHO
FRPSRUWDPLHQWR EXHQJRELHUQR\JHVWLyQGHXQDHPSUHVDeVWHVH
HVWDEOHFHGHVGHDUULED\VHPDUFDSRUPHGLRGHO
HMHPSOR&RPRUHVXOWDGRFRQVWLWX\HXQDLQWHUDFFLyQ
LPSRUWDQWHHQWUHJRELHUQR\JHVWLyQ
3HUVRQDVKDELOLGDGHV\ /DVDFWLYLGDGHVGHJHVWLyQ\JRELHUQRUHTXLHUHQ
FRPSHWHQFLDV GLVWLQWDVKDELOLGDGHV3HURXQDKDELOLGDGHVHQFLDO
WDQWRSDUDPLHPEURVGHOFXHUSRGHJRELHUQRFRPRHO
GHJHVWLyQFRQVLVWHHQHQWHQGHUODQDWXUDOH]DGH
DPEDVWDUHDVDVtFRPRDTXHOORTXHODVKDFH
GLIHUHQWHV
6HUYLFLRVLQIUDHVWUXFWXUD\ 6HUHTXLHUHQVHUYLFLRV\HVWRVUHTXLHUHQ
DSOLFDFLRQHV DSOLFDFLRQHVHLQIUDHVWUXFWXUDSDUDSURSRUFLRQDUDO
FXHUSRGHJRELHUQRLQIRUPDFLyQDGHFXDGDDVt
FRPRDSR\DUDFWLYLGDGHVGHJRELHUQRLQFOX\HQGR
HYDOXDFLyQHVWDEOHFLPLHQWRGHGLUHFFLyQ\
VXSHUYLVLyQ

3ULQFLSLR±6HSDUDFLyQGHJRELHUQR\JHVWLyQ

Principio 1 -
Cumplir con las El gobierno asegura que los objetivos empresariales se logren mediante:
necesidades de
las partes
interesadas
Monitorear el
desempeño,
la empresa de cumplimiento y
extremo a extremo Determinar la progreso con
dirección a través relación a los planes
de establecer
Evaluar las prioridades y de
Principio 3 -
Aplicar un marco
necesidades, tomar decisiones
único integrado condiciones y
opciones de las
partes interesadas
Principio 4 - Hacer
posible un enfoque
holístico
Principio 5 –
Separar el
gobierno de la
gestión
19

Principio 1 -
Cumplir con las La gestión sirve para llevar a cabo varias actividades de tal manera que
necesidades de vayan alineadas con la dirección establecida por el cuerpo de gobierno, esto
las partes con la finalidad de alcanzar las metas empresariales. Las actividades son las
interesadas
siguientes:
la empresa de
extremo a extremo
Supervisar
(Monitor)
Ejecutar
Principio 3 -
Aplicar un marco (Run)
único integrado Construir
(Build)
Principio 4 - Hacer Planificar
posible un enfoque (Plan)
holístico
Principio 5 –
Separar el
gobierno de la
gestión
20
3XQWRVLPSRUWDQWHV

(OPDUFRGH&2%,7KDFHXQDFODUDGLVWLQFLyQHQWUHJRELHUQR\JHVWLyQ$PEDVGLVFLSOLQDV
DEDUFDQGLVWLQWRVWLSRVGHDFWLYLGDGHVUHTXLHUHQGLVWLQWDVHVWUXFWXUDVRUJDQL]DFLRQDOHV\VLUYHQ
DGLVWLQWRVSURSyVLWRV(QODPD\RUtDGHODVHPSUHVDVHOJRELHUQRHVUHVSRQVDELOLGDGGHO
FRQVHMRGLUHFWLYR\SRUHQGHGHO3UHVLGHQWHGHOFRQVHMRPLHQWUDVTXHODJHVWLyQHV
UHVSRQVDELOLGDGGHOHTXLSRHMHFXWLYRTXHWUDEDMDEDMRHOOLGHUD]JRGHO'LUHFWRU*HQHUDO

5HVXPHQGHO0yGXOR

3.3 Resumen del módulo
• Los marcos de control y gobierno proporcionan una base para el establecimiento y

mantenimiento del gobierno de TI, así como del cumplimiento con requisitos
regulatorios que se incrementan constantemente.
• La adopción e implementación de un marco adecuado puede ayudar a desarrollar
sistemas efectivos de gobierno y gestión:
o Considera a todas las partes interesadas
o Considera todos los habilitadores necesarios
o Se basa en las mejores prácticas y estándares
o Cubre el uso de información y de TI a lo ancho de toda la empresa
o Aclara cuál es el alcance de gobierno y gestión
• El diseño de COBIT 5 se basa en los 5 principios:
o Principio 1 - Cumplir con las necesidades de las partes interesadas
o Principio 2 - Cubrir la empresa de extremo a extremo
o Principio 3 - Aplicar un marco único integrado
o Principio 4 - Hacer posible un enfoque holístico
o Principio 5 – Separar el gobierno de la gestión
21
COBIT® 5
FUNDAMENTOS
Tarea I: Retos de TI (Opcional)
Tarea 1
60 minutos. Incluye la revisión y la discusión.
 0–5 minutos: Dividir a los alumnos en grupos (de 3 a 4 personas por grupo).
 5–20 minutos: Leer el caso de estudio.
 20–25 minutos: Leer la tarea.
 25–45 minutos: Preparar las respuestas escribiéndolas en la hoja de respuestas.
 45–60 minutos: Discusión en grupo, moderada por el instructor.
Método: Lee el caso de estudio, formula tus respuestas, discute con los miembros de tu equipo, prepárate para la
discusión en clase. El instructor moderará la discusión y le pedirá a un miembro de cada equipo que realice una
presentación breve de los retos de TI identificados por su grupo.
Pregunta:
Una vez que hayas leído el caso de estudio Callwick, debes ser capaz de identificar un número de retos de TI a los
que la compañía se está enfrentando ahora, o que podría enfrentar en un futuro cercano. Debes describir al menos
un reto de TI por categoría, usando la hoja de respuestas que encontrarás a continuación.
 Mantener operando TI
▪ …
▪ …
▪ …
▪ …
 Valor
▪ …
▪ …
▪ …
▪ …
 Costos
▪ …
▪ …
▪ …
▪ …
Manual del alumno | COBIT 5: Tarea I
 Dominando la complejidad
▪ …
▪ …
▪ …
▪ …
 Aineando con el negocio
▪ …
▪ …
▪ …
▪ …
 Cumplimiento regulatorio
▪ …
▪ …
▪ …
▪ …
 Seguridad
▪ …
▪ …
▪ …
▪ …
▪ …
▪ …

&2%,7
)XQGDPHQWRV

0yGXOR&2%,7+DELOLWDGRUHV

9LVLyQ*HQHUDOGHO0yGXOR
COBIT 5: Habilitadores
Fundamentos Visión general del módulo
Temas cubiertos
Los temas en este módulo son:
• 4.1: COBIT 5 Habilitadores para Gobierno de TI
• 4.2: Resumen del Módulo
Objetivos de Aprendizaje del Módulo

• Identificar los habilitadores de COBIT 5
Manual del alumno | COBIT 5: Habilitadores

&2%,7+DELOLWDGRUHVSDUDHO*RELHUQRGH7,

Fundamentos 4.1 Habilitadores para el Gobierno de TI de COBIT 5

Procesos

Marcos de
Información
trabajo,
principios y
políticas

COBIT se
enfoca en
estos
habilitadores
Servicios, del Gobierno
de TI: Estructuras
infraestructura
organizacionales
y aplicaciones

Personas,
Cultura, ética y
comportamiento
habilidades y
competencias

4

3XQWRVLPSRUWDQWHV
(OJRELHUQRGH7,VHREWLHQHDWUDYpVGHHVWUXFWXUDVSURFHVRV\RWURVKDELOLWDGRUHVTXH
GLUHFFLRQDQDODHPSUHVDKDFLDODREWHQFLyQGHVXVREMHWLYRV
/DMXQWDGLUHFWLYD\HOHTXLSRGHHMHFXWLYRVVRQUHVSRQVDEOHVGHHVWDEOHFHU\PDQWHQHUXQPDUFR
GHWUDEDMRHIHFWLYRSDUDHOJRELHUQRGH7,

Mis notas


&2%,7+DELOLWDGRUHV±3URFHVRV


Un proceso es definido como un conjunto organizado de prácticas influenciadas por
COBIT 5
las políticas y procedimientos de la empresa. Toma entradas de otros procesos,
Habilitadores manipula estas entradas y produce salidas tales como productos y servicios.
– Procesos

COBIT 5 Modelo
Necesidades del negocio
de referencia del
proceso
GOBIERNO

COBIT 5 EVALUAR
Habilitadores –
Marcos de trabajo,
principios y
políticas
COBIT 5 DIRIGIR Retroalimentación de SUPERVISAR
Habilitadores - gestión
Estructuras
organizacionales

COBIT 5 GESTIÓN
Habilitadores –
Personas,
habilidades y PLANIFICAR CONSTRUIR EJECUTAR SUPERVISAR
competencias (APO) (BAI) (DSS) (MEA)

5

3XQWRVLPSRUWDQWHV
/RVSURFHVRVGHVFULEHQXQFRQMXQWRRUJDQL]DGRGHSUiFWLFDV\DFWLYLGDGHVSDUDDOFDQ]DUFLHUWRV
REMHWLYRV\SURGXFLUXQFRQMXQWRGHVDOLGDVDSR\DQGRHOORJURGHODVPHWDVJHQHUDOHV
UHODFLRQDGDVFRQ7,
(OPRGHORGHSURFHVRVGH&2%,7GLVWLQJXHHQWUHORVSURFHVRVGHJRELHUQR\ORVSURFHVRVGH
JHVWLyQLQFOX\HQGRFRQMXQWRVGHSUiFWLFDV\DFWLYLGDGHVHVSHFtILFDVSDUDFDGDXQR
(OPRGHORGHSURFHVRVWDPELpQLQFOX\HFXDGURVGHGHILQLFLyQGHUHVSRQVDELOLGDGHVSRUFDUJR
0DWULFHV5$&,GHVFULELHQGRODVUHVSRQVDELOLGDGHVGHODVGLIHUHQWHVHVWUXFWXUDVGHOD
RUJDQL]DFLyQ\UROHVGHQWURGHODHPSUHVD
/DVOLJDVHQWUHORVSURFHVRV\RWUDVFDWHJRUtDVGHKDELOLWDGRUHVH[LVWHQDWUDYpVGHODVVLJXLHQWHV
UHODFLRQHV
x /RVSURFHVRVQHFHVLWDQLQIRUPDFLyQFRPRXQWLSRGHHQWUDGD\SXHGHQSURGXFLULQIRUPDFLyQ
FRPRXQSURGXFWRGHWUDEDMR
x /RVSURFHVRVQHFHVLWDQHVWUXFWXUDVRUJDQL]DFLRQDOHV\UROHVSDUDRSHUDUGHDFXHUGRDOR
H[SUHVDGRDWUDYpVGHORVFXDGURVGHGHILQLFLyQGHUHVSRQVDELOLGDGHVSRUFDUJR0DWULFHV
5$&,SRUHMHPSOR(O&RPLWpGHGLUHFFLyQGH7,HO&RPLWpGHULHVJRGHOD(PSUHVDODMXQWD
GLUHFWLYD$XGLWRUtDHO'LUHFWRUGH,QIRUPiWLFD6LVWHPDV&,2HO'LUHFWRUJHQHUDOHMHFXWLYR
&(2HWF
x /RVSURFHVRVSURSRUFLRQDQ\WDPELpQUHTXLHUHQFDSDFLGDGHVGHVHUYLFLRLQIUDHVWUXFWXUD
DSOLFDFLRQHVHWF
x /RVSURFHVRVSXHGHQ\GHEHUiQGHSHQGHUGHRWURVSURFHVRV
x /RVSURFHVRVSURGXFHQRQHFHVLWDQSROtWLFDV\SURFHGLPLHQWRVSDUDDVHJXUDUXQDHMHFXFLyQH
LPSOHPHQWDFLyQFRQVLVWHQWH
x /RVDVSHFWRVFXOWXUDOHV\UHODWLYRVDOFRPSRUWDPLHQWRGHWHUPLQDQTXpWDQELHQORVSURFHVRV
VRQHMHFXWDGRV

&2%,70RGHORGHUHIHUHQFLDGHOSURFHVR


Procesos de Gobierno de TI Empresarial
Evaluar, orientar y supervisar

COBIT 5
Habilitadores –
EDM01 Asegurar
Establecimiento
EDM02 Asegurar la
Entrega de Beneficios
EDM03 Asegurar la
Optimización
EDM04 Asegurar la
Optimización
EDM05 Asegurar
Transparencia hacia
Procesos
y Mantenimiento del
Marco de Gobierno
del Riesgo de los Recursos las Partes Interesadas

Alinear, Planificar y Organizar Supervisar,
COBIT 5 APO01 Gestionar APO02 Gestionar
APO03 Gestionar APO04 Gestionar APO05 Gestionar APO06 Gestionar APO07 Gestionar Evaluar
Modelo de
el Marco de la Estrategia la Arquitectura la Innovación Portafolio el Presupuesto y los Recursos y Valorar
Gestión empresarial los Costos Humanos
referencia del de TI
proceso APO08 APO09 Gestionar APO10 Gestionar APO11 Gestionar APO12 Gestionar APO13 Gestionar
MEA01 Supervisar,
evaluar y Valorar el
Gestionar las
Relaciones
los Acuerdos de
Servicio
los Proveedores la Calidad el Riesgo la Seguridad Rendimiento y la
Conformidad
COBIT 5
Habilitadores –
Marcos de trabajo,
principios y Construir, Adquirir e Implementar
políticas BAI01 Gestionar BAI02 Gestionar BAI03 Gestionar la BAI04 Gestionar BAI05 Gestionar la BAI06 Gestionar BAI07 Gestionar
los Programas y la Definición de Identificación y la Disponibilidad y Introducción de los Cambios la Aceptación del MEA02 Supervisar,
Evaluar y Valorar el
Proyectos Requisitos Construcción de la Capacidad Cambios Cambio y
COBIT 5 Soluciones Organizativos Transición Sistema de Control
Habilitadores - Interno
Estructuras BAI08 Gestionar BAI09 Gestionar BAI010 Gestionar
organizacionales el Conocimiento los Activos la Configuración

COBIT 5
Entregar, dar Servicio y Soporte
Habilitadores – MEA03 Supervisar,
Personas, DSS01 Gestionar DSS02 Gestionar DSS03 Gestionar DSS04 Gestionar DSS05 Gestionar DSS06 Gestionar
Evaluar y Valorar la
Conformidad con los
habilidades y las Operaciones las Peticiones y
los Incidentes del
los Problemas la Continuidad los Servicios de
Seguridad
los Controles de
los Procesos de
Requerimientos
competencias Externos
Servicio Negocio
Procesos para la Gestión de TI Empresarial

Cada proceso es descrito con detalle en el siguiente módulo.

6

3XQWRVLPSRUWDQWHV
(OGRPLQLRGH*2%,(512FRQWLHQHFLQFRSURFHVRVGHJRELHUQRHQFDGDSURFHVRVH
GHILQHQODVSUiFWLFDVGH(YDOXDU2ULHQWDU\6XSHUYLVDU
/RVFXDWURGRPLQLRVGH*(67,Ï1HQOtQHDFRQODViUHDVGHUHVSRQVDELOLGDGGH3ODQLILFDU
&RQVWUXLU(MHFXWDU\6XSHUYLVDU3%50SURYHHQXQDFREHUWXUDFRPSOHWDGHOD7,GHODHPSUHVD
(VWRVGRPLQLRVVRQXQDHYROXFLyQGHO&2%,7(VWUXFWXUDGHO3URFHVR\GHO'RPLQLR
/RVQRPEUHVGHORVGRPLQLRVIXHURQHOHJLGRVGHDFXHUGRFRQODVGHVLJQDFLRQHVGHODV
SULQFLSDOHViUHDVSHURFRQWLHQHQPiVYHUERVSDUDGHVFULELUORV
x $32±$OLQHDU3ODQLILFDU\2UJDQL]DU
x %$,±&RQVWUXLU$GTXLULUH,PSOHPHQWDU
x '66±(QWUHJDUGDU6HUYLFLR\6RSRUWH
x 0($±6XSHUYLVDU(YDOXDU\9DORUDU
&DGDGRPLQLRFRQWLHQHXQQ~PHURGHSURFHVRV$XQTXHWDO\FRPRVHKDGHVFULWRSUHYLDPHQWH
ODPD\RUtDGHORVSURFHVRVUHTXLHUHQDFWLYLGDGHVGH³SODQLILFDFLyQ´³LPSOHPHQWDFLyQ´
³HMHFXFLyQ´\³VXSHUYLVLyQ´GHQWURGHOSURFHVRRGHQWURGHODVXQWRSDUWLFXODUTXHHVWiVLHQGR
WUDWDGRLHFDOLGDGVHJXULGDGVHGLVSRQHQHQGRPLQLRVDOLQHDGRVFRQORTXHJHQHUDOPHQWH
UHSUHVHQWDQODViUHDVGHDFWLYLGDGPiVUHOHYDQWHVUHODWLYDVD7,DQLYHOHPSUHVDULDO

&2%,7+DELOLWDGRUHV±0DUFRVGHWUDEDMRSULQFLSLRV\SROtWLFDV


Los marcos de trabajo, principios y políticas son los vehículos para traducir el
COBIT 5 comportamiento deseado en guías prácticas para la gestión del día a día.
Habilitadores –
Procesos
• Los principios, políticas y marcos de trabajo son instrumentos para comunicar las reglas de la
empresa, en apoyo a los objetivos del gobierno y a los valores empresariales.

• Las políticas proporcionan una guía más detallada respecto a cómo llevar a la práctica los
principios e influyen en la manera en que la toma de decisiones se alinea con dichos
COBIT 5 Modelo
de referencia del principios.
proceso • Los marcos de gobierno y gestión deben proveer a la dirección con estructura, directrices,
herramientas, etc., que permitan tener un gobierno y gestión adecuadas de TI en la empresa.

COBIT 5
Habilitadores –
Marcos de
trabajo,
principios y
políticas
COBIT 5
Habilitadores -
Estructuras
organizacionales

COBIT 5
Habilitadores –
Personas,
habilidades y
competencias

7

3XQWRVLPSRUWDQWHV
/RV SULQFLSLRV \ ODV SROtWLFDV VRQ ORV YHKtFXORV D WUDYpV GH ORV FXDOHV ODV GHFLVLRQHV GH
JRELHUQR VRQ LQVWLWXFLRQDOL]DGDV GHQWUR GH OD HPSUHVD \ SRU HVWD UD]yQ VRQ XQD
LQWHUDFFLyQ HQWUH ODV GHFLVLRQHV GH JRELHUQR HVWDEOHFLPLHQWR GH GLUHFFLyQ \ JHVWLyQ
HMHFXFLyQGHODVGHFLVLRQHV
/DVEXHQDVSROtWLFDVVRQ
x (IHFWLYDV±&XPSOHQFRQVXSURSyVLWRHVWDEOHFLGR
x (ILFLHQWHV±$VHJXUDQTXHORVSULQFLSLRVVHLPSOHPHQWDQGHODPDQHUDPiVHILFLHQWH
x 1RLQYDVLYDV±3DUHFHQOyJLFDVSDUDTXLHQHVKDQGHFXPSOLUFRQHOODVLHQRJHQHUDQ
UHVLVWHQFLDLQQHFHVDULD
/DVEXHQDVSUiFWLFDVSDUDFUHDUDOHQWDU\PDQWHQHUXQFRPSRUWDPLHQWRDGHFXDGRHQOD
HPSUHVDLQFOX\HQ
x &RPXQLFDFLyQHQWRGDODHPSUHVDFRQUHVSHFWRDORVFRPSRUWDPLHQWRVGHVHDGRV\
ORVYDORUHVFRUSRUDWLYRVVXE\DFHQWHV
x &RQFLHQFLDGHORVFRPSRUWDPLHQWRVGHVHDGRVIRUWDOHFLGDSRUHOHMHPSORGHO
FRPSRUWDPLHQWRGHORVJHUHQWHVGHDOWRUDQJR\RWURVOtGHUHV
x ,QFHQWLYRVSDUDIRPHQWDU\HOHPHQWRVGLVXDVLYRVSDUDKDFHUFXPSOLUORVFRPSRUWDPLHQWRV
GHVHDGRV([LVWHXQYtQFXORFODURHQWUHHOFRPSRUWDPLHQWRLQGLYLGXDO\HOHVTXHPDGH
UHFRPSHQVDVGH5HFXUVRV+XPDQRVTXHODHPSUHVDSRQHHQPDUFKD
x 5HJODV\QRUPDVODVFXDOHVSURYHHQPiVRULHQWDFLyQFRQUHVSHFWRDOFRPSRUWDPLHQWR
RUJDQL]DFLRQDOGHVHDGR(VWRVHOLJDGHIRUPDFODUDFRQORVSULQFLSLRV\SROtWLFDVTXHOD
HPSUHVDSRQHHQPDUFKD

/DEXHQDSUiFWLFDUHTXLHUHTXHODVSROtWLFDVVHDQSDUWHGHOPDUFRJHQHUDOGHJRELHUQR\GH
JHVWLyQSURYH\HQGRXQDHVWUXFWXUDMHUiUTXLFDDODTXHGHEHUtDQFHxLUVHWRGDVODVSROtWLFDV\
DFWXDQGRGHHQODFHFRQORVSULQFLSLRVVXE\DFHQWHV
x &RPRSDUWHGHOPDUFRGHSROtWLFDVORVVLJXLHQWHVHOHPHQWRVQHFHVLWDQVHUGHVFULWRV
o $OFDQFH\YDOLGH]
o /DVFRQVHFXHQFLDVGHQRFXPSOLUFRQODVSROtWLFDV
o /RVPHGLRVSDUDHOPDQHMRGHH[FHSFLRQHV
o /DPDQHUDHQODTXHHOFXPSOLPLHQWRGHODSROtWLFDVHUiFRPSUREDGR\PHGLGR
x /RVPDUFRVGHJRELHUQR\JHVWLyQJHQHUDOPHQWHUHFRQRFLGRVSXHGHQSURSRUFLRQDUXQD
YDOLRVDRULHQWDFLyQVREUHORVHQXQFLDGRVTXHVHYD\DQDLQFOXLUHQODVSROtWLFDV
x /DVSROtWLFDVGHEHQHVWDUDOLQHDGDVFRQHODSHWLWRGHULHVJRVGHODHPSUHVD/DVSROtWLFDV
VRQXQFRPSRQHQWHFODYHGHOVLVWHPDGHFRQWUROLQWHUQRGHODHPSUHVDFX\RSURSyVLWRHV
JHVWLRQDU\FRQWHQHUORVULHVJRV(ODSHWLWRGHULHVJRVGHODHPSUHVDHVGHILQLGRFRPRSDUWH
GHODVDFWLYLGDGHVGHJRELHUQRGHULHVJRV\GHEHVHUUHIOHMDGRHQODVSROtWLFDV8QDHPSUHVD
FRQDYHUVLyQDYHUVDDODORVULHVJRWLHQHWHQGUiSROtWLFDVPiVUHVWULFWLYDVTXHXQDHPSUHVD
PiVDJUHVLYDTXHWRPDULHVJRV
x /DVSROtWLFDVQHFHVLWDQVHUUHYDOLGDGDV\RDFWXDOL]DGDVHQLQWHUYDORVUHJXODUHV

/DVUHODFLRQHVFRQRWURVKDELOLWDGRUHVLQFOX\HQ

x /RVSULQFLSLRVODVSROtWLFDV\ORVPDUFRVGHWUDEDMRGHEHQUHIOHMDUODFXOWXUD\ORVYDORUHV
pWLFRVGHODHPSUHVD\GHEHQSURPRYHUHOFRPSRUWDPLHQWRGHVHDGRSRUORWDQWRKD\XQD
IXHUWHUHODFLyQFRQHO+DELOLWDGRU&XOWXUDeWLFD\&RPSRUWDPLHQWR
x /DVSUiFWLFDV\DFWLYLGDGHVGHOSURFHVRVRQHOYHKtFXORPiVLPSRUWDQWHSDUDODHMHFXFLyQGH
ODVSROtWLFDV
x /DVHVWUXFWXUDVRUJDQL]DFLRQDOHVSXHGHQGHILQLUHLPSOHPHQWDUSROtWLFDVGHQWURGHVX
iPELWRGHFRQWURO\VXVDFWLYLGDGHVWDPELpQVRQGHILQLGDVSRUSROtWLFDV
x /DVSROtWLFDVVRQWDPELpQLQIRUPDFLyQDVtTXHWRGDVODVEXHQDVSUiFWLFDVTXHDSOLFDQ
DODLQIRUPDFLyQWDPELpQDSOLFDQDODVSROtWLFDV

Mis notas

&2%,7+DELOLWDGRUHV±0DUFRVGHWUDEDMRSULQFLSLRV\SROtWLFDVFRQWLQXDFLyQ


Ciclo de vida
COBIT 5 Las políticas tienen un ciclo de vida que debe ayudar al logro de las metas definidas.
Habilitadores –
Procesos
Los marcos de trabajo son clave porque proveen de una estructura para definir
directrices consistentes. Por ejemplo, un marco de trabajo de políticas provee la
estructura en la cual se puede crear y mantener un conjunto consistente de políticas,
COBIT 5 Modelo y proporciona también un punto fácil de navegación, ya sea dentro o entre las
de referencia del políticas individuales.
proceso

COBIT 5
Habilitadores –
Marcos de
trabajo,
principios y
políticas
COBIT 5
Habilitadores -
Estructuras
organizacionales

COBIT 5
Habilitadores –
Personas,
habilidades y
competencias

8

3XQWRVLPSRUWDQWHV
'HSHQGLHQGRGHODPELHQWHH[WHUQRHQHOFXDORSHUDODHPSUHVDSXHGHQH[LVWLUUHTXHULPLHQWRV
QRUPDWLYRVGHGLIHUHQWHVQLYHOHVTXHUHTXLHUDQIXHUWHVFRQWUROHVLQWHUQRV\FRPR
FRQVHFXHQFLDXQPDUFRGHSROtWLFDVIXHUWH8QSXQWRFODYHGHDWHQFLyQTXHGHEHVHUWRPDGR
HQFXHQWDFRQUHVSHFWRDPDUFRVGHWUDEDMR\SROtWLFDVHVODYLJHQFLDGHODVSROtWLFDV¢6L\
FXiQGRVRQUHYLVDGDV\DFWXDOL]DGDVODVSROtWLFDV"¢6HWLHQHQHVWDEOHFLGRVPHFDQLVPRV
VyOLGRVSDUDDVHJXUDUTXHODVSHUVRQDVHVWiQFRQVFLHQWHVGHHVWDVDFWXDOL]DFLRQHV"¢(VOD
YHUVLyQPiVQXHYDIiFLOPHQWHDFFHVLEOH\ODLQIRUPDFLyQREVROHWDHVWiDGHFXDGDPHQWH
DUFKLYDGDRGHVHFKDGD"

&2%,7+DELOLWDGRUHV±(VWUXFWXUDRUJDQL]DFLRQDO



Las estructuras organizacionales son las entidades clave en la toma de decisiones en
una organización.
COBIT 5

Habilitadores – Debe tomarse en cuenta lo siguiente:

Procesos
• Los principios operativos

• Composición

COBIT 5 Modelo • Ámbito de control
de referencia del

proceso • Nivel de autoridad/ derechos de decisión
• Delegación de autoridad
• Procedimientos de escalado
COBIT 5

Habilitadores –
de trabajo,
Marcos El Modelo del proceso de COBIT 5 provee cuadros de definición de responsabilidades
principios y

políticas por cargo (Matrices RACI) para cada proceso basado en ejemplos genéricos de roles
y comités.
COBIT 5
Habilitadores -

Estructuras

organizacionales

COBIT 5

Habilitadores –

Personas,
habilidades y

competencias

9

3XQWRVLPSRUWDQWHV
(QFDGDHPSUHVDVHGHILQHQXQQ~PHURGHHVWUXFWXUDVRUJDQL]DFLRQDOHV/DVHVWUXFWXUDVSXHGHQ
HVWDUVLWXDGDVHQHOiPELWRGHJRELHUQRRHQHOiPELWRGHJHVWLyQGHSHQGLHQGRGHVX
FRPSRVLFLyQ\HODOFDQFHGHVXVGHFLVLRQHV'HELGRDTXHHOJRELHUQRWUDWDGHHVWDEOHFHUOD
GLUHFFLyQH[LVWHXQDLQWHUDFFLyQHQWUHODVGHFLVLRQHVWRPDGDVSRUODVHVWUXFWXUDVGHJRELHUQRLH
GHFLGLUDFHUFDGHOSRUWDIROLRGHLQYHUVLRQHV\HVWDEOHFHUHODSHWLWRSRUHOULHVJR\ODVGHFLVLRQHV\
RSHUDFLRQHVTXHLPSOHPHQWDQ
%XHQDVSUiFWLFDV3XHGHQGLVWLQJXLUVHXQQ~PHURGHEXHQDVSUiFWLFDVSDUDHVWUXFWXUDV
RUJDQL]DFLRQDOHVWDOHVFRPR
x 3ULQFLSLRVRSHUDWLYRV/RVDUUHJORVSUiFWLFRVFRQUHVSHFWRDFyPRRSHUDUiODHVWUXFWXUDWDOHV
FRPRIUHFXHQFLDGHODVUHXQLRQHVGRFXPHQWDFLyQ\UHJODVGHOLPSLH]D
x &RPSRVLFLyQ/DVHVWUXFWXUDVWLHQHQPLHPEURVTXHVRQLQWHUHVDGRVLQWHUQRVRH[WHUQRV
x ÈPELWRGHFRQWURO/RVOtPLWHVGHORVGHUHFKRVGHFLVLyGHODHVWUXFWXUDRUJDQL]DFLRQDO
x 1LYHOGHDXWRULGDGGHUHFKRVGHGHFLVLyQ/DVGHFLVLRQHVTXHODHVWUXFWXUDHVWiDXWRUL]DGDD
WRPDU

x 'HOHJDFLyQGHDXWRULGDG/DHVWUXFWXUDSXHGHGHOHJDUXQDSDUWHGHVXVGHUHFKRVGH
GHFLVLyQDRWUDVHVWUXFWXUDVGHSHQGLHQWHVGHODPLVPD
x 3URFHGLPLHQWRVGHHVFDODPLHQWR/DUXWDGHHVFDODGRSDUDXQDHVWUXFWXUDGHVFULEHODV
DFFLRQHVUHTXHULGDVHQFDVRGHTXHVHSUHVHQWHQSUREOHPDVHQODWRPDGHGHFLVLRQHV

&2%,7UROHV\ODVHVWUXFWXUDVRUJDQL]DFLRQDOHV
UROHVWUXFWXUD 'HILQLFLyQ'HVFULSFLyQ
-XQWDGLUHFWLYD (OJUXSRGHORVHMHFXWLYRVGHPiVDOWRQLYHO\RGLUHFWRUHVQRHMHFXWLYRV
TXLHQHVVRQUHVSRQVDEOHVGHOJRELHUQRGHODHPSUHVD\WLHQHQXQ
FRQWUROJHQHUDOGHVXVUHFXUVRV
'LUHFWRU*HQHUDO(MHFXWLYR (OHMHFXWLYRGHPiVDOWRUDQJRTXLHQHVWiDFDUJRGHODGLUHFFLyQWRWDOGH
&(2 ODHPSUHVD
'LUHFWRU*HQHUDO)LQDQFLHUR (OHMHFXWLYRGHPiVDOWRQLYHOTXLHQHVUHVSRQVDEOHGHWRGRVORV
&)2 DVSHFWRVGHODJHVWLyQILQDQFLHUDLQFOX\HQGRHOULHVJR\FRQWUROHV
ILQDQFLHURV\FXHQWDVFRQILDEOHV\SUHFLVDV
'LUHFWRU*HQHUDOGH2SHUDFLRQHV (OHMHFXWLYRGHPiVDOWRQLYHOUHVSRQVDEOHGHODRSHUDFLyQGHODHPSUHVD
&22
'LUHFWRU*HQHUDOGH5LHVJRV (OHMHFXWLYRGHPiVDOWRQLYHOGHODHPSUHVDUHVSRQVDEOHGHWRGRVORV
&52 DVSHFWRVGHODJHVWLyQGHULHVJRVHQWRGDODHPSUHVD6HSXHGH
HVWDEOHFHUXQGLUHFWLYRGHULHVJRVGH7,SDUDVXSHUYLVDUORVULHVJRV
UHODFLRQDGRVFRQ7,
'LUHFWRUGHLQIRUPiWLFD (OHMHFXWLYRGHPiVDOWRQLYHOHQODHPSUHVDUHVSRQVDEOHGHDOLQHDU7,
&,2 FRQODVHVWUDWHJLDVGHQHJRFLRV\UHVSRQVDEOHGHODSODQLILFDFLyQ
REWHQFLyQGHUHFXUVRV\JHVWLyQGHODHQWUHJDGHVHUYLFLRV\VROXFLRQHVGH
7,SDUDDSR\DUDORVREMHWLYRVGHODHPSUHVD
-HIHGH6HJXULGDGGHOD (OHMHFXWLYRGHPiVDOWRQLYHOHQODHPSUHVDUHVSRQVDEOHGHODVHJXULGDG
,QIRUPDFLyQ GHODLQIRUPDFLyQGHODHPSUHVDHQWRGDVVXVIRUPDV
&,62
(MHFXWLYRGHQHJRFLRV ,QGLYLGXRGHODJHUHQFLDUHVSRQVDEOHGHODRSHUDFLyQGHXQDXQLGDG
HVSHFtILFDGHQHJRFLRVRGHXQDVXEVLGLDULD
3URSLHWDULRGHOSURFHVRGH ,QGLYLGXR UHVSRQVDEOH GHO GHVHPSHxR GH XQ SURFHVR HQ OD
QHJRFLR UHDOL]DFLyQ GH VXV REMHWLYRV GH PDQHMDU OD PHMRUD GHO SURFHVR \
DSUREDUFDPELRVHQHOSURFHVR
&RPLWpGHHVWUDWHJLDGH7, 8QJUXSRGHHMHFXWLYRVGHDOWRQLYHOQRPEUDGRVSRUOD-XQWD'LUHFWLYD
(MHFXWLYRGH7, SDUDDVHJXUDUTXHODMXQWDHVWiLQYROXFUDGD\VHPDQWLHQHLQIRUPDGDGH
ODVFXHVWLRQHV\GHFLVLRQHVPiVUHOHYDQWHVGH7,(OFRPLWpHV
UHVSRQVDEOHGHJHVWLRQDUORVSRUWDIROLRVGHODVLQYHUVLRQHVKDELOLWDGDV
SRU7,ORVVHUYLFLRVGH7,\ORVDFWLYRVGH7,DVHJXUDQGRTXHHOYDORUVHD
HQWUHJDGR\ORVULHVJRVJHVWLRQDGRV(OFRPLWpJHQHUDOPHQWHHV
SUHVLGLGRSRUODMXQWD\QRSRUHO&,2
&RPLWpGHGLUHFFLyQ3UR\HFWR 8Q JUXSR GH LQWHUHVDGRV \ H[SHUWRV UHVSRQVDEOHV GH OD GLUHFFLyQ GH
RSURJUDPD SURJUDPDV \ SUR\HFWRV LQFOX\HQGR OD GLUHFFLyQ \ OD VXSHUYLVLyQ GH
SODQHV DVLJQDFLyQ GH UHFXUVRV HQWUHJD GH EHQHILFLRV \ YDORU \ OD
JHVWLyQGHORVULHVJRVGHSURJUDPDV\SUR\HFWRV

&2%,7UROHV\HVWUXFWXUDVRUJDQL]DFLRQDOHV
UROHVWUXFWXUD 'HILQLFLyQ'HVFULSFLyQ
&RQVHMRGHDUTXLWHFWXUD 8QJUXSRGHLQWHUHVDGRV\H[SHUWRVUHVSRQVDEOHVGHOD
GLUHFFLyQGHDVXQWRV\GHFLVLRQHVUHODFLRQDGRVFRQOD
DUTXLWHFWXUDHPSUHVDULDO\HQFDUJDGRVGHHVWDEOHFHUORV
HVWiQGDUHV\SROtWLFDVGHODDUTXLWHFWXUD
&RPLWpGHULHVJRVGHODHPSUHVD (OJUXSRGHHMHFXWLYRVUHVSRQVDEOHVGHOFRQVHQVR\OD
FRODERUDFLyQUHTXHULGDDQLYHOHPSUHVDSDUDGDUVRSRUWHD
DFWLYLGDGHV\GHFLVLRQHVGHODJHVWLyQGHULHVJRHPSUHVDULDO
(506HSXHGHHVWDEOHFHUXQFRQVHMRGHULHVJRVGH7,SDUD
FRQVLGHUDUORVULHVJRVGH7,DPD\RUGHWDOOH\SDUDGDU
FRQVHMRDO&RPLWpGHULHVJRVGHODHPSUHVD
-HIHGHUHFXUVRVKXPDQRV (OHMHFXWLYRGHPiVDOWRQLYHOUHVSRQVDEOHGHODSODQLILFDFLyQ
\SROtWLFDVUHODFLRQDGDVDWRGRVORVUHFXUVRVKXPDQRVGHOD
HPSUHVD
&XPSOLPLHQWR /DIXQFLyQHQODHPSUHVDUHVSRQVDEOHGHGLULJLUHO
FXPSOLPHQWROHJDOUHJXODWRULR\FRQWUDFWXDO
$XGLWRUtD /DIXQFLyQHQODHPSUHVDUHVSRQVDEOHGHSURYHHU
DXGLWRUtDVLQWHUQDV
-HIHGHDUTXLWHFWXUD ,QGLYLGXRGHDOWRQLYHOUHVSRQVDEOHGHOSURFHVRGH
DUTXLWHFWXUDGHODHPSUHVD
-HIHGHGHVDUUROOR ,QGLYLGXRGHDOWRQLYHOUHVSRQVDEOHGHOSURFHVRGH
GHVDUUROORGHVROXFLRQHVUHODFLRQDGDVFRQ7,
-HIHGHRSHUDFLRQHVGH7, ,QGLYLGXRGHDOWRQLYHOUHVSRQVDEOHGHORVDPELHQWHV\OD
LQIUDHVWUXFWXUDSDUDODVRSHUDFLRQHVGH7,
-HIHGHDGPLQLVWUDFLyQGH7, ,QGLYLGXRGHDOWRQLYHOUHVSRQVDEOHGHORVUHJLVWURV
UHODFLRQDGRVFRQ7,\DFDUJRGHGDUVRSRUWHDORVDVXQWRV
DGPLQLVWUDWLYRVUHODFLRQDGRVFRQ7,
2ILFLQDGHJHVWLyQGHSURJUDPDV\ /DIXQFLyQUHVSRQVDEOHGHGDUVRSRUWHDORVJHUHQWHVGH
SUR\HFWRV302 SUR\HFWRV\SURJUDPDVUHFRSLODQGRHYDOXDQGR\UHSRUWDQGR
LQIRUPDFLyQGHOFRPSRUWDPLHQWRGHORVSURJUDPDV\ORV
SUR\HFWRVTXHORVFRQVWLWX\HQ
2ILFLQDGHJHVWLyQGHOYDORU /DIXQFLyQTXHDFW~DFRPRVHFUHWDUtDSDUDODJHVWLyQGHORV
902 SRUWDIROLRVGHLQYHUVLyQ\VHUYLFLRV,QFOX\HQGRODHYDOXDFLyQ
\HODVHVRUDPLHQWRVREUHODVRSRUWXQLGDGHVGHLQYHUVLyQ\
FDVRVGHQHJRFLRUHFRPHQGDQGRPpWRGRV\FRQWUROHVGH
JRELHUQRJHVWLyQGHOYDORU\UHSRUWDQGRHOSURJUHVRGHO
VXVWHQWR\ODFUHDFLyQGHYDORUGHODVLQYHUVLRQHV\VHUYLFLRV
*HUHQWHGHVHUYLFLRV ,QGLYLGXRTXHJHVWLRQDHOGHVDUUROORLPSOHPHQWDFLyQ
HYDOXDFLyQ\ODJHVWLyQFRQWLQXDGHSURGXFWRV\VHUYLFLRV
QXHYRVRH[LVWHQWHVSDUDXQFOLHQWHHVSHFtILFRXVXDULRRXQ
JUXSRGHFOLHQWHVXVXDULRV

&2%,7+DELOLWDGRU±3HUVRQDVKDELOLGDGHV\FRPSHWHQFLDV


Las personas, habilidades y competencias están ligadas a las personas y son
COBIT 5
necesarias para completar con éxito todas las actividades y para tomar decisiones
Habilitadores – correctas así como tomar acciones correctivas.
Procesos
Las buenas prácticas recomiendan la necesidad de definir los requerimientos de
habilidades objetivos para cada uno de los roles jugados por los interesados.
COBIT 5 Modelo
de referencia del
proceso

COBIT 5
Habilitadores –
Marcos de trabajo,
principios y
políticas
COBIT 5
Habilitadores –
Estructuras
organizacionales

COBIT 5
Habilitadores –
Personas,
habilidades y
competencias

10

3XQWRVLPSRUWDQWHV
/DVSHUVRQDVKDELOLGDGHV\FRPSHWHQFLDVHVWiQOLJDGDVDODVSHUVRQDV\VHUHTXLHUHQ
SDUDFRPSOHWDUFRQp[LWRWRGDVODVDFWLYLGDGHVSDUDWRPDUGHFLVLRQHVFRUUHFWDV\HQ
ODWRPDGHDFFLRQHVFRUUHFWLYDV
/DVEXHQDVSUiFWLFDVSDUDHOKDELOLWDGRUGHKDELOLGDGHV\FRPSHWHQFLDVLQFOX\HQGHILQLU
ODQHFHVLGDGGHUHTXHULPLHQWRVGHKDELOLGDGHVREMHWLYRVSDUDFDGDXQRGHORVUROHV
MXJDGRVSRUORVLQWHUHVDGRV(VWRVHSXHGHGHVFULELUPHGLDQWHGLYHUVRVQLYHOHVGH
KDELOLGDGHQODVGLIHUHQWHVFDWHJRUtDVGHKDELOLGDG6HWHQGUiXQDGHILQLFLyQGHODV
KDELOLGDGHVSDUDFDGDQLYHO\FDWHJRUtDGHKDELOLGDGHV/DVFDWHJRUtDVGHKDELOLGDGHV
FRUUHVSRQGHQDODVDFWLYLGDGHVUHODFLRQDGDVFRQ7,OOHYDGDVDFDERLHJHVWLyQGHOD
LQIRUPDFLyQDQiOLVLVGHQHJRFLRV

&2%,7&DWHJRUtDVGHKDELOLGDGHV
'RPLQLRGHOSURFHVR (MHPSORVGHFDWHJRUtDVGHKDELOLGDGHV
(YDOXDU'LULJLU\6XSHUYLVDU x *RELHUQRGHOD7,GHODHPSUHVD
('0
$OLQHDUSODQLILFDU\RUJDQL]DU$32 x )RUPXODFLyQGHSROtWLFDVGH7,
x (VWUDWHJLDGH7,
x $UTXLWHFWXUDHPSUHVDULDO
x ,QQRYDFLyQ
x *HVWLyQILQDQFLHUD
x *HVWLyQGHOSRUWDIROLR
&RQVWUXLUDGTXLULUH x $QiOLVLVGHOQHJRFLR
LPSOHPHQWDU%$, x *HVWLyQGHSUR\HFWRV
x (YDOXDFLyQGHXVDELOLGDG
x 'HILQLFLyQ\JHVWLyQGHORVUHTXHULPLHQWRV
x 3URJUDPDFLyQ
x (UJRQRPtDGHVLVWHPDV
x 'HVPDQWHODPLHQWRUHWLURGHVRIWZDUH
x *HVWLyQGHODFDSDFLGDG
(QWUHJDUGDUVHUYLFLRV\VRSRUWH'66 x *HVWLyQGHODGLVSRQLELOLGDG
x *HVWLyQGHSUREOHPDV
x *HVWLyQGHOFHQWURGHVHUYLFLRVHLQFLGHQWHV
x $GPLQLVWUDFLyQGHODVHJXULGDG
x 2SHUDFLRQHVGH7,
x $GPLQLVWUDFLyQGHODVEDVHVGHGDWRV
6XSHUYLVDUHYDOXDU\DVHVRUDU0($ x 5HYLVLyQGHFXPSOLPLHQWR
x 6XSHUYLVLyQGHGHVHPSHxR
x $XGLWRUtDVGHFRQWUROHV

Mis notas

&2%L7+DELOLWDGRUHV±&XOWXUDpWLFD\FRPSRUWDPLHQWR


La cultura, ética y el comportamiento de los inidividuos y de la empresa son a menudo
subestimados como un factor de éxito en las actividades de gobierno y gestión.
COBIT 5
Habilitadores – Las buenas prácticas para crear, fomentar y mantener el comportamiento deseado a lo
Cultura, ética y
largo de toda la empresa incluyen:
comportamiento

• La comunicación de los comportamientos deseados y los valores corporativos subyacentes

COBIT 5 • Conciencia de los comportamientos deseados, fortalecida por el ejemplo del comportamiento
Habilitadores – de los gerentes de alto rango y otros líderes
Servicios,
infraestructura y
aplicaciones

COBIT 5
Habilitadores –
información

11

3XQWRVLPSRUWDQWHV
(OFRPSRUWDPLHQWRHVWDPELpQXQKDELOLWDGRUFODYHGHODEXHQDJHVWLyQ\JRELHUQRGH
ODHPSUHVD(VWiVLWXDGRKDVWDDUULED±OLGHUDQGRFRQHOHMHPSOR±\GHELGRDHVWRHV
XQDLQWHUDFFLyQLPSRUWDQWHHQWUHJRELHUQR\JHVWLyQeVWHHVXQRGHORSULQFLSDOHVUHWRV
FXDQGRVHPHMRUDHOJRELHUQRGH7,FDPELDUODFXOWXUD\ODPHQWDOLGDGGHORV
GLUHFWRUHVGHDOWRQLYHOORVJHUHQWHVGHQHJRFLR\ORVSURSHWDULRVGHSURFHVRVSDUD
TXHWRPHQSRVHVLyQGH7,
/DVUHODFLRQHVFRQRWURVIDFLOLWDGRUHVLQFOX\HQ
x /RV SURFHVRV SXHGHQ VHU GLVHxDGRV D QLYHOHV GH SHUIHFFLyQ SHUR VL ORV
LQWHUHVDGRVGHXQSURFHVRQR GHVHDQHMHFXWDUODVDFWLYLGDGHVGHOSURFHVRFRPR
VHSUHWHQGH±LHVLHOFRPSRUWDPLHQWRHVGHQRFXPSOLPLHQWR±ORVUHVXOWDGRVGHO
SURFHVRQRVHUiQREWHQLGRV
x 'HODPLVPDPDQHUDODVHVWUXFWXUDVRUJDQL]DFLRQDOHVSXHGHQVHUGLVHxDGDV\
FRQVWUXLGDVGHDFXHUGRFRQORVPDQXDOHVSHURVLVXVGHFLVLRQHVQRVRQ
LPSOHPHQWDGDV±SRUGLIHUHQFLDVHQODVDJHQGDVSHUVRQDOHVIDOWDGHLQFHQWLYRV
HWF±QRWHQGUiQFRPRUHVXOWDGRXQJRELHUQR\JHVWLyQGHFHQWHVGHOD7,
HPSUHVDULDO
x /RVSULQFLSLRV\ODVSROtWLFDVVRQPHFDQLVPRVGHFRPXQLFDFLyQPX\
LPSRUWDQWHVSDUDORVYDORUHVFRUSRUDWLYRV\HOFRPSRUWDPLHQWRGHVHDGR

&2%,7+DELOLWDGRUHV±&XOWXUDpWLFD\FRPSRUWDPLHQWR


Las metas para el habilitador de cultura, ética y comportamiento se relacionan con:
• La ética individual y de la organización
COBIT 5
Habilitadores –
• Comportamientos individuales
Cultura, ética y
comportamiento o Comportamientos frente a la toma de riesgos
o Comportamientos frente al cumplimiento de políticas
o Comportamientos frente a los resultados negativos
COBIT 5
Habilitadores –
Servicios,
infraestructura y Los otros habilitadores tales como procesos, estructura organizacional, principios y
aplicaciones políticas no serán efectivos sin la cultura y el comportamiento adecuado.

COBIT 5
Habilitadores –
información

12

3XQWRVLPSRUWDQWHV
/DVPHWDVSDUDHOKDELOLWDGRUGHFXOWXUDpWLFD\FRPSRUWDPLHQWRVHUHODFLRQDQFRQ
x /DpWLFDGHODRUJDQL]DFLyQGHWHUPLQDGDSRUORVYDORUHVSRUORVTXHODHPSUHVD
TXLHUHYLYLU
x /DVpWLFDVLQGLYLGXDOHVGHWHUPLQDGDVSRUORVYDORUHVSHUVRQDOHVGHFDGDLQGLYLGXR
HQODHPSUHVD\TXHGHSHQGHQGHPDQHUDLPSRUWDQWHGHIDFWRUHVH[WHUQRVFRPR
UHOLJLyQUD]DQLYHOVRFLRHFRQyPLFRJHRJUDItD\H[SHULHQFLDVSHUVRQDOHV
x /RVFRPSRUWDPLHQWRVLQGLYLGXDOHVTXHGHWHUPLQDQGHPDQHUDFROHFWLYDOD
FXOWXUDGHXQDHPSUHVD0XFKRVIDFWRUHVWDOHVFRPRORVIDFWRUHVH[WHUQRV
ODVUHODFLRQHVLQWHUSHUVRQDOHVHQODHPSUHVDORVREMHWLYRV\DPELFLRQHV
SHUVRQDOHVULJHQORVFRPSRUWDPLHQWRV$OJXQRVGHORVFRPSRUWDPLHQWRV
TXHSXHGHQVHUUHOHYDQWHVHQHVWHFRQWH[WRLQFOX\HQ
o &RPSRUWDPLHQWRVKDFLDODWRPDGHULHVJRV¢4XpWDQWRULHVJRVLHQWHOD
HPSUHVDTXHSXHGHDEVREHU"<¢TXpULHVJRVHVWiGLVSXHVWDD
HQIUHQWDU"
o &RPSRUWDPLHQWRKDFLDHOFXPSOLPLHQWRGHSROtWLFDV¢$TXpQLYHOHVWiQ
GLVSXHVWDVODVSHUVRQDVDDFDWDU\RDFHSWDUXQDSROtWLFD"

o &RPSRUWDPLHQWRKDFLDORVUHVXOWDGRVQHJDWLYRV¢&yPRPDQHMDODHPSUHVDORV
UHVXOWDGRV QHJDWLYRV" LH (YHQWRV \ RSRUWXQLGDGHV SHUGLGDV ¢$SUHQGHUiQ GH
HOORV \ WUDWDUiQ GH DMXVWDUVH R VH DVLJQDUi OD FXOSD VLQ HO WUDWDPLHQWR GH OD
FDXVDUDt]"

&2%,7+DELOLWDGRUHV±6HUYLFLRVLQIUDHVWUXFWXUD\DSOLFDFLRQHV


Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura,
tecnología y aplicaciones que proveen a la empresa con información, y
COBIT 5
Habilitadores – procesamiento y servicios de información.
Cultura, ética y
La buenas prácticas incluyen la definición de los principios de la arquitectura.
comportamiento
Este habilitador también depende de los Habilitadores de Cultura, Proceso e
ormación.
Información.
COBIT 5
Habilitadores –
Servicios,
infraestructura y
aplicaciones

COBIT 5
Habilitadores –
información Para
Objetivos de negocio
lograr
Procesos de negocio
Para
Información

Proveen

Recursos y
procesos de TI

13

3XQWRVLPSRUWDQWHV
/RVVHUYLFLRVODLQIUDHVWUXFWXUD\ODVDSOLFDFLRQHVLQFOX\HQODLQIUDHVWUXFWXUDWHFQRORJtD\
DSOLFDFLRQHVTXHSURYHHQDODHPSUHVDFRQLQIRUPDFLyQ\SURFHVDPLHQWR\VHUYLFLRVGH
LQIRUPDFLyQ(O*RELHUQRQHFHVLWDLQIRUPDFLyQSDUDODWRPDGHGHFLVLRQHV
%XHQDVSUiFWLFDV

/DVEXHQDVSUiFWLFDVSDUDODVFDSDFLGDGHVGHVHUYLFLRLQFOX\HQ

'HILQLFLyQGHORVSULQFLSLRVGHODDUTXLWHFWXUD±/RVSULQFLSLRVGHODDUTXLWHFWXUDVRQOtQHDV
JXtDJHQHUDOHVTXHJRELHUQDQODLPSOHPHQWDFLyQ\HOXVRGHORVUHFXUVRVUHODFLRQDGRVFRQOD
7,GHQWURGHODHPSUHVD(MHPSORVGHSULQFLSLRVSRWHQFLDOHVGHDUTXLWHFWXUDVRQ
x 5HXWLOL]DFLyQ
x &RPSUDUIUHQWHDFRQVWUXLU
x 6LPSOLFLGDG
x $JLOLGDG
x $SHUWXUD

5HODFLyQFRQRWURVKDELOLWDGRUHV±/DVUHODFLRQHVFRQRWURVKDELOLWDGRUHVLQFOX\HQ
x /DLQIRUPDFLyQHVXQDGHODVFDSDFLGDGHVGHORVVHUYLFLRV\ODVFDSDFLGDGHVGHORV
VHUYLFLRVVHDSDODQFDQDWUDYpVGHSURFHVRVSDUDODHQWUHJDGHVHUYLFLRVLQWHUQRV\
H[WHUQRV
x /RVDVSHFWRVFXOWXUDOHV\GHFRPSRUWDPLHQWRWDPELpQVRQUHOHYDQWHVFXDQGRVHWLHQHTXH
FRQVWUXLUXQDFXOWXUDRULHQWDGDDOVHUYLFLR
x 'HQWURGH&2%,7ODVHQWUDGDV\VDOLGDVGHODVSUiFWLFDV\ODVDFWLYLGDGHVGHJHVWLyQ
SRGUtDQLQFOXLUODVFDSDFLGDGHVGHVHUYLFLRODVFXDOHVVRQUHTXHULGDVFRPRHQWUDGDVR
HQWUHJDGDVFRPRVDOLGDV

&2%,7+DELOLWDGRUHV±LQIRUPDFLyQ


COBIT 5
Habilitadores –
Cultura, ética y
comportamiento
El habilitador de
COBIT 5 información trata con toda
Habilitadores – la información producida y
Servicios,
infraestructura y
usada por la empresa
aplicaciones

COBIT 5
Habilitadores
La información se La información es
– información
extiende a lo largo de requerida para mantener a
cualquier empresa la empresa funcionando y

bien gobernada

14

3XQWRVLPSRUWDQWHV
(OPRGHORGHOSURFHVRGHVFULEHODVHQWUDGDV\ODVVDOLGDVGHVGHGLIHUHQWHVSUiFWLFDVGHO
SURFHVRDRWURVSURFHVRVLQFOX\HQGRODLQIRUPDFLyQLQWHUFDPELDGDHQWUHORVSURFHVRVGH
JRELHUQR\JHVWLyQ
/DLQIRUPDFLyQXVDGDSDUDHYDOXDUGLULJLU\VXSHUYLVDUOD7,GHODHPSUHVDHVLQWHUFDPELDGD
HQWUHHOJRELHUQR\ODJHVWLyQFRPRVHGHVFULEHHQODVHQWUDGDV\VDOLGDVGHOPRGHORGHO
SURFHVR



COBIT 5
Habilitadores – Metadatos de COBIT 5 —
Cultura, ética y Ciclo de la información
comportamiento

COBIT 5
Habilitadores – Generar y Procesar Procesos de negocio Conlleva
Servicios,
infraestructura y
aplicaciones Procesos de TI

COBIT 5
Habilitadores
– información

Datos Valor

Información Conocimiento
Transforma Transforma Crea

15

3XQWRVLPSRUWDQWHV
(O+DELOLWDGRU,QIRUPDFLyQFRQVLGHUDWRGDODLQIRUPDFLyQUHOHYDQWHSDUDODHPSUHVD\QRVyOROD
LQIRUPDFLyQDXWRPDWL]DGD/DLQIRUPDFLyQSXHGHVHUHVWUXFWXUDGDRQRHVWUXFWXUDGDIRUPDOR
LQIRUPDO
/DLQIRUPDFLyQSXHGHVHUFRQVLGHUDGDFRPRXQDHWDSDGHQWURGHO³FLFORGHYLGDGHOD
LQIRUPDFLyQ´GHXQDHPSUHVD'HQWURGHOFLFORGHODLQIRUPDFLyQORVSURFHVRVGHQHJRFLR
JHQHUDQ\SURFHVDQGDWRVWUDQVIRUPiQGRORVHQLQIRUPDFLyQ\FRQRFLPLHQWR\HQ~OWLPD
LQVWDQFLDJHQHUDQGRYDORUSDUDODHPSUHVD(ODOFDQFHGHO+DELOLWDGRU,QIRUPDFLyQVHUHILHUH
SULQFLSDOPHQWHDODIDVHGH³LQIRUPDFLyQ´GHQWURGHOFLFORGHODLQIRUPDFLyQSHURWDPELpQVH
FXEUHQORVDVSHFWRVGHGDWRV\FRQRFLPLHQWRVHQ&2%,7



Se debe considerar el ciclo de vida de la información completo:
• Planificar
COBIT 5
Habilitadores – • Diseñar
Cultura, ética y
comportamiento • Construir/ Adquirir

• Usar/ Operar
COBIT 5 • Almacenar
Habilitadores –
Servicios, • Compartir
infraestructura y
aplicaciones

COBIT 5
Habilitadores
– información

16

3XQWRVLPSRUWDQWHV
&LFORGHYLGD
6HWLHQHTXHFRQVLGHUDUHOFLFORGHYLGDGHODLQIRUPDFLyQFRPSOHWR\VHSXHGHQUHTXHULU
GLIHUHQWHVDFHUFDPLHQWRVSDUDODLQIRUPDFLyQHQGLIHUHQWHVIDVHVGHOFLFORGHYLGD(O+DELOLWDGRU
,QIRUPDFLyQGH&2%,7GLVWLQJXHODVVLJXLHQWHVIDVHV

x 3ODQLILFDU/DIDVHHQODFXDOVHSUHSDUDODFUHDFLyQ\XVRGHOUHFXUVR
LQIRUPDFLyQ/DVDFWLYLGDGHVHQHVWDIDVHSXHGHQUHIHULUVHDODLGHQWLILFDFLyQGH
REMHWLYRVODSODQLILFDFLyQGHODDUTXLWHFWXUDGHODLQIRUPDFLyQ\HOGHVDUUROORGH
HVWiQGDUHV\GHILQLFLRQHVLHGHILQLFLRQHVGHGDWRVSURFHGLPLHQWRVGH
UHFROHFFLyQGHGDWRV
x 'LVHxDU
x &RQVWUXLUDGTXLULU/DIDVHHQODFXDOVHDGTXLHUHHOUHFXUVRLQIRUPDFLyQ/DV
DFWLYLGDGHVHQHVWDIDVHSXHGHQUHIHULUVHDODFUHDFLyQGHUHJLVWURVGHGDWRVOD
FRPSUDGHGDWRV\ODFDUJDGHDUFKLYRVH[WHUQRV
x 8VDURSHUDUTXHLQFOX\H
o $OPDFHQDU/DIDVHHQODFXDOODLQIRUPDFLyQHVUHWHQLGD

HOHFWUyQLFDPHQWHRHQXQDFRSLDLPSUHVDRLQFOXVLYHVyORHQODPHPRULD
KXPDQD/DVDFWLYLGDGHVHQHVWDIDVHSXHGHQUHIHULUVHDO
DOPDFHQDPLHQWRGHLQIRUPDFLyQHQIRUPDWRHOHFWUyQLFRSHMDUFKLYRV
HOHFWUyQLFRVEDVHVGHGDWRVDOPDFHQHVGHGDWRVRHQFRSLDVLPSUHVDV
SHMGRFXPHQWRVHQSDSHO

o &RPSDUWLU/DIDVHHQODFXDOODLQIRUPDFLyQVHSRQHDGLVSRVLFLyQSDUDVXXVRDWUDYpVGH
XQ PpWRGR GH GLVWULEXFLyQ /DV DFWLYLGDGHV HQ HVWD IDVH SXHGHQ UHIHULUVH D ORV SURFHVRV
LQYROXFUDGRVHQWUDVODGDUODLQIRUPDFLyQDORVOXJDUHVGRQGHGHEHVHUDFFHGLGD\XWLOL]DGD
SHM GLVWULEXFLyQ GH GRFXPHQWRV SRU FRUUHR HOHFWUyQLFR 3DUD OD LQIRUPDFLyQ UHWHQLGD
HOHFWUyQLFDPHQWHHVWDIDVHGHOFLFORGHYLGDSXHGHVRODSDUVHHQJUDQPHGLGDFRQODIDVHGH
DOPDFHQDUSHMFRPSDUWLULQIRUPDFLyQDWUDYpVGHDFFHVRVDEDVHVGHGDWRVVHUYLGRUHVGH
DUFKLYRVGRFXPHQWRV



Hay varias dimensiones de la calidad de la información que puede ser útil considerar
COBIT 5 cuando se desarrollan nuevas aplicaciones, se atienden requerimientos de seguridad
Habilitadores – o se evalúan los controles en los procesos de negocio:
Cultura, ética y
comportamiento • Precisión
• Objetividad
COBIT 5 • Credibilidad
Habilitadores –
• Reputación
Servicios,
infraestructura y • Relevancia
aplicaciones
• Completitud

COBIT 5 • Vigencia
Habilitadores
• Cantidad apropiada de información
– información
• Representación concisa
• Representación consistente
• Interpretabilidad
• Comprensibilidad
• Facilidad de uso
• Disponibilidad / oportunidad
• Acceso restringido

17

3XQWRVLPSRUWDQWHV
&DOLGDGLQWUtQVHFD(OJUDGRHQTXHORVYDORUHVGHORVGDWRVHVWiQHQFRQIRUPLGDGFRQORV
YDORUHVUHDOHVRYHUGDGHURV(VWRLQFOX\H
x 3UHFLVLyQ(OJUDGRHQTXHODLQIRUPDFLyQHVFRUUHFWD\FRQILDEOH
x 2EMHWLYLGDG(OJUDGRHQTXHODLQIRUPDFLyQHVREMHWLYDVLQSUHMXLFLRVHLPSDUFLDO
x &UHGLELOLGDG(OJUDGRHQTXHODLQIRUPDFLyQHVFRQVLGHUDGDFRPRYHUGDGHUD\FUHtEOH
x 5HSXWDFLyQ(OJUDGRHQTXHODLQIRUPDFLyQHVWiDOWDPHQWHFRQVLGHUDGDHQWpUPLQRVGHVX
RULJHQRFRQWHQLGR
&DOLGDGFRQWH[WXDO\GHUHSUHVHQWDWLYLGDG(OJUDGRHQTXHODLQIRUPDFLyQHVDSOLFDEOHDOD
WDUHDGHOXVXDULRGHODLQIRUPDFLyQ\HVSUHVHQWDGDHQXQDPDQHUDFODUDHLQWHOLJLEOH
UHFRQRFLHQGRTXHODFDOLGDGGHODLQIRUPDFLyQGHSHQGHGHOFRQWH[WRGHVXXVR(VWRLQFOX\H

x 5HOHYDQFLD(OJUDGRHQTXHODLQIRUPDFLyQHVDSOLFDEOH\~WLOSDUDODWDUHDDUHDOL]DU
x &RPSOHWLWXG(OJUDGRHQTXHODLQIRUPDFLyQQRWLHQHFDUHQFLDV\HVGHODVXILFLHQWH
SURIXQGLGDG\DPSOLWXGSDUDODWDUHDDUHDOL]DU
x 9LJHQFLD(OJUDGRHQTXHODLQIRUPDFLyQHVWiORVXILFLHQWHPHQWHDFWXDOL]DGDSDUDODWDUHDD
UHDOL]DU
x /DFDQWLGDGDSURSLDGDGHLQIRUPDFLyQ(OJUDGRHQTXHHOYROXPHQGH
LQIRUPDFLyQHVDGHFXDGRSDUDODWDUHDDUHDOL]DU
x 5HSUHVHQWDFLyQFRQFLVD(OJUDGRHQTXHODLQIRUPDFLyQVHUHSUHVHQWDGHIRUPD
FRPSDFWD
x 5HSUHVHQWDFLyQFRQVLVWHQWH(OJUDGRHQTXHODLQIRUPDFLyQVHSUHVHQWDHQHO
PLVPRIRUPDWR
x ,QWHUSUHWDELOLGDG(OJUDGRHQTXHODLQIRUPDFLyQHVWiH[SUHVDGDHQORVLGLRPDVVtPERORV\
XQLGDGHVDSURSLDGRVFRQGHILQLFLRQHVFODUDV
x &RPSUHQVLELOLGDG(OJUDGRHQTXHODLQIRUPDFLyQHVIiFLOGHFRPSUHQGHU
x )DFLOLGDGGHPDQLSXODFLyQ(OJUDGRHQTXHODLQIRUPDFLyQHVIiFLOGHPDQLSXODU\GH
DSOLFDUDGLIHUHQWHVWDUHDV
$FFHVLELOLGDG\VHJXULGDG(OJUDGRHQTXHODLQIRUPDFLyQHVWiGLVSRQLEOHRTXH
SXHGHREWHQHUVH(VWRLQFOX\H
x 'LVSRQLELOLGDGRSRUWXQLGDG(OJUDGRHQTXHODLQIRUPDFLyQHVWiGLVSRQLEOHFXDQGR
VHUHTXLHUHRTXHHVUiSLGD\IiFLOPHQWHUHFXSHUDEOH
x $FFHVRUHVWULQJLGR(OJUDGRHQTXHHODFFHVRDODLQIRUPDFLyQVHUHVWULQJH
DGHFXDGDPHQWHDODVSDUWHVDXWRUL]DGDV
Mis notas



A continuación se encuentran las capas y los atributos de la información:
COBIT 5 • Capa del mundo físico
Habilitadores –
• Capa empírica
Cultura, ética y
comportamiento • Capa sintáctica

• Capa semántica
COBIT 5 • Capa pragmática
Habilitadores –
Servicios, • Capa del mundo social
infraestructura y
aplicaciones

COBIT 5
Habilitadores
– información

18

3XQWRVLPSRUWDQWHV
3RGHPRVXVDUODVVLJXLHQWHVGHVFULSFLRQHVSDUDODVFDSDV\DWULEXWRVGHODLQIRUPDFLyQ
x &DSDGHOPXQGRItVLFR(OPXQGRHQHOTXHWLHQHQOXJDUWRGRVORVIHQyPHQRVTXHSXHGHQ
VHUREVHUYDGRVHPStULFDPHQWH
o 7UDQVSRUWHVRSRUWHVGHLQIRUPDFLyQ(ODWULEXWRTXHLGHQWLILFDHOVRSRUWHItVLFRGHOD
LQIRUPDFLyQSHMSDSHOVHxDOHVHOpFWULFDVRQGDVVRQRUDV
x &DSDHPStULFD/DREVHUYDFLyQHPStULFDGHORVVLJQRVTXHVHXWLOL]DQSDUDFRGLILFDUOD
LQIRUPDFLyQ\VXGLVWLQFLyQGHORVGHPiV\GHOUXLGRGHIRQGR
o &DQDOHVGHDFFHVRDODLQIRUPDFLyQ(ODWULEXWRTXHLGHQWLILFDHOFDQDOGHDFFHVRDOD
LQIRUPDFLyQSHMODVLQWHUIDFHVGHXVXDULR
x &DSDVLQWiFWLFD5HJODV\SULQFLSLRVSDUDODFRQVWUXFFLyQGHIUDVHVHQOHQJXDMHQDWXUDOR
DUWLILFLDO/DVLQWD[LVVHUHILHUHDODIRUPDGHLQIRUPDFLyQ
o &yGLJRLGLRPD(ODWULEXWRTXHLGHQWLILFDHOLGLRPDIRUPDWRGHUHSUHVHQWDFLyQXWLOL]DGR
SDUDFRGLILFDUODLQIRUPDFLyQ\ODVUHJODVSDUDFRPELQDUORVVtPERORVGHOOHQJXDMH\
IRUPDUODVHVWUXFWXUDVVLQWiFWLFDV


x &DSDVHPiQWLFD/DVUHJODV\SULQFLSLRVSDUDFRQVWUXLUHOVLJQLILFDGRGHODVHVWUXFWXUDV
VLQWiFWLFDV/DVHPiQWLFDVHUHILHUHDOVLJQLILFDGRGHODLQIRUPDFLyQ
o 7LSRGHLQIRUPDFLyQ(ODWULEXWRTXHLGHQWLILFDHOWLSRGHLQIRUPDFLyQSHMLQIRUPDFLyQ
ILQDQFLHUDYHUVXVQRILQDQFLHUDLQIRUPDFLyQGHRULJHQLQWHUQRYHUVXVH[WHUQRYDORUHV
SURQRVWLFDGRVSUHYLVWRVYHUVXVREVHUYDGRVSODQLILFDGRVYHUVXVYDORUHVUHDOL]DGRV
o 9LJHQFLDGHODLQIRUPDFLyQ(ODWULEXWRTXHLGHQWLILFDHOKRUL]RQWHWHPSRUDOFRQWHPSODGR
SRUODLQIRUPDFLyQSHMODLQIRUPDFLyQVREUHHOSDVDGRHOSUHVHQWHRHOIXWXUR
o 1LYHOGHLQIRUPDFLyQ(ODWULEXWRTXHLGHQWLILFDHOJUDGRGHGHWDOOHGHODLQIRUPDFLyQSHM
ODVYHQWDVSRUDxRWULPHVWUHPHV
x &DSDSUDJPiWLFD/DVUHJODV\HVWUXFWXUDVSDUDODFRQVWUXFFLyQGHJUDQGHVHVWUXFWXUDV
GHOOHQJXDMHTXHFXPSODQFRQSURSyVLWRVHVSHFtILFRVHQODFRPXQLFDFLyQKXPDQD/D
FDSDSUDJPiWLFDVHUHILHUHDODXWLOL]DFLyQGHODLQIRUPDFLyQ
o 3HULRGRGHUHWHQFLyQ(ODWULEXWRTXHLGHQWLILFDFXiQWRWLHPSRODLQIRUPDFLyQSXHGHVHU
UHWHQLGDDQWHVGHTXHVHDGHVWUXLGD
o (VWDGRGHODLQIRUPDFLyQ(ODWULEXWRTXHLGHQWLILFDVLODLQIRUPDFLyQHVRSHUDWLYDR
KLVWyULFD
o 1RYHGDG(ODWULEXWRTXHLGHQWLILFDVLVHWUDWDGHLQIRUPDFLyQTXHFUHDQXHYR
FRQRFLPLHQWRRFRQILUPDHOFRQRFLPLHQWRH[LVWHQWHSHMLQIRUPDFLyQIUHQWHD
FRQILUPDFLyQ
o &RQWLQJHQFLD(ODWULEXWRTXHLGHQWLILFDODLQIRUPDFLyQTXHHVUHTXHULGDFRPRSUHFHGHQWH
GHHVWDLQIRUPDFLyQSDUDTXHVHDFRQVLGHUDGDFRPRLQIRUPDFLyQ
x &DSDGHOPXQGRVRFLDO(OPXQGRTXHVHFRQVWUX\HVRFLDOPHQWHPHGLDQWHHOXVRGH
HVWUXFWXUDVGHODOHQJXDHQHOQLYHOSUDJPiWLFRGHODVHPLyWLFDSHMFRQWUDWRVOH\HVFXOWXUD

Mis notas



Como usar el modelo de información:
COBIT 5 • Para especificaciones de la información– ejemplos
Habilitadores –
• Para determinar la protección necesaria– ejemplos
Cultura, ética y
comportamiento • Para determinar la facilidad de uso de los datos– ejemplos

COBIT 5
Habilitadores –
Servicios,
infraestructura y
aplicaciones
COBIT 5
Habilitadores
– información

19

3XQWRVLPSRUWDQWHV
(MHPSOR±0RGHORGHLQIRUPDFLyQ,0XWLOL]DGRSDUDODVHVSHFLILFDFLRQHVGHODLQIRUPDFLyQ

&XDQGRVHGHVDUUROODXQDQXHYDDSOLFDFLyQHO,0VHSXHGHXVDUSDUDD\XGDUFRQODV
HVSHFLILFDFLRQHVGHODDSOLFDFLyQ\ODLQIRUPDFLyQRPRGHORVGHGDWRVDVRFLDGRV

/RVDWULEXWRVGHLQIRUPDFLyQGHO,0VHSXHGHQXVDUSDUDGHILQLUODVHVSHFLILFDFLRQHVGHOD
DSOLFDFLyQ\ORVSURFHVRVGHQHJRFLRTXHYDDXWLOL]DUODLQIRUPDFLyQ

3RUHMHPSORHOGLVHxR\ODVHVSHFLILFDFLRQHVGHOQXHYRVLVWHPDQHFHVLWDQHVSHFLILFDU
x &DSDItVLFD²¢'yQGHVHDOPDFHQDUiODLQIRUPDFLyQ"
x &DSDHPStULFD²¢&yPRVHSXHGHDFFHGHUDODLQIRUPDFLyQ"
x &DSDVLQWiFWLFD²¢&yPRVHHVWUXFWXUDUi\FRGLILFDUiODLQIRUPDFLyQ"
x &DSDVHPiQWLFD²¢4XpWLSRGHLQIRUPDFLyQHV"¢&XiOHVHOQLYHOGHLQIRUPDFLyQ"
x &DSDSUDJPiWLFD²¢&XiOHVVRQORVUHTXLVLWRVGHUHWHQFLyQ"¢4XpRWUDLQIRUPDFLyQHV
QHFHVDULDSDUDTXHHVWDLQIRUPDFLyQVHD~WLO\XWLOL]DEOH"
(QFXDQWRDODGLPHQVLyQGHORVLQWHUHVDGRVFRPELQDGRFRQHOFLFORGHYLGDGHODLQIRUPDFLyQVH
SXHGHGHILQLUTXLpQWHQGUiTXpWLSRGHDFFHVRDORVGDWRVGXUDQWHTXpIDVHGHOFLFORGHYLGDGHOD
LQIRUPDFLyQ
&XDQGRVHSUXHEHODDSOLFDFLyQORVSUREDGRUHVSXHGHQPLUDUORVFULWHULRVGHLQIRUPDFLyQGH
FDOLGDGSDUDGHVDUUROODUXQDPSOLRFRQMXQWRGHFDVRVGHSUXHED

(MHPSOR±0RGHORGHLQIRUPDFLyQSDUDGHWHUPLQDUODSURWHFFLyQQHFHVDULD
/RVJUXSRVGHVHJXULGDGGHQWURGHODHPSUHVDVHSXHGHQEHQHILFLDUGHODGLPHQVLyQGHORV
DWULEXWRVGHO,0FXDQGRVHOHVHQFDUJDODSURWHFFLyQGHODLQIRUPDFLyQVLHQGRQHFHVDULR
HVWDEOHFHU
x &DSDItVLFD²¢&yPR\GyQGHVHDOPDFHQDItVLFDPHQWHODLQIRUPDFLyQ"
x &DSDHPStULFD²¢&XiOHVVRQORVFDQDOHVGHDFFHVRDODLQIRUPDFLyQ"
x &DSDVLQWiFWLFD²¢&XiOHVVRQORVUHTXLVLWRVGHUHWHQFLyQ"¢/DLQIRUPDFLyQHVKLVWyULFDX
RSHUDFLRQDO"
(OXVRGHHVWRVDWULEXWRVSHUPLWLUiDOXVXDULRGHWHUPLQDUHOQLYHOGHSURWHFFLyQ\ORVPHFDQLVPRV
GHSURWHFFLyQQHFHVDULRV
(QFXDQWRDRWUDGLPHQVLyQHO,0ORVSURIHVLRQDOHVGHODVHJXULGDGWDPELpQSXHGHQFRQVLGHUDU
ODVHWDSDVGHOFLFORGHYLGDGHODLQIRUPDFLyQ\DTXHODLQIRUPDFLyQWLHQHTXHVHUSURWHJLGD
GXUDQWHWRGDVODVIDVHVGHOFLFORGHYLGD'HKHFKRODVHJXULGDGFRPLHQ]DHQODIDVHGH
SODQLILFDFLyQGHODLQIRUPDFLyQHLPSOLFDGLIHUHQWHVPHFDQLVPRVGHSURWHFFLyQSDUDHO
DOPDFHQDPLHQWR
(MHPSOR±0RGHORGHLQIRUPDFLyQXVDGRSDUDGHWHUPLQDUODIDFLOLGDGGHXVRGHORVGDWRV
&XDQGRVHUHDOL]DXQDUHYLVLyQGHXQSURFHVRGHQHJRFLRRXQDDSOLFDFLyQHO,0VHSXHGH
XWLOL]DUSDUDD\XGDUDXQDUHYLVLyQJHQHUDOGHODLQIRUPDFLyQSURFHVDGD\HQWUHJDGDSRUHO
SURFHVR\GHORVVLVWHPDVGHLQIRUPDFLyQVXE\DFHQWHV/RVFULWHULRVGHFDOLGDGVHSXHGHQ
XWLOL]DUSDUDHYDOXDUHQTXpPHGLGDODLQIRUPDFLyQHVWiGLVSRQLEOH²VLODLQIRUPDFLyQHVWi
FRPSOHWDGLVSRQLEOHGHIRUPDRSRUWXQDREMHWLYDPHQWHFRUUHFWDSHUWLQHQWHGLVSRQLEOHHQOD
FDQWLGDGDGHFXDGD7DPELpQVHSXHGHQFRQVLGHUDUORVFULWHULRVGHDFFHVLELOLGDG²VLOD
LQIRUPDFLyQHVDFFHVLEOHFXDQGRVHUHTXLHUH\HVWiDGHFXDGDPHQWHSURWHJLGD
/DUHYLVLyQSXHGHDPSOLDUVHD~QPiVSDUDLQFOXLUFULWHULRVGHUHSUHVHQWDFLyQSHMOD
IDFLOLGDGFRQTXHODLQIRUPDFLyQSXHGHVHUHQWHQGLGDLQWHUSUHWDGDXWLOL]DGD\PDQLSXODGD
8QDUHYLVLyQTXHXWLOL]DORVFULWHULRVGHFDOLGDGGHLQIRUPDFLyQGHO,0SURSRUFLRQDDOD
HPSUHVDXQDYLVLyQJOREDO\FRPSOHWDVREUHODFDOLGDGGHODLQIRUPDFLyQDFWXDOGHQWURGHXQ
SURFHVRGHQHJRFLR

Mis notas




La siguiente tabla muestra que todos los criterios de información de COBIT 4 son
cubiertos por COBIT 5:
COBIT 5
Habilitadores –
Cultura, ética y COBIT 4.1 Criterios de COBIT 5 Metas de la calidad de la información
comportamiento información
Eficacia Cantidad apropiada, relevancia, comprensibilidad,
COBIT 5
Habilitadores –
interpretabilidad y objetividad
Servicios, Eficiencia Credibilidad (confiabilidad), accesibilidad, facilidad de uso y
infraestructura y
aplicaciones
reputación
Integridad Integridad y exactitud
COBIT 5
Habilitadores Confiabilidad Credibilidad, reputación, objetividad
– información
Disponibilidad Disponibilidad bajo el título de Accesibilidad y seguridad
Confidencialidad Acceso restringido

Conformidad Cantidad apropiada, relevancia, claridad, interpretabilidad,
objetividad, credibilidad, accesibilidad, facilidad de
manipulación, reputación, completitud, precisión, seguridad,
acceso restringido

20

3XQWRVLPSRUWDQWHV

&2%,7 (TXLYDOHQWHGH&2%,7
&ULWHULRVGH
LQIRUPDFLyQ
(IHFWLYLGDG /DLQIRUPDFLyQHVHIHFWLYDVLVDWLVIDFHODVQHFHVLGDGHVGHO
FRQVXPLGRUGHODLQIRUPDFLyQTXLHQXVDODLQIRUPDFLyQSDUDXQD
WDUHDHVSHFtILFD6LHOFRQVXPLGRUGHODLQIRUPDFLyQSXHGHUHDOL]DU
ODWDUHDFRQGLFKDLQIRUPDFLyQHQWRQFHVODLQIRUPDFLyQHVHIHFWLYD
(VWRFRUUHVSRQGHFRQODVVLJXLHQWHVPHWDVGHODFDOLGDGGHOD
LQIRUPDFLyQFDQWLGDGDGHFXDGDUHOHYDQFLDFRPSUHQVLELOLGDG
LQWHUSUHWDELOLGDG\REMHWLYLGDG
(ILFLHQFLD 0LHQWUDVTXHODHIHFWLYLGDGFRQVLGHUDODLQIRUPDFLyQFRPRXQ
SURGXFWRODHILFLHQFLDVHUHILHUHPiVDOSURFHVRGHREWHQFLyQ\XVR
GHODLQIRUPDFLyQSRUHVRVHDOLQHDDODYLVLyQGH³LQIRUPDFLyQFRPR
XQVHUYLFLR´6LVHREWLHQHLQIRUPDFLyQTXHFXPSOHFRQODV
QHFHVLGDGHVGHVXFRQVXPLGRU\VHXVDGHXQDPDQHUDVHQFLOODHM
XVDSRFRVUHFXUVRVHVIXHU]RItVLFRHVIXHU]RFRJQLWLYRGLQHUR
HQWRQFHVHOXVRGHODLQIRUPDFLyQHVHILFLHQWH(VWRFRUUHVSRQGHD
ODVVLJXLHQWHVPHWDVGHODFDOLGDGGHODLQIRUPDFLyQFRQILDELOLGDG
DFFHVLELOLGDGIDFLOLGDGGHXVR\UHSXWDFLyQ

,QWHJULGDG 6LODLQIRUPDFLyQHVtQWHJUDHQWRQFHVVHHQFXHQWUDOLEUHGHHUURUHV\
FRPSOHWD(VWRFRUUHVSRQGHDODVVLJXLHQWHVPHWDVGHODFDOLGDGGHOD
LQIRUPDFLyQLQWHJULGDG\H[DFWLWXG
)LDELOLGDG /DILDELOLGDGHVFRP~QPHQWHXVDGDFRPRVLQyQLPRGHSUHFLVLyQVLQ
HPEDUJRWDPELpQSXHGHGHFLUVHTXHODLQIRUPDFLyQHVILDEOHVLHV
YHUGDGHUD\FUHtEOH&RPSDUDGDFRQODLQWHJULGDGODILDELOLGDGHV
PiVVXEMHWLYDVHUHODFLRQDFRQODSHUFHSFLyQ\WRPDHQFXHQWDPiV
TXHORVKHFKRV&RUUHVSRQGHDODVVLJXLHQWHVPHWDVGHODFDOLGDGGH
'LVSRQLELOLGDG /DGLVSRQLELOLGDGHVXQDGHODVPHWDVGHODFDOLGDGGHODLQIRUPDFLyQ
EDMRHOWtWXORGHDFFHVLELOLGDG\VHJXULGDG
&RQILGHQFLDOLGDG /DFRQILGHQFLDOLGDGFRUUHVSRQGHDODPHWDGHODFDOLGDGGHOD
LQIRUPDFLyQDFFHVRUHVWULQJLGR
&RQIRUPLGDG /DFRQIRUPLGDGHQHOVHQWLGRGHTXHODLQIRUPDFLyQGHEHHVWDUDMXVWDUVH
DXQDVHVSHFLILFDFLRQHVHVWiFXELHUWDSRUFXDOTXLHUDGHODVPHWDVGH
FDOLGDGGHODLQIRUPDFLyQGHSHQGLHQGRGHORVUHTXHULPLHQWRV
(OFXPSOLPLHQWRFRQODVUHJXODFLRQHVHVPDVELHQXQDPHWDR
UHTXHULPLHQWRGHOXVRGHODLQIRUPDFLyQQRWDQWRFRPRDOJRLQKHUHQWHD
ODFDOLGDGGHODLQIRUPDFLyQ

Mis notas
5HVXPHQGHO0yGXOR
Los habilitadores del gobierno de TI involucran procesos; marcos de trabajo, políticas y

principios; estructuras organizacionales; cultura, ética y comportamiento; información;
servicios, infraestructura y aplicaciones, en una empresa para lograr sus objetivos.
21
&2%,7
)XQGDPHQWRV
0yGXOR&2%,76DWLVIDFHUODVQHFHVLGDGHVGH
ODVSDUWHVLQWHUHVDGDV
COBIT 5: Satisfacer las necesidades de las partes interesadas
Resumen general del módulo
Temas discutidos
Los temas en este módulo son los siguientes:
• 5.1: Alineando las necesidades de las partes interesadas
• 5.2: Cascada de metas de COBIT 5
• 5.3: Guías para la implementación

Resumen general del módulo

• Entender la relación entre las necesidades de las partes interesadas y el gobierno
• Identificar ejemplos de preguntas que hacen las partes interesadas
• Entender cómo las metas de la empresa guían a los objetivos relacionados con TI, los cuales
a su vez guían a los procesos de TI
• Entender el enfoque de alto nivel que se utiliza para la implementación del gobierno de TI
usando COBIT 5
Manual del alumno | COBIT 5: Satisfacer las necesidades de las partes interesadas
$OLQHDQGRODVQHFHVLGDGHVGHODVSDUWHVLQWHUHVDGDV
5.1 Alineando las necesidades de las partes interesadas
Gobierno significa negociar y decidir frente a los diferentes intereses de valor de las
partes interesadas. Las empresas tienen muchas partes interesadas, y “crear valor”
puede tener significados diferentes –e incluso opuestos– para cada una de ellas.
3XQWRVLPSRUWDQWHV

$OPRPHQWRGHWRPDUGHFLVLRQHVUHODWLYDVDHYDOXDFLyQGHULHVJRVEHQHILFLRV\UHFXUVRVHO
VLVWHPDGHEHWHQHUHQFXHQWDDWRGDVODVSDUWHVLQWHUHVDGDV$QWHFDGDGHFLVLyQVHGHEHQ
IRUPXODUODVVLJXLHQWHVSUHJXQWDV¢4XLpQVHEHQHILFLD"¢4XLpQDVXPHHOULHVJR"<¢TXp
UHFXUVRVVHQHFHVLWDQ"
Mis notas
(MHPSOR3UHJXQWDVGHODVSDUWHVLQWHUHVDGDVLQWHUQDV
Ejemplo: • ¿Cómo obtengo valor del uso de TI? ¿Están los usuarios satisfechos con la calidad
preguntas de del servicio de TI?
las partes
interesadas • ¿Cómo gestiono el desempeño de TI?
internas • ¿Cuál es la mejor manera de explotar las nuevas tecnologías para oportunidades
Ejemplo: estratégicas?
preguntas de las • ¿Cuál es la mejor manera de construir y estructurar mi departamento de TI?
partes interesadas
externas • ¿Qué tanto dependo de proveedores externos? ¿Qué tan bien gestiono los
contratos con proveedores externos de TI? ¿Cómo aseguro el trabajo de los
proveedores externos?
Lluvia de ideas
• ¿Cuáles son los requisitos de control para la información?
• ¿Considero todos los riesgos relativos a TI?
• ¿Mi operación de TI es eficiente y resiliente?

3XQWRVLPSRUWDQWHV

7RGDHPSUHVDGHEHFRQFHQWUDUVH\GDUSULRULGDGDVXVUHTXLVLWRVGHJRELHUQRHQIRFDGRVDODV
QHFHVLGDGHV\SUHRFXSDFLRQHVGHVXVSDUWHVLQWHUHVDGDV$TXtKD\DOJXQRVHMHPSORVGH
SUHJXQWDVTXHYDOGUtDODSHQDIRUPXODU

Ejemplo: • ¿Cómo controlo mis costos de TI? ¿Cómo utilizo mis recursos de TI de la manera
preguntas de más efectiva y eficiente posible? ¿Cuáles son las opciones más efectivas y
las partes eficientes para el abastecimiento de estos recursos?
interesadas
internas • ¿Tengo suficiente personal de TI? ¿Cómo desarrollo y mantengo sus habilidades?
¿Cómo gestiono su desempeño?
Ejemplo:
preguntas de las • ¿Cómo obtengo aseguramiento sobre TI?
partes interesadas
externas
• ¿La información que estoy procesando ha sido bien protegida?
• ¿Cómo mejoro la agilidad del negocio por medio de un ambiente de TI más
flexible?
Lluvia de ideas
• ¿Los proyectos de TI fracasan en entregar el valor prometido? De ser así, ¿por
qué? ¿Acaso TI interfiere con la ejecución de la estrategia de negocios?
• ¿Qué tan crítica es TI para sostener la empresa? ¿Qué hago si TI no está
disponible?
3XQWRVLPSRUWDQWHV

$FRQWLQXDFLyQPiVSUHJXQWDV
Mis notas

Ejemplo: • ¿Qué procesos vitales del negocio dependen de TI? ¿Cuáles son los
preguntas de requerimientos de los procesos del negocio?
las partes
interesadas • ¿Cuál es el exceso promedio de un presupuesto de operaciones de TI? ¿Qué tanto
internas y con qué frecuencia exceden sus presupuestos los proyectos de TI? ¿Qué tanto
del presupuesto de TI va a esfuerzos de contención de problemas (apagar
Ejemplo:
preguntas de las
fuegos),en lugar de facilitar las mejoras del negocio?
partes interesadas • ¿Existen suficientes recursos e infraestructura de TI para cumplir con los objetivos
externas estratégicos de la empresa?
• ¿Cuánto tiempo tarda tomar decisiones importantes de TI?
Lluvia de ideas
• Las inversiones y el esfuerzo total de TI, ¿son transparentes?
• ¿TI apoya a la empresa en el cumplimiento regulatorio y de servicios? ¿Cómo
puedo saber si estoy cumpliendo con las regulaciones pertinentes?

3XQWRVLPSRUWDQWHV

$FRQWLQXDFLyQPiVSUHJXQWDV

(MHPSOR3UHJXQWDVSDUDODVSDUWHVLQWHUHVDGDVH[WHUQDV
Ejemplo: • ¿Cómo puedo saber si las operaciones de mi socio de negocios son seguras y
preguntas de las confiables?
partes
interesadas • ¿Cómo puedo saber si la empresa cumple con las reglas y regulaciones
internas pertinentes?
Ejemplo: • ¿Cómo puedo saber si la empresa está manteniendo un sistema efectivo de control
preguntas de interno?
las partes • ¿Mis socios de negocios tienen bajo control la cadena de información entre ellos?
interesadas
externas
Lluvia de ideas
3XQWRVLPSRUWDQWHV

7RGDHPSUHVDGHEHWDPELpQHQIRFDUVH\SULRUL]DUORVUHTXLVLWRVGHJRELHUQRDSDUWLUGHODV
QHFHVLGDGHV\SUHRFXSDFLRQHVGHODVSDUWHVLQWHUHVDGDVH[WHUQDV$FRQWLQXDFLyQDSDUHFHQ
DOJXQRVHMHPSORVGHSUHJXQWDV(O$SpQGLFH&FRQWLHQHXQDWDEODTXHOOHYDFRPRWtWXOR³0DSHR
GH2EMHWLYRV(PSUHVDULDOHVSDUD2EMHWLYRVGH7,´HOFXDOPDSHDODUHODFLyQHQWUH2EMHWLYRV
(PSUHVDULDOHV\3UHJXQWDVGHOD*HVWLyQ
Mis notas
&DVFDGDGHREMHWLYRVGH&2%,7
5.2 Cascada de metas de COBIT 5
La cascada de metas de COBIT 5 es el mecanismo mediante el cual se traducen las

necesidades de las partes interesadas en objetivos específicos, accionables y adaptadas al
contexto de la empresa.
Motivos de las partes interesadas

Entorno, Evolución de la Tecnología,…
Influencias
Necesidades de las partes interesadas
Realización Optimización Optimización

de Beneficios del Riesgo de Recursos
En casacda a
Metas corporativas
En casacda a
Metas relacionadas con TI
En casacda a
Metas de los habilitadores
10
3XQWRVLPSRUWDQWHV

/DVQHFHVLGDGHVGHODVSDUWHVLQWHUHVDGDVGHEHQVHUWUDQVIRUPDGDVHQXQDHVWUDWHJLDGH
DFFLyQHPSUHVDULDO
&DGDHPSUHVDRSHUDHQXQFRQWH[WRGLIHUHQWHGHWHUPLQDGRSRUIDFWRUHVH[WHUQRVPHUFDGR
LQGXVWULDJHRSROtWLFD\IDFWRUHVLQWHUQRVFXOWXUDHPSUHVDWROHUDQFLDDOULHVJRHWF\UHTXLHUH
SRUWDQWRXQVLVWHPDGHJRELHUQR\GHJHVWLyQKHFKRDODPHGLGD

(VWDWUDGXFFLyQWHSHUPLWHHVWDEOHFHUREMHWLYRVHVSHFtILFRVHQFDGDQLYHO\HQFDGDiUHDGHOD
HPSUHVDHVWRFRQODILQDOLGDGGHDSR\DUORVREMHWLYRVJHQHUDOHV\UHTXLVLWRVGHORVLQWHUHVDGRV
ORFXDOVLUYHSDUDGHPDQHUDHIHFWLYDDOLQHDUORVVHUYLFLRV\VROXFLRQHVGH7,FRQODV
QHFHVLGDGHVHPSUHVDULDOHV
/RVREMHWLYRVHPSUHVDULDOHVDSR\DQORVREMHWLYRVGHJRELHUQR
RELACIÓN CON LOS OBJETIVOS DE

GOBIERNO
Los objetivos
empresariales REALIZACIÓN OPTIMIZACIÓN OPTIMIZACIÓN
DIMENSIÓN BSC OBJETIVOS DE LA EMPRESA
DE BENEFICIOS DEL RIESGO DE RECURSOS
apoyan los
objetivos de 1. Valor de las inversiones de negocio para las partes
P S
gobierno interesadas
2. Portafolio de productos y servicios competitivos P P S
Objetivos relativos
a TI FINANCIERA 3. Riesgos del negocio gestionados (salvaguarda de
P S
activos)
4. Cumplimiento con leyes y regulaciones externas P
5. Transparencia financiera P S S
Los objetivos 6. Cultura del servicio orientada al cliente P S
relativos a TI 7. Continuidad y disponibilidad de los servicios de
hacen cascada P
negocio
hacia los
habilitadores CLIENTE 8. Respuesta ágil a un entorno de negocio cambiante P S
9. Toma de decisiones estratégica hecha basada en
Beneficios de la P P P
cascada de información
objetivos de 10. Optimización de los costos de entrega del servicio P P
COBIT 5 11. Optimización de la funcionalidad de los procesos de
P P
negocio
Ejemplo 1 12. Optimización de los costos del proceso de negocio P P
INTERNA
13. Programas de cambio de negocio gestionados P P S
14. Productividad operacional y del personal P P
15. Cumplimiento con políticas internas P
APRENDIZAJE Y 16. Personas motivadas y con habilidades S P P
CRECIMIENTO 17. Cultura de la innovación en productos y negocios P
11
3XQWRVLPSRUWDQWHV

(VWRVREMHWLYRVHPSUHVDULDOHVKDQVLGRGHVDUUROODGRVXWLOL]DQGRODVGLPHQVLRQHVGHO&XDGURGH
PDQGRLQWHJUDO%DODQFHGVFRUHFDUG\FRPRWDOUHSUHVHQWDQXQDOLVWDGHREMHWLYRV
UHODWLYDPHQWHFRPXQHV&DGDHPSUHVDGHILQHVXVSURSLRVREMHWLYRV$XQTXHODOLVWDQRHV
H[KDXVWLYDODPD\RUSDUWHGHODVWDUHDVHVSHFtILFDVDFDGDHPSUHVDSXHGHQVHUIiFLOPHQWH
PDSHDGDVVREUHXQRRPiVGHORVREMHWLYRVHPSUHVDULDOHVJHQpULFRV
/D³3´VLJQLILFD³UHODFLyQSULPDULD´\OD³6´VLJQLILFD³UHODFLyQVHFXQGDULD´ODFXDOHVPHQRV
IXHUWHTXHODSULPDULD
Mis notas
2EMHWLYRVUHODFLRQDGRVFRQ7,
Los objetivos
empresariales
apoyan los DIMENSIÓN
OBJETIVO DE INFORMACIÓN Y TECNOLOGÍA RELACIONADA
objetivos de TI-BSC
gobierno
1. Alineamiento entre TI y la estrategia de negocio
Objetivos 2. Cumplimiento y soporte de TI al cumplimiento del negocio con las leyes y regulaciones externas
relativos a TI 3. Compromiso de la dirección ejecutiva para la toma de decisiones relativas a TI
FINANCIERA
4. Riesgos de negocios relacionados con TI gestionados
5. Beneficios realizados del portafolio de inversiones habilitadas por TI y servicios
6. Transparencia de costos, beneficios y riesgos de TI
Los objetivos
relativos a TI 7. Entrega de los servicios de TI de acuerdo a los requerimientos del negocio
CLIENTE
hacen cascada 8. Uso adecuado de aplicaciones, información y soluciones tecnológicas
hacia los
habilitadores 9. Agilidad de TI
10. Seguridad de la información, infraestructura de procesamiento y aplicaciones
Beneficios de la
11. Optimización de activos, recursos y capacidades de TI
cascada de
objetivos de 12. Habilitación y apoyo de los procesos de negocios por medio de la integración de aplicaciones y
COBIT 5 INTERNA tecnología a los procesos de negocios
13. Entrega de los programas a tiempo, dentro de presupuesto, y en cumplimiento de los
Ejemplo 1 requerimientos y estándares de calidad
14. Disponibilidad de información fiable y útil para la toma de decisiones
15. Cumplimiento de TI con políticas internas
CRECIMIENTO Y 16. Personal de TI competente y motivado

APRENDIZAJE 17. Conocimiento, experiencia e iniciativas para la innovación del negocio
12

3XQWRVLPSRUWDQWHV

&XPSOLUORVREMHWLYRVHPSUHVDULDOHVLPSOLFDXQJUDQQ~PHURGHUHVXOWDGRVUHODFLRQDGRVFRQ7,
ORVFXDOHVVRQUHSUHVHQWDGRVSRUORVREMHWLYRVUHODFLRQDGRVFRQ7,(VWRVREMHWLYRVKDQVLGR
HVWUXFWXUDGRVGHDFXHUGRFRQODVGLPHQVLRQHVGHO&XDGURGHPDQGRLQWHJUDO%DODQFHG
VFRUHFDUGSDUD7,&2%,7HVWDEOHFHREMHWLYRVUHODFLRQDGRVFRQ7,
&DVFDGDGHORVREMHWLYRVUHODFLRQDGRVFRQ7,DORVKDELOLWDGRUHV
Los objetivos Para cumplir los objetivos relativos a TI es necesario contar con procesos
empresariales
apoyan los fiables y lograr cumplir los objetivos que estos plantean. COBIT 5 brinda un
objetivos de mapeo de objetivos relativos a TI, vinculándolos con los procesos que los
gobierno
apoyan.
Objetivos relativos
a TI
Los objetivos
relativos a TI
hacen cascada
hacia los
habilitadores
Beneficios de la
cascada de
objetivos de
COBIT 5
Ejemplo 1
13
3XQWRVLPSRUWDQWHV
/RVSURFHVRVVRQXQRGHPXFKRVKDELOLWDGRUHV(O$SpQGLFH&FRQWLHQHXQDWDEODOODPDGD
0DSHRGH2EMHWLYRV(PSUHVDULDOHVFRQ2EMHWLYRVUHODFLRQDGRVFRQ7,ODFXDOPDSHD
REMHWLYRVUHODFLRQDGRVFRQ7,FRQORV2EMHWLYRVGHO3URFHVRGH&2%,7
Mis notas
%HQHILFLRVGHOD&DVFDGDGH2EMHWLYRVGH&2%,7
Los objetivos
empresariales
apoyan los
objetivos de
gobierno
Objetivos relativos
a TI Alineamiento
i t con objetivos
bj ti estratégicos
Los objetivos
relativos a TI hacen
cascada hacia los
habilitadores
Beneficios de
la cascada de Definir prioridades
objetivos de
COBIT 5
Ejemplo 1
Enfocarse en procesos importantes
14
3XQWRVLPSRUWDQWHV

(QODSUiFWLFDODFDVFDGDGHREMHWLYRV
x 'HILQHREMHWLYRVUHDOHV\WDQJLEOHVFRQGLVWLQWRVQLYHOHVGHUHVSRQVDELOLGDG
x )LOWUDODEDVHGHFRQRFLPLHQWRGH&2%,7FRQEDVHHQREMHWLYRVHPSUHVDULDOHVSDUD
H[WUDHULQIRUPDFLyQUHOHYDQWHSDUDVXLQFOXVLyQHQSUR\HFWRVGHLPSOHPHQWDFLyQPHMRUD
\DVHJXUDPLHQWRHVSHFtILFRV
x ,GHQWLILFD\FRPXQLFDGHPDQHUDFODUD\HQRFDVLRQHVPX\RSHUDFLRQDOODLPSRUWDQFLD
GHORVKDELOLWDGRUHVSDUDDOFDQ]DUODVPHWDVGHODHPSUHVD
(MHPSOR

5.2 Cascada de objetivos de COBIT 5
Los objetivos
empresariales Una empresa está actualmente enfocada en el siguiente Objetivo
apoyan los
objetivos de
Empresarial de COBIT 5:
gobierno
Objetivos relativos
a TI
6. Cultura de servicios
orientada al cliente
Los objetivos
cascada hacia los
habilitadores Usando la cascada, se han identificado los siguientes objetivos
relativos a TI:
Beneficios de la
cascada de
objetivos de
COBIT 5
1. Alineamiento entre TI y la estrategia de
negocio
Ejemplo 1 7. La entrega de los servicios de TI de
acuerdo a los requerimientos de negocios
15

5.2 Cascada de objetivos de COBIT 5
Los objetivos Para el primer objetivo relativo a TI (Alineamiento entre TI y la estrategia de

empresariales
apoyan los negocios), la cascada recalca que estos procesos son los más importantes si
objetivos de se busca dar cumplimiento a estos objetivos:
gobierno
EDM1 Asegurar el establecimiento de un
Objetivos relativos APO8 Gestión de las relaciones
marco de gobierno y mantenimiento
a TI
EDM2 Asegurar la entrega de beneficios BAI1 Gestión de programas y proyectos
BAI2 Gestión de la definición de
APO1 Gestionar el marco de gestión de TI
requerimientos
Los objetivos
APO2 Gestión de estrategia
cascada hacia los
habilitadores APO3 Gestión de la arquitectura
empresarial
Beneficios de la APO5 Gestión del portafolio
cascada de
objetivos de APO7 Gestión de los recursos humanos
COBIT 5
Ejemplo 1
16

3XQWRVLPSRUWDQWHV

(OLGHQWLILFDU\SULRUL]DUORVSURFHVRVGHDFXHUGRFRQVXUHODFLyQDORVREMHWLYRVHPSUHVDULDOHV
HVXQRGHORVDVSHFWRVFODYHGH&2%,7D\XGDDPDQWHQHUHQIRFDGDODDWHQFLyQGHODJHUHQFLD
VREUHODLPSRUWDQFLDGHOSURFHVR6LORVSURFHVRVQRKDQVLGRGHVDUUROODGRVFRUUHFWDPHQWHHV
FDVLVHJXURTXHORVREMHWLYRVQRVHUiQFXPSOLGRV(VWDWpFQLFDHVXQDKHUUDPLHQWDPX\~WLO
SDUDGHWHUPLQDUHODOFDQFHFXDQGRVHEXVFDLPSOHPHQWDUPHMRUDVHQHOJRELHUQR\JHVWLyQGH
7,7DPELpQHVPX\~WLOSDUDODSODQLILFDFLyQGHDXGLWRUtDV(OGDUSULRULGDGDSURFHVRVFODYHHV
QHFHVDULRSDUDDSR\DUORVREMHWLYRV8QRGHORVUHWRVTXHHQIUHQWDUHPRVHVTXHPXFKRVGHORV
SURFHVRVHVWDUiQUHVDOWDGRV$OVRSHVDUORVREMHWLYRV\OXHJROOHYDUHVRVSHVRVDORVSURFHVRV
\OXHJRDJUHJDUORVUHVXOWDGRVXQRSXHGHFUHDUXQDOLVWDILQDOHQRUGHQGHSULRULGDG3XHVWR
TXHHODQiOLVLVQRSXHGHVLPSOHPHQWHDXWRPDWL]DUVHVLHPSUHQHFHVLWDUHPRVFULWHULRVGHOD
GLUHFFLyQ
*XtDSDUDODLPSOHPHQWDFLyQ
5.3 Orientación para la implementación
Cada instancia de El valor óptimo sólo

implementación deberá podrá ser obtenido
atender retos específicos, mediante COBIT si se
los cuales incluyen adopta y adapta de
gestionar los cambios en manera efectiva al
la cultura y el entorno único de cada
comportamiento. empresa.
ISACA ofrece
orientación práctica y
extensa para la
implementación en su
publicación COBIT 5
Implementación, la
cual se basa en un
ciclo de vida de
mejora continua.
Orientación para la Implementación
17
3XQWRVLPSRUWDQWHV

/DJXtD&2%,7,PSOHPHQWDFLyQVHHQIRFDHQ
x &UHDUXQFDVRGHQHJRFLRSDUDODLPSOHPHQWDFLyQ\PHMRUDGHOJRELHUQR\JHVWLyQGH7,
x 5HFRQRFHUORVSXQWRVGLItFLOHV\HYHQWRVGHVHQFDGHQDQWHVPiVFRPXQHV

x &UHDUHODPELHQWHDGHFXDGRSDUDODLPSOHPHQWDFLyQ
x 3RWHQFLDUHOXVRGH&2%,7SDUDLGHQWLILFDUEUHFKDV\JXLDUHOGHVDUUROORGHKDELOLWDGRUHV
FRPRVRQSROtWLFDVSURFHVRVSULQFLSLRVHVWUXFWXUDVRUJDQL]DFLRQDOHVDVtFRPRUROHV\
UHVSRQVDELOLGDGHV

*XtDVSDUDODLPSOHPHQWDFLyQ±&RQVLGHUDQGRHOFRQWH[WRHPSUHVDULDO

Orientación para la Ética y cultura

implementación –
Considera el contexto
de la empresa
Leyes, regulaciones y políticas aplicables
Orientación para la Misión, visión y valores

implementación –
Puntos débiles
más comunes Políticas y prácticas de gobierno
Orientación para la Plan de negocios e intenciones estratégicas

implementación –
Eventos
desencadenantes Modelo operativo y nivel de madurez
más comunes
Primeros pasos: Estilo de gestión

Estableciendo el
caso de negocios
Apetito de riesgo
Capacidades y recursos disponibles
Prácticas a nivel industria
18
3XQWRVLPSRUWDQWHV
(VLPSRUWDQWHSRWHQFLDU\FRQVWUXLUDSDUWLUGHKDELOLWDGRUHVHPSUHVDULDOHV\DH[LVWHQWHV
Mis notas
*XtDVSDUDODLPSOHPHQWDFLyQ±SXQWRVGpELOHVUHFXUUHQWHV
Orientación para la
implementación – Directriz de implementación – Puntos débiles más comunes
Considera el contexto • Frustración del negocio
de la empresa
• Incidentes relevantes
• Fallas en la entrega de servicios subcontratados
Orientación para la • Incumplimiento de requerimientos regulatorios o contractuales
implementación –
Puntos débiles
• Limitaciones en las capacidades para la innovación y agilidad en el negocio
más comunes • Hallazgos regulares en las auditorías que indican un mal desempeño de TI
• Gastos de TI ocultos o fraudulentos
Orientación para la • Duplicación o superposición de iniciativas, y desaprovechamiento de recursos
implementación – • Recursos de TI insuficientes y habilidades inadecuadas
Eventos
desencadenantes • Los cambios habilitados por TI no cumplen con las necesidades del negocio
más comunes • Esfuerzos múltiples y complejos de aseguramiento de TI
Primeros pasos: • Hay miembros del consejo directivo, ejecutivos y/o miembros de la alta gerencia
Estableciendo el renuentes a involucrarse
caso de negocios • Modelos complejos de operación de TI
19
3XQWRVLPSRUWDQWHV

/DVSUiFWLFDVGHJRELHUQRGH7,HPSUHVDULDO*(,7QXHYDVRUHYLVDGDVSXHGHQSRUORJHQHUDO
UHVROYHURVHUSDUWHGHODVROXFLyQGHORVVLJXLHQWHVVtQWRPDV

x )UXVWUDFLyQGHOQHJRFLRSRULQLFLDWLYDVIDOODGDVLQFUHPHQWRGHORVFRVWRVGH7,\
SHUFHSFLyQGHYDORUEDMRSDUDHOQHJRFLR
0LHQWUDVTXHPXFKDVHPSUHVDVFRQWLQ~DQLQFUHPHQWDQGRVXLQYHUVLyQHQWHFQRORJtDGH
ODLQIRUPDFLyQHOYDORUGHHVDVLQYHUVLRQHV\HOUHQGLPLHQWRJHQHUDOGH7,VRQ
FXHVWLRQDGRVFRQIUHFXHQFLD\DYHFHVQLVLTXLHUDVHUHDOL]DQ(VWRSXHGHVHULQGLFDWLYR
GHXQSUREOHPDHQHO*(,7HQHOTXHODVFRPXQLFDFLRQHVHQWUH7,\ODVQHFHVLGDGHVGH
QHJRFLRVGHEHQVHUPHMRUDGDV\GHEHHVWDEOHFHUVHXQSXQWRGHYLVWDFRP~QFRQ
UHVSHFWRDOSDSHO\YDORUGH7,7DPELpQHVSRVLEOHTXHHVWRVHDFRQVHFXHQFLDGHXQD
IRUPXODFLyQGHSUR\HFWRVSURSXHVWDV\PHFDQLVPRVGHDSUREDFLyQLQDGHFXDGRV

x ,QFLGHQWHVUHOHYDQWHVUHODFLRQDGRVFRQULHVJRVGHQHJRFLRVUHODWLYRVD7,SRU
HMHPSORSpUGLGDGHGDWRVRSUR\HFWRVIDOOLGRV
(VWRVLQFLGHQWHVVLJQLILFDWLYRVUHSUHVHQWDQFRQIUHFXHQFLDODSXQWDGHOWpPSDQR\VX
LPSDFWRSXHGHVHUH[DFHUEDGRVLUHFLEHQDWHQFLyQS~EOLFD\RPHGLiWLFD/DV
LQYHVWLJDFLRQHVDGLFLRQDOHVFRQIUHFXHQFLDFRQGXFHQDODLGHQWLILFDFLyQGHGHVDMXVWHV
HVWUXFWXUDOHVPiVSURIXQGRVRLQFOXVRDXQD
IDOWDDEVROXWDGHFXOWXUDVREUHORVULHVJRVGH7,GHQWURGHODHPSUHVD6HUHTXHULUiQ
HQWRQFHVSUiFWLFDV*(,7PiVVyOLGDVSDUDREWHQHUXQDYLVLyQLQWHJUDO\XQ
HQWHQGLPLHQWRVyOLGRGHORVULHVJRVUHODFLRQDGRVFRQ7,\ODPDQHUDHQTXHGHEHQ
DWHQGHUVHHVWRVULHVJRV
x 3UREOHPDVFRQODHQWUHJDGHVHUYLFLRVVXEFRQWUDWDGRV3RUHMHPSORORVQLYHOHV
GHVHUYLFLRDFRUGDGRVQRVRQFXPSOLGRVGHIRUPDFRQVLVWHQWH
/RVSUREOHPDVFRQODSUHVWDFLyQGHVHUYLFLRVSRUSDUWHGHORVSURYHHGRUHVH[WHUQRV
SXHGHQGHEHUVHDSUREOHPDVGHJRELHUQRWDOHVFRPRODIDOWDGHGHILQLFLyQR
DGHFXDFLyQGHORVSURFHVRVGHJHVWLyQGHWHUFHURVLQFOX\HQGRFRQWURO\VXSHUYLVyQ
FRQODVUHVSHFWLYDVUHVSRQVDELOLGDGHV\UHQGLFLyQGHFXHQWDVQHFHVDULDVSDUDFXPSOLU
FRQORVUHTXLVLWRVGHVHUYLFLRGH7,GHOQHJRFLR

x ,QFXPSOLPLHQWRGHUHTXHULPLHQWRVUHJXODWRULRVRFRQWUDFWXDOHV
(QPXFKDVHPSUHVDVORVPHFDQLVPRVGHJRELHUQRLQHIHFWLYRVRLQHILFLHQWHVLPSLGHQ
XQDLQWHJUDFLyQFRPSOHWDGHOH\HVUHJXODFLRQHV\FRQGLFLRQHVFRQWUDFWXDOHVGHQWURGHO
VLVWHPDRUJDQL]DFLRQDO7DPELpQHVSRVLEOHTXHQRWHQJDQIRUPDGHJHVWLRQDUORV/DV
H[LJHQFLDVUHJXODWRULDV\GHFXPSOLPLHQWRVHVWiQDXPHQWDQGRDQLYHOLQWHUQDFLRQDOOR
FXDOLPSDFWDFRQIUHFXHQFLDDODVDFWLYLGDGHVGH7,

x /LPLWDFLyQSRUSDUWHGH7,GHODVFDSDFLGDGHVGHLQQRYDFLyQGHODHPSUHVDDVt
FRPRGHODDJLOLGDGGHOQHJRFLR
8QDTXHMDFRP~QHVTXHHOSDSHOGH7,HVFRPRIXQFLyQGHDSR\R\PLHQWUDVWDQWR
H[LVWHXQDQHFHVLGDGFRQWLQXDGHFDSDFLGDGHVSDUDODLQQRYDFLyQTXHSURSRUFLRQHQXQD
YHQWDMDFRPSHWLWLYD(VWRVVRQVtQWRPDVGHIDOWDGHDOLQHDFLyQELGLUHFFLRQDOHQWUH7,\HO
QHJRFLRODFXDOSXHGHGHEHUVHDSUREOHPDVGHFRPXQLFDFLyQRGHLQYROXFUDPLHQWR
LQVXILFLHQWHGHSDUWHGHOQHJRFLRHQORVDVXQWRVGH7,(VWRSXHGHGHEHUVHWDPELpQDO
LQYROXFUDPLHQWRWDUGtRGH7,HQODVHVWUDWHJLDVGHQHJRFLR(VWRVSUREOHPDV
QRUPDOPHQWHVDOHQDIORWHFXDQGRODVFRQGLFLRQHVHFRQyPLFDVUHTXLHUHQXQDUiSLGD
UHVSXHVWDSRUSDUWHGHODHPSUHVDSRUHMHPSORFXDQGRKD\XQDLQWURGXFFLyQGH
QXHYRVSURGXFWRVRVHUYLFLRV

x +DOOD]JRVFRQWLQXRVGHDXGLWRUtDUHODWLYDVDXQSREUHUHQGLPLHQWRGH7,RD
SUREOHPDVUHSRUWDGRVVREUHODFDOLGDGGHVHUYLFLRHQ7,(VWRSRGUtDVHULQGLFDWLYR
GHTXHORVQLYHOHVGHVHUYLFLRQRHVWiQVLHQGRUHVSHWDGRVRTXHQRIXQFLRQDQGH
PDQHUDDGHFXDGD7DPELpQGHODWDQXQLQYROXFUDPLHQWRLQDGHFXDGRGHODSDUWHGH
QHJRFLRVHQODWRPDGHGHFLVLRQHVVREUH7,

x *DVWRVGH7,RFXOWRVRIUDXGXOHQWRV
&RQIUHFXHQFLDFDUHFHPRVGHGRFXPHQWRVTXHPXHVWUHQFRQWUDQVSDUHQFLDORVJDVWRV
HLQYHUVLRQHVUHODWLYDVD7,/RVJDVWRVGH7,VHSXHGHQRFXOWDUHQORVSUHVXSXHVWRVGH
ODVXQLGDGHVGHQHJRFLRRQRVHUFDWDORJDGRVFRPRJDVWRVGH7,HQHVWDVFXHQWDVOR
TXHJHQHUDXQDYLVLyQVHVJDGDGHORVFRVWRVGH7,

x 'XSOLFDFLyQRVXSHUSRVLFLyQGHLQLFLDWLYDVRGHVDSURYHFKDPLHQWRGHUHFXUVRV
)UHFXHQWHPHQWHHVWRRFXUUHGHELGRDODIDOWDGHXQDYLVLyQGHSRUWDIROLRLQWHJUDOGH
WRGDVODVLQLFLDWLYDVGH7,HLQGLFDTXHORVSURFHVRV\HVWUXFWXUDVSDUDWRPDGH
GHFLVLRQHVUHVSHFWRDOSRUWDIROLR\JHVWLyQGHOUHQGLPLHQWRVRQLQDGHFXDGRV

x 5HFXUVRVGH7,LQVXILFLHQWHVSHUVRQDOFRQKDELOLGDGHVLQDGHFXDGDVR
GHVJDVWDGRLQVDWLVIHFKR6HWUDWDGHXQSUREOHPDGHUHFXUVRVKXPDQRVUHOHYDQWH
SDUDODJHVWLyQGH7,HOFXDOUHTXLHUHVXSHUYLVLyQHIHFWLYD\EXHQJRELHUQRSDUD
DVHJXUDUTXHORVWHPDVGHGHVDUUROORGHKDELOLGDGHV\JHVWLyQGHOSHUVRQDOVHDQ
DWHQGLGRVGHPDQHUDHIHFWLYD7DPELpQSXHGHVHUYLUSDUDLQGLFDUTXHH[LVWHQHQWUH
RWURVIDFWRUHVGHELOLGDGHVVXE\DFHQWHVHQODJHVWLyQGHGHPDQGDGH7,\HQODV
SUiFWLFDVLQWHUQDVGHHQWUHJDGHVHUYLFLRV

x /RVFDPELRVHQ7,IUHFXHQWHPHQWHQRFXPSOHQFRQODVQHFHVLGDGHVGHOQHJRFLR\
VHHQWUHJDQWDUGHRIXHUDGHSUHVXSXHVWR(VWRVSXQWRVGpELOHVSRGUtDQVHU
UHODFLRQDGRVFRQSUREOHPDVGHDOLQHDFLyQGHOQHJRFLRFRQ7,GHILQLFLyQGHORV
UHTXHULPLHQWRVGHOQHJRFLRIDOWDGHFXPSOLPLHQWRGHOEHQHILFLRGHORVSURFHVRVRXQD
DSOLFDFLyQLQDGHFXDGDGHORVSURFHVRVGHJHVWLyQGHSUR\HFWRVSURJUDPD

x (VIXHU]RVP~OWLSOHV\FRPSOHMRVGHDVHJXUDPLHQWRGH7,(VWRSRGUtDVHULQGLFDWLYR
GHXQDIDOWDGHFRRUGLQDFLyQHQWUHHOQHJRFLR\7,FRQUHVSHFWRDODVQHFHVLGDGHV\OD
HMHFXFLyQGHUHYLVLRQHVGHFRQWUROGH7,8QDFDXVDVXE\DFHQWHSXHGHVHUXQEDMRQLYHO
GHFRQILDQ]DSRUSDUWHGHOQHJRFLRHQ7,ORTXHSXHGHRFDVLRQDUTXHHOQHJRFLRLQLFLH
VXVSURSLDVUHYLVLRQHV2ODIDOWDGHXQDDGHFXDGDUHQGLFLyQGHFXHQWDVHQORTXHD
UHYLVLyQGHFRQWUROHVGH7,VHUHILHUHORTXHSXHGHGDUFRPRUHVXOWDGRTXHHOQHJRFLR
QRHVWpDOWDQWRGHHVWRVDFRQWHFLPLHQWRV

x 0LHPEURVGHOFRQVHMRGLUHFWLYRHMHFXWLYRVRPLHPEURVGHODDOWDJHUHQFLDTXH
PXHVWUDQUHVLVWHQFLDDLQYROXFUDUVHFRQ7,RODDXVHQFLDGHSDWURFLQDGRUHVGH
QHJRFLRVFRPSURPHWLGRV\VDWLVIHFKRVSDUD7,
(VWRVSXQWRVGpELOHVIUHFXHQWHPHQWHVHYLQFXODQDXQDIDOWDGHHQWHQGLPLHQWRGHO
QHJRFLR\GH7,DXQDIDOWDGHYLVLELOLGDGGH7,HQORVQLYHOHVDSURSLDGRVIDOWDGHXQD
HVWUXFWXUDGHJHVWLyQRDSUREOHPDVFRQORVPDQGDWRVGHO&RQVHMRORVFXDOHVFRQ
IUHFXHQFLDRFXUUHQSRUXQDFRPXQLFDFLyQSREUHHQWUHHOQHJRFLR\7,\XQPDO
HQWHQGLPLHQWRGHOQHJRFLR\GH7,SRUSDUWHGHORVSDWURFLQDGRUHVGHQHJRFLRVGH7,

x 0RGHORVFRPSOHMRVGHRUJDQL]DFLyQGH7,
/DFRPSOHMLGDGLQKHUHQWHDSRUHMHPSORODVRUJDQL]DFLRQHVGHVFHQWUDOL]DGDVGH7,TXH
IUHFXHQWHPHQWHWLHQHQGLIHUHQWHVHVWUXFWXUDVSUiFWLFDV\SROtWLFDVH[LJHXQIXHUWH
HQIRTXHDQLYHO*(,7SDUDDVHJXUDUXQDySWLPDWRPDGHGHFLVLRQHVGH7,DVtFRPROD
HIHFWLYLGDG\HILFLHQFLDGHODVRSHUDFLRQHV(VWDGHELOLGDG
DPHQXGRDGTXLHUHXQDLPSRUWDQFLDPD\RUFRQODJOREDOL]DFLyQGHELGRDTXHFDGD
UHJLyQSXHGHWHQHUIDFWRUHVDPELHQWDOHVHVSHFtILFRV\SRWHQFLDOPHQWH~QLFRVWDQWR
LQWHUQRVFRPRH[WHUQRVTXHGHEHQVHUDWHQGLGRV

*XtDSDUDODLPSOHPHQWDFLyQ±HMHPSORVGHHYHQWRVGHVHQFDGHQDQWHV
implementación – Es importante considerar los eventos desencadenantes en los entornos internos y
Considera el contexto externos de una empresa. Los siguientes puntos desencadenantes pueden indicar o
de la empresa desencadenar un enfoque en GEIT y aumentar su nivel de importancia en la agenda
empresarial:
Orientación para la • Una fusión, adquisición o desinversión
implementación –
• Un cambio en el mercado, economía o posición competitiva
Puntos débiles
más comunes • Un cambio en el modelo operativo del negocio o en los acuerdos de aprovisionamiento
• Nuevas regulaciones o requerimientos de cumplimiento
Orientación para la • Cambios tecnológicos significativos
implementación – • Un enfoque o proyecto de gobierno que abarque toda la empresa
Eventos
desencadenantes
• Un nuevo CIO, CFO, CEO o miembro del consejo directivo
más comunes • Auditorías o consultorías externas de evaluación
Primeros pasos:
• Una nueva prioridad o estrategia de gestión
Estableciendo el • Deseo de mejorar el valor que se obtiene de TI de manera significativa
caso de negocios
20
3XQWRVLPSRUWDQWHV

(YHQWRVGHVHQFDGHQDQWHVHQDPELHQWHVLQWHUQRV\H[WHUQRV

$GHPiVGHORVVtQWRPDVGHVFULWRVDQWHULRUPHQWHRWURVIDFWRUHVWDQWRHQHOHQWRUQRLQWHUQR
FRPRH[WHUQRGHODVHPSUHVDVSXHGHQVHUXQDVHxDORGHWRQDGRUHVGHODLPSRUWDQFLDGH
HQIRFDUVHHQHO*(,7\GDUOHLPSRUWDQFLDHQODDJHQGDGHODHPSUHVD

x )XVLyQDGTXLVLFLyQRGHVLQYHUVLyQ
/DVFRQVHFXHQFLDVHVWUDWpJLFDV\RSHUDWLYDVUHODFLRQDGDVFRQ7,SXHGHQVHU
VLJQLILFDWLYDVDUDt]GHXQDIXVLyQDGTXLVLFLyQRGHVLQYHUVLyQ'XUDQWHHOUHVSHFWLYR
DQiOLVLVSUHYLRH[LVWLUiODQHFHVLGDGGHORJUDUXQDFRPSUHQVLyQGHORVDVXQWRVGH7,
7DPELpQHQWUHWRGRVORVUHTXHULPLHQWRVGHLQWHJUDFLyQRUHVWUXFWXUDFLyQH[LVWLUiOD
QHFHVLGDGGHGLVHxDUPHFDQLVPRVDSURSLDGRVSDUDHOQXHYRHQWRUQRGH*(,7

x 8QFDPELRHQHOPHUFDGRHFRQRPtDRSRVLFLyQFRPSHWLWLYD
3RUHMHPSORXQDUHFHVLyQHFRQyPLFDSRGUtDFRQGXFLUDODVHPSUHVDVDUHYLVDUVXV
PHFDQLVPRVGH*(,7SDUDSHUPLWLUODRSWLPL]DFLyQGHFRVWRVDJUDQHVFDODRXQD
PHMRUDGHOUHQGLPLHQWR

x &DPELRHQHOPRGHORRSHUDWLYRGHOQHJRFLRRDFXHUGRVGHDSURYLVLRQDPLHQWR
3RUHMHPSORHOFDPELRGHXQPRGHORGHVFHQWUDOL]DGRRIHGHUDGRKDFLDXQPRGHOR
RSHUDWLYRFHQWUDOL]DGRUHTXHULUiFDPELRVHQODVSUiFWLFDVGHO*(,7SDUDDFWLYDUXQD
PD\RUWRPDGHGHFLVLRQHVGHIRUPDFHQWUDOL]DGD2WURHMHPSORSRGUtDVHUOD
LPSOHPHQWDFLyQGHFHQWURVGHVHUYLFLRVFRPSDUWLGRVSDUDiUHDVWDOHVFRPRILQDQ]DV
UHFXUVRVKXPDQRVRFRPSUDV(VWRSRGUtDWHQHULPSDFWRVHQ7,WDOHVFRPROD
FRQVROLGDFLyQGHXQDDSOLFDFLyQIUDJPHQWDGDGH7,RGRPLQLRVGHLQIUDHVWUXFWXUDFRQ
FDPELRVDVRFLDGRVHQODHVWUXFWXUDGHWRPDGHGHFLVLRQHVGH7,RORVSURFHVRVTXH
HVWDJRELHUQD/DH[WHUQDOL]DFLyQGHDOJXQDVIXQFLRQHVGH7,\SURFHVRVGHQHJRFLRV
SRGUtDGDUOXJDUDXQPD\RUHQIRTXHHQ*(,7

x 1XHYDVUHJXODFLRQHVRUHTXHULPLHQWRVGHFXPSOLPLHQWR
3RUGDUXQHMHPSORORVQXHYRV\DXPHQWDGRVUHTXLVLWRVHPSUHVDULDOHVGHUHQGLFLyQGH
FXHQWDV\ODVUHJXODFLRQHVILQDQFLHUDVJHQHUDQODQHFHVLGDGGHPHMRUDVHQ*(,7
7DPELpQODDWHQFLyQTXHVHOHSUHVWDDODSULYDFLGDGGHODLQIRUPDFLyQDFDXVDGHOD
RPQLSUHVHQFLDGH7,FRQWULEX\HDHVWR

x &DPELRVWHFQROyJLFRVRFDPELRVGHSDUDGLJPDVLJQLILFDWLYRV
8QHMHPSORGHHVWRVHUtDODPLJUDFLyQGHDOJXQDVHPSUHVDVDVHUYLFLRVRULHQWDGRVD
DUTXLWHFWXUD62$\DFRPSXWDFLyQHQODQXEH(VWRFDPELDGHPDQHUDIXQGDPHQWDOOD
IRUPDHQTXHODVLQIUDHVWUXFWXUDV\DSOLFDFLRQHVVRQGHVDUUROODGDV\HQWUHJDGDVORFXDO
WDPELpQUHTXLHUHGHFDPELRVHQODIRUPDGHDVRFLDUSURFHGLPLHQWRV\ODIRUPDHQTXH
VRQJREHUQDGRV\JHVWLRQDGRV
8QHQIRTXHRSUR\HFWRGHJRELHUQRTXHDEDUTXHWRGDODHPSUHVD(VSUREDEOHTXHHVWH
WLSRGHSUR\HFWRLPSXOVHLQLFLDWLYDVHQHOiUHDGH*(,7

x 8QQXHYR&,2'LUHFWRU*HQHUDO)LQDQFLHUR&)2'LUHFWRU*HQHUDO(MHFXWLYR
&(2RPLHPEURGHO&RQVHMR
(OQRPEUDPLHQWRGHXQQXHYRDOWRGLUHFWLYRSXHGHIUHFXHQWHPHQWHGLVSDUDUXQD
HYDOXDFLyQGHORVPHFDQLVPRVDFWXDOHVGH*(,7HLQLFLDWLYDVSDUDGDUDWHQFLyQDODV
GHELOLGDGHVGHWHFWDGDV

x $XGLWRULDVRFRQVXOWRUtDVH[WHUQDVGHHYDOXDFLyQ
8QDHYDOXDFLyQOOHYDGDDFDERSRUXQWHUFHURLQGHSHQGLHQWHVREUHGHWHUPLQDGDV
SUiFWLFDVSXHGHFRQIUHFXHQFLDVHUXQSXQWRGHSDUWLGDSDUDLQLFLDWLYDVGHPHMRUDVHQHO
*(,7

x 8QDQXHYDSULRULGDGRHVWUDWHJLDGHQHJRFLR
3HUVHJXLUXQDQXHYDHVWUDWHJLDGHQHJRFLRSXHGHWHQHULPSOLFDFLRQHVHQHO*(,73RU
HMHPSORXQDQXHYDHVWUDWHJLDGHQHJRFLRGHHVWDUPiVFHUFDGHORVFOLHQWHV²HVGHFLU
FRQRFHUTXLpQHVVRQVXVUHTXHULPLHQWRV\UHVSRQGHUOHVGHODPHMRUIRUPDSRVLEOH²
SXHGHUHTXHULUGHPD\RUOLEHUWDGHQODWRPDGHGHFLVLRQHVGH7,SRUSDUWHGHXQD
XQLGDGGHQHJRFLRSDtVHQRSRVLFLyQDXQDWRPDGHGHFLVLRQHVFRUSRUDWLYDFHQWUDOL]DGD
x 'HVHRGHPHMRUDUHOYDORUTXHVHREWLHQHGH7,GHPDQHUDVLJQLILFDWLYD
8QDQHFHVLGDGGHPHMRUDUODVYHQWDMDVFRPSHWLWLYDVVHULQQRYDGRURSWLPL]DUORV
DFWLYRVRFUHDUQXHYDVRSRUWXQLGDGHVGHQHJRFLRSXHGHUHTXHULUDWHQFLyQHQHO*(,7
(PSH]DQGR&yPRKDFHUXQFDVRGHQHJRFLR
implementación – El caso de negocio debe incluir lo siguiente:
Considera el contexto • Los beneficios de negocio esperados
de la empresa
• Los cambios al negocio necesarios
• Las inversiones necesarias
implementación – • Los costos operacionales (on-going) de TI y negocio
Puntos débiles
• Los riesgos inherentes
más comunes
• Roles, responsabilidades y rendición de cuentas
Orientación para la • Cómo serán monitoreados los beneficios

implementación –
Eventos
desencadenantes
más comunes
Primeros pasos:
Estableciendo el
caso de negocios
21
3XQWRVLPSRUWDQWHV

&RQODILQDOLGDGGHDVHJXUDUODLPSOHPHQWDFLyQGHLQLFLDWLYDVEDVDGDVHQ&2%,7ODQHFHVLGDG
GHDFWXDUGHEHVHUDPSOLDPHQWHUHFRQRFLGD\FRPXQLFDGDGHQWURGHODHPSUHVD(VWRSXHGH
VHUSRUPHGLRGHXQD³DODUPDGHVSHUWDGRUD´GLULJLGDDODViUHDVHQODVTXHGLVWLQWRVSXQWRV
GpELOHVHVWiQRFXUULHQGRFRPR\DVHPHQFLRQyRPHGLDQWHODH[SUHVLyQGHODRSRUWXQLGDGGH
PHMRUDTXHGHVHDWRPDU(VPX\LPSRUWDQWHTXHVHHQWLHQGDHOULHVJRTXHFRQOOHYDUtDHOQR
WRPDUDFFLyQDVtFRPRORVEHQHILFLRVGHVHJXLUHVWHSURJUDPD

/DLQLFLDWLYDGHEHFRQWDUFRQXQSDWURFLQDGRU\GHEHLQYROXFUDUDWRGDVODVSDUWHVLQWHUHVDGDV\
HVWDUEDVDGDHQXQFDVRGHQHJRFLRV,QLFLDOPHQWHHVWRSXHGHVHUDXQDOWRQLYHOGHVGHXQD
SHUVSHFWLYDHVWUDWpJLFD±GHDUULEDKDFLDDEDMR±FRPHQ]DQGRFRQXQHQWHQGLPLHQWRFODURGHORV
ORJURVGHQHJRFLRGHVHDGRV\SURJUHVDQGRDVtDXQDGHVFULSFLyQGHWDOODGDGHWDUHDVFUtWLFDVH
KLWRVDVtFRPRGHUROHV\UHVSRQVDELOLGDGHVFODYH(OFDVRGHQHJRFLRHVXQDKHUUDPLHQWD
YDOLRVDTXHWLHQHODJHUHQFLDSDUDODFUHDFLyQGHYDORUSDUDHOQHJRFLR&XDQGRPHQRVHOFDVR
GHQHJRFLRGHEHUiLQFOXLUORVLJXLHQWH
x /RVEHQHILFLRVGHQHJRFLRSURFXUDGRVVXDOLQHDFLyQFRQORVSURSLHWDULRVGHORV
EHQHILFLRVGHODHVWUDWHJLDGHQHJRFLR¢&XiOGHODVSHUVRQDVTXHIRUPDSDUWHGHO
QHJRFLRVHUiODUHVSRQVDEOHGHDVHJXUDUORV"(VWRSXHGHHVWDUEDVDGRHQSXQWRV
GpELOHV\HYHQWRVGHVHQFDGHQDQWHV
x /RVFDPELRVDOQHJRFLRQHFHVDULRVSDUDJHQHUDUHOYDORUSUHYLVWR(VWRSRGUtDORJUDUVH
FRQEDVHHQFKHTXHRVGHVDOXG\DQiOLVLVGHEUHFKDVHQFDSDFLGDGHV\GHEHUiQ
LQGLFDUGHIRUPDFODUDTXpVHHQFXHQWUDGHQWURGHODOFDQFH\TXpHVWiIXHUD
x /DVLQYHUVLRQHVQHFHVDULDVSDUDOOHYDUDFDERORVFDPELRVGHJHVWLyQ\JRELHUQRGH7,
HPSUHVDULDOEDVDGDVHQXQDHVWLPDFLyQGHSUR\HFWRVUHTXHULGRV
x /RVFRVWRVRSHUDFLRQDOHVRQJRLQJGH7,\ORVFRVWRVGHQHJRFLRV
x (OEHQHILFLRHVSHUDGRGHRSHUDUGHODQXHYDPDQHUD
x (OULHVJRLQKHUHQWHHQORVSXQWRVSUHYLRVLQFOX\HQGRUHVWULFFLRQHVRGHSHQGHQFLDVFRQ
EDVHHQUHWRV\IDFWRUHVGHp[LWR
x 5ROHVUHVSRQVDELOLGDGHV\UHQGLFLyQGHFXHQWDVFRQUHODFLyQDODLQLFLDWLYD
x 'HTXpPDQHUDODLQYHUVLyQ\ODJHQHUDFLyQGHYDORUVHUiVXSHUYLVDGDDORODUJRGHO
FLFORGHYLGDHFRQyPLFR\FXiOHVVHUiQODVPpWULFDVXWLOL]DGDVFRQEDVHHQREMHWLYRV\
PpWULFDV

Diagrama de implementación de COBIT 5
Gestión del programa

(anillo exterior)
Facilitadores del cambio

(anillo segundo)
Ciclo de vida de la mejora

continua (anillo interior)
Construir
mejoras
Identificar rol
de los
participantes
Planificar
programa
4 ¿Qué es preciso hacer?
Fuente: COBIT® 5, figura 17. © 2012 ISACA® Derechos reservados.
22
3XQWRVLPSRUWDQWHV

x /DIDVHFRPLHQ]DFRQUHFRQRFHU\DFHSWDUTXHH[LVWHODQHFHVLGDGGHXQDLQLFLDWLYD
SDUDODLPSOHPHQWDFLyQGHXQDPHMRUD,GHQWLILFDORVDFWXDOHVSXQWRVGpELOHV\
GHVHQFDGHQDQWHV\JHQHUDXQGHVHRGHFDPELRDQLYHOGHODJHUHQFLDHMHFXWLYD

x /DIDVHVHHQIRFDHQGHILQLUHODOFDQFHGHODLQLFLDWLYDGHPHMRUDRLPSOHPHQWDFLyQSRU
PHGLRGHOPDSHR&2%,7GHREMHWLYRVHPSUHVDULDOHVFRQORVREMHWLYRVGH7,
DVRFLiQGRORVDVXYH]FRQORVSURFHVRVGH7,7DPELpQVHKDFHQFRQVLGHUDFLRQHV
UHVSHFWRDFyPRORVHVFHQDULRVGHULHVJRSRGUtDQUHVDOWDUORVSURFHVRVFODYHVHQORV
FXDOHVYDOGUtDODSHQDHQIRFDUVH3RVWHULRUPHQWHVHKDFHXQDHYDOXDFLyQGHOHVWDGR
DFWXDO\ORVSUREOHPDV\GHILFLHQFLDVVHLGHQWLILFDQPHGLDQWHXQDHYDOXDFLyQGHOD
FDSDFLGDGGHORVSURFHVRV

x 8QDLQLFLDWLYDJUDQGHGHEHVHUHVWUXFWXUDGDFRPRVLIXHUDP~OWLSOHVLWHUDFLRQHVGHOFLFOR
GHYLGD3DUDFXDOTXLHULQLFLDWLYDGHLPSOHPHQWDFLyQGHPiVGHVHLVPHVHVH[LVWHHO
ULHVJRGHSHUGHULQHUFLDHQIRTXH\FUHGLELOLGDGSRUSDUWHGHORVLQWHUHVDGRV


x 'XUDQWHODIDVHVHHVWDEOHFHXQDPHWDSDUDODVPHMRUDVVHJXLGDSRUXQDQiOLVLV
GHWDOODGRTXHXWLOL]DODLQIRUPDFLyQGHODJXtD&2%,7SDUDLGHQWLILFDUEUHFKDV\
VROXFLRQHVSRWHQFLDOHV$OJXQDVVROXFLRQHVVLJQLILFDQXQDJDQDQFLDLQPHGLDWDPLHQWUDV
TXHRWUDVVRQDFWLYLGDGHVDODUJRSOD]R\SUHVHQWDQXQPD\RUUHWR6HGHEHGDU
SULRULGDGDODVLQLFLDWLYDVTXHVRQIiFLOHVGHORJUDUDVtFRPRDDTXHOODVTXHSUHVHQWHQ
SRWHQFLDOPHQWHORVPD\RUHVEHQHILFLRV

x /DIDVHSODQHDVROXFLRQHVSUiFWLFDVSRUPHGLRGHODGHILQLFLyQGHSUR\HFWRVTXHVH
SXHGHQMXVWLILFDUDSDUWLUGHFDVRVYLDEOHVGHQHJRFLRV7DPELpQGHEHGHVDUUROODUVHXQ
SODQGHFDPELRSDUDODLPSOHPHQWDFLyQ8QFDVRGHQHJRFLRVELHQGHVDUUROODGRD\XGDD
DVHJXUDUTXHORVEHQHILFLRVGHOSUR\HFWRVHDQLGHQWLILFDGRV\VXSHUYLVDGRV

x /DVVROXFLRQHVSURSXHVWDVVHLPSOHPHQWDQHQODVSUiFWLFDVGHOGtDDGtDHQODIDVH
/DVPHGLFLRQHVVHSXHGHQGHILQLU\ODVXSHUYLVLyQVHSXHGHHVWDEOHFHUXVDQGRORV
REMHWLYRV\PpWULFDVGH&2%,7SDUDDVHJXUDUTXHVHORJUH\VHPDQWHQJDXQD
DOLQHDFLyQGHQHJRFLRV\SDUDDVHJXUDUTXHHOUHQGLPLHQWRSXHGDVHUPHGLGR3DUD
ORJUDUHOp[LWRHVQHFHVDULRTXHH[LVWDLQYROXFUDPLHQWR\FRPSURPLVRGHSDUWHGHODDOWD
JHUHQFLDDVtFRPRXQVHQWLGRGHSHUWHQHQFLDSRUSDUWHGHORVQHJRFLRVLQYROXFUDGRV\
ODVSDUWHVLQWHUHVDGDVGH7,

x /DIDVHVHHQIRFDHQODRSHUDFLyQVXVWHQWDEOHGHORVKDELOLWDGRUHVQXHYRVR
PHMRUDGRVDVtFRPRXQDVXSHUYLVLyQGHODREWHQFLyQGHORVEHQHILFLRVHVSHUDGRV

x 'XUDQWHODIDVHHOp[LWRJHQHUDOGHODLQLFLDWLYDGHEHVHUUHYLVDGDORVUHTXHULPLHQWRV
DGLFLRQDOHVSDUDODJHVWLyQRJRELHUQRGHODHPSUHVDGH7,VRQLGHQWLILFDGRV\OD
QHFHVLGDGGHXQDPHMRUDFRQWLQXDVHYHUHIRU]DGD
$ORODUJRGHOWLHPSRHOFLFORGHYLGDGHEHVHUVHJXLGRGHPDQHUDLWHUDWLYDPLHQWUDVTXHD
ODSDUVHFRQVWUX\HXQDDSUR[LPDFLyQVXVWHQWDEOHDODJHVWLyQ\JRELHUQRGH7,HPSUHVDULDO
5HVXPHQGHOPyGXOR
5.4 Resumen del módulo
• El sistema debe tener en cuenta a todas las partes interesadas al momento de tomar
decisiones de evaluación de beneficios, recursos y riesgos.
• Es importante saber quién se beneficia, quién asume el riesgo, y cuáles son los recursos
requeridos.
• Las preocupaciones y las necesidades de las partes interesadas influyen sobre los
requerimientos de gobierno de una empresa.
• Las necesidades de los interesados deberán ser transformados en la estrategia accionable de
una empresa.
• Los objetivos de una empresa son apoyados por los objetivos relativos a TI, los cuales a su
vez se apoyan en los procesos de TI.
• La cascada de metas ayuda a la alineación de las metas con los objetivos estratégicos, a la
definición de prioridades y a enfocarse en procesos importantes.
• Se debe adoptar y adaptar COBIT 5 al ambiente particular de cada empresa. Sólo de esa
manera cumplirá con su valor óptimo.
• La implementación se basa en las necesidades específicas de cada empresa y debe ser
dirigida por un caso de negocios.
23
3XQWRVLPSRUWDQWHV

5HVXPHORVSXQWRVDSUHQGLGRVHQHVWHPyGXOR\DVHJ~UDWHGHTXHWRGRVHQWLHQGDQORV
FRQFHSWRV
Mis notas
COBIT® 5
FUNDAMENTOS
Tarea II: La cascada de metas
Tarea 2
60 minutos. Incluye revisión y discusión
 0–5 minutos: Dividir a los estudiantes en cuatro grupos.

 5–15 minutos: Leer el caso de estudio y las preguntas de la tarea.
 15–35 minutos: Preparar respuestas haciendo uso de la hoja de respuestas.
 35–60 minutos: Discusión en grupo.
Método: Leer el caso de estudio, formular tus respuestas, discutir con los miembros de tu equipo y prepararte para
la discusión en grupo. El instructor moderará la discusión y le pedirá a un miembro de cada equipo que haga una
pequeña presentación describiendo los retos de TI que su grupo identificó.
Jason Late introdujo COBIT 5 en la reunión de la dirección, y para crear conciencia de las relaciones entre las
necesidades de los interesados, las metas de la empresa y las metas relacionadas con TI, presentó de manera
breve la cascada de metas de COBIT 5 (se detuvo en seco al detallar las metas de los habilitadores, ¡demasiado
detallado para una primera exposición a los no iniciados!). Los directores apoyaron su recomendación de designar
un consultor especialista con experiencia para que revisara sus problemas con Vidamelt, identificar la manera para
resolver la crisis e implementar de manera sistemática los principios y prácticas de gobierno de TI en Callwick.
Jason Late se acercó a David Kaybels, CGEIT, CISA, CISM, quien de manera subsecuente se reunió con el equipo
de gestión y describió la forma típica en que las organizaciones comienzan a usar COBIT. Explicó que es mejor
comenzar con la identificación de los problemas que están causando la mayor preocupación. Una vez que han sido
identificados, entonces es posible identificar cuáles habilitadores dentro de COBIT necesitan recibir atención para
superar de manera efectiva los retos destacados en el análisis inicial.
Kaybels primero tuvo que comprender los factores en el ambiente externo de Callwick que impulsaban a
los interesados, para poder así enfocarse adecuadamente en los tres objetivos de gobierno que crean valor:
realización de los beneficios, optimización de riesgos y optimización de recursos. Después, entrevistó a varios de
los interesados internos dentro de la organización de TI y el negocio para descubrir las preocupaciones mayores.
Identificó las siguientes:
1. Los directores no tenían una forma clara de saber si su inversión en el servicio de Video a Demanda
estaba entregando valor al negocio; sin embargo, sí estaban enterados de los niveles de falta de
satisfacción de los clientes.
2. A pesar de que el departamento de TI tenía todas las nuevas tecnologías a su disposición, no había
forma de saber qué tan efectivamente estaban siendo explotadas en la búsqueda de las oportunidades
estratégicas que Video a Demanda parecía prometer.
3. No había registro de riesgos de TI y no se podía saber si la operación de TI era suficientemente robusta
para garantizar los niveles de servicio que los nuevos clientes esperaban.
4. Los problemas con Vidalmelt fueron una sorpresa para muchos y aun así, aparentemente, no se había
aprendido de esta experiencia, especialmente en el área de supervisión y gestión de costos.
5. Parecía que algunos de los interesados tenían la idea de que los problemas habían sido causados por un
entrenamiento del personal inadecuado.
En su discusión con varios de los interesados, Kaybels también notó los siguientes problemas operacionales:
1. Video a Demanda fue puesto en línea en la fecha y el tiempo planificados, pero necesitó de presupuesto
adicional para cumplir con la fecha límite. Adicionalmente, la organización de TI reportó problemas de
implementación que derivaron en una pobre entrega del servicio a los clientes de Callwick.
Manual del alumno | COBIT 5: Tarea II
2. Callwick esperaba mucho de Vidamelt, una compañía relativamente pequeña quien, quizá debido a su
tamaño, no tenía bien definidos los roles internos varios y las responsabilidades necesarias para apoyar
esta iniciativa en particular. Adicionalmente, Callwick falló en establecer de manera clara las expectativas
de entrega de servicio en el contrato (por ejemplo: el número de usuarios que Vidalment requeriría dar
servicio, quién estaría involucrado, cómo y cuándo, y demás).
3. Muchos de los objetivos no habían sido definidos con claridad y la dirección no estaba obteniendo
retroalimentación constante que mostrara si la iniciativa estaba o no dentro del plan. Cuando Video a
Demanda salió a la luz, se recibieron quejas proporcionales al crecimiento de la base de usuarios. La
dirección sólo recibió actualizaciones del estado poco estructuradas y de muy alto nivel, sin indicadores
ni reportes detallados de desempeño. Así que cuando las cosas comenzaron a salir mal, fue una gran
sorpresa para la gerencia.
4. Se autorizó acceso a la organización de TI de Callwick a los sistemas de TI de Vidalmelt, esto para
cerciorarse de cómo Callwick podría migrar la aplicación a la infraestructura de TI de Callwick al final del
periodo de contrato de un año. Sin embargo, los empleados de Callwick no tuvieron acceso a la interfase
y de cualquier forma no existían guías de usuario, ni se proveyó documentación clara del sistema. Los
empleados de Callwick no estaban entrenados de manera adecuada en cómo estos sistemas operaban.
Pregunta1:
Ahora David necesita producir un reporte inicial para la dirección, basado en la información obtenida durante las
entrevistas, recalcando los problemas principales que necesitan ser tratados para recuperarse de la crisis actual y
prevenir una repetición de este escenario potencialmente dañino para la marca.
Planea identificar y discutir varias de las metas de la empresa que corresponden de manera más cercana a las
preocupaciones de los interesados. Está consciente que las 17 metas de la empresa, identificadas dentro de
COBIT, están distribuidas en las cuatro dimensiones del Cuadro de Mando Integral (BSC) y espera encontrar al
menos una meta dentro de cada una de las dimensiones de los BSC.
Debido a esto, David ha comenzado a escribir un memorándum corto al equipo de gestión a la gerencia para informar
sus descubrimientos, comenzando con una breve explicación de algunas necesidades típicas de los interesados
internos y externos. Después va a identificar las metas más importantes de la empresa que corresponden con las
preocupaciones de los interesados, de acuerdo a lo descubierto en las entrevistas.
Usando el apéndice C, debes completar el memorándum a través de la identificación de las metas clave de la
empresa que corresponden a las preocupaciones encontradas.
Memorándum
De: David Kaybels
Para: Gerentes
Fecha: Día de hoy
Queridos todos:
Como saben, recientemente he llevado a cabo entrevistas en su compañía y he recibido una valiosa retroalimentación.
Basado en la información que me fue revelada, y en vista de los problemas que están siendo experimentados con
el nuevo servicio de Video a Demanda y la relación con Vidalment, he encontrado que varios interesados internos
comparten las mismas preocupaciones. Estas preocupaciones señalan un número de metas de la empresa, que, si
se entienden y gestionan correctamente, brindarán confianza a estos interesados con respecto a la realización de
beneficios, optimización de riesgos y optimización de recursos. Estas metas de la empresa están distribuidas a lo
largo de las cuatro dimensiones de BSC. He identificado las siguientes metas como punto de inicio para encontrar
una solución apropiada a los problemas de gestión de TI.
1. Dimensión financiera:
▪ …
▪ …
2. Dimensión del cliente:
▪ …
▪ …
3. Dimensión del proceso interno:
▪ …
▪ …
4. Dimensión de aprendizaje y crecimiento:
▪ …
▪ …
Pregunta 2:
David tiene confianza de que COBIT pueda ser usado para enfrentar los problemas identificados durante las
entrevistas. Tomando en cuenta las cuatro metas de la empresa que identificó, seleccionó las cuatro metas
relacionadas con TI más importantes en la situación actual.
Debes revisar la cascada de metas y seleccionar la información y las metas relacionadas con tecnología que
apliquen y, cuando sea posible, destaca los procesos habilitadores primarios referidos en la documentación de
COBIT. Una vez más, trata de encontrar metas dentro de cada una de las cuatro dimensiones del BSC. Debes ser
capaz de discutir y justificar tus recomendaciones.
&2%,7
)XQGDPHQWRV
0óGXOR
&2%,7,QWURGXFFLyQD&2%,7±3URFHVRV
+DELOLWDGRUHV
9LVLyQJHQHUDOGHOPyGXOR
COBIT 5: Introducción a COBIT 5 — Procesos habilitadores
Temas cubiertos
• 6.1: COBIT 5 Habilitador: Procesos
• 6.2: COBIT 5 Dominios de los procesos
• 6.3: COBIT 5 Procesos


• Comprender la estructura del modelo del proceso de COBIT 5
• Comprender la estructura de las áreas clave del gobierno y de la gestión
• Identificar los componentes de los procesos de COBIT 5
Manual del alumno | COBIT 5: Introducción a COBIT 5 – Procesos habilitadores
&2%,7+DELOLWDGRUHV3URFHVRV
,QWHUHVDGRVGHOSURFHVR
Fundamentos 6.1 COBIT 5 Habilitador: procesos
Interesados Interesados del proceso

del proceso
Metas
Ciclo de vida
Buenas prácticas
Interesados externos
Interesados internos
Los procesos tienen interesados internos y externos, cada uno con su propio
rol; los interesados y sus niveles de responsabilidad están documentados en
Acvtividades de
COBIT 5
los cuadros de definición de responsabilidades por cargo (matrices RACI).
3XQWRVLPSRUWDQWHV
/RVSURFHVRVWLHQHQLQWHUHVDGRVLQWHUQRV\H[WHUQRV/RVLQWHUHVDGRVLQWHUQRV
LQFOX\HQDODMXQWDGLUHFWLYDODGLUHFFLyQHOSHUVRQDOORVYROXQWDULRVHWF/RV
LQWHUHVDGRVH[WHUQRVLQFOX\HQDORVFOLHQWHVVRFLRVGHQHJRFLRDFFLRQLVWDV
UHJXODGRUHVHWF
0HWDV
Interesados del
proceso
Metas
Metas del proceso
Ciclo de vida
Buenas prácticas Metas de

Metas Metas
accesibilidad
intrínsecas contextuales
y seguridad
Actividades de
COBIT 5
Las metas del proceso describen las salidas deseadas de un proceso. Una
salida puede ser un artefacto, un cambio de estado significativo o una mejora
significativa de la capacidad de otros procesos.
3XQWRVLPSRUWDQWHV
/DVPHWDVGHOSURFHVRVRQSDUWHGHODFDVFDGDGHPHWDV
/DVPHWDVGHORVSURFHVRVGDQVRSRUWHDODVPHWDVUHODFLRQDGDVFRQOD7,TXHDVX
YH]GDQVRSRUWHDODVPHWDVGHODHPSUHVD/DVPHWDVGHOSURFHVRSXHGHQVHU
FDWHJRUL]DGDVFRPR
x /DVPHWDVLQWUtQVHFDVKDEODQGHFDOLGDG¢(OSURFHVRHVSUHFLVR\VHHQFXHQWUD
DOLQHDGRFRQODVEXHQDVSUiFWLFDV"¢&XPSOHFRQODVUHJODVH[WHUQDVHLQWHUQDV"
x /DVPHWDVFRQWH[WXDOHVKDEODQGHFLUFXQVWDQFLDVHVSHFtILFDV¢(VWiHOSURFHVR
SDUWLFXODUL]DGR\DGDSWDGRDODVLWXDFLyQHVSHFtILFDGHODHPSUHVD"¢(VHO
SURFHVRUHOHYDQWHHQWHQGLEOH\IiFLOGHDSOLFDU"
x /DVPHWDVGHDFFHVLELOLGDG\VHJXULGDGKDEODQGHTXLpQSXHGHWHQHUDFFHVRDOD
LQIRUPDFLyQ\FyPR¢(OSURFHVRVHPDQWLHQHFRQILGHQFLDOFXDQGRHVQHFHVDULR"
¢(VDFFHVLEOHODLQIRUPDFLyQSDUDDTXHOORVTXHODQHFHVLWDQ"
(QFDGDXQRGHORVQLYHOHVGHODFDVFDGDGHPHWDV\SRUORWDQWRWDPELpQSDUDORV
SURFHVRVVHGHILQHQPpWULFDVTXHPLGHQHOJUDGRGHFRQVHFXFLyQGHORVPLVPRV/DV
PpWULFDVSXHGHQVHUGHILQLGDVFRPR³XQDHQWLGDGFXDQWLILFDEOH

TXHSHUPLWHPHGLUHOORJURGHODVPHWDVGHXQSURFHVR´/DVPpWULFDVGHEHQVHU
HVSHFtILFDVPHGLEOHVSUDFWLFDEOHVTXHSHUPLWDQWRPDUGHFLVLRQHVUHOHYDQWHV\
RSRUWXQDV60$57
3DUDJHVWLRQDUXQKDELOLWDGRUGHPDQHUDHIHFWLYD\HILFLHQWHVHQHFHVLWDQGHILQLUPpWULFDV
TXHPLGDQHOJUDGRHQHOTXHVHORJUDQORVUHVXOWDGRVHVSHUDGRV$GLFLRQDOPHQWHXQ
VHJXQGRDVSHFWRGHODJHVWLyQGHGHVHPSHxRGHOKDELOLWDGRUVHUHILHUHDOJUDGRHQHOTXH
VHDSOLFDQODVEXHQDVSUiFWLFDV$TXtWDPELpQSXHGHQGHILQLUVHPpWULFDVDVRFLDGDVSDUD
D\XGDUDPDQHMDUDOKDELOLWDGRU
&LFORGHYLGD
Interesados del
proceso
Cada proceso tiene un ciclo de vida con los siguientes pasos:
Metas
Retirado
Adaptado/
actualizado
Supervisado
Ciclo de vida
Operado
Creado
Buenas prácticas
Definido
Actividades de
COBIT 5
3XQWRVLPSRUWDQWHV
/DVSUiFWLFDVJHQHUDOHVGHSURFHVRVLHFRPRVHGHILQLyHQHOPRGHORGHHYDOXDFLyQGH
ORVSURFHVRVGH&2%,7EDVDGRHQ,62,(&SXHGHQD\XGDUHQODGHILQLFLyQ
GHVSOLHJXHVXSHUYLVLyQ\RSWLPL]DFLyQGHORVSURFHVRV
%XHQDVSUiFWLFDV

Interesados del
proceso
COBIT 5: Procesos Catalizadores contiene un modelo de referencia para los
procesos en el que se describen las mejores prácticas internas de los
procesos en niveles de detalle ascendentes:
Metas
Ciclo de vida
Prácticas
Buenas
prácticas
Actividades
Actividades de
COBIT 5
Actividades detalladas
3XQWRVLPSRUWDQWHV
/DVPHMRUHVSUiFWLFDVVRQ
x (QXQFLDGRVGHDFFLRQHVSDUDHQWUHJDUEHQHILFLRVRSWLPL]DUHOQLYHOGHULHVJRV\
RSWLPL]DUHOXVRGHORVUHFXUVRV
x (VWiQDOLQHDGDVFRQORVHVWiQGDUHV\ODVPHMRUHVSUiFWLFDVUHOHYDQWHVJHQHUDOPHQWH
DFHSWDGDV
x 6RQJHQpULFDV\SRUODWDQWRHVQHFHVDULRTXHVHDQDGDSWDGDVDFDGDHPSUHVD
x &XEUHQDORVTXHMXHJDQXQUROHQHOQHJRFLRRHQ7,GHSULQFLSLRDILQ


Interesados del El cuerpo de gestión y gobierno de la empresa necesita tomar decisiones

proceso
relativas a sus prácticas de gobierno y gestión.
Metas
Ciclo de vida
Buenas
prácticas
Actividades de
COBIT 5
3XQWRVLPSRUWDQWHV
(OFXHUSRGHJRELHUQR\JHVWLyQGHODHPSUHVDQHFHVLWDWRPDUGHFLVLRQHVUHODWLYDVDVXV
SUiFWLFDVGHJRELHUQR\JHVWLyQDWUDYpVGH
x /DVHOHFFLyQGHODVPHMRUHVSUiFWLFDVTXHSXHGDQVHUDSOLFDGDV\ODGHFLVLyQGHFXiOHV
GHHOODVVHUiQLPSOHPHQWDGDV
x /DDGLFLyQ\RDGDSWDFLyQGHODVSUiFWLFDVFXDQGRVHQHFHVLWH
x /DGHILQLFLyQ\DGLFLyQGHSUiFWLFDVQRUHODFLRQDGDVFRQOD7,SDUDODLQWHJUDFLyQHQORV
SURFHVRVGHQHJRFLR
x /DHOHFFLyQGHFyPRLPSOHPHQWDUODVSUiFWLFDVIUHFXHQFLDDOFDQFHDXWRPDWL]DFLyQ
HWF
x /DDFHSWDFLyQGHOULHVJRGHQRLPSOHPHQWDUODVSUiFWLFDVTXHSRGUtDQVHUDSOLFDEOHV
&2%,7$FWLYLGDGHV
Interesados del
proceso
Metas
Mejorando el desempeño de TI
¿Porqué? ¿Cómo?
¿Qué?
Implementando
Ciclo de vida
Buenas prácticas
Actividades de COBIT 5 Práctica de Gobierno o

de Gestión
Actividades
de COBIT 5
Las actividades de COBIT 5, proveen el cómo, porqué y qué implementar en
cada una de las prácticas de gobierno o gestión para mejorar el desempeño de
TI y/o enfrentar los riesgos en la entrega del servicio y las soluciones de TI
3XQWRVLPSRUWDQWHV
/DVSHUVRQDVTXHVHSXHGHQEHQHILFLDUGHHVWHPDWHULDOLQFOX\HQ
x (TXLSRGHGLUHFFLyQORVSURYHHGRUHVGHVHUYLFLRVORVXVXDULRVILQDOHV\ORV
SURIHVLRQDOHVGH7,TXHQHFHVLWDQSODQLILFDUFRQVWUXLUHMHFXWDURVXSHUYLVDUODV7,GH
XQDHPSUHVD
x 3URIHVLRQDOHVGHDVHJXUDPLHQWRDTXLHQHVVHOHVSXHGHVROLFLWDUVXRSLQLyQFRQ
UHVSHFWRDLPSOHPHQWDFLRQHVDFWXDOHVRPHMRUDVQHFHVDULDVSURSXHVWDV


Interesados del
proceso Las actividades de COBIT 5:
Describen un conjunto de pasos de implementación orientados

a la acción necesarios y suficientes para lograr las prácticas de
Metas
gobierno .y de gestión
Consideran las entradas y las salidas del proceso

Ciclo de vida
Se basan en estándares generalmente aceptados y en las

mejores prácticas
Buenas prácticas
Apoyan el establecimiento de roles y responsabilidades claros
Son no prescriptivas y necesitan ser adaptadas y desarrolladas

Actividades en procedimientos específicos y apropiados para la empresa
de COBIT 5
10
3XQWRVLPSRUWDQWHV
8QFRQMXQWRFRPSOHWRGHDFWLYLGDGHVJHQpULFDV\HVSHFtILFDVTXHSURYHHWRGRVORV
SDVRVQHFHVDULRV\VXILFLHQWHVSDUDUHDOL]DUODVSUiFWLFDVFODYHGHJRELHUQR\GHJHVWLyQ
3URYHHQOLQHDPLHQWRVGHDOWRQLYHODXQQLYHOSRUGHEDMRGHODVSUiFWLFDVGHJRELHUQR
*3SUiFWLFDVGHJHVWLyQ*0SDUDHYDOXDUHOGHVHPSHxRUHDO\SDUDFRQVLGHUDU
PHMRUDVSRWHQFLDOHV
Mis notas
$FWLYLGDGHVGHWDOODGDV

Actividades
detalladas
ITIL
Entradas y salidas
El modelo del
proceso de
TOGAF COBIT 5 PRINCE2
COBIT 5
ISO27000
Estas actividades pueden no estar a un nivel de detalle adecuado para la

implementación; puede ser necesaria una mayor orientación
11
3XQWRVLPSRUWDQWHV
/DVDFWLYLGDGHVGHWDOODGDVVRQ
x 2EWHQLGDVGHHVWiQGDUHVHVSHFtILFRV\EXHQDVSUiFWLFDVWDOHVFRPR,7,/ ,62,(&
VHULHV \ 35,1&(
x 'HVDUUROODGDVFRPRDFWLYLGDGHVPiVGHWDOODGDVRHVSHFtILFDVHQGHVDUUROORV
DGLFLRQDOHVGHQWURGHODIDPLOLDGHSURGXFWRVGH&2%,7
(QWUDGDV\VDOLGDV
Actividades
detalladas
Entradas y
salidas
El modelo del
proceso de
COBIT 5
Las entradas y salidas de COBIT 5 son los productos de trabajo del proceso
y/o artefactos, considerados necesarios para apoyar a la operación del
proceso.
12
3XQWRVLPSRUWDQWHV
/DVHQWUDGDV\VDOLGDVGH&2%,7SHUPLWHQDGRSWDUGHFLVLRQHVFODYHSURYHHQ
UHJLVWURV\HYLGHQFLDVGHDXGLWRUtDVREUHODVDFWLYLGDGHVGHOSURFHVR\SHUPLWHQHO
VHJXLPLHQWRHQHOFDVRGHXQLQFLGHQWH6RQGHILQLGDVDOQLYHOGHODVSUiFWLFDVGH
JHVWLyQJRELHUQRFODYHSXHGHQLQFOXLUDOJXQRVSURGXFWRVGHWUDEDMRXVDGRVVyOR
GHQWURGHOSURFHVR\VRQFRP~QPHQWHHQWUDGDVHVHQFLDOHVDRWURVSURFHVRV

Mis notas
(OPRGHORGHOSURFHVRGH&2%,7

Actividades
detalladas
COBIT 5 nos proporciona un modelo de procesos de gobierno y gestión para
TI.
Entradas y salidas Necesidades de

negocio
GOBIERNO
El modelo del EVALUAR

proceso de
COBIT 5
DIRIGIR Retroalimentación de SUPERVISAR

gestión
GESTIÓN
PLANIFICAR CONSTRUIR EJECUTAR SUPERVISAR

(APO) (BAI) (DSS) (MEA)
13
3XQWRVLPSRUWDQWHV
&2%,7HVQRSUHVFULSWLYDSHURVtDERJDSRUTXHODVHPSUHVDVLPSOHPHQWHQ
SURFHVRVGHJRELHUQR\JHVWLyQGHWDOIRUPDTXHODViUHDVPRVWUDGDVHQODILJXUD
HVWpQFXELHUWDV8QDHPSUHVDSXHGHRUJDQL]DUVXVSURFHVRVGHODPDQHUDTXHFUHD
DGHFXDGDVLHPSUH\FXDQGRHVWpQFXELHUWRVORVREMHWLYRVEiVLFRVGHJRELHUQR\
JHVWLyQ(VSRVLEOHTXHHPSUHVDVPiVSHTXHxDVWHQJDQPHQRVSURFHVRVODV
HPSUHVDVPiVJUDQGHV\FRPSOHMDVSXHGHQWHQHUPXFKRVSURFHVRVSHURFXEULUiQ
ORVPLVPRVREMHWLYRV
'RPLQLRVGHOSURFHVRGH&2%,7

Fundamentos 6.2 COBIT 5 Dominios del proceso
El modelo del proceso de COBIT 5 divide a los procesos de TI de la empresa en dos áreas
principales, gobierno y gestión, subdivididos en dominios del proceso.
Evaluar, orientar y supervisar
EDM01 Asegurar EDM02 Asegurar la EDM03 Asegurar la EDM04 Asegurar la EDM05 Asegurar
Establecimiento Entrega de Beneficios Optimización Optimización Transparencia hacia
y Mantenimiento del del Riesgo de los Recursos las Partes Interesadas
Marco de Gobierno

APO01 Gestionar APO02 Gestionar APO03 Gestionar APO04 Gestionar APO05 Gestionar APO06 Gestionar APO07 Gestionar
Evaluar
el Marco de la Estrategia la arquitectura la Innovación Portafolio el Presupuesto y los Recursos y Valorar
Gestión de TI empresarial los Costos Humanos
MEA01 Supervisar,
APO08 APO09 Gestionar APO10 Gestionar APO11 Gestionar APO12 Gestionar APO13 Gestionar evaluar y Valorar el
Gestionar las los Acuerdos de los Proveedores la Calidad el Riesgo la Seguridad Rendimiento y la
Relaciones Servicio Conformidad
Construir, Adquirir e Implementar

BAI01 Gestionar BAI02 Gestionar BAI03 Gestionar la BAI04 Gestionar BAI05 Gestionar BAI06 Gestionar BAI07 Gestionar
los Programas y la Definición de Identificación y la Disponibilidad y la Habilitación los Cambios la Aceptación del MEA02 Supervisar,
Proyectos Requisitos Construcción de la Capacidad del Cambios Cambio y Evaluar y Valorar el
Soluciones Organizativo Transición Sistema de Control
Interno
BAI08 Gestionar BAI09 Gestionar BAI010 Gestionar

el Conocimiento los Activos la Configuración
Entregar, dar Servicio y Soporte MEA03 Supervisar,

DSS01 Gestionar DSS02 Gestionar DSS03 Gestionar DSS04 Gestionar DSS05 Gestionar DSS06 Gestionar Conformidad con los
las Operaciones las Peticiones y los los Problemas la Continuidad los Servicios de los Controles de Requerimientos
Incidentes del Seguridad los Procesos de Externos
Servicio Negocio
14
3XQWRVLPSRUWDQWHV
/RVGRPLQLRVGHJRELHUQRFRQWLHQHQFLQFRSURFHVRVGHJRELHUQRHQFDGDSURFHVRVH
GHILQHQODVSUiFWLFDVGHHYDOXDUGLULJLU\VXSHUYLVDU
(OGRPLQLRGHJHVWLyQFRQWLHQHODVFXDWURiUHDVGHUHVSRQVDELOLGDGGHSODQLILFDUSODQ
FRQVWUXLUEXLOGHMHFXWDUUXQ\VXSHUYLVDUPRQLWRU3%50XQDHYROXFLyQGHORV
GRPLQLRVGH&2%,7SURYH\HQGRXQDFREHUWXUDGHSULQFLSLRDILQ&DGDGRPLQLR
FRQWLHQHXQQ~PHURGHSURFHVRFRPRHQ&2%,7\HQYHUVLRQHVDQWHULRUHV
$SHVDUGHTXHODPD\RUtDGHORVSURFHVRV±FRPRVHGHVFULELyDQWHULRUPHQWH±UHTXLHUHQ
DFWLYLGDGHVGHSODQLILFDFLyQLPSOHPHQWDFLyQHMHFXFLyQ\VXSHUYLVLyQFRPRSDUWHGHO
SURFHVR\FRPRSDUWHGHOSUREOHPDHVSHFtILFRDWUDWDULHFDOLGDGVHJXULGDGHVWiQ
FRORFDGRVHQGRPLQLRVDOLQHDGRVFRQORTXHJHQHUDOPHQWHHVHOiUHDGHDFWLYLGDGPiV
UHOHYDQWHHQPDWHULDVGH7,DQLYHOHPSUHVDULDO
&RPSRQHQWHVGHOSURFHVRGH&2%,7
Fundamentos 6.3 COBIT 5 Componentes del proceso
Relación con Las siguientes relaciones existen entre los procesos y otros
otros
habilitadores habilitadores:
• Los procesos necesitan información (como un tipo de entrada) y generan información
(como producto de trabajo).
Componentes del
proceso
• Los procesos necesitan estructuras organizacionales y roles para operar, tal y como se
muestra en los cuadros de definición de responsabilidades por cargo (RACI).
• Los procesos requieren, y también generan servicios como herramientas de supervisión y
flujos de trabajo.
• Los procesos son dependientes de otros procesos.
• Los procesos son dirigidos por políticas que contienen procedimientos que son
importantes para una aplicación constante.
• Los procesos dependen de la influencia cultural y del comportamiento cuando éstos son
ejecutados.
15
3XQWRVLPSRUWDQWHV
'LVFXWDPRVDFHUFDGHODVUHODFLRQHVTXHH[LVWHQHQWUHORVSURFHVRV\VXVKDELOLWDGRUHV

Relación con otros Identificación del

habilitadores proceso
Directrices Descripción del

Componentes relacionadas proceso
del proceso
Prácticas y
Declaración del
actividades del
propósito del proceso
proceso
Cuadro de definición
de responsabilidades Información de la
por cargo (RACI) cascada de metas
Metas del proceso y

métricas
16
3XQWRVLPSRUWDQWHV
(QHVWHWHPDVRQGLVFXWLGRVORVVLJXLHQWHVFRPSRQHQWHVGHOSURFHVR
x /DLGHQWLILFDFLyQGHOSURFHVR
x /DGHVFULSFLyQGHOSURFHVR
x /DGHFODUDFLyQGHOSURSyVLWRGHOSURFHVR
x /DLQIRUPDFLyQGHODFDVFDGDGHPHWDV
x /DVPHWDV\PpWULFDVGHOSURFHVR Mis notas
x (OFXDGURGHGHILQLFLyQGHUHVSRQVDELOLGDGHVSRU
FDUJR0DWUL]5$&,
x /DVSUiFWLFDV\DFWLYLGDGHVGHOSURFHVR
x /DRULHQWDFLyQUHODFLRQDGD
&RPSRQHQWHVGHOSURFHVR
Relación con otros

habilitadores
Identificación del proceso
La siguiente información se especifica en la primera página de la descripción
de cada proceso:
Componentes
del proceso
Etiqueta del proceso

Nombre del proceso
Área del proceso
Nombre del dominio
17
3XQWRVLPSRUWDQWHV
(QODSULPHUDSiJLQDGHODGHVFULSFLyQGHFDGDSURFHVRVHLGHQWLILFDODVLJXLHQWH
LQIRUPDFLyQ
x (WLTXHWDGHOSURFHVR&RQVLVWHGHOSUHILMRGHOGRPLQLR('0$32%$,'66
0($\HOQ~PHURGHOSURFHVR
x 1RPEUHGHOSURFHVR8QDGHVFULSFLyQFRUWDLQGLFDQGRHOWHPDSULQFLSDOGHO
SURFHVR
x ÈUHDGHOSURFHVR*RELHUQRRJHVWLyQ
x 1RPEUHGHOGRPLQLRHMHPSORVGHQRPEUHVGHGRPLQLRVRQ$32%$,'66
0($

Relación con otros

habilitadores
Descripción del proceso
Es un párrafo corto que provee una visión a alto
nivel acerca del proceso y cómo realiza su
Componentes
propósito.
del proceso
Enunciado del propósito del proceso

Un párrafo corto que describe el propósito
general del proceso.
18
3XQWRVLPSRUWDQWHV
'HVFULSFLyQGHOSURFHVR8QSiUUDIRFRUWRTXHSURYHHXQDYLVLyQDDOWRQLYHODFHUFDGHO
SURFHVR\FyPROOHYDDFDERVXSURSyVLWR
(QXQFLDGRGHOSURSyVLWRGHOSURFHVR8QSiUUDIRFRUWRTXHGHVFULEHHOSURSyVLWR
JHQHUDOGHOSURFHVR
Mis notas


Relación con otros
habilitadores
I
Información de la cascada de metas
L
La información de la cascada de metas provee las
Componentes m
metas y métricas relacionadas con TI para cada
del proceso p
proceso.
Metras y métricas del proceso Metas

Se proporciona un ejemplo de las metas y las del
métricas del proceso para cada proceso. proceso
19
3XQWRVLPSRUWDQWHV
,QIRUPDFLyQGHODFDVFDGDGHPHWDV
/DLQIRUPDFLyQGHODFDVFDGDGHPHWDVKDFHUHIHUHQFLD\GHVFULEHODVPHWDVUHODFLRQDGDV
FRQ7,TXHVRQDSR\DGDVHQIRUPDSULPDULDSRUHOSURFHVR\SURYHHPpWULFDVSDUDPHGLU
VXORJUR
0HWDV\PpWULFDVGHOSURFHVR
3DUDFDGDSURFHVRVHLQFOX\HXQFRQMXQWRGHPHWDVGHOSURFHVR\SDUDFDGDPHWDGHO
SURFHVRVHHQOLVWDXQQ~PHUROLPLWDGRGHPpWULFDVFRPRHMHPSOR

Relación con otros

habilitadores
Cuadro de definición de responsabilidades por cargo (RACI)
R(esponsable de hacer)—¿Quién está haciendo la tarea?
Componentes
del proceso
A(Responsable de que se haga)—¿Quién rinde cuentas sobre el éxito de
la tarea? [ del inglés accountable)
C(onsultado)—¿Quién proporciona entradas?
I(nformado)—¿Quién recibe la información?
Los cuadros de definición de responsabilidades por cargo

(Ma
(Matriz RACI) asignan los niveles de responsabilidad para
prá
prácticas del proceso a diferentes roles y estructuras.
20
3XQWRVLPSRUWDQWHV
/RVGLIHUHQWHVQLYHOHVGHSDUWLFLSDFLyQVRQ
x 5HVSRQVDEOHGHKDFHU²¢4XLpQHVWiKDFLHQGRODWDUHD"
5ROHVFRQODSULQFLSDOUHVSRQVDELOLGDGRSHUDWLYDSDUDFRPSOHWDUODDFWLYLGDG\SURGXFLU
HOUHVXOWDGRHVSHUDGR
x $5HVSRQVDEOHGHTXHVHKDJD²¢4XLpQHVUHVSRQVDEOHGHOp[LWRGHODWDUHD">GHO
LQJOpVDFFRXQWDEOH@
5ROFRQODSULQFLSDOUHVSRQVDELOLGDGGHFRQVHFXFLyQGHODWDUHDDKtVHWHUPLQDOD
UHVSRQVDELOLGDG(VLPSRUWDQWHQRWDUTXHHOUROPHQFLRQDGRHVHOQLYHOPiVEDMR
DSURSLDGRSDUDUHQGLUFXHQWDVFODURTXHWDPELpQKD\QLYHOHVPiVDOWRVGHUHQGLFLyQGH
FXHQWDV3DUDKDELOLWDUHOHPSRGHUDPLHQWRGHQWURGHODRUJDQL]DFLyQOD
UHVSRQVDELOLGDGGHUHQGLUFXHQWDVVHGHVJORVDDOQLYHOGHGHWDOOHPiVEDMRSRVLEOH/D
UHQGLFLyQGHFXHQWDVQRLQGLFDQHFHVDULDPHQWHTXHHOUROQRWHQJDDFWLYLGDGHV
RSHUDFLRQDOHVHVPX\SUREDEOHTXHHOUROHVWpLQYROXFUDGRHQODWDUHD&RPRSULQFLSLR
ODUHQGLFLyQGHFXHQWDVQRSXHGHVHUFRPSDUWLGD\VLHPSUHVHHQFXHQWUDDWRPL]DGD
x &RQVXOWDGR²¢4XLpQSURSRUFLRQDHQWUDGDV"
5ROHVFODYHTXHSURYHHQODHQWUDGD(VLPSRUWDQWHQRWDUTXHFRUUHVSRQGHDORVUROHV
GHUHVSRQVDEOHV\GHUHQGLUFXHQWDVREWHQHULQIRUPDFLyQGHRWUDVXQLGDGHVRVRFLRV
H[WHUQRVVLHVQHFHVDULR6LQHPEDUJRODVHQWUDGDVGHORVUROHVHQOLVWDGRVGHEHQVHU
FRQVLGHUDGDV\GHVHUQHFHVDULRHVFDODGDVSDUDLQFOXLULQIRUPDFLyQGHOGXHxRGHO
SURFHVR\RGHOFRPLWpGHGLUHFFLyQ

x ,QIRUPDGR²¢4XLpQUHFLEHODLQIRUPDFLyQ"
5ROHVTXHGHEHQVHULQIRUPDGRVGHORVORJURV\RHQWUHJDEOHVGHODVWDUHDV(OURO
UHVSRQVDEOHGHTXHVHKDJDGHEHVLHPSUHUHFLELULQIRUPDFLyQDSURSLDGDSDUD
UHYLVDUODWDUHDGHODPLVPDPDQHUDTXHORVUROHVUHVSRQVDEOHVGHKDFHU

Relación con otros

habilitadores
Prácticas y actividades
Las prácticas y actividades incluyen el título, la
descripción, entradas y salidas, y las actividades
Componentes
de la práctica de cada proceso.
del proceso
Orientación relacionada
Las directrices relacionadas contienen referencias
a otros estándares y referencias con información
adicional.
21
3XQWRVLPSRUWDQWHV
3UiFWLFDV\DFWLYLGDGHV
8QDGHVFULSFLyQGHWDOODGDGHODVSUiFWLFDVGHOSURFHVRLQFOX\H
x (OWtWXORGHODSUiFWLFD\VXGHVFULSFLyQ
x /DVHQWUDGDV\VDOLGDVGHODSUiFWLFDRULJHQ\GHVWLQR
x $FWLYLGDGHVGHODSUiFWLFDDPD\RUGHWDOOH
2ULHQWDFLyQUHODFLRQDGD
/DRULHQWDFLyQUHODFLRQDGDFRQWLHQHUHIHUHQFLDVDRWURVHVWiQGDUHV\UHIHUHQFLDVGHHQ
GyQGHKD\PiVRULHQWDFLyQGLVSRQLEOH
5HVXPHQGHOPyGXOR
Fundamentos 6.4 Resumen del módulo
• Un proceso de COBIT 5 es una colección de actividades que toma uno o más tipos de
entradas y crea una salida que es de valor para la empresa
• Los procesos tienen interesados internos y externos; y cada uno tiene sus roles. Los
interesados y sus niveles de responsabilidad están documentados en los cuadros de
definición de responsabilidades por cargo (RACI)
• Las metas del proceso son enunciados que describen la salida deseada de un proceso,
Existen tres categorías de metas del proceso: intrínsecas, contextuales y de
accesibilidad y seguridad
• Cada proceso tienen un ciclo de vida. Es definido, creado, operado, supervisado y
adaptado/actualizado o retirado
• Los procesos habilitadores de COBIT 5 proveen la información de las mejores prácticas,
las cuales son descritas en niveles descendentes, incluyendo prácticas, actividades y
actividades detalladas
• Las entradas y salidas de COBIT 5 son los artefactos/productos del trabajo del proceso
considerados necesarios para apoyar la operación del proceso
• COBIT nos provee un modelo de procesos de gobierno y gestión llamado el modelo de
procesos para TI de COBIT 5
• Se discuten 8 componentes del proceso:
o Identificación del proceso
o Descripción del proceso
o Declaración del propósito del proceso
o Información de la cascada de metas
o Metas y métricas del proceso
o Cuadro de definición de responsabilidades por cargo (Matriz RACI)
o Las prácticas y actividades del proceso
o Orientación relacionada
22

3XQWRVLPSRUWDQWHV
5HVXPLUORVSXQWRVGHDSUHQGL]DMHGHHVWHPyGXORSDUDDVHJXUDUTXHWRGRVFRPSUHQGHQ
ORVFRQFHSWRV

Mis notas
COBIT® 5
FUNDAMENTOS
Tarea III:
Las Preocupaciones de los Interesados y los Principios de
Gobierno de TI
Tarea 3
60 minutos. Se incluye la revisión y la discusión.
 0–5 minutos: Dividir a los estudiantes en grupos (de 3 a 4 personas por grupo).
 25–45 minutos: Preparar las respuestas a través del llenado de la hoja de respuestas.
 45–60 minutos: Discusión de grupo, moderada por el instructor.
Método: Leer acerca del proyecto Video a Demanda, formular tus respuestas, discutir con los miembros de tu
equipo y prepararse para la discusión en clase. El instructor moderará la discusión y le pedirá a un miembro de
cada equipo que haga una breve presentación describiendo las preocupaciones de los interesados y los principios
de gobierno de TI que el grupo identificó.
Video a Demanda
Callwick decidió lanzar un servicio de Video a Demanda, y como apoyo a este servicio, proveer a los clientes
con decodificadores funcionando con software propietario. Sin embargo, Callwick no tenía la experiencia técnica
requerida. Para lanzar el servicio al mercado sin retrasos, Callwick decidió subcontratar el desarrollo de la interfase
del usuario y del motor interno a la compañía Vidamelt, quien también hospedaría el servicio. Callwick asignó
recursos dedicados para iniciar el proyecto y determinó mantener la gestión del proyecto dentro de la empresa.
Vidalment fue seleccionada por la oficina del CIO debido a sus capacidades altamente especializadas, gráficas
de alta calidad, interfaces amigables para el usuario, experiencia probada en la oferta de servicios de Video a
Demanda y al final, pero no en último, precios competitivos.
Requerimientos de desarrollo:
Dado que Callwick quería lanzar su reproductor de video lo más pronto posible, decidió enfocarse en tener las
características básicas de Video a Demanda funcionando primero. Las características adicionales (por ejemplo,
diferentes interfaces dependiendo del grupo de edad, juegos a demanda, ajustes de canal personalizables,
aplicaciones, etc.) vendrían después.
Los requerimientos de Video a Demanda eran los siguientes:
 Video de alta calidad

 Facturación automatizada
 Posibilidades separadas de facturación con tarjeta de crédito
 Interfase con Video Llamada de Callwick
 Interfase con bases de datos de películas de terceros
Requerimientos de operaciones
Dado que Callwick no contaba con los recursos necesarios para soportar completamente Video a Demanda, decidió
que Vidalmelt se haría cargo de los siguientes aspectos operacionales por el primer año:
 Alojar el servicio de Video a Demanda

 Servicio de soporte al cliente de primer y segunda línea, 24 horas al día, 365 días al año
 La facturación de Video a Demanda, disponible desde la interfase del usuario
Manual del alumno | COBIT 5: Tarea III
Estado del proyecto Video a Demanda:

Debido a los cambios introducidos a las especificaciones de los requerimientos durante el curso del proyecto,
éste se entregó por arriba del presupuesto pero a tiempo. Callwick no definió ni comunicó adecuadamente los
requerimientos del proyecto, mientras que Vidalment falló en la organización formal y regular de reuniones de
revisión del proyecto. En su lugar, tendían a trabajar de manera aislada, concentrándose en el diseño técnico y,
debido a la falta de interacción con el cliente, hicieron supuestos basados en su propia experiencia. Una vez que
el servicio fue lanzado, la presencia de esta nueva oferta creció rápidamente en el mercado gracias a comentarios
positivos en el New York Times, Technology News, CNET, Wired y otras. Sin embargo, después de aproximadamente
seis meses, entre más suscriptores se daban de alta, comenzaron a salir a flote algunas dificultades.
 El centro de servicio al cliente de Vidalmente no fue capaz de proveer el nivel adecuado de soporte a
los clientes de Callwick. Por ejemplo, algunas de las llamadas de los clientes a la mesa de soporte eran
sobre preguntas generales relacionadas con otros servicios de Callwick, lo cual se encontraba fuera del
alcance del contrato con Vidamelt (y por lo tanto no podía ser resuelto por Vidalment). Otros clientes
llamaron a la mesa de soporte por problemas con pagos hechos con tarjeta de crédito y no pudieron
ser atendidos, ya que Vidalmente necesitaba acceso a información del cliente específica y ésta se
encontraba dentro de los sistemas de Callwick, y no había integración de sistemas provista entre las dos
compañías. Como resultado, tomó mucho tiempo manejar las preguntas y quejas, lo cual llevó a falta de
satisfacción del cliente.
 Una de las características agregadas al alcance del proyecto durante su ejecución, la guía de TV en
línea, representó un problema desde el principio. No hubo una comunicación adecuada con respecto
a esta característica entre los líderes de proyecto en las diferentes localizaciones. Esto resultó en que
parte de la información de los programas sólo estuviera disponible en un uso horario. Adicionalmente, los
programas y las agendas no se actualizaban de manera sistemática en todas las regiones.
 El creciente número de suscriptores resultó en un rápido incremento de demanda en el sistema, lo cual
afectó de manera negativa los tiempos de respuesta. Las quejas aumentaron debido al servicio pobre.
 Callwick intentó integrar aspectos del servicio de Video a Demanda con ciertos servicios internos
existentes. Sin embargo, dado que Vidamelt había diseñado y construido el reproductor de video usando
tecnologías propietarias, la transferencia de esta tecnología resultó ser técnicamente compleja, muy larga
y costosa.
 Los trabajos de mantenimiento, sorprendentemente agendados en la noche, se sumaron a los problemas
de desempeño para los clientes que querían ver películas en la noche.
 El equipo de mercadeo de Callwick necesitaba obtener una percepción de las preferencias y
comportamientos de sus clientes para crear ofertas personalizadas, pero no fueron capaces de obtener
esta información crítica debido a que Vidamelt no pudo capturar y entregar la información requerida.
Pregunta 1:
Claramente Callwick está enfrentando un par de retos con su servicio Video a Demanda, que está siendo manejado
por Vidalment. No es probable que haya alguna mejora en el servicio sin alguna clase de intervención. Debido a
que los requerimientos del proyecto fueron realizados de manera precipitada, hubo ciertas omisiones, incluyendo
detalles como la base de usuarios esperada, la capacidad del sistema, la integración con los sistemas de Callwick
y las provisiones para obtener la información de mercadotecnia. Mike Emmerson (CIO) y Dan Toben (CTO) están
trabajando duro para resolver estos problemas y confían que serán capaces de resolverlos en tanto continúan
trabajando con Vidalment.
Jason Late (CEO) se está preparando para una reunión con la junta directiva en la que se discutirán los varios
problemas con Video a Demanda y Vidamelt. Él cree que los problemas raíz no son tanto acerca de los roles y el
desempeño de Vidamelt, sino acerca de la necesidad organizacional de hacer uso de un marco general de gobierno
de TI para controlar de manera apropiada las iniciativas de TI y asegurar que se entregue valor al negocio. Está
consciente que este marco dará una guía específica con respecto a la identificación de los varios interesados del
gobierno de TI y explicará en detalle por qué es necesario el gobierno de TI en la empresa, qué interesados están
involucrados, a qué niveles y qué se necesita para obtener un Gobierno de TI de la empresa (GEIT) efectivo.
Jason busca en ti un consejo externo y en particular, requiere que identifiques a los varios interesados internos
y externos del gobierno de TI para Callwick y le proveas una lista de las preocupaciones que cada una de las
categorías de interesados podría tener.
Interesados Preocupaciones
Junta directiva y
Dirección general
La dirección de
negocios ejecutiva,
la dirección de TI y
los propietarios de
procesos
Dirección de
negocios
Vidamelt
Reguladores
Clientes
Riesgo,
cumplimiento y
expertos en leyes
Manual del alumno | COBIT 5: Tarea III
Auditoría interna
Pregunta 2:
Jason Late se encontraba leyendo acerca de los cinco principios clave de COBIT, es decir cumplir con las
necesidades de los interesados, cubrir la empresa de punta a punta, implementar un marco de trabajo único
integrado, habilitar un acercamiento holístico y separar el gobierno de la gestión.
Escribe un pequeño reporte a Jason con respecto a los problemas que necesitan ser atendidos, correspondiendo
a cada uno de los cinco principios clave. Puedes aprovechar las experiencias del proyecto Video a Demanda para
recalcar tus recomendaciones.
Principio clave Cómo se aplica a Callwick

Cumplir con las
necesidades de
los interesados
Cubrir la empresa
de punta a punta
Implementar un
marco de trabajo
único integrado
Habilitar un
acercamiento
holístico
Separar el
gobierno de la
gestión
&2%,7
)XQGDPHQWRV

0yGXOR&2%,7/RVSURFHVRVGH&2%,7
COBIT 5: Los procesos de COBIT 5
Temas cubiertos
• 7.1: El dominio de gobierno
• 7.2: Los dominios de gestión


• Comprender el alcance del dominio de gobierno
• Comprender el alcance de los dominios de gestión
Manual del alumno | COBIT 5: Los procesos de COBIT 5
(OGRPLQLRGHJRELHUQR
Fundamentos 7.1 El dominio de gobierno
El dominio de gobierno está alineado con los aspectos Evaluar, Dirigir

y Supervisar de la ISO/IEC 38500:2008.
Necesidades de
negocio
GOBIERNO
EVALUAR
DIRIGIR Retroalimentación de SUPERVISAR

gestión
GESTIÓN

3XQWRVLPSRUWDQWHV
(OGRPLQLRGHJRELHUQRHVWiDOLQHDGRFRQORVDVSHFWRVHYDOXDUGLULJLU\VXSHUYLVDUGHO
(VWiQGDUSDUD*RELHUQRGH7,&RUSRUDWLYRDVtFRPRRULHQWDGRSRU&262\.,1*,,,
Mis notas
(OGRPLQLRGHJRELHUQR±/RVSURFHVRV('0

Fundamentos 7.1 El dominio de gobierno

El dominio de
Procesos EDM
gobierno –
Procesos EDM
• EDM01 – Asegurar Establecimiento y Mantenimiento
del Marco de Gobierno
• EDM02 – Asegurar Entrega de Beneficios
• EDM03 – Asegurar Optimización del Riesgo

• EDM04 – Asegurar la Optimización de los Recursos
• EDM05 – Asegurar Transparencia hacia las partes
Interesadas

5

3XQWRVLPSRUWDQWHV
/RVSURFHVRVPHQFLRQDGRVDEDMRWLHQHQODVSUiFWLFDV\DFWLYLGDGHVGHJHVWLyQ
(YDOXDU'LULJLU\6XSHUYLVDU
x ('0$QDOL]DU\DUWLFXODUORVUHTXHULPLHQWRVSDUDHOJRELHUQRGH7,GHOD
HPSUHVDSRQHUHQPDUFKD\PDQWHQHUHIHFWLYDVODVHVWUXFWXUDVSUiFWLFDV\
SURFHVRVKDELOLWDGRUHVFRQFODULGDGHQODVUHVSRQVDELOLGDGHV\ODDXWRULGDG
SDUDDOFDQ]DUODPLVLyQODVPHWDV\REMHWLYRVGHODHPSUHVD
x ('0 2SWLPL]DUODFRQWULEXFLyQDOYDORUGHOQHJRFLRGHVGHORVSURFHVRVGH
QHJRFLRGHORVVHUYLFLRV7,\DFWLYRVGH7,UHVXOWDGRGHODLQYHUVLyQKHFKDSRU
7,DFRVWRVDFHSWDEOHV
x ('0$VHJXUDUTXHHODSHWLWR\ODWROHUDQFLDDOULHVJRGHODHPSUHVDVRQ
HQWHQGLGRVDUWLFXODGRV\FRPXQLFDGRV\TXHHOULHVJRSDUDHOYDORUGHOD
HPSUHVDUHODFLRQDGRFRQHOXVRGHODV7,HVLGHQWLILFDGR\JHVWLRQDGR
x ('0$VHJXUDUTXHODVFDSDFLGDGHVUHODFLRQDGDVFRQODV7,DGHFXDGDV\
VXILFLHQWHVSHUVRQDVSURFHVRV\WHFQRORJtDVHVWiQGLVSRQLEOHVSDUDDSR\DU
GHPDQHUDHILFD]ORVREMHWLYRVGHODHPSUHVDDXQFRVWRDGHFXDGR
x ('0$VHJXUDUTXHODPHGLFLyQ\HOUHSRUWHGHOGHVHPSHxR\FRQIRUPLGDG
GHOD7,GHODHPSUHVDVRQWUDQVSDUHQWHVFRQLQWHUHVDGRVTXHDSUXHEDQODV
PpWULFDV\PHWDV\ODVDFFLRQHVFRUUHFWLYDVQHFHVDULDV

(OGRPLQLRGHJHVWLyQ

Fundamentos 7.2 El dominio de gestión
El dominio de gestión está basado en el ciclo planificar, construir,

ejecutar, supervisar.
Necesidades del
negocio
GOBIERNO
EVALUAR
DIRIGIR Retroalimentación SUPERVISAR

de la gestión
GESTIÓN

3XQWRVLPSRUWDQWHV
(OGRPLQLRGHJHVWLyQHVWiEDVDGRHQHOFLFOR3ODQLILFDU&RQVWUXLU(MHFXWDU
6XSHUYLVDUGHPDQHUDVLPLODUDODVYHUVLRQHVDQWHULRUHVGH&2%,7
Mis notas
(OGRPLQLRGHJHVWLyQ±$OLQHDUSODQLILFDU\RUJDQL]DU$32
El dominio de Alinear, planificar y organizar (APO)

gestión – Alinear,
planificar y
organizar (APO)
• APO01 – Gestionar Marco de Gestión de TI
El dominio de • APO02 – Gestionar Estrategia
gestión – • APO03 – Gestionar Arquitectura Empresarial
Construir, adquirir
e implementar • APO04 – Gestionar Innovación
(BAI) • APO05 – Gestionar Portafolio
• APO06 – Gestionar el Presupuesto y los Costos
El dominio de • APO07 – Gestionar los Recursos Humanos
gestión – Entregar, • APO08 – Gestionar las Relaciones
dar servicio y
soporte (DSS)
• APO09 – Gestionar los Acuerdos de Servicio
• APO10 – Gestionar los Proveedores
• APO11 – Gestionar la Calidad
El dominio de • APO12 – Gestionar el Riesgo
gestión – • APO13 – Gestionar la Seguridad
Supervisar,
evaluar y valorar
(MEA)
Procesos para el
gobierno de TI
empresarial

3XQWRVLPSRUWDQWHV
'HVFULSFLyQGHOSURFHVR
x $32$FODUDU\PDQWHQHUHOJRELHUQRGHODPLVLyQ\ODYLVLyQFRUSRUDWLYDGH7,
,PSOHPHQWDU\PDQWHQHUPHFDQLVPRV\DXWRULGDGHVSDUDODJHVWLyQGHODLQIRUPDFLyQ
\HOXVRGH7,HQODHPSUHVDSDUDDSR\DUORVREMHWLYRVGHJRELHUQRDOLQHDGRVFRQODV
SROtWLFDV\ORVSULQFLSLRVJXtD
x $323URSRUFLRQDUXQDYLVLyQKROtVWLFDGHOQHJRFLRDFWXDO\GHOHQWRUQRGH7,OD
GLUHFFLyQIXWXUD\ODVLQLFLDWLYDVQHFHVDULDVSDUDPLJUDUDOHQWRUQRGHVHDGR
$SURYHFKDUORVEORTXHV\FRPSRQHQWHVGHODHVWUXFWXUDHPSUHVDULDOLQFOX\HQGRORV
VHUYLFLRVSURYLVWRVSRUH[WHUQRV\ODVFDSDFLGDGHVUHODFLRQDGDVTXHSHUPLWDQXQD
UHVSXHVWDiJLOFRQILDEOH\HILFLHQWHDORVREMHWLYRVHVWUDWpJLFRV
x $32(VWDEOHFHUGHPDQHUDHILFD]\HILFLHQWHXQDDUTXLWHFWXUDFRP~QFRPSXHVWD
SRUORVSURFHVRVGHQHJRFLRODLQIRUPDFLyQORVGDWRVODVDSOLFDFLRQHV\ODVFDSDVGH
ODDUTXLWHFWXUDWHFQROyJLFDSDUDODUHDOL]DFLyQGHODVHVWUDWHJLDVGHODHPSUHVD\GH7,
PHGLDQWHODFUHDFLyQGHPRGHORVFODYH\SUiFWLFDVTXHGHVFULEDQODVOtQHDVGHSDUWLGD
\ODVDUTXLWHFWXUDVREMHWLYR'HILQLUORVUHTXLVLWRVSDUDODWD[RQRPtDODVQRUPDVODV
GLUHFWULFHVORVSURFHGLPLHQWRVODVSODQWLOODV\ODVKHUUDPLHQWDV\SURSRUFLRQDUXQ
YtQFXORSDUDHVWRVFRPSRQHQWHV0HMRUDUODDGHFXDFLyQDXPHQWDUODDJLOLGDGPHMRUDU
ODFDOLGDGGHODLQIRUPDFLyQ\JHQHUDUDKRUURVGHFRVWRVSRWHQFLDOHVPHGLDQWH
LQLFLDWLYDVWDOHVFRPRODUHXWLOL]DFLyQGHEORTXHVGHFRPSRQHQWHVSDUDORVSURFHVRV
GHFRQVWUXFFLyQ
x $320DQWHQHUXQFRQRFLPLHQWRGHODWHFQRORJtDGHODLQIRUPDFLyQ\ODV
WHQGHQFLDVUHODFLRQDGDVFRQHOVHUYLFLR,GHQWLILFDUODVRSRUWXQLGDGHVGHLQQRYDFLyQ\
SODQLILFDUODPDQHUDGHEHQHILFLDUVHGHODLQQRYDFLyQHQUHODFLyQFRQODVQHFHVLGDGHV
GHOQHJRFLR$QDOL]DUFXiOHVVRQODVRSRUWXQLGDGHVSDUDODLQQRYDFLyQHPSUHVDULDOR
TXpPHMRUDSXHGHFUHDUVHFRQODVQXHYDVWHFQRORJtDVVHUYLFLRVRLQQRYDFLRQHV
HPSUHVDULDOHVIDFLOLWDGDVSRU7,DVtFRPRDWUDYpVGHODVWHFQRORJtDV\DH[LVWHQWHV\
SRUODLQQRYDFLyQHQSURFHVRVHPSUHVDULDOHV\GH7,,QIOXLUHQODSODQLILFDFLyQ
HVWUDWpJLFD\HQODVGHFLVLRQHVGHODDUTXLWHFWXUDGHHPSUHVD
x $32 (MHFXWDUHOFRQMXQWRGHGLUHFFLRQHVHVWUDWpJLFDVSDUDODLQYHUVLyQDOLQHDGD
FRQODYLVLyQGHODDUTXLWHFWXUDHPSUHVDULDOODVFDUDFWHUtVWLFDVGHVHDGDVGHLQYHUVLyQ
ORVSRUWDIROLRVGHVHUYLFLRVUHODFLRQDGRVFRQVLGHUDUODVGLIHUHQWHVFDWHJRUtDVGH
LQYHUVLyQ\UHFXUVRV\ODVUHVWULFFLRQHVGHILQDQFLDFLyQ(YDOXDUSULRUL]DU\HTXLOLEUDU
SURJUDPDV\VHUYLFLRVJHVWLRQDUODGHPDQGDFRQORVUHFXUVRV\UHVWULFFLRQHVGH
IRQGRVEDVDGRVHQVXDOLQHDPLHQWRFRQORVREMHWLYRVHVWUDWpJLFRVDVtFRPRHQVX
YDORU\ULHVJRFRUSRUDWLYR0RYHUORVSURJUDPDVVHOHFFLRQDGRVDOSRUWDIROLRGH
VHUYLFLRVDFWLYRVOLVWRVSDUDVHUHMHFXWDGRV6XSHUYLVDUHOUHQGLPLHQWRJOREDOGHO
SRUWDIROLRGHVHUYLFLRV\SURJUDPDVSURSRQLHQGRDMXVWHVVLIXHVHQQHFHVDULRVHQ
UHVSXHVWDDOUHQGLPLHQWRGHSURJUDPDV\VHUYLFLRVRDOFDPELRHQODVSULRULGDGHV
FRUSRUDWLYDV
x $32*HVWLRQDUODVDFWLYLGDGHVILQDQFLHUDVUHODFLRQDGDVFRQODV7,WDQWRHQHO
QHJRFLRFRPRHQODVIXQFLRQHVGH7,DEDUFDQGRSUHVXSXHVWRFRVWRV\JHVWLyQGHO
EHQHILFLRSULRUL]DFLyQGHOJDVWRPHGLDQWHHOXVRGHSUiFWLFDVSUHVXSXHVWDULDV
IRUPDOHV\XQVLVWHPDMXVWR\HTXLWDWLYRGHUHSDUWRGHFRVWRVDODHPSUHVD
&RQVXOWDUDODVSDUWHVLQWHUHVDGDVSDUDLGHQWLILFDU\FRQWURODUORVFRVWRVWRWDOHV\
ORVEHQHILFLRVHQHOFRQWH[WRGHORVSODQHVHVWUDWpJLFRV\WiFWLFRVGH7,HLQLFLDU
DFFLRQHVFRUUHFWLYDVFXDQGRVHDQHFHVDULR
x $323URSRUFLRQDUXQHQIRTXHHVWUXFWXUDGRSDUDJDUDQWL]DUXQDySWLPD
HVWUXFWXUDFLyQXELFDFLyQFDSDFLGDGHVGHGHFLVLyQ\KDELOLGDGHVGHORVUHFXUVRV
KXPDQRV(VWRLQFOX\HODFRPXQLFDFLyQGHODVIXQFLRQHV\UHVSRQVDELOLGDGHV
GHILQLGDVODIRUPDFLyQ\SODQHVGHGHVDUUROORSHUVRQDO\ODVH[SHFWDWLYDVGH
GHVHPSHxRFRQHODSR\RGHJHQWHFRPSHWHQWH\PRWLYDGD
x $32 *HVWLRQDUODVUHODFLRQHVHQWUHHOQHJRFLR\7,GHPRGRIRUPDO\
WUDQVSDUHQWHHQIRFiQGRODVKDFLDHOREMHWLYRFRP~QGHREWHQHUUHVXOWDGRV
HPSUHVDULDOHVH[LWRVRVDSR\DQGRORVREMHWLYRVHVWUDWpJLFRV\GHQWURGHODV
UHVWULFFLRQHVGHOSUHVXSXHVWR\ORVULHVJRVWROHUDEOHV%DVDUODUHODFLyQHQOD
FRQILDQ]DPXWXDXVDQGRWpUPLQRVHQWHQGLEOHVOHQJXDMHFRP~Q\YROXQWDGGHDVXPLU
ODSURSLHGDG\UHVSRQVDELOLGDGHQODVGHFLVLRQHVFODYHV
x $32$OLQHDUORVVHUYLFLRVEDVDGRVHQ7,\ORVQLYHOHVGHVHUYLFLRFRQODV
QHFHVLGDGHV\H[SHFWDWLYDVGHODHPSUHVDLQFOX\HQGRLGHQWLILFDFLyQHVSHFLILFDFLyQ
GLVHxRSXEOLFDFLyQDFXHUGR\VXSHUYLVLyQGHORVVHUYLFLRV7,QLYHOHVGHVHUYLFLRH
LQGLFDGRUHVGHUHQGLPLHQWR
x $32 $GPLQLVWUDUWRGRVORVVHUYLFLRVGH7,SUHVWDGRVSRUWRGRWLSRGHSURYHHGRUHV
SDUDVDWLVIDFHUODVQHFHVLGDGHVGHOQHJRFLRLQFOX\HQGRODVHOHFFLyQGHORV
SURYHHGRUHVODJHVWLyQGHODVUHODFLRQHVODJHVWLyQGHORVFRQWUDWRV\ODUHYLVLyQ\
VXSHUYLVLyQGHOGHVHPSHxRSDUDXQDHILFDFLD\FXPSOLPLHQWRDGHFXDGRV
x $32'HILQLU\FRPXQLFDUORVUHTXLVLWRVGHFDOLGDGHQWRGRVORVSURFHVRV
SURFHGLPLHQWRV\UHVXOWDGRVUHODFLRQDGRVGHODRUJDQL]DFLyQLQFOX\HQGRFRQWUROHV
YLJLODQFLDFRQVWDQWH\HOXVRGHSUiFWLFDVSUREDGDV\HVWiQGDUHVGHPHMRUDFRQWLQXD\
HVIXHU]RVGHHILFLHQFLD

x $32,GHQWLILFDUHYDOXDU\UHGXFLUORVULHVJRVUHODFLRQDGRVFRQ7,GHIRUPDFRQWLQXD
GHQWURGHQLYHOHVGHWROHUDQFLDHVWDEOHFLGRVSRUODGLUHFFLyQHMHFXWLYDGHODHPSUHVD
x $32'HILQLURSHUDU\VXSHUYLVDUXQVLVWHPDSDUDODJHVWLyQGHODVHJXULGDGGHOD
LQIRUPDFLyQ

(OGRPLQLRGHJHVWLyQ±&RQVWUXLUDGTXLULUHLPSOHPHQWDU%$,
El dominio de
• BAI01 – Gestionar los Programas y Proyectos
gestión – Alinear,
planificar y • BAI02 – Gestionar la Definición de los Requisitos
organizar (APO) • BAI03 – Gestionar la Identificación y Construcción de Soluciones
• BAI04 – Gestionar la Disponibilidad y la Capacidad
El dominio de
gestión – • BAI05 – Gestionar la Habilitación del Cambio Organizativo
Construir, • BAI06 – Gestionar los Cambios
adquirir e
implementar • BAI07 – Gestionar la Aceptación del Cambio y Transición
(BAI) • BAI08 – Gestionar el Conocimiento
El dominio de • BAI09 – Gestionar los Activos
gestión – Entregar,
dar servicio y • BAI10 – Gestionar la Configuración
soporte (DSS)
El dominio de
gestión –
Supervisar,
evaluar y valorar

(MEA)
Procesos para el
gobierno de TI
empresarial
B A I
8

3XQWRVLPSRUWDQWHV
'HVFULSFLyQGHOSURFHVR
x %$,*HVWLRQDUWRGRVORVSURJUDPDV\SUR\HFWRVGHOSRUWDIROLRGHLQYHUVLRQHVGH
IRUPDFRRUGLQDGD\HQOtQHDFRQODHVWUDWHJLDFRUSRUDWLYD,QLFLDUSODQLILFDUFRQWURODU\
HMHFXWDUSURJUDPDV\SUR\HFWRV\FHUUDUORVFRQXQDUHYLVLyQSRVWLPSOHPHQWDFLyQ
x %$,,GHQWLILFDUVROXFLRQHV\DQDOL]DUUHTXHULPLHQWRVDQWHVGHODDGTXLVLFLyQR
FUHDFLyQSDUDDVHJXUDUTXHHVWiQHQOtQHDFRQORVUHTXHULPLHQWRVHVWUDWpJLFRVGHOD
RUJDQL]DFLyQ\TXHFXEUHQORVSURFHVRVGHQHJRFLRVDSOLFDFLRQHVLQIRUPDFLyQGDWRV
LQIUDHVWUXFWXUD\VHUYLFLRV&RRUGLQDUFRQODVSDUWHVLQWHUHVDGDVDIHFWDGDVODUHYLVLyQ
GHODVRSFLRQHVYLDEOHVLQFOX\HQGRFRVWRV\EHQHILFLRVUHODFLRQDGRVDQiOLVLVGH
ULHVJR\DSUREDFLyQGHORVUHTXHULPLHQWRV\VROXFLRQHVSURSXHVWDV
x %$,(VWDEOHFHU\PDQWHQHUVROXFLRQHVLGHQWLILFDGDVHQOtQHDFRQORV
UHTXHULPLHQWRVGHODHPSUHVDTXHDEDUFDQHOGLVHxRGHVDUUROORFRPSUDVFRQWUDWDFLyQ
\DVRFLDFLyQFRQSURYHHGRUHVIDEULFDQWHV*HVWLRQDUODFRQILJXUDFLyQSUHSDUDFLyQGH
SUXHEDVUHDOL]DFLyQGHSUXHEDVJHVWLyQGHUHTXHULPLHQWRV\PDQWHQLPLHQWRGH
SURFHVRVGHQHJRFLRDSOLFDFLRQHVGDWRVLQIRUPDFLyQLQIUDHVWUXFWXUD\VHUYLFLRV

x %$,(TXLOLEUDUODVQHFHVLGDGHVDFWXDOHV\IXWXUDVGHGLVSRQLELOLGDGUHQGLPLHQWR\
FDSDFLGDGFRQXQDSURYLVLyQGHVHUYLFLRHIHFWLYDHQFRVWRV,QFOX\HODHYDOXDFLyQGH
ODVFDSDFLGDGHVDFWXDOHVODSUHYLVLyQGHQHFHVLGDGHVIXWXUDVEDVDGDVHQORV
UHTXHULPLHQWRVGHOQHJRFLRHODQiOLVLVGHOLPSDFWRHQHOQHJRFLR\ODHYDOXDFLyQGHO
ULHVJRSDUDSODQLILFDUHLPSOHPHQWDUDFFLRQHVTXHDOFDQFHQORVUHTXHULPLHQWRV
LGHQWLILFDGRV
x %$,0D[LPL]DUODSUREDELOLGDGGHODLPSOHPHQWDFLyQH[LWRVDHQWRGDODHPSUHVDGHO
FDPELRRUJDQL]DWLYRGHIRUPDUiSLGD\FRQULHVJRUHGXFLGRFXEULHQGRHOFLFORGHYLGD
FRPSOHWRGHOFDPELR\WRGRVODVSDUWHVLQWHUHVDGDVGHOQHJRFLR\GH7,
x %$,*HVWLRQDUWRGRVORVFDPELRVGHXQDIRUPDFRQWURODGDLQFOX\HQGRFDPELRV
HVWiQGDU\GHPDQWHQLPLHQWRGHHPHUJHQFLDHQUHODFLyQFRQORVSURFHVRVGHQHJRFLR
DSOLFDFLRQHVHLQIUDHVWUXFWXUD(VWRLQFOX\HQRUPDV\SURFHGLPLHQWRVGHFDPELRDQiOLVLV
GHLPSDFWRSULRUL]DFLyQ\DXWRUL]DFLyQFDPELRVGHHPHUJHQFLDVHJXLPLHQWRUHSRUWH
FLHUUH\GRFXPHQWDFLyQ
x %$,$FHSWDUIRUPDOPHQWH\KDFHURSHUDWLYDVODVQXHYDVVROXFLRQHVLQFOX\HQGROD
SODQLILFDFLyQGHODLPSOHPHQWDFLyQODFRQYHUVLyQGHORVGDWRV\ORVVLVWHPDVODV
SUXHEDVGHDFHSWDFLyQODFRPXQLFDFLyQODSUHSDUDFLyQGHOODQ]DPLHQWRHOSDVRD
SURGXFFLyQGHSURFHVRVGHQHJRFLRRVHUYLFLRV7,QXHYRVRPRGLILFDGRVHOVRSRUWH
WHPSUDQRHQSURGXFFLyQ\XQDUHYLVLyQSRVWLPSOHPHQWDFLyQ
x %$,0DQWHQHUODGLVSRQLELOLGDGGHFRQRFLPLHQWRUHOHYDQWHDFWXDOYDOLGDGR\ILDEOH
SDUDGDUVRSRUWHDWRGDVODVDFWLYLGDGHVGHORVSURFHVRV\IDFLOLWDUODWRPDGH
GHFLVLRQHV3ODQLILFDUODLGHQWLILFDFLyQUHFRSLODFLyQRUJDQL]DFLyQPDQWHQLPLHQWRXVR\
UHWLUDGDGHFRQRFLPLHQWR
x %$,*HVWLRQDUORVDFWLYRVGH7,DWUDYpVGHVXFLFORGHYLGDSDUDDVHJXUDUTXHVX
XVRDSRUWDYDORUDXQFRVWHySWLPRTXHVHPDQWHQGUiQHQIXQFLRQDPLHQWRDFRUGHDORV
REMHWLYRVTXHHVWiQMXVWLILFDGRV\SURWHJLGRVItVLFDPHQWH\TXHORVDFWLYRVTXHVRQ
IXQGDPHQWDOHVSDUDDSR\DUODFDSDFLGDGGHOVHUYLFLRVRQILDEOHV\HVWiQGLVSRQLEOHV
$GPLQLVWUDUODVOLFHQFLDVGHVRIWZDUHSDUDDVHJXUDUTXHVHDGTXLHUHHOQ~PHURySWLPR
VHPDQWLHQHQ\GHVSOLHJDQHQUHODFLyQFRQHOXVRQHFHVDULRSDUDHOQHJRFLR\TXHHO
VRIWZDUHLQVWDODGRFXPSOHFRQORVDFXHUGRVGHOLFHQFLD
x %$,'HILQLU\PDQWHQHUODVGHILQLFLRQHV\UHODFLRQHVHQWUHORVSULQFLSDOHVUHFXUVRV\
FDSDFLGDGHVQHFHVDULRVSDUDODSUHVWDFLyQGHORVVHUYLFLRVSURSRUFLRQDGRVSRU7,
LQFOX\HQGRODUHFRSLODFLyQGHLQIRUPDFLyQGHFRQILJXUDFLyQHOHVWDEOHFLPLHQWRGHOtQHDV
GHUHIHUHQFLDODYHULILFDFLyQ\DXGLWRUtDGHODLQIRUPDFLyQGHFRQILJXUDFLyQ\OD
DFWXDOL]DFLyQGHOUHSRVLWRULRGHFRQILJXUDFLyQ
(OGRPLQLRGHJHVWLyQ±(QWUHJDUGDUVHUYLFLRV\VRSRUWH'66
El dominio de
gestión – Alinear, DSS01 – Gestionar las Operaciones
planificar y
organizar (APO)
DSS02 – Gestionar las Peticiones e Incidentes del servicio
El dominio de
gestión –
Construir, adquirir DSS03 – Gestionar los Problemas
e implementar
(BAI)
DSS04 – Gestionar la Continuidad
El dominio de
gestión –
Entregar, dar DSS05 – Gestionar los Servicios de Seguridad
servicio y
soporte (DSS)
El dominio de DSS06 – Gestionar los Controles de los Procesos de Negocio

gestión –
Supervisar,
evaluar y valorar
(MEA)
Procesos para el
gobierno de TI
empresarial
3XQWRVLPSRUWDQWHV
'HVFULSFLRQHVGHOSURFHVR
x '66 &RRUGLQDU\HMHFXWDUODVDFWLYLGDGHV\ORVSURFHGLPLHQWRVRSHUDWLYRV
UHTXHULGRVSDUDHQWUHJDUVHUYLFLRVGH7,WDQWRLQWHUQRVFRPRH[WHUQRVLQFOX\HQGROD
HMHFXFLyQGHSURFHGLPLHQWRVRSHUDWLYRVHVWiQGDUSUHGHILQLGRV\ODVDFWLYLGDGHVGH
VXSHUYLVLyQUHTXHULGDV
x '66 3URYHHUXQDUHVSXHVWDRSRUWXQD\HIHFWLYDDODVSHWLFLRQHVGHXVXDULR\OD
UHVROXFLyQGHWRGRWLSRGHLQFLGHQWHV5HFXSHUDUHOVHUYLFLRQRUPDOUHJLVWUDU\
FRPSOHWDUODVSHWLFLRQHVGHXVXDULR\UHJLVWUDULQYHVWLJDUGLDJQRVWLFDUHVFDODU\
UHVROYHULQFLGHQWHV
x '66,GHQWLILFDU\FODVLILFDUSUREOHPDV\VXVFDXVDVUDt]\SURSRUFLRQDUUHVROXFLyQ
HQWLHPSRSDUDSUHYHQLULQFLGHQWHVUHFXUUHQWHV3URSRUFLRQDUUHFRPHQGDFLRQHVGH
PHMRUD
x '66(VWDEOHFHU\PDQWHQHUXQSODQSDUDSHUPLWLUDOQHJRFLR\D7,UHVSRQGHUD
LQFLGHQWHVHLQWHUUXSFLRQHVGHVHUYLFLRSDUDODRSHUDFLyQFRQWLQXDGHORVSURFHVRV
FUtWLFRVSDUDHOQHJRFLR\ORVVHUYLFLRV7,UHTXHULGRVPDQWHQHUODGLVSRQLELOLGDGGHOD
LQIRUPDFLyQDXQQLYHODFHSWDEOHSDUDODHPSUHVD
x '66 3URWHJHUODLQIRUPDFLyQGHODHPSUHVDSDUDPDQWHQHUDFHSWDEOHHOQLYHOGH
ULHVJRGHVHJXULGDGGHODLQIRUPDFLyQGHDFXHUGRFRQODSROtWLFDGHVHJXULGDG
(VWDEOHFHU\PDQWHQHUORVUROHVGHVHJXULGDG\SULYLOHJLRVGHDFFHVRDODLQIRUPDFLyQ\
UHDOL]DUODVXSHUYLVLyQGHODVHJXULGDG
x '66 'HILQLU\PDQWHQHUFRQWUROHVDSURSLDGRVGHSURFHVRGHQHJRFLRSDUD
DVHJXUDUTXHODLQIRUPDFLyQUHODFLRQDGD\SURFHVDGDGHQWURGHODRUJDQL]DFLyQRGH
IRUPDH[WHUQDVDWLVIDFHWRGRVORVUHTXHULPLHQWRVUHOHYDQWHVSDUDHOFRQWUROGHOD
LQIRUPDFLyQ,GHQWLILFDUORVUHTXLVLWRVGHFRQWUROGHODLQIRUPDFLyQ\JHVWLRQDU\RSHUDU
ORVFRQWUROHVDGHFXDGRVSDUDDVHJXUDUTXHODLQIRUPDFLyQ\VXSURFHVDPLHQWR
VDWLVIDFHQHVWRVUHTXHULPLHQWRV

(OGRPLQLRGHJHVWLyQ±6XSHUYLVDUHYDOXDU\YDORUDU0($

El dominio de
gestión – Alinear, MEA01 – Supervisar, Evaluar y Valorar el Rendimiento y la
planificar y Conformidad
organizar (APO)
El dominio de
gestión – MEA02 – Supervisar, Evaluar y Valorar el Sistema de Control Interno
Construir, adquirir
e implementar
(BAI)
El dominio de
MEA03 – Supervisar, Evaluar y Valorar la Conformidad con los
Requerimientos Externos
dar servicio y
soporte (DSS)
El dominio de
gestión –
Supervisar,
evaluar y
valorar (MEA)
Procesos para el
gobierno de TI
empresarial
M E A
10

3XQWRVLPSRUWDQWHV
'HVFULSFLRQHVGHOSURFHVR
x 0($ 5HFROHFWDUYDOLGDU\HYDOXDUPpWULFDV\REMHWLYRVGHQHJRFLRGH7,\GH
SURFHVRV6XSHUYLVDUTXHORVSURFHVRVVHHVWiQUHDOL]DQGRDFRUGHDOUHQGLPLHQWR
DFRUGDGR\FRQIRUPHDORVREMHWLYRV\PpWULFDV\VHSURSRUFLRQDQLQIRUPHVGHIRUPD
VLVWHPiWLFD\SODQLILFDGD
x 0($ 6XSHUYLVDU\HYDOXDUGHIRUPDFRQWLQXDHOHQWRUQRGHFRQWUROLQFOX\HQGR
WDQWRDXWRHYDOXDFLRQHVFRPRUHYLVLRQHVH[WHUQDVLQGHSHQGLHQWHV)DFLOLWDUDODGLUHFFLyQ
ODLGHQWLILFDFLyQGHGHILFLHQFLDVHLQHILFLHQFLDVHQHOFRQWURO\HOLQLFLRGHDFFLRQHVGH
PHMRUD3ODQLILFDURUJDQL]DU\PDQWHQHUQRUPDVSDUDODHYDOXDFLyQGHOFRQWUROLQWHUQR\
ODVDFWLYLGDGHVGHDVHJXUDPLHQWR
x 0($(YDOXDUHOFXPSOLPLHQWRGHUHTXLVLWRVUHJXODWRULRV\FRQWUDFWXDOHVWDQWRHQ
ORVSURFHVRVGH7,FRPRHQORVSURFHVRVGHQHJRFLRGHSHQGLHQWHVGHODVWHFQRORJtDV
GHODLQIRUPDFLyQ2EWHQHUODVJDUDQWtDVLGHQWLILFDGDVFXPSOLUFRQORVUHTXLVLWRVH
LQWHJUDUHOFXPSOLPLHQWRGH7,HQHOFXPSOLPLHQWRGHODHPSUHVDJHQHUDO
3URFHVRVSDUDHOJRELHUQRGH7,GHODHPSUHVD


Evaluar, Orientar y Supervisar
El dominio de
EDM01 Asegurar EDM02 Asegurar la EDM03 Asegurar la EDM04 Asegurar la EDM05 Asegurar
gestión – Alinear, Establecimiento Entrega de Beneficios Optimización Optimización Transparencia hacia
planificar y y Mantenimiento del del Riesgo de los Recursos las Partes Interesadas
Marco de Gobierno
organizar (APO)

El dominio de
gestión – APO01 Gestionar APO02 Gestionar APO03 Gestionar APO04 Gestionar APO05 Gestionar APO06 Gestionar APO07 Gestionar Evaluar
Construir, adquirir el Marco de la Estrategia la Arquitectura la Innovación Portafolio el Presupuesto y los Recursos y Valorar
Gestión Empresarial los Costos Humanos
e implementar de TI MEA01 Supervisar,
(BAI) evaluar y Valorar el
APO08 APO09 Gestionar APO10 Gestionar APO11 Gestionar APO12 Gestionar APO13 Gestionar Rendimiento y la
Gestionar las los Acuerdos de los Proveedores la Calidad el Riesgo la Seguridad Conformidad
El dominio de Relaciones Servicio
dar servicio y
soporte (DSS)
BAI01 Gestionar BAI02 Gestionar BAI03 Gestionar BAI04 Gestionar BAI05 Gestionar BAI06 Gestionar BAI07 Gestionar
MEA02 Supervisar,
los Programas y la Definición de la Identificación y la Disponibilidad y la Habilitación del los Cambios la Aceptación del
El dominio de Proyectos Requisitos Construcción de la Capacidad Cambios Cambio y
Evaluar y Valorar el
Sistema de Control
gestión – Soluciones Organizativo Transición
Interno
Supervisar,
evaluar y valorar BAI08 Gestionar BAI09 Gestionar BAI010 Gestionar
el Conocimiento los Activos
(MEA) la Configuración
Procesos para
el gobierno de Entregar, dar Servicio y Soporte MEA03 Supervisar,
TI empresarial DSS01 Gestionar DSS02 Gestionar DSS03 Gestionar DSS04 Gestionar DSS05 Gestionar DSS06 Gestionar Conformidad con los
las Operaciones las Peticiones y los los Problemas la Continuidad los Servicios de los Controles de Requerimientos
Incidentes del Seguridad los Procesos de Externos
Servicio Negocio
11
3XQWRVLPSRUWDQWHV
(VWHGLDJUDPDPXHVWUDWRGRVORVGRPLQLRV\SURFHVRV
5HVXPHQGHOPyGXOR

• El dominio de gobierno está alineado con los aspectos evaluar, dirigir y supervisar del
Estándar para Gobierno de TI Corporativo, así como orientado por COSO y KINGIII.
• Existen 5 procesos EDN en el dominio de gobierno:
o EDM01 – Asegurar Establecimiento y Mantenimiento del marco de gobierno
o EDM02 – Asegurar Entrega de beneficios
o EDM03 – Asegurar Optimización del riesgo
o EDM04 – Asegurar Optimización de los recursos
o EDM05 – Asegurar Transparencia hacia las partes interesadas
• El dominio de gestión está basado en el ciclo planificar, construir, ejecutar y supervisar.
• Alinear, planificar y organizar (APO)
o APO01 – Gestionar Marco de Gestión de TI
o APO02 – Gestionar Estrategia
o APO03 – Gestionar Arquitectura empresarial
o APO04 – Gestionar Innovación
o APO05 – Gestionar Portafolio
o APO06 – Gestionar Presupuesto y Costos
o APO07 – Gestionar Recursos humanos
o APO08 – Gestionar Relaciones
o APO09 – Gestionar Acuerdos de servicio
o APO10 – Gestionar Proveedores
o APO11 – Gestionar Calidad
o APO12 – Gestionar Riesgo
o APO13 – Gestionar Seguridad
12
Mis notas


• Construir, adquirir e implementar (BAI).
• BAI01 – Gestionar Programas y Proyectos

• BAI02 – Gestionar Definición de los requisitos
• BAI03 – Gestionar Identificación y Construcción de soluciones
• BAI04 – Gestionar Disponibilidad y Capacidad
• BAI05 – Gestionar Introducción de cambios organizativos
• BAI06 – Gestionar Cambios
• BAI07 – Gestionar Aceptación del cambio y de la transición
• BAI08 – Gestionar Conocimiento
• BAI09 – Gestionar Activos
• BAI10 – Gestionar Configuración

• Entregar, dar servicio y soporte (DSS)

• DSS01 – Gestionar Operaciones
• DSS02 – Gestionar Peticiones e Incidentes del servicio
• DSS03 – Gestionar Problemas
• DSS04 – Gestionar Continuidad
• DSS05 – Gestionar Servicios de seguridad
• DSS06 – Gestionar Controles de los procesos de negocio
• Supervisar, evaluar y valorar (MEA)
• MEA01 – Supervisar, evaluar y valorar Rendimiento y Conformidad
• MEA02 – Supervisar, evaluar y valorar Sistema de control interno
• MEA03 – Supervisar, evaluar y valorar Conformidad con los requerimientos
externos
• El diagrama de “Los procesos para el Gobierno de TI empresarial” nos muestra los
dominios y los procesos.

13

3XQWRVLPSRUWDQWHV
5HVXPLUORVSXQWRVGHDSUHQGL]DMHGHHVWHPyGXOR\DVHJXUDUTXHWRGRVFRPSUHQGHQORV
FRQFHSWRV

&2%,7
)XQGDPHQWRV
0yGXOR
&2%,7/RVFRPSRQHQWHVGHORVSURFHVRVGH&2%,7
COBIT 5: Los componentes de los procesos de COBIT 5
Temas cubiertos
8.1: Visión general
8.2: Prácticas y actividades
8.3: Entradas y salidas
8.4: Metas y métricas del proceso
8.5: Cuadros de definición de responsabilidades por cargo (RACI)
8.6: Resumen del módulo


• Identificar los componentes de cada proceso de COBIT 5
• Comprender cada uno de los componentes de COBIT 5 usando un proceso de
ejemplo
Manual del alumno | COBIT 5: Los componentes de los procesos de COBIT 5
9LVLyQJHQHUDO

Fundamentos 8.1 Visión general
Cada proceso
p de COBIT 5 consta de:
Un proceso de COBIT 5 incluye:
uye:
• El ID del proceso
• Nombre del

proceso
• Descripción del
proceso
• Propósito del
proceso
4

3XQWRVLPSRUWDQWHV
8QHMHPSORGHSURFHVRGH&2%,7('0
x $VHJXUDUHOHVWDEOHFLPLHQWR\PDQWHQLPLHQWRGHOPDUFRGHUHIHUHQFLDGHJRELHUQR
x $QDOL]DU\DUWLFXODUORVUHTXHULPLHQWRVSDUDHOJRELHUQRGH7,GHODHPSUHVD\SRQHUHQ
PDUFKD\PDQWHQHUODHIHFWLYLGDGGHODVHVWUXFWXUDVORVSURFHVRV\ODVSUiFWLFDV
IDFLOLWDGRUDVFRQFODULGDGGHODVUHVSRQVDELOLGDGHV\ODDXWRULGDGSDUDDOFDQ]DUOD
PLVLyQODVPHWDV\REMHWLYRVGHODHPSUHVD
x 3URSRUFLRQDUXQHQIRTXHFRQVLVWHQWHLQWHJUDGR\DOLQHDGRFRQHODOFDQFHGHOJRELHUQR
GHODHPSUHVD3DUDJDUDQWL]DUTXHODVGHFLVLRQHVUHODWLYDVD7,VHKDQDGRSWDGRHQ
OtQHDFRQODVHVWUDWHJLDV\REMHWLYRVGHODHPSUHVDJDUDQWL]DQGRODVXSHUYLVLyQGHORV
SURFHVRVGHPDQHUDHIHFWLYD\WUDQVSDUHQWHHOFXPSOLPLHQWRFRQORVUHTXHULPLHQWRV
UHJXODWRULRV\OHJDOHV\TXHVHKDQDOFDQ]DGRORVUHTXHULPLHQWRVGHJRELHUQRGHORV
PLHPEURVGHOD-XQWD'LUHFWLYD
3UiFWLFDV\DFWLYLGDGHV
Fundamentos 8.2 Prácticas y actividades
Prácticas
Para cada proceso de COBIT 5, las prácticas de gobierno y de gestión proveen un conjunto
completo de requerimientos de alto nivel para un gobierno y gestión efectivo y práctico de la
TI empresarial.
Cada proceso de COBIT 5 tiene

Prácticas y Actividades.
3XQWRVLPSRUWDQWHV
&DGDSURFHVRGH&2%,7WLHQHSUiFWLFDVGHJRELHUQR\JHVWLyQTXHSURYHHQXQFRQMXQWR
FRPSOHWRGHUHTXHULPLHQWRVGHDOWRQLYHOTXH
x 6RQHQXQFLDGRVGHDFFLRQHVSDUDHQWUHJDUEHQHILFLRVRSWLPL]DUHOQLYHOGHULHVJRV\
RSWLPL]DUHOXVRGHORVUHFXUVRV
x (VWiQDOLQHDGRVFRQORVHVWiQGDUHV\ODVPHMRUHVSUiFWLFDVUHOHYDQWHVJHQHUDOPHQWH
DFHSWDGDV
x 6RQJHQpULFRV\SRUODWDQWRHVQHFHVDULRTXHVHDQDGDSWDGRVDFDGDHPSUHVD
x &XEUHQDORVTXHMXHJDQXQUROHQHOQHJRFLRRHQOD7,GHSULQFLSLRDILQ

(OFXHUSRGHJRELHUQR\JHVWLyQGHODHPSUHVDQHFHVLWDWRPDUGHFLVLRQHVUHODWLYDVDVXV
SUiFWLFDVGHJRELHUQR\JHVWLyQDWUDYpVGH
x /DVHOHFFLyQGHODVPHMRUHVSUiFWLFDVTXHSXHGDQVHUDSOLFDGDV\ODGHFLVLyQGHFXiOHVGH
HOODVVHUiQLPSOHPHQWDGDV
x /DDGLFLyQ\RDGDSWDFLyQGHODVSUiFWLFDVFXDQGRVHQHFHVLWH
x /DGHILQLFLyQ\DGLFLyQGHSUiFWLFDVQRUHODFLRQDGDVFRQOD7,SDUDODLQWHJUDFLyQHQORV
SURFHVRVGHQHJRFLR
x /DHOHFFLyQGHFyPRLPSOHPHQWDUODVSUiFWLFDVIUHFXHQFLDDOFDQFHDXWRPDWL]DFLyQHWF
x /DDFHSWDFLyQGHOULHVJRGHQRLPSOHPHQWDUODVSUiFWLFDVTXHSRGUtDQVHUDSOLFDEOHV
(MHPSORGH3UiFWLFDV('0
Ejemplos de
prácticas
EDM01 Ejemplos
j p de p
prácticas EDM01
Actividades
EDM01.01
Evaluar el
Ejemplo de EDM01.02 sistema de
actividades Orientar el gobierno.
sistema de
sist
gobierno.
Atributos de las Evaluar el Sistema de Gobierno EDM01.03

capacidad del Supervisar el
proceso
sistema de
gobierno
Tres prácticas en EDM01
3XQWRVLPSRUWDQWHV

('0(YDOXDUHOVLVWHPDGHJRELHUQR
,GHQWLILFDU\FRPSURPHWHUVHFRQWLQXDPHQWHFRQODVSDUWHVLQWHUHVDGDVGHODHPSUHVD
GRFXPHQWDUODFRPSUHQVLyQGHORVUHTXHULPLHQWRV\UHDOL]DUXQDHVWLPDFLyQGHODFWXDO\IXWXUR
GLVHxRGHOJRELHUQRGH7,GHODHPSUHVD

('0'LULJLUHOVLVWHPDGHJRELHUQR
,QIRUPDUDORVOtGHUHV\REWHQHUVXDSR\RVXDFHSWDFLyQ\VXFRPSURPLVR*XLDUODV
HVWUXFWXUDVSURFHVRV\SUiFWLFDVSDUDHOJRELHUQRGH7,HQOtQHDFRQORVSULQFLSLRVPRGHORV
SDUDODWRPDGHGHFLVLRQHV\QLYHOHVGHDXWRULGDGGLVHxDGRVSDUDHOJRELHUQR'HILQLUOD
LQIRUPDFLyQQHFHVDULDSDUDXQDWRPDGHGHFLVLRQHVLQIRUPDGD

('06XSHUYLVDUHOVLVWHPDGHJRELHUQR
6XSHUYLVDUODHMHFXFLyQ\ODHIHFWLYLGDGGHOJRELHUQRGH7,GHODHPSUHVD$QDOL]DUVLHOVLVWHPD
GHJRELHUQR\ORVPHFDQLVPRVLPSOHPHQWDGRVLQFOX\HQGRHVWUXFWXUDVSULQFLSLRV\SURFHVRV
HVWiQRSHUDQGRGHIRUPDHIHFWLYD\SURSRUFLRQDQXQDVXSHUYLVLyQDSURSLDGDGH7,
$FWLYLGDGHV
Ejemplos de Las actividades son guías para lograr las prácticas clave y proveer el cómo,
prácticas
EDM01
porqué y qué de la implementación y mejora del desempeño de la TI y/o
enfrentar riesgos. Este material es útil para:
• El equipo directivo, los proveedores de servicios, los usuarios finales y los
Actividades profesionales de TI que necesitan planificar, construir, ejecutar o supervisar las TI
de una empresa
• Los profesionales de aseguramiento a quienes se les puede solicitar su opinión con
respecto a implementaciones actuales o mejoras necesarias propuestas
Ejemplo de
actividades
Mejorando el desempeño de TI
¿Porqué? ¿Cómo?
¿Qué?
Atributos de las
Implementando
capacidad del
proceso
Actividades de COBIT 5 Práctica de Gobierno o

de Gestión
3XQWRVLPSRUWDQWHV
8QFRQMXQWRFRPSOHWRGHDFWLYLGDGHVJHQpULFDV\HVSHFtILFDVSURYHHXQDFHUFDPLHQWRLQGLYLGXDO
FRQVLVWHQWHGHWRGRVORVSDVRVQHFHVDULRV\VXILFLHQWHVSDUDREWHQHUODVSUiFWLFDVFODYHGH
JRELHUQRJHVWLyQ

3URYHHQXQDRULHQWDFLyQGHDOWRQLYHODXQQLYHOSRUGHEDMRGHODVSUiFWLFDVGHJRELHUQR*3
SUiFWLFDVGHJHVWLyQ03SDUDHYDOXDUHOGHVHPSHxRUHDO\SDUDFRQVLGHUDUPHMRUDV
SRWHQFLDOHV/DVDFWLYLGDGHV

x 'HVFULEHQXQFRQMXQWRQHFHVDULR\VXILFLHQWHGHSDVRVRULHQWDGRVDODLPSOHPHQWDFLyQ
SDUDORJUDUODV*303
x &RQVLGHUDQODVHQWUDGDV\VDOLGDVGHOSURFHVR(VWiQEDVDGDVHQHVWiQGDUHV
JHQHUDOPHQWHDFHSWDGRV\PHMRUHVSUiFWLFDV
x 'DQDSR\RHVWDEOHFLHQGRUROHV\UHVSRQVDELOLGDGHVFODURV
x 6RQQRSUHVFULSWLYDVQHFHVLWDQVHUDGDSWDGDV\GHVDUUROODGDVGHQWURGHURFHGLPLHQWRV
HVSHFtILFRVDSURSLDGRVSDUDODHPSUHVD

(MHPSORGHDFWLYLGDGHV
Ejemplos de
prácticas
Ejemplo de actividades: EDM01.01
EDM01
1. Analizar e identificar los factores del entorno interno y externo (obligaciones legales,
contractuales y regulatorias) y tendencias en el entorno del negocio que pueden influir en
Actividades el diseño del gobierno.
2. Determinar la relevancia de TI y su papel con respecto al negocio.
3. Considerar las regulaciones externas, obligaciones legales y contractuales y determinar

Ejemplo de cómo deben ser aplicadas en el gobierno de TI de la empresa.
actividades
4. Alinear el uso y el procesamiento ético de la información y su impacto en la sociedad, en
el entorno natural y en los intereses de las partes interesadas internas y externas, con los
objetivos, visión y dirección de la empresa.
Atributos de las
capacidad del del entorno de control conjunto de la empresa con respecto
5. Determinar las implicaciones
proceso a TI.
6. Articular los principios que guiarán el diseño de la toma de decisiones sobre el gobierno
de TI.
7. Comprender la cultura empresarial de la toma de decisiones y determinar un modelo

óptimo en la toma de decisiones para TI.
8. Determinar los niveles apropiados para la delegación de autoridad, incluyendo reglas de

umbrales, para las decisiones de TI.
3XQWRVLPSRUWDQWHV
/DVDFWLYLGDGHVVRQJHQHUDOPHQWHDOUHGHGRUGHVHLVHQXQFLDGRVGHDFFLyQTXHGHVFULEHQTXp
KDFHUSDUDLPSOHPHQWDUODSUiFWLFD
/DVSUiFWLFDV\DFWLYLGDGHVVRQJHQpULFDV\GHDOWRQLYHODSOLFDEOHVDFXDOTXLHUHPSUHVD&DGD
HPSUHVDWHQGUiVXSURSLRHQIRTXHSDUDLPSOHPHQWDUHVWDVDFWLYLGDGHV
$WULEXWRVGHODFDSDFLGDGGHOSURFHVR
Ejemplos de Cada proceso debe cubrir algunos requerimientos genéricos. Estos fueron
prácticas
EDM01
descritos como controles de procesos genéricos en el COBIT 4.1 y ahora son
conocidos como atributos de la capacidad del proceso, como se define en la
ISO/IEC 15504.
Actividades
COBIT 4.1 Atributos de la capacidad del proceso de la
ISO/IEC 15504 relacionados
PC1 Metas y objetivos del proceso PA 2.1 Atributo de la gestión del desempeño
Ejemplo de PC2 Propiedad del proceso PA 2.1 Atributo de la gestión del desempeño
actividades
PC3 Repetitividad del proceso PA 3.1 Atributo de la definición del proceso
PC4 Roles y responsabilidades PA 2.1 Atributo de la gestión del desempeño
PC5 Políticas, planes y procedimientos PA 3.2 Atributo del despliegue del proceso
Atributos de PC6 Mejora del desempeño del proceso PA 2.1 Atributo de la gestión del desempeño
las capacidad
del proceso PA 2.1 Atributo de la gestión del desempeño
PA 5.2 Atributo de la optimización del proceso
3XQWRVLPSRUWDQWHV
'pMDQRVREVHUYDUHOQXHYRDFHUFDPLHQWRDODFDSDFLGDGGHOSURFHVR
(QWUDGDV\VDOLGDV
Fundamentos 8.3 Entradas y salidas
Cada proceso de COBIT 5 tiene entradas y salidas que son definidas para
cada práctica de gestión.
Entradas y salidas
para un proceso
10
3XQWRVLPSRUWDQWHV
/DVHQWUDGDV\VDOLGDVGH&2%,7VRQORVSURGXFWRV\DUWHIDFWRVGHOWUDEDMRGHORVSURFHVRV
FRQVLGHUDGRVQHFHVDULRVSDUDGDUDSR\RDODRSHUDFLyQGHOSURFHVR+DELOLWDQODVGHFLVLRQHV
FODYHSURYHHQUHJLVWURV\HYLGHQFLDVGHDXGLWRUtDVREUHODVDFWLYLGDGHVGHOSURFHVR\SHUPLWHQ
HOVHJXLPLHQWRHQHOFDVRGHXQLQFLGHQWH6RQGHILQLGDVDOQLYHOGHSUiFWLFDGH
JRELHUQRJHVWLyQSXHGHQLQFOXLUDOJXQRVSURGXFWRVGHWUDEDMRXVDGRVVyORGHQWURGHOSURFHVR\
VRQFRP~QPHQWHHQWUDGDVHVHQFLDOHVDRWURVSURFHVRV
/LJDVGHORVSURFHVRV
Las ligas de Las ligas entre los procesos se muestran para cada entrada y salida. Algunas
los proceso salidas son sólo internas al proceso. Las salidas que van a todos los
procesos están enlistadas de manera separada como entradas a todos los
procesos.
Ejemplos de
entradas y salidas
para EDM01.01
11
3XQWRVLPSRUWDQWHV
(QJHQHUDOFDGDVDOLGDHVHQYLDGDDXQRRDXQOLPLWDGRQ~PHURGHGHVWLQRVWtSLFDPHQWHD
RWUDSUiFWLFDGHSURFHVRGH&2%,7(VDVDOLGDHQWRQFHVVHFRQYLHUWHHQXQDHQWUDGDDVX
GHVWLQR6LQHPEDUJRKD\XQQ~PHURGHVDOLGDVTXHWLHQHQPXFKRVGHVWLQRVLHWRGRVORV
SURFHVRVGH&2%,7RWRGRVORVSURFHVRVFRQXQGRPLQLR3RUUD]RQHVGHOHJLELOLGDGHVWDV
VDOLGDVQRHVWiQHQOLVWDGDVFRPRHQWUDGDVHQHVWRVSURFHVRV8QDOLVWDGHWDOHVVDOLGDVVH
HQFXHQWUDGLVSRQLEOHHQ&2%,73URFHVRV&DWDOL]DGRUHV
(MHPSORVGHHQWUDGDV\VDOLGDVSDUD('0
Las ligas de los EDM01.01 Evaluar el sistema de gobierno. MEA03.02 Comunicación de Gobierno de la empresa All EDM;
proceso requerimientos de
Identificar y comprometerse cumplimiento cambiados
continuamente con las partes Fuera de COBIT Tendencias del ambiente de Principios de orientación AP001.01;
interesadas de la empresa, negocios AP001.03
documentar la comprensión de los Fuera de COBIT Regulaciones Modelo de toma de
Ejemplos de requerimientos y realizar una Fuera de COBIT Gobierno/modelo de toma decisiones ALL EDM; AP001.01
estimación del diseño de TI de la decisiones
entradas y empresa actual y futuro. Fuera de COBIT Constitución/por Niveles de autoridad All EDM; AP001.02
salidas para leyes/estatutos de la
EDM01.01 organización
12
3XQWRVLPSRUWDQWHV
(VWHHVXQHMHPSORGHHQWUDGDV\VDOLGDVSDUD('0&RPSDUDGRFRQ&2%,7HVWDV
HQWUDGDV\VDOLGDVVRQPRVWUDGDVDXQQLYHOGHGHWDOOHPXFKRPHQRU&RPRWRGRHOFRQWHQLGR
GH&2%,7VRQQRSUHVFULSWLYDVVRQVyORHMHPSORV(QHOQXHYRHQIRTXHGHHYDOXDFLyQGH
&2%,7ODVVDOLGDVVRQUHIHULGDVFRPRSURGXFWRVGHWUDEDMR
0HWDV\PpWULFDVGHOSURFHVR
Fundamentos 8.4 Metas y métricas del proceso
Las metas y las métricas describen cómo deben ser medidos los procesos.
Están definidas en tres niveles:
Metas y métricas de la empresa: Definen los objetivos

estratégicos de la empresa y cómo, estas metas serán medidas
por la dirección ejecutiva.
Metas y métricas relacionadas con TI: Definen qué espera la

empresa del uso de TI y que usará el negocio para medir el uso
de TI.
Metas y métricas del proceso: Definen los resultados que deben

obtener el gobierno y la gestión de los procesos de TI en apoyo a
las metas relacionadas con TI; esto es, definen cómo será medido
el propietario del proceso de TI.
13

3XQWRVLPSRUWDQWHV
/DVPHWDV\PpWULFDVGHSURFHVRVGH&2%,7VRQVyORHMHPSORV\QHFHVLWDQVHUDGDSWDGDV
GHILQLGDVHVSHFtILFDPHQWHSDUDODVFRQGLFLRQHVSURSLDVGHODHPSUHVD

(MHPSORGH('0
Ejemplo de Cada proceso tiene definido las metas y métricas relacionadas con TI en
EDM01 apoyo a metas específicas de la empresa.
Meta relacionada Métricas relacionadas
con TI
01 Alineamiento de • Porcentaje de las metas y requerimientos estratégicos de la empresa
TI y estrategia de apoyados por las metas estratégicas para TI
negocio • Nivel de satisfacción de las partes interesadas con el alcance del portafolio
de programas y servicios planificados
• Porcentaje de los facilitadores de valor de TI mapeados con facilitadores de
valor del negocio
03 Compromiso de • Porcentaje de los roles de la gestión ejecutiva con responsabilidades
la dirección claramente definidas para las decisiones de TI
ejecutiva para • Número de ocasiones en que la TI está en la agenda de la junta directiva de
tomar forma proactiva
decisiones • Frecuencia de las reuniones del Comité de estrategias (Ejecutivo) de TI
relacionadas con • Proporción de ejecución de las decisiones ejecutivas relativas a TI
TI
07 Entrega de • Número de interrupciones de negocio debido a incidentes de servicios de TI
servicios de TI de • Porcentaje de los interesados del negocio satisfechos con que la entrega del
acuerdo a los servicio cumpla con los niveles de servicio acordados
requisitos de • Porcentaje de usuarios satisfechos con la calidad de la entrega del servicio
negocio de TI
El ejemplo: La tabla “La Cascada de Metas Relacionadas con TI a Procesos” en el apéndice C,

relaciona las metas relacionadas con TI con los procesos de COBIT 5.
14
3XQWRVLPSRUWDQWHV
/DVPHWDVHVWiQHVWDEOHFLGDVGHDUULEDSDUDDEDMRSRUHMHPSORODVPHWDVGHOD
HPSUHVDGLULJHQODVPHWDVGH7,ODVFXDOHVGLULJHQODVPHWDVGHOSURFHVRODFDVFDGD
GHPHWDV
/DVPpWULFDVVRQPHGLGDVGHDEDMRKDFLDDUULED6LXQDPpWULFDGHXQDPHWDGHO
SURFHVRQRYDHQODGLUHFFLyQDSURSLDGDODPHWDQRVHUiREWHQLGD\SRUORWDQWROD
PHWDUHODFLRQDGDFRQ7,WDPSRFRVHUiREWHQLGDSRQLHQGRHQMXHJRODVPHWDVGHOD
HPSUHVD

Ejemplo de Metras y métricas del proceso para EDM01

EDM01
Meta del proceso Métricas relacionadas
1. Modelo estratégico de toma de • Tiempo de ciclo actual vs objetivo para las
decisiones para que las TI sean decisiones clave
efectivas y estén alineadas con el • Nivel de satisfacción mediante encuestas de las
entorno externo e interno de la empresa personas interesadas
y los requerimientos de las partes
interesadas.
2. Garantizar que el sistema de gobierno • Número de roles, responsabilidades y autoridades
para TI está incorporado al gobierno que están definidas, asignadas y aceptadas por
corporativo. directores para una gestión del negocio y de las TI
apropiadas.
• Grado en que los principios de gobierno
acordados para las TI están evidenciados en los
procesos y prácticas (porcentaje de procesos y
prácticas con clara trazabilidad a los principios)
• Número de casos de no-cumplimiento con las
directrices de comportamiento ético y profesional
3. Obtener garantías de que el sistema de • Frecuencia de revisiones independientes del
gobierno de TI está operando de manera gobierno de TI
efectiva. • Frecuencia del reporte del gobierno de TI al
Comité Ejecutivo y a la dirección
• Número de aspectos de gobierno de TI notificados
15
3XQWRVLPSRUWDQWHV
6HSURYHHQHMHPSORVDOQLYHOGHSURFHVRSDUDFDGDSURFHVRGH&2%,7SURFHVRV
KDELOLWDGRUHV
&XDGURGHGHILQLFLyQGHUHVSRQVDELOLGDGHVSRUFDUJR5$&,
Fundamentos 8.5 Cuadros de definición de responsabilidades por cargo (RACI)
Oficial en Jefe de Seguridad de la Información

Comité de Dirección (Programas/proyectos)
Jefe de seguridad de la información
Jefe de la Comunidad de Negocios

Comité de Riesgos de la Empresa
Director General de Operaciones
Dueños del Proceso de Negocio
Oficial de Gestión de proyectos
Jefe de la Administración de TI
Comité Ejecutivo de Estrategia
Oficial en Jefe de Información

Oficial de la Gestión del Valor
Director General de Finanzas
Jefe de Recursos Humanos

Director General Ejecutivo
Jefe de operaciones de TI
Oficial en jefe de Riesgos
Ejecutivos de negocio
Oficial de Privacidad
Architecture Board
Jefe de Desarrollo
Arquitecto en Jefe
Jefe de servicios
Junta directiva
Cumplimiento
Auditoría
Práctica de gobierno clave
EDM01.01 Evaluar el diseño del

gobierno de TI de la A R C C R R C C C C C C R C C C
empresa
EDM01.02 Dirigir el sistema de A R C C R I R I I I C I I I I C C R C I I I I I I I

gobierno
EDM01.03 Supervisar el A R C C R I R I I I C I I I I C C R C I I I I I I I
sistema de gobierno
16
3XQWRVLPSRUWDQWHV
/RVFXDGURVGHGHILQLFLyQGHUHVSRQVDELOLGDGHVSRUFDUJR0DWUL]5$&,FRQWLHQHQXQD
DVLJQDFLyQGHQLYHOHVGHUHVSRQVDELOLGDGVXJHULGDSDUDSUiFWLFDVGHSURFHVRGHGLIHUHQWHV
UROHV\HVWUXFWXUDV/RVUROHVQHFHVLWDQVHUDGDSWDGRVSDUDHQFDMDUHQFDGDHPSUHVDHQ
SDUWLFXODUeVWDHVXQDKHUUDPLHQWDPX\~WLOHQSDUWLFXODUFODULILFDTXLpQHVUHVSRQVDEOHGH
KDFHU\DVHJXUDUTXHWRGRVORVLQWHUHVDGRVHVWpQLQYROXFUDGRV7DPELpQFODULILFDODWRPDGH
GHFLVLRQHV\ODDSUREDFLyQGHFRQWUROHVFODYH\HQWUHJDEOHV
'HWDOOHVGHORVFXDGURVGHGHILQLFLyQGHUHVSRQVDELOLGDGHVSRUFDUJR5$&,

Fundamentos 8.5 Cuadros de definición de responsabilidades por cargo (RACI)
Detalles de los
Cuadros de Cuadro de definición de responsabilidades por cargo (RACI)
definición de
responsabilid R(esponsable de hacer)—¿Quién está haciendo la tarea?
ades por
cargo (RACI)
A(Responsable de que se haga)—¿Quién rinde cuentas sobre el éxito de
la tarea? [ del inglés accountable)
C(onsultado)—¿Quién proporciona entradas?
I(nformado)—¿Quién recibe la información?
17
3XQWRVLPSRUWDQWHV
5HVSRQVDEOHGHKDFHU²¢4XLpQHVWiOOHYDQGRDFDERODWDUHD"

o 5ROHVFRQODSULQFLSDOUHVSRQVDELOLGDGRSHUDWLYDSDUDFRPSOHWDUODDFWLYLGDG\
SURGXFLUHOUHVXOWDGRHVSHUDGR

$5HVSRQVDEOHGHTXHVHKDJD²¢4XLpQHVUHVSRQVDEOHGHOp[LWRGHODWDUHD">GHO
LQJOpVDFFRXQWDEOH@

o 5ROFRQODSULQFLSDOUHVSRQVDELOLGDGGHFRQVHFXFLyQGHODWDUHDDKtVHWHUPLQDOD
UHVSRQVDELOLGDG(VLPSRUWDQWHQRWDUTXHHOUROPHQFLRQDGRHVHOQLYHOPiVEDMR
DSURSLDGRSDUDUHQGLUFXHQWDVFODURTXHWDPELpQKD\QLYHOHVPiVDOWRVGH
UHQGLFLyQGHFXHQWDV3DUDKDELOLWDUHOHPSRGHUDPLHQWRGHQWURGHODRUJDQL]DFLyQ
ODUHVSRQVDELOLGDGGHUHQGLUFXHQWDVVHGHVJORVDDOQLYHOGHGHWDOOHPiVEDMR
SRVLEOH/DUHQGLFLyQGHFXHQWDVQRLQGLFDQHFHVDULDPHQWHTXHHOUROQRWHQJD
DFWLYLGDGHVRSHUDFLRQDOHVHVPX\SUREDEOHTXHHOUROHVWpLQYROXFUDGRHQODWDUHD
&RPRSULQFLSLRODUHQGLFLyQGHFXHQWDVQRSXHGHVHUFRPSDUWLGD\VLHPSUHVH
HQFXHQWUDDWRPL]DGD

&RQVXOWDGR²¢4XLpQHVWiGDQGRODVHQWUDGDV"

o 6HWUDWDGHORVUROHVTXHSURYHHQXQDHQWUDGD(VLPSRUWDQWHQRWDUTXHGHSHQGHGH
ORVUROHVGHUHVSRQVDEOHGHKDFHU\UHVSRQVDEOHGHTXHVHKDJDHOREWHQHUOD
LQIRUPDFLyQGHRWUDVXQLGDGHVRVRFLRVH[WHUQRV6LQHPEDUJRODVHQWUDGDVGHORV
UROHVHQOLVWDGRVGHEHUiQVHUFRQVLGHUDGDV\GHVHUUHTXHULGRHVFDODGDVVHJ~Q
VHDDSURSLDGRLQFOX\HQGRHOSURYHHULQIRUPDFLyQDXQGXHxRGHOSURFHVR\RDXQ
FRPLWpGHGLUHFFLyQ

,QIRUPDGR²¢4XLpQHVWiUHFLELHQGRODLQIRUPDFLyQ"

o 5ROHVTXHGHEHQVHULQIRUPDGRVGHORVORJURV\RHQWUHJDEOHVGHODVWDUHDV(OURO
UHVSRQVDEOHGHTXHVHKDJDGHEHVLHPSUHUHFLELULQIRUPDFLyQDSURSLDGDSDUD
UHYLVDUODWDUHDGHODPLVPDPDQHUDTXHORVUROHVUHVSRQVDEOHVGHKDFHU
5HVXPHQGHOPyGXOR

• Cada proceso de COBIT 5 tiene un ID, nombre, descripción y propósito

• Cada proceso de COBIT 5 tiene prácticas y actividades
• Las prácticas de gobierno y de gestión proveen un conjunto completo de
requerimientos de alto nivel que:
o Son enunciados de acciones para entregar beneficios, optimizar el nivel de riesgos y
optimizar el uso de los recursos
o Están alineados con los estándares y las mejores prácticas relevantes
generalmente aceptadas
o Son genéricos y por la tanto es necesario que sean adaptados a cada empresa
o Cubren a los que juegan un rol en el negocio o en la TI de principio a fin
• Las actividades son guías para lograr las prácticas clave y proveer el cómo, porqué
y qué de la implementación y mejora del desempeño de la TI y/o enfrentar los
riesgos de las soluciones de TI y la entrega del servicio
• Las actividades son típicamente alrededor de seis enunciados de acción que
describen qué hacer para implementar la práctica
• Cada proceso de COBIT 5 tiene salidas y entradas definidas para cada práctica de
gestión. Las entradas y salidas de COBIT 5 son los productos y artefactos del
trabajo del proceso considerados necesarios para apoyar la operación del proceso
• Cada proceso de COBIT 5 tiene metas y métricas relacionadas con TI, metas y
métricas del proceso. Las metas y métricas describen cómo deben ser medidos los
procesos
• El Cuadro de definición de responsabilidades por cargo ( Matriz RACI) contiene un
nivel de responsabilidad asignado a diferentes roles y estructuras sugerido para las
prácticas de los procesos
18
3XQWRVLPSRUWDQWHV
5HVXPLUORVSXQWRVGHDSUHQGL]DMHGHHVWHPyGXOR\DVHJXUDUVHTXHWRGRVFRPSUHQGHQORV
FRQFHSWRV
COBIT® 5
FUNDAMENTOS
Tarea IV:
Identif car los procesos, prácticas y metas de TI
Tarea 4
 0–5 minutos: Dividir a los estudiantes en grupos (de 3 a 4 personas por grupo).
 25–45 minutos: Preparar las respuestas a través del llenado de la hoja de respuestas.
 45–60 minutos: Discusión en grupo moderada por el instructor.
Método: Lee acerca del proyecto Video a Demanda, formula tu respuesta 1, discute con los miembros de tu equipo
y prepárate para la discusión en el salón. Después de discutir el resultado de la pregunta 1, intenta la pregunta
2. El instructor moderará la discusión y le pedirá a un miembro de cada equipo que realice una presentación
describiendo los procesos, prácticas y metas de TI identificadas por el grupo.
Video a demanda
David se reunió con el equipo de gerentes para identificar cuatro procesos de COBIT 5 en los cuales enfocarse,
dados los problemas de gobierno y gestión de Callwick. Describió cuatro áreas de preocupación y facilitó una
discusión para llegar a un acuerdo en los cuatro procesos clave.
Pregunta 1
David usó las descripciones de los procesos de COBIT 5 y las cuatro áreas de preocupación para identificar cuatro
procesos en los cuales enfocarse. Completa la tabla de abajo con los cuatro procesos que piensas dan un mejor
tratamiento a los procesos.
Área de preocupación Procesos de Notas adicionales

COBIT 5
La relación entre Callwick y Vidamelt
era muy problemática, debido al pobre
entendimiento de ambas partes de los
requerimientos y obligaciones.
A pesar de que la iniciativa fue completada

a tiempo, no entregó los resultados y la
calidad que el negocio necesitaba.
La solución desarrollada no se integró de

manera adecuada con la infraestructura de
TI y los procesos de negocios existentes
en Callwick.
Manual del alumno | COBIT 5: Tarea IV
Las políticas de seguridad y los

requerimientos no se definieron de manera
apropiada, causando problemas de control
de acceso.
Pregunta 2:
Después David estableció talleres con el personal de TI de Callwick más relacionado con los cuatro procesos
identificados. Quería fomentar que se convirtieran en propietarios del proceso, que se familiarizaran con las guías
de COBIT 5 y se involucraran en las áreas que más necesitan mejoras, de manera de que fueran capaces de
proponer un conjunto de acciones de mejora. Facilitó una discusión de cada uno de los procesos de COBIT 5 para
acordar qué prácticas de gestión era más importante mejorar. Completa la tabla de abajo con las prácticas que
creas es más importante tratar en estos problemas.
Área de preocupación Prácticas de Notas adicionales

COBIT 5
La relación entre Callwick y Vidamelt
era muy problemática, debido al pobre
entendimiento de ambas partes de los
requerimientos y obligaciones.
A pesar de que la iniciativa fue

completada a tiempo, no entregó los
resultados y la calidad que el negocio
necesitaba.
La solución desarrollada no se integró de

manera adecuada con la infraestructura
de TI y los procesos de negocios
existentes en Callwick.

requerimientos no se definieron de
manera apropiada, causando problemas
de control de acceso.
Pregunta 3
Después David sugirió que cada propietario del proceso definiera una o dos metas de procesos para establecer
algunas metas y medir las mejoras. Esto les ayudará a demostrar valor ganado a la dirección. Completa la tabla de
abajo con las metas de procesos que crear mejor dan tratamiento a los problemas.
Áreas de preocupación Metas del proceso de COBIT Notas adicionales

5
La relación entre Callwick
y Vidamelt era muy
problemática, debido al pobre
entendimiento de ambas
partes de los requerimientos y
obligaciones.
A pesar de que la iniciativa

fue completada a tiempo,
no entregó los resultados y
la calidad que el negocio
necesitaba.
La solución desarrollada no se
integró de manera adecuada
con la infraestructura de TI
y los procesos de negocios
existentes en Callwick.
Las políticas de seguridad

y los requerimientos no
se definieron de manera
apropiada, causando
problemas de control de
acceso.
&2%,7
)XQGDPHQWRV
0óGXOR
&2%,7(YDOXDFLRQHVGHODFDSDFLGDGGHORVSURFHVRV
COBIT 5: Evaluación de capacidad de procesos
Temas a tratar
Las temas de este módulo son:
9.1: ¿Por qué son importantes las evaluaciones de capacidad?
9.2: El nuevo enfoque de evaluación de capacidad de los procesos de ISO/IEC 15504
9.3: Aplicación del Enfoque del modelo de madurez COBIT 4 con COBIT 5
9.4: Resumen del módulo


• Entender la importancia de las evaluaciones de capacidad
• Entender el enfoque COBIT 5 ISO/IEC 15504
• Entender cómo aplicar el enfoque COBIT 4.1 CMM por medio de COBIT 5
Manual del alumno | COBIT 5: Evaluación de la capacidad de los procesos
3XQWRVLPSRUWDQWHV
(QHVWHPyGXOREXVFDUHPRV
(QWHQGHUSRUTXpODVHYDOXDFLRQHVGHFDSDFLGDGVRQLPSRUWDQWHV
(QWHQGHUHOQXHYRHQIRTXH,62,(&SDUDHOSURFHVRGHHYDOXDFLyQGH
FDSDFLGDG
(QWHQGHUODDSOLFDFLyQGHO(QIRTXHDOPRGHORGHPDGXUH]GH&2%,7FRQ&2%,7

¢3RUTXpHYDOXDUODFDSDFLGDG"

Fundamentos 9.1 ¿Por qué son importantes las evaluaciones de capacidad?
• ¿TI está cumpliendo con los objetivos de

negocio?
• ¿La entrega de servicios ocurre de manera
efectiva y eficiente?
• ¿TI es lo suficientemente ágil y audaz como
para responder a nuevas demandas?
3XQWRVLPSRUWDQWHV
/DVHYDOXDFLRQHVGHFDSDFLGDGVHXWLOL]DQFRQIUHFXHQFLDFRPRXQDWpFQLFDGHHVWXGLR
FRPSDUDWLYRTXHD\XGDDODJHUHQFLDDHQWHQGHUHOSHUILODFWXDOGHODVFDSDFLGDGHVGH7,
DQLYHOHPSUHVDHVWRVLQLPSRUWDUVLHOQLYHODFWXDOHVDFHSWDEOHRVLHVHOTXHVHGHVHD
DOFDQ]DU
(OQXHYRHQIRTXH,62,(&SDUDODHYDOXDFLyQGHODFDSDFLGDGGHOSURFHVR
Fundamentos 9.2 El nuevo enfoque ISO/IEC 15504 para la evaluación de capacidad de procesos
COBIT 4.1 COBIT 5 15504
Un nuevo esquema de evaluación de capacidad basado en ISO/IEC 15504 ha sido introducido

con la finalidad de proporcionar un esquema de evaluación más preciso y reproducible. Va
dirigido principalmente a empresas que desean hacer una evaluación formal de sus
capacidades actuales.
3XQWRVLPSRUWDQWHV
(O&2%,7GHVFRQWLQXDHOHQIRTXHGHPRGHODGRGHPDGXUH]GHFDSDFLGDGGH&2%,7
9$/,7\5,6.,7 EDVDGRVHQHO&00DKRUDVRSRUWDXQQXHYRHVTXHPDGHHYDOXDFLyQGH
FDSDFLGDGEDVDGRHQ,62,(&

(QOD*XtDGHDXWRHYDOXDFLyQSDUD&2%,7&2%,7 6HOI$VVHVVPHQW*XLGHVHRULHQWD
VREUHODPHMRUPDQHUDGHUHDOL]DUXQDDXWRHYDOXDFLyQGHFDSDFLGDG,6$&$FXHQWDFRQXQ
VLVWHPDGHHYDOXDGRUHVDFUHGLWDGRVTXHGHEHUiQVHUFHUWLILFDGRV\FDSDFLWDGRVHQJXtDV
IRUPDOHVGHHYDOXDFLyQ
$WULEXWRVJHQpULFRVGHFDSDFLGDGGHSURFHVRV
Atributos
El conjunto de productos de COBIT 5 incluye un nuevo Modelo de evaluación
genéricos de de procesos, el cual está basado en el estándar mundialmente reconocido
capacidad de ISO/IEC 15504 de Ingeniería de Software—Evaluación de Procesos.
procesos
Modelo de
Atributos genéricos de las capacidades del proceso
evaluación del
proceso Atributo de PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2
rendimiento (PA) Gestión del Gestión Definición dell Despliegue Medición del Control del Innovación Optimización
1.1 Desempeño o desempeño de productos proceso del proceso proceso proceso del proceso del proceso
del proceso de trabajo
La calificación Proceso Proceso Proceso Proceso Proceso Proceso

ISO/IEC 15504
Incompleto Ejecutado Gestionado Establecido Predecible Optimizado
0 1 2 3 4 5
Definición de los
términos de ISO Modelo de evaluación del
Modelo de evaluación de los procesos–
15504 proceso de COBIT 5 –
Indicadores del Rendimiento Indicadores de capacidad
Resultados del proceso

Evaluación del
proceso
Prácticas base Productos
(Prácticas de de trabajo Prácticas genéricas Recursos genéricos Productos de trabajo
Gestión/Gobier (Entradas/ genéricos
no) Salidas)
3XQWRVLPSRUWDQWHV
([LVWHQVHLVQLYHOHVGHFDSDFLGDGGHOSURFHVRLQFOX\HQGRHOGH³3URFHVRLQFRPSOHWR´SDUDORV
FDVRVHQTXHODVSUiFWLFDVQRDOFDQ]DQHOSURSyVLWRGHVHDGRSDUDHOSURFHVR
x QLYHO±3URFHVRLQFRPSOHWR(OSURFHVRQRHVLPSOHPHQWDGRRIUDFDVDHQVXLQWHQWR
GHDOFDQ]DUVXSURSyVLWRFRPRSURFHVR(QHVWHQLYHOODVHYLGHQFLDVGHXQDREWHQFLyQ
VLVWHPiWLFDGHORVREMHWLYRVGHOSURFHVRVRQSRFDVRQXODV
x QLYHO±3URFHVRHMHFXWDGRXQDWULEXWR(OSURFHVRLPSOHPHQWDGRDOFDQ]DVX
SURSyVLWRFRPRSURFHVR
x QLYHO±3URFHVRJHVWLRQDGRGRVDWULEXWRV(OSURFHVRHMHFXWDGRSUHYLDPHQWH
GHVFULWRKDVLGRLPSOHPHQWDGRGHIRUPDJHVWLRQDGDIXHSODQLILFDGRVXSHUYLVDGR\
DMXVWDGR\ORVSURGXFWRVGHVXWUDEDMRKDQVLGRHVWDEOHFLGRVFRQWURODGRV\PDQWHQLGRV
GHPDQHUDDGHFXDGD
x QLYHO±3URFHVRHVWDEOHFLGRGRVDWULEXWRV(OSURFHVRJHVWLRQDGRSUHYLDPHQWH
GHVFULWRHVWiDKRUDLPSOHPHQWDGRPHGLDQWHXQSURFHVRFDSD]GHDOFDQ]DUORV
UHVXOWDGRVGHOSURFHVR
x QLYHO±3URFHVRSUHGHFLEOHGRVDWULEXWRV(OSURFHVRHVWDEOHFLGRSUHYLDPHQWH
GHVFULWRVHHQFXHQWUDRSHUDQGRGHQWURGHOtPLWHVELHQGHILQLGRVFRQODILQDOLGDGGH
DOFDQ]DUORVUHVXOWDGRVGHOSURFHVR
x QLYHO±3URFHVRRSWLPL]DGRGRVDWULEXWRV(OSURFHVRSUHGHFLEOHSUHYLDPHQWH
GHVFULWRVHPHMRUDGHPDQHUDFRQWLQXDFRQODILQDOLGDGGHTXHFXPSODFRQREMHWLYRVGH
QHJRFLRVUHOHYDQWHVWDQWRDFWXDOHVFRPRIXWXURV

3DUDORJUDUFDGDQLYHOGHSURFHVRHVLQGLVSHQVDEOHKDEHUFXPSOLGRHQVXWRWDOLGDGFRQHOQLYHO
TXHOHSUHFHGH3RUHMHPSORXQDFDSDFLGDGGHOSURFHVRQLYHOSURFHVRHVWDEOHFLGRH[LJHTXH
ORVDWULEXWRVGHGHILQLFLyQGHOSURFHVR\GHVSOLHJXHGHOSURFHVRKD\DQVLGRLPSOHPHQWDGRV
DGHPiVGHOFXPSOLPLHQWRHQVXWRWDOLGDGGHORVDWULEXWRVQHFHVDULRVSDUDFXPSOLUFRQOD
FDSDFLGDGGHOSURFHVRQLYHOSURFHVRJHVWLRQDGR

&DGDQLYHOWLHQHDWULEXWRVELHQGHILQLGRVXQRSDUDHOQLYHO\GRVSDUDORVQLYHOHVVLJXLHQWHV
0RGHORGHHYDOXDFLyQGHSURFHVRV
Atributos genéricos
de capacidad de El Modelo de evaluación del proceso (Process Assessment Model - PAM)
procesos define los niveles y atributos con base en el estándar y un Modelo de
referencia de procesos con base en COBIT 5.
Modelo de
evaluación del

proceso
La calificación
ISO/IEC 15504
Definición de los
términos de ISO
15504
Evaluación del
proceso
3XQWRVLPSRUWDQWHV
/D,62FXHQWDFRQDWULEXWRVHVWiQGDUHVORVFXDOHVHVWiQEDVDGRVHQUHVXOWDGRV
REMHWLYRVSURGXFWRVGHOWUDEDMRUHVXOWDGRV\SUiFWLFDVEDVHSUiFWLFDVGHJHVWLyQ\GH
JRELHUQR

(O0RGHORGHUHIHUHQFLDSURFHVRVXWLOL]DGRHQODHYDOXDFLyQFRQWLHQHORVREMHWLYRVUHVXOWDGRV\
SUiFWLFDVSURYHQLHQWHVGH&2%,7

1RWD(O0RGHORGHUHIHUHQFLDGHSURFHVRVVHXWLOL]DVRORHQHO1LYHO$QLYHOHVPiVDOWRVVH
XWLOL]DQSUiFWLFDV\SURGXFWRVGHWUDEDMRJHQpULFRVWDO\FRPRVHLQGLFDHQHOHVWiQGDU,62

/DFDOLILFDFLyQ,62,(&
de capacidad de La escala de calificación de atributos, la cual se basa en el ISO 15504 utiliza
procesos cuatro niveles con base en ciertos porcentajes:
N: No alcanzado (0 – 15%)
P: Parcialmente alcanzado (15 – 50%)
Modelo de
evaluación del L: Ampliamente alcanzado (50 – 85%)
proceso
F: Completamente alcanzado (85 – 100%)
La calificación
ISO/IEC 15504
Definición de los
términos de ISO
15504
Evaluación del
proceso
3XQWRVLPSRUWDQWHV
/DHVFDODGHFDOLILFDFLRQHVGHOD,62,(&DVLJQDXQDFDOLILFDFLyQGHDFXHUGRFRQHOQLYHO
GHFRPSOHFLyQGHFDGDREMHWLYR
11RORJUDGR/DHYLGHQFLDDUURMDGDSRUHOSURFHVRGHHYDOXDFLyQGHTXHHODWULEXWR
GHILQLGRKDVLGRDOFDQ]DGRHVSRFDRQXOD &RPSOHFLyQGHODOSRUFLHQWR
33DUFLDOPHQWHDOFDQ]DGR([LVWHHYLGHQFLDGHDFXHUGRFRQHOSURFHVRGH
HYDOXDFLyQGHTXHHODWULEXWRGHILQLGRKDVLGRDWHQGLGR\ORJUDGRKDVWDFLHUWRSXQWR
$OJXQRVDVSHFWRVGHOFXPSOLPLHQWRGHODWULEXWRSXHGHQOOHJDUDVHULPSUHGHFLEOHV
&RPSOHFLyQGHODOSRUFLHQWR
/$PSOLDPHQWHDOFDQ]DGR([LVWHHYLGHQFLDGHDFXHUGRFRQHOSURFHVRGH
HYDOXDFLyQGHTXHHODWULEXWRGHILQLGRKDVLGRDWHQGLGRGHPDQHUDVLVWHPiWLFD\HQ
EXHQDPHGLGDDOFDQ]DGR(VSRVLEOHTXHHODWULEXWRD~QSUHVHQWHDOJXQDVGHELOLGDGHV
HQHOSURFHVRGHHYDOXDFLyQ&RPSOHFLyQGHODOSRUFLHQWR
)&RPSOHWDPHQWHDOFDQ]DGR([LVWHHYLGHQFLDGHDFXHUGRFRQHOSURFHVRGH
HYDOXDFLyQGHTXHHODWULEXWRGHILQLGRKDVLGRDWHQGLGRGHPDQHUDVLVWHPiWLFD\GHTXH
KDVLGRFRPSOHWDGR(OSURFHVRGHHYDOXDFLyQQRDUURMDQLQJXQDGHELOLGDGLPSRUWDQWH
SDUDHVWHDWULEXWR&RPSOHFLyQGHODOSRUFLHQWR
$GHPiVGHHVWRODVSUiFWLFDVGHOSURFHVRGHJHVWLyQRGHJRELHUQRSXHGHQVHUHYDOXDGDV
XWLOL]DQGRODPLVPDHVFDODGHSXQWDMHODFXDOLQGLFDKDVWDTXpSXQWRVHDSOLFDQODVSUiFWLFDV
EDVH
&RQHOILQGHUHILQDUODHYDOXDFLyQORVSURGXFWRVGHWUDEDMRSRGUiQVHUWDPELpQFRQVLGHUDGRV
FRQODILQDOLGDGGHGHWHUPLQDUKDVWDTXpSXQWRFLHUWRDWULEXWRHVSHFtILFR
'HILQLFLyQGHORVWpUPLQRVGH,62

de capacidad de Definición de términos:
procesos
Propósito del proceso: Son los objetivos medibles de alto nivel de la ejecución
del proceso, así como los resultados probables de una implementación efectiva
del proceso.
Modelo de
evaluación del Resultado del proceso: Es el resultado observable de un proceso (nota: un
proceso resultado es un artefacto, un cambio significativo o el cumplimiento de
restricciones específicas).
Práctica base: Son las actividades que, cuando son llevadas a cabo de forma
La calificación
ISO/IEC 15504 consistente, contribuyen a lograr el propósito específico del proceso.
Producto de trabajo: Se trata de un artefacto asociado con la ejecución de un
proceso, esto definido en términos de “entradas” y “salidas” de un proceso.
Definición de
los términos
de ISO 15504
Evaluación del
proceso
3XQWRVLPSRUWDQWHV
'LVFXWDPRVODVGHILQLFLRQHVGHORVWpUPLQRVGH,62
(YDOXDFLyQGHOSURFHVR
de capacidad de ¿Qué es la Evaluación de un Proceso?
procesos
ISO 15504 identifica el propósito como una actividad que puede ser llevada a
cabo ya sea como una evaluación de proceso o como una iniciativa de
Modelo de
mejora de proceso
evaluación del • Mejorar de manera continua la efectividad de la empresa
proceso
• Identificar las fortalezas y debilidades de ciertos procesos seleccionados con base
en las necesidades del negocio
La calificación
• Proporcionar una metodología lógica, entendible, repetible, fiable y robusta para
ISO/IEC 15504 evaluar la capacidad de los procesos relacionados con TI
Definición de los
términos de ISO
15504
Evaluación del
proceso
10
3XQWRVLPSRUWDQWHV
'LVFXWDPRVDFHUFDGHHYDOXDFLyQGHSURFHVRV
Mis notas
3URJUDPDGHHYDOXDFLyQ&2%,7

Programa de El Programa de evaluación de COBIT incluye:

evaluación de
• El Modelo de evaluación de procesos (PAM) de COBIT; usando COBIT 4.1 y 5
COBIT
• Guía de evaluador COBIT usando COBIT 4.1 y 5
• Guía de auto evaluación de COBIT usando COBIT 4.1 y 5
Evaluación de
madurez y de
capacidad
Propósito del
modelo de
referencia de
procesos
Dimensiones de
proceso y de
capacidad
Atributos
específicos y
genéricos
11
3XQWRVLPSRUWDQWHV
(OQXHYR3URFHVRGHHYDOXDFLyQGH&2%,7FUHDGRSRU,6$&$FRQMXQWD&2%,7FRQOD
,62XQPRGHORGHUHIHUHQFLDSDUDODHYDOXDUFDSDFLGDGGHSURFHVRVODFXDO
HVWiIRUPDGDSRUQLYHOHVGHFDSDFLGDGTXHDVXYH]HVWiQIRUPDGRVSRUORV
DWULEXWRVGHSURFHVRV\ODVSUiFWLFDVJHQpULFDV
$OJXQDVSXEOLFDFLRQHVGH,6$&$SDUDHO3URJUDPDGH(YDOXDFLyQ&2%,7LQFOX\HQHO
0RGHORSDUDOD(YDOXDFLyQGH3URFHVRV3URFHVV$VVHVVPHQW0RGHO3$0OD*XtD
SDUD(YDOXDGRUHV&HUWLILFDGRV&2%,7$VVHVVRU*XLGH\OD*XtDGH$XWR(YDOXDFLyQ
&2%,76HOI$VVHVVPHQW*XLGHSDUDODVHPSUHVDVLQWHUHVDGDVHQXQDHYDOXDFLyQ
PHQRVIRUPDOSHURTXHVLJDHOPLVPRHQIRTXHEiVLFR
(O3$0TXHHVODUHIHUHQFLDFODYHSDUDXQDHYDOXDFLyQEiVLFDPHQWHYXHOYHD
HQXQFLDUPXFKRGHOFRQWHQLGRGH&2%,7\ORFRQYLHUWHHQXQPRGHORGHDOXDFLyQ
GHSURFHVRVTXHFXPSOHFRQ,62SDUDVHUXVDGRHQODHYDOXDFLyQGHOD
FDSDFLGDGGHORVSURFHVRVGH7,

(YDOXDFLyQGHPDGXUH]\FDSDFLGDGHV
Programa de Diferencia entre evaluación de madurez y de capacidad:

evaluación de
COBIT • Una Evaluación de procesos examina los procesos utilizados por una organización
para determinar si estos son efectivos para lograr sus objetivos en lo que respecta
a la capacidad de los procesos seleccionados. Los resultados podrán ser utilizados
para impulsar actividades de mejora del proceso o para determinar la capacidad del
Evaluación de
proceso
madurez y de
capacidad • La Madurez organizacional expresa hasta qué punto una organización implementa
consistentemente procesos dentro un alcance definido que contribuye al logro de
sus objetivos de negocio
Propósito del
modelo de
referencia de
procesos
Dimensiones de
proceso y de
capacidad
Atributos
específicos y
genéricos
12
3XQWRVLPSRUWDQWHV
+LVWyULFDPHQWHODPD\RUSDUWHGHORVPDUFRV&2%,7,7,/\35,1&(KDQXWLOL]DGRHOHQIRTXH
GHO6(,6RIWZDUH(QJLQHHULQJ,QVWLWXWHHOFXDOFRPELQDXQD(YDOXDFLyQGHFDSDFLGDG\PDGXUH]HQ
XQDPLVPDHYDOXDFLyQ
,62LQGLFDTXHVRQGRVHYDOXDFLRQHVGLIHUHQWHV
,62,(&GHVFULEHXQDHYDOXDFLyQGHSURFHVRVFRPRXQDTXHH[DPLQDORVSURFHVRV
XWLOL]DGRVSRUXQDRUJDQL]DFLyQSDUDGHWHUPLQDUVLVRQHIHFWLYRVSDUDHOFXPSOLPLHQWRGHORV
REMHWLYRV/DHYDOXDFLyQFRQVLGHUDODSUiFWLFDDFWXDOGHQWURGHXQDXQLGDGRUJDQL]DFLRQDOHQ
WpUPLQRVGHODFDSDFLGDGGHFLHUWRVSURFHVRVVHOHFFLRQDGRV/RVUHVXOWDGRVSRGUiQVHUYLUSDUD
GLULJLUDFWLYLGDGHVGHPHMRUDGHOSURFHVRRSDUDGHWHUPLQDUODFDSDFLGDGGHOSURFHVR
/D,62GHILQHPDGXUH]RUJDQL]DFLRQDOFRPRXQDH[SUHVLyQGHKDVWDTXpSXQWRXQD
RUJDQL]DFLyQLPSOHPHQWDFRQVLVWHQWHSURFHVRVGHQWURXQDOFDQFHGHILQLGRTXHFRQWULEX\HDO
ORJURGHVXVREMHWLYRVGHQHJRFLRDFWXDOHVRIXWXURV 8Q0RGHORGHPDGXUH]RUJDQL]DFLRQDO
HVWiEDVDGRHQXQRRPiV0RGHORVGHHYDOXDFLyQGHSURFHVRVGHILQLGRV\FRQVLGHUDORVGRPLQLRV\
FRQWH[WRVSDUDHOXVRGHOORV0RGHORVGHSURFHVRVGHUHIHUHQFLDGHOFXDOVHGHULYDHOORV0RGHORV
GHHYDOXDFLyQGHSURFHVRV
/DGLIHUHQFLDFODYHTXHHVLPSRUWDQWHQRWDUDSDUWLUGHODVGHILQLFLRQHVDQWHULRUHV
/DHYDOXDFLyQGHODPDGXUH]VHOOHYDDFDERDO1LYHOHPSUHVDULDOXRUJDQL]DFLRQDO\XVDXQD
HVFDODGHPHGLFLyQGLIHUHQWHDODHYDOXDFLyQGHFDSDFLGDGDVtFRPRFULWHULRV\DWULEXWRV
GLVWLQWRV
8QDHYDOXDFLyQGHFDSDFLGDGVHKDFHDQLYHOGHSURFHVR\VHUHDOL]DFRQHOSURSyVLWRGHPHMRUDU
HOSURFHVR1RHVSRVLEOHDJUHJDUODHYDOXDFLyQGHYDULRVSURFHVRVGHPDQHUDPDWHPiWLFDSDUD
REWHQHUHOQLYHOHPSUHVDULDO(VWRIXQFLRQDSDUDHO&00,GHO6(,6RIWZDUH(QJLQHHULQJ,QVWLWXWH
SRUTXpHOORVHVWiQHYDOXDQGRXQVRORSURFHVR³SURFHVRGHLQJHQLHUtDGHVRIWZDUHRGHVDUUROORGH
DSOLFDFLRQHV´/DPD\RUtDGHORVPDUFRVFRPR&2%,7FRQWLHQHQGHDSURFHVRV
UHVSHFWLYDPHQWHSDUD&2%,7\&2%,7
,6$&$GHFLGLyDGRSWDUODQRUPD,62,(&(YDOXDFLyQGHFDSDFLGDGGH
SURFHVRVVRORHQHVWDHWDSDSRUTXH,6$&$WRGDYtDQROHTXHGDQFODURVORVEHQHILFLRVGHOOHYDU
DFDERXQDHYDOXDFLyQGHPDGXUH]
3URSyVLWRGHXQ0RGHORGHUHIHUHQFLDGHSURFHVRV
Programa de El propósito de un Modelo de referencia de procesos es:

evaluación de
COBIT • Los Modelos de referencia de procesos proporcionan el mecanismo mediante el
cual los Modelos de evaluación de procesos son vinculados al marco de
medición definido en la norma ISO/IEC 15504
Evaluación de • Un Modelo de referencia de procesos se define de forma externa a esta parte del
madurez y de ISO/IEC 15504 y provee las bases para uno o más Modelos de evaluación de
capacidad procesos. Los Modelo(s) de evaluación de procesos se basan en las
descripciones de procesos provistas por los Modelos de referencia de
procesos
Propósito del
modelo de
referencia de
procesos
.
Dimensiones de
proceso y de
capacidad
Atributos
específicos y
genéricos
13
3XQWRVLPSRUWDQWHV
([LVWHQGRVYHUVLRQHV&2%,7\&2%,7/DVGRVYHUVLRQHVVHSUHVHQWDQHQOD
FDSDFLWDFLyQGHELGRDTXHHQDPEDVHOPDUFRGHPHGLFLyQ\HOPRGHORGHHYDOXDFLyQGH
SURFHVRVVRQORVPLVPRV
'LPHQVLRQHVGHSURFHVR\FDSDFLGDG
Programa de Diferencia entre las dimensiones de proceso y de capacidad:

evaluación de
COBIT
PA5.2 Optimización del proceso
Dimensión de capacidad
Nivel 5 PA5.1 Innovación del proceso
PA4.2 Control del proceso Con base en los (Nivel 2 a 5) Indicadores
Evaluación de Nivel 4 PA4.1 Medición del proceso de Atributos de Proceso (PAI):
madurez y de PA3.2 Despliegue del proceso -GP: Práctica Genérica
capacidad Nivel 3 PA3.1 Definición del proceso -GR: Recurso Genérico
PA2.2 Gestión del desempeño -GWP : Producto de trabajo genérico
Nivel 2 PA2.1 Gestión de productos de trabajo
Nivel 1 PA1.1 Desempeño del proceso
Propósito del Nivel 0 Indicadores de desempeño
modelo de adicionales para Nivel 1 con
referencia de base en:
procesos -BP: Prácticas base
-WP: Productos de trabajo
EDM Dimensión de proceso
Dimensiones Evaluar,
de proceso y orientar y APO
de capacidad
supervisar Alinear,
planificar y BAI
Atributos organizar Construir,
específicos y adquirir e DSS
genéricos
implementar Entregar, dar
servicio y MEA
Procesos de COBIT 5 soporte Supervisar, evaluar
y valorar
14
3XQWRVLPSRUWDQWHV
/DVGLIHUHQFLDVHQWUHDPEDVGLPHQVLRQHVVHSUHVHQWDQHQHOHQIRTXHGHOD,62
/D'LPHQVLyQGHFDSDFLGDGUHSUHVHQWDGDHQORVQLYHOHVGHFDSDFLGDG
8QDGLPHQVLyQGHSURFHVRVTXHVHUHILHUHSDUWLFXODUPHQWHDORVSURFHVRV
HVSHFtILFRVGH&2%,7WDO\FRPRDSDUHFHQHQHO0RGHORGHUHIHUHQFLDGHSURFHVRV
3URFHVV5HIHUHQFH0RGHO350
Mis notas
$WULEXWRVJHQpULFRV\HVSHFtILFRV
Programa de Las diferencias entre los Atributos específicos y los genéricos se delinean en
evaluación de
COBIT el COBIT PAM.
Prácticas genéricas: Se trata de actividades de tipo genérico que sirven
para guiar la implementación de las características de un atributo. Esto sirve
Evaluación de para apoyar el logro de un atributo del proceso, pero sólo en los niveles 2 a
madurez y de
capacidad 5. Muchos de ellos tienen que ver con prácticas de gestión; es decir,
prácticas que se establecen para sustentar el desempeño del proceso.
Productos de trabajo genéricos: Estos indicadores representan una serie
Propósito del de características que deberían ser evidentes en los productos de trabajo
modelo de
referencia de genéricos como resultado del logro de un atributo. Los productos de trabajo
procesos genéricos sientan las bases para la clasificación de los productos de trabajo,
definidos como indicadores del desempeño de un proceso. Estos
Dimensiones de representan formas básicas de productos de trabajo que pueden ser tanto
proceso y de entradas como salidas de todos los tipos de procesos. En la dimensión de
capacidad
proceso se utilizan únicamente entre los Niveles 2 y 5.
Atributos
específicos y
genéricos
15
3XQWRVLPSRUWDQWHV
127$(VWRVVRQORVWpUPLQRVGHO,62\VyORVRQDSOLFDEOHVSDUDORVQLYHOHV
(OFRQWHQLGR&2%,7QRVHXVDSDUDORVQLYHOHVVyORSDUDHOQLYHO
9HQWDMDVGHO
Ventajas de Ventajas del Programa de evaluación de COBIT basado en la norma

15504 15504:
• Un proceso de evaluación robusto basado en ISO 15504
• Alineación de la escala del modelo de madurez de COBIT con el estándar
Nivel de capacidad internacional
1
• Un nuevo modelo basado en la evaluación de capacidad que incluye:
o Requerimientos específicos de procesos derivados de COBIT 4.1 y COBIT 5
o Habilidad de lograr los atributos de procesos, con base en ISO 15504
Evaluación del o Requerimientos de presentación de evidencia
nivel de capacidad o Requisitos de experiencia y calificaiones para evaluadores
1 y de niveles
superiores o Produce evaluaciones más robustas, objetivas y repetibles
Niveles de
capacidad de
proceso mayores
Análisis de brecha
16
3XQWRVLPSRUWDQWHV
+DEOHPRVGHORVEHQHILFLRVGHO3URJUDPDGHHYDOXDFLRQHVGH&2%,7EDVDGRHQOD
Mis notas
1LYHOGHFDSDFLGDG
Ventajas de 15504 El Nivel de capacidad 1 puede evaluarse a partir de:
Revisar los resultados del proceso.
Nivel de
capacidad 1 Evaluar las prácticas (de gestión o gobierno) del proceso.
Considerar los productos del trabajo.

Evaluación del
nivel de capacidad
1 y de niveles
superiores
Niveles de
capacidad de
proceso mayores
Análisis de brecha
17
3XQWRVLPSRUWDQWHV
(VLPSRUWDQWHHYDOXDUVLHOSURFHVRFXPSOHFRQVXVREMHWLYRV(VGHFLUTXHFXPSOHFRQ
HOHUQLYHOGHFDSDFLGDG(VWDHYDOXDFLyQVHSXHGHKDFHUGHODVLJXLHQWHPDQHUD
5HYLVDQGRORVUHVXOWDGRVGHOSURFHVRWDO\FRPRVHGHVFULEHQSDUDFDGDSURFHVRHQODV
GHVFULSFLRQHVGHWDOODGDVGHORVSURFHVRV\HQODHVFDODGHFDOLILFDFLRQHV,62,(&
SDUDGHWHUPLQDUKDVWDTXpJUDGRFDGDXQRGHORVREMHWLYRVKDVLGRORJUDGR/D
HVFDODFRQVLVWHHQODVVLJXLHQWHVFDOLILFDFLRQHV
o 11RDOFDQ]DGR([LVWHQSRFDVRQXODVHYLGHQFLDVGHTXHHODWULEXWRGHILQLGR
KD\DVLGRORJUDGRHQHOSURFHVRHYDOXDGRDSRUFLHQWRGHFRPSOHFLyQ
o 33DUFLDOPHQWHDOFDQ]DGR([LVWHHYLGHQFLDGHDFXHUGRFRQHOSURFHVRGH
HYDOXDFLyQGHTXHHODWULEXWRGHILQLGRKDVLGRDWHQGLGR\ORJUDGRKDVWDFLHUWR
SXQWR$OJXQRVDVSHFWRVGHOFXPSOLPLHQWRGHODWULEXWRSXHGHQOOHJDUDVHU
LPSUHGHFLEOHV&RPSOHFLyQGHODOSRUFLHQWR
o /$PSOLDPHQWHDOFDQ]DGR([LVWHHYLGHQFLDGHDFXHUGRFRQHOSURFHVRGH
HYDOXDFLyQGHTXHHODWULEXWRGHILQLGRKDVLGRDWHQGLGRGHPDQHUDVLVWHPiWLFD
\HQEXHQDPHGLGDDOFDQ]DGR(VSRVLEOHTXHHODWULEXWRD~QSUHVHQWH
DOJXQDVGHELOLGDGHVHQHOSURFHVRGHHYDOXDFLyQ&RPSOHFLyQGHODOSRU
FLHQWR

o )&RPSOHWDPHQWHDOFDQ]DGR([LVWHHYLGHQFLDGHDFXHUGRFRQHOSURFHVRGH
HYDOXDFLyQGHTXHHODWULEXWRGHILQLGRKDVLGRDWHQGLGRGHPDQHUDVLVWHPiWLFD
\GHTXHKDVLGRFRPSOHWDGR(OSURFHVRGHHYDOXDFLyQQRDUURMDQLQJXQD
GHELOLGDGLPSRUWDQWHSDUDHVWHDWULEXWR&RPSOHFLyQGHODOSRUFLHQWR
([SUHVDUKDVWDTXpSXQWRVHDSOLFDQODVPHMRUHVSUiFWLFDVXVDQGRODPLVPDHVFDODGH
FDOLILFDFLRQHV
&RQVLGHUDUORVSURGXFWRVGHWUDEDMR\GHWHUPLQDUKDVWDTXpSXQWRKDQVLGRORJUDGRV
FLHUWRVDWULEXWRVGHHYDOXDFLyQ
(YDOXDFLyQGHFDSDFLGDGQLYHO\QLYHOHVPiVDOWRV
Ventajas de 15504 Se establecen diferencias entre la forma de evaluar el Nivel de capacidad 1 y

otros niveles más altos. Ya que, como se describió de manera previa, el Nivel
de capacidad 1 del proceso describe si un proceso cumple con su propósito y
por lo tanto, alcanzar este nivel es muy importante . Además, es la base para
Nivel de capacidad alcanzar otros niveles de capacidad más altos.
1
Evaluación del
nivel de
capacidad 1 y
de niveles
superiores
Niveles de
capacidad de
proceso mayores
Análisis de brecha
18
3XQWRVLPSRUWDQWHV
&DGDHPSUHVDGHEHGHILQLUORVQLYHOHVGHFDSDFLGDGTXHEXVFDDOFDQ]DU0XFKDV
HPSUHVDVDVSLUDQDTXHWRGRVVXVSURFHVRVORJUHQHOQLYHOGHFDSDFLGDGSXHVGHOR
FRQWUDULR¢FXiOVHUtDHOVHQWLGRGHKDEHULPSOHPHQWDGRHVWRVSURFHVRV"6LHOQLYHOQRHV
DOFDQ]DGRODVUD]RQHVVHUiQREYLDVDSDUWLUGHOHQIRTXHTXHVHPHQFLRQyDQWHULRUPHQWH
\DSDUWLUGHHVWRVHSXHGHSODQLILFDUXQDPHMRUD(OSODQGHPHMRUDVHEDVDHQORV
VLJXLHQWHVSXQWRV
6LXQUHVXOWDGRGHXQSURFHVRQRHVFRQVLVWHQWHPHQWHORJUDGRHOSURFHVRQR
HVWiFXPSOLHQGRFRQVXREMHWLYR\SRUORWDQWRGHEHVHUPHMRUDGR
/DHYDOXDFLyQGHODVSUiFWLFDVGHOSURFHVRUHYHODUiTXpSUiFWLFDVWLHQHQ
SUREOHPDVRHVWiQIDOODQGRORFXDOIDFLOLWDUiODLPSOHPHQWDFLyQ\RPHMRUDGH
HVDVSUiFWLFDV\SHUPLWLUiDVXYH]TXHORVUHVXOWDGRVGHHVRVSURFHVRVVHDQ
DOFDQ]DGRV

1LYHOHVPiVDOWRVGHFDSDFLGDGGHSURFHVRV
Para niveles de capacidad del proceso mayores, se utilizan las prácticas genéricas
estándar y los productos de trabajo tomados de la ISO/IEC 15504:2. Éstas sirven
Ventajas de 15504 para proporcionar las descripciones genéricas necesarias para cada uno de los
niveles de capacidad.
Un ejemplo para PA 2.1, Gestión del desempeño, sería:
Resultado del Prácticas Genéricas (GPs) Productos de Trabajo
Nivel de capacidad Cumplimiento Genéricos (GWPs)
1 Completo del
Atributo
a. Se identifican los GP 2.1.1 Identificar los GWP 1.0 La documentación del
Evaluación del
objetivos para el objetivos para el desempeño proceso deberá servir para delinear el
nivel de capacidad desempeño del del proceso. Los objetivos de alcance del proceso.
1 y de niveles proceso. desempeño, en conjunto con los GWP 2.0 El Plan del proceso deberá
superiores supuestos y las restricciones, proporcionar detalles de los resultados
son definidos y comunicados. del desempeño del proceso.
Niveles de
capacidad de b. El desempeño GP 2.1.2 Planificar y GWP 2.0 El Plan del proceso deberá
proceso del proceso se monitorear el desempeño del proporcionar detalles de los resultados
mayores planifica y proceso con la finalidad de del desempeño del proceso.
monitorea. cumplir con los objetivos GWP 9.0 Los registros del
Análisis de brecha identificados. Las mediciones desempeño del proceso deberán
básicas del desempeño del proporcionar detalles de los
proceso relacionadas con los resultados.
objetivos de negocios se Nota: En este nivel, los registros del
establecen y monitorean. Estos desempeño del proceso podrán
incluyen hitos clave, actividades presentarse a manera de informes,
requeridas, estimaciones y asuntos registrados y registros
cronogramas. informales.
19
3XQWRVLPSRUWDQWHV
([LVWHQQXHYHDWULEXWRVGHPDGXUH]HQ,62VHHQOLVWDQDFRQWLQXDFLyQGHDFXHUGRDVXQLYHOGH
FDSDFLGDG
3$,QQRYDFLyQGHOSURFHVR
3$2SWLPL]DFLyQGHOSURFHVR
3$0HGLFLyQGHOSURFHVR
3$&RQWUROGHOSURFHVR
3$'HILQLFLyQGHOSURFHVR
3$'HVSOLHJXHGHOSURFHVR
3$*HVWLyQGHOSURFHVR
3$*HVWLyQGHOSURGXFWRGHOWUDEDMR
3$'HVHPSHxRGHOSURFHVR
/DVGHILQLFLRQHVGHODVSUiFWLFDVJHQpULFDVGHWUDEDMR\GHORVSURGXFWRVGHWUDEDMRJHQpULFRVSDUDFDGD
DWULEXWRSRGUiQVHUHQFRQWUDGDVHQHO&2%,73$0 0RGHORGHHYDOXDFLyQGHSURFHVRV
$QiOLVLVGHEUHFKD
Análisis de brecha con base en el

Ventajas de 15504 estándar ISO/IEC 15504
1. Identificar y priorizar áreas de mejora considerando:
• Identificación de fortalezas, debilidades y riesgos
• Objetivos empresariales
Nivel de capacidad
1 • Oportunidades para mejorar la satisfacción de los clientes
• Las guías de COBIT 5 y otros estándares y buenas prácticas relacionados
• Indicadores comparativos (benchmark) que proporcionan un marco de referencia básico
para la evaluación de los resultados
Evaluación del
nivel de capacidad • Los objetivos del desempeño del proceso existentes y los resultados de las mediciones
1 y de niveles de las métricas que puedan indicar las causas raíces de los impulsores para la mejora; y
superiores
• Riesgos de no alcanzar los objetivos de mejora estipulados
Niveles de
capacidad de
proceso mayores
Análisis de
brecha
20
3XQWRVLPSRUWDQWHV
(OPpWRGRTXHVHGLVFXWHHQODGLDSRVLWLYDKDVLGRWRPDGRGLUHFWDPHQWHGHOHVWiQGDU,62
(OFLFORGHYLGDGHODPHMRUDGHODLPSOHPHQWDFLyQVHH[SOLFDGHOOHQRHQOD*XtDSDUDOD
,PSOHPHQWDFLyQGH&2%,7\WDPELpQVHGHWDOODHQHOFXUVRGHHQWUHQDPLHQWRSDUDOD
LPSOHPHQWDFLyQGH&2%,7
Cómo hacer un Análisis de brecha con

Ventajas de 15504
base en el estándar ISO/IEC 15504
2. Analizar fortalezas y debilidades de la evaluación:

Identificar fortalezas y los procesos calificados con los niveles de capacidad más
Nivel de capacidad
altos. Considerar:
1 • Las mejores prácticas que podrían adoptarse e institucionalizarse
• Las oportunidades existentes para mejorar la efectividad de los procesos
interrelacionados
Identificar debilidades prestando atención a:
Evaluación del
nivel de capacidad • Procesos con calificaciones de los atributos bajas
1 y de niveles • Procesos a los que les faltan prácticas. Considera las prácticas y actividades de gestión
superiores
de COBIT 5 y otros habilitadores, así como estándares relacionados y las mejores
prácticas necesarias para alcanzar el propósito del proceso
Niveles de • Calificaciones de los atributos del proceso fuera de equilibrio dentro de los niveles de
capacidad de capacidad necesarios para alcanzar los objetivos específicos de la empresa
proceso mayores • Estar atento a calificaciones bajas de atributos a lo largo de un grupo de procesos
evaluados, que púedan indicar debilidades en una categoría específica de procesos (por
ejemplo, calificaciones bajas en el nivel 2 de capacidad del proceso podría indicar
Análisis de debilidad en las categorías de procesos de Gestión y Apoyo)
brecha • De manera similar, compare las calificaciones de los atributos del proceso con otros
procesos relacionados. Es posible que se necesiten acciones de mejora para corregir
desequilibrios
21
$SOLFDQGRHOHQIRTXHGHOPRGHORGHPDGXUH]GH&2%,7FRQ&2%,7
Fundamentos 9.3 Aplicando el enfoque del nivel de madurez COBIT 4 con COBIT 5
Las diferencias más importantes entre una evaluación de capacidades basada en

ISO/IEC 15504 y el modelo de madurez de COBIT 4.1 son:
Diferencia entre
la forma en que
se nombra y el
significado de los
niveles de Diferencias entre
capacidad los atributos
Requerimientos
para que un
modelo de
referencia de
procesos cumpla
con el ISO/IEC
15504:2
22
3XQWRVLPSRUWDQWHV
/DVGLIHUHQFLDVPiVLPSRUWDQWHVHQWUHXQDHYDOXDFLyQGHFDSDFLGDGEDVDGDHQ,62,(&
\HOPRGHORGHPDGXUH]DFWXDOGH&2%,7\ORVPRGHORVGHPDGXUH]EDVDGRVHQGRPLQLRV
VLPLODUHVGH9DO,7\5LVN,7VHSXHGHQUHVXPLUGHODVLJXLHQWHPDQHUD
/DPDQHUDHQTXHVHQRPEUD\HOVLJQLILFDGRGHORVQLYHOHVGHFDSDFLGDGGHILQLGRVSRU
,62,(&VRQEDVWDQWHGLIHUHQWHVGHORVQLYHOHVGHPDGXUH]DFWXDOHVGH&2%,7
SDUDSURFHVRV
(Q,62,(&ORVQLYHOHVGHFDSDFLGDGVRQGHILQLGRVSRUXQDVHULHGHQXHYH
DWULEXWRVGHOSURFHVR(VWRVDWULEXWRVFXEUHQDOJXQRVGHORVSXQWRVFRQVLGHUDGRVSRUORV
DWULEXWRVGHPDGXUH]\RFRQWUROHVGHORVSURFHVRVGH&2%,7DFWXDOSHURGHPDQHUD
OLPLWDGD\GHIRUPDGLIHUHQWH
/RVUHTXLVLWRVSDUDXQ0RGHORGHUHIHUHQFLDGHSURFHVRVFRPSDWLEOHFRQ62,(&
SUHVFULEHORVVLJXLHQWHVUHTXLVLWRVSDUDODGHVFULSFLyQGHFXDOTXLHUSURFHVRTXHVHUi
HYDOXDGRHVGHFLUFXDOTXLHUSURFHVRGHJHVWLyQ\RGHJRELHUQRGH&2%,7
o (OSURFHVRGHEHUiVHUGHVFULWRHQWpUPLQRVGHVXVSURSyVLWRV\UHVXOWDGRV
o /DGHVFULSFLyQGHOSURFHVRQRGHEHUiLQFOXLUQLQJ~QDVSHFWRGHOPDUFRGHPHGLFLyQPiV
DOOiGHOQLYHOORFXDOVLJQLILFDTXHODVFDUDFWHUtVWLFDVGHXQDWULEXWRGHOSURFHVRTXH
YD\DQPiVDOOiGHOQLYHOQRSXHGHQDSDUHFHUHQXQDGHVFULSFLyQGHOSURFHVR6LXQ
SURFHVRHVPHGLGRRPRQLWRUHDGRRVLHVGHVFULWRGHPDQHUDIRUPDOQRSXHGHVHUSDUWH
GHXQDGHVFULSFLyQGHSURFHVRQLGHODVDFWLYLGDGHVRSUiFWLFDVGHJHVWLyQTXHVHOH
YLQFXODQ(VWRVLJQLILFDTXHODVGHVFULSFLRQHVGHOSURFHVRWDO\FRPRVHLQFOX\HQHQOD
*XtDGHUHIHUHQFLDGHORVSURFHVRV&2%,7FRQWLHQHQ~QLFDPHQWHORVSDVRV
QHFHVDULRVSDUDORJUDUORVSURSyVLWRV\REMHWLYRVGHOSURFHVR
J
Perfil de La diferencia entre el modelo de madurez de COBIT 4.1 y el modelo de

madurez de evaluación de COBIT 5.
una
organización
Modelos de En COBIT 5, el modelo de

Madurez de evaluación proporciona una
COBIT 4.1
escala de medición para
cada atributo de capacidad;
En COBIT 4.1, el modelo de cada nivel debe ser
madurez produce un perfil de completado antes de
Atributos de madurez de una empresa con
madurez alcanzar el siguiente.
la finalidad principal de
establecer indicadores de
comparación (benchmarking),
no para evaluaciones
formales.
Tabla de atributos
de madurez
Componentes de
COBIT 4.1 para
las evaluaciones
de la madurez de
los procesos
23
3XQWRVLPSRUWDQWHV
(OPRGHORGHPDGXUH]GH&2%,7SURGXMRXQSHUILOGHPDGXUH]GHXQDHPSUHVD(OSULQFLSDO
SURSyVLWRGHHVWHSHUILOFRQVLVWtDHQLGHQWLILFDUHQTXpGLPHQVLRQHVRSDUDFXiOHVDWULEXWRV
H[LVWtDQGHELOLGDGHVHVSHFtILFDVTXHYDOGUtDODSHQDPHMRUDU(VWHHQIRTXHIXHXWLOL]DGRSRU
HPSUHVDVHQPRPHQWRVHQTXHEXVFDURQODPHMRUD\QRSURSLDPHQWHODREWHQFLyQGHXQD³FLIUD
GHPDGXUH]´QHFHVDULDSDUDUHSRUWDU
(Q&2%,7HOPRGHORGHHYDOXDFLyQSURSRUFLRQDXQDHVFDODGHPHGLFLyQSRUFDGDDWULEXWRGH
FDSDFLGDG\WDPELpQRULHQWDDFHUFDGHODPDQHUDHQTXHGHEHGHVHUDSOLFDGDHVWRSDUDTXH
FDGDSURFHVRSXHGDVHUHYDOXDGRGHDFXHUGRDFDGDXQRGHORVQXHYHDWULEXWRVGHFDSDFLGDG
&2%,70RGHORVGHPDGXUH]
Perfil de madurez Modelos de madurez COBIT 4:

de una
organización • Ayuda a las empresas a medir la madurez de un proceso en una escala que va de
No existente (0) a optimizado (5).
• Ofrece una escala que sirve como base comparativa para contrastar las prácticas
Modelos de de la empresa contra estándares y lineamientos ´de la industria.
Madurez de
COBIT 4.1 No existente Inicial Repetible Definido Gestionado Optimizado
0 1 2 3 4 5
Atributos de
madurez
Simbología utilizada Calificaciones
Estado actual de la empresa 0-El proceso de gestión no se aplican en absoluto.

Tabla de atributos
de madurez 1- El proceso es ad hoc y desorganizado.
Promedio de la industria 2- El proceso sigue un patrón regular.
3- El proceso está documentado y comunicado.
Objetivo de la empresa 4- El proceso es monitoreado y medido.
5- El proceso aplica las buenas prácticas y es
Componentes de automatizado.
COBIT 4.1 para
las evaluaciones
de la madurez de
los procesos
24
3XQWRVLPSRUWDQWHV
$ODDOWDJHUHQFLDGHHPSUHVDVS~EOLFDV\FRUSRUDFLRQHVVHOHVSLGH\HVWRHVFDGDYH]PiV
IUHFXHQWHTXHFRQVLGHUHQTXpWDQEXHQDHVODDFWXDOJHVWLyQGH7,(QUHVSXHVWDDHVWR
QHFHVLWDQGHVDUUROODUFDVRVGHQHJRFLRVFRQYLQFHQWHVSDUDPHMRUDU\DOFDQ]DUORVQLYHOHVGH
JHVWLyQ\FRQWURODGHFXDGRVVREUHODLQIUDHVWUXFWXUDGHLQIRUPDFLyQ$XQTXHDOJXQRVSXHGHQ
SHQVDUTXHHVWRQRHVEXHQDLGHDHOORVQHFHVLWDQFRQVLGHUDUHOEDODQFHFRVWREHQHILFLR\ODV
VLJXLHQWHVSUHJXQWDVUHODFLRQDGDV
¢4XpHVWiQKDFLHQGRQXHVWURVFROHJDVHQODLQGXVWULD\HQTXpSRVLFLyQHVWDPRVFRQ
UHODFLyQDHOORV"
¢&XiOHVVRQODVEXHQDVSUiFWLFDVGHODLQGXVWULDPiVDFHSWDGDV"¢'yQGHQRVVLWXDPRV
FRQUHODFLyQDHVWDVSUiFWLFDV"
&RQEDVHHQHVWDVFRPSDUDFLRQHV¢HVWDPRVKDFLHQGRVXILFLHQWH"
¢&yPRLGHQWLILFDPRVTXpVHWLHQHTXHKDFHUSDUDDOFDQ]DUXQQLYHODGHFXDGRGHJHVWLyQ
\FRQWUROVREUHORVSURFHVRVGH7,"
%ULQGDUUHVSXHVWDVVLJQLILFDWLYDVDHVWDVSUHJXQWDVSXHGHUHVXOWDUGLItFLO/RVJHUHQWHVGH7,
HVWiQHQE~VTXHGDFRQVWDQWHGHKHUUDPLHQWDVTXHD\XGHQDUHDOL]DUHVWXGLRVFRPSDUDWLYRV\
GHDXWRHYDOXDFLyQSDUDHQWHQGHUTXpGHEHQKDFHU\FXiOHVODPDQHUDPiVHILFLHQWHGH
KDFHUOR(PSH]DQGRGHVGHORVSURFHVRVGH&2%,7HOSURSLHWDULRGHOSURFHVRGHEHVHUFDSD]
GHKDFHUHVWXGLRVFRPSDUDWLYRVGHPDQHUDLQFUHPHQWDOFRQUHVSHFWRDOREMHWLYRGHFRQWURO
(VWRUHVSRQGHDWUHVQHFHVLGDGHV
8QDPHGLGDUHODWLYDGHOOXJDUTXHRFXSDODHPSUHVD
8QDPDQHUDHILFLHQWHGHGHFLGLUKDFLDGyQGHLU
/DHVFDODGHHVWDGLDSRVLWLYDPXHVWUDHOHVWDGRDFWXDOGHODRUJDQL]DFLyQ\ODSRVLFLyQSURSXHVWDHQ
UHODFLyQDODVPHMRUHVSUiFWLFDVHVWiQGDUHV\OLQHDPLHQWRVGHODLQGXVWULD
/DPRGHODFLyQGHPDGXUH]SDUDODJHVWLyQ\HOFRQWUROVREUHSURFHVRVGH7,VHEDVDHQXQPpWRGR
SDUDHYDOXDUODRUJDQL]DFLyQVXSURSyVLWRHVSHUPLWLUXQDHYDOXDFLyQEDVDGDHQXQDHVFDODTXHYDGH
³1RH[LVWHQWH´D³2SWLPL]DGR´(VWHHQIRTXHVHGHULYDGHOPRGHORGHPDGXUH]TXHHO,QVWLWXWR
SDUDOD,QJHQLHUtDGH6RIWZDUH6(,GHILQLySDUDODPHGLFLyQGHODPDGXUH]GHODFDSDFLGDGGH
GHVDUUROORGHVRIWZDUH6LQLPSRUWDUHOPRGHORODVHVFDODVQRGHEHQVHUGHPDVLDGRJUDQXODUHVSXHV
HVWRGLILFXOWDHOXVRGHOVLVWHPD\VXJLHUHXQQLYHOGHSUHFLVLyQLQMXVWLILFDEOH(QJHQHUDOHOSURSyVLWRHV
LGHQWLILFDUGyQGHVHHQFXHQWUDQORVSUREOHPDV\FyPRHVWDEOHFHUODVSULRULGDGHVGHORTXHGHEHVHU
PHMRUDGR
$WULEXWRVGHPDGXUH]
Perfil de madurez Atributos de la madurez

de una
organización
Conciencia y
comunicación
Modelos de
Niveles de DESCRIPCIÓN
Madurez de Políticas, planes
COBIT 4.1 Madurez
y procedimientos
0 – No existente El proceso de gestión no es aplicado en lo
absoluto.
Atributos de Herramientas y 1 – Inicial El proceso es ad hoc y está desorganizado.
madurez automatización
2 – Repetible El proceso sigue un patrón regular.
Habilidades y 3 – Definido El proceso se documenta y comunica.

Tabla de atributos
de madurez
conocimiento
4 – Gestionado El proceso se mide y monitorea.
Responsabilidad y 5 – Optimizado El proceso aplica las buenas prácticas y es

rendición de cuentas automatizado.
Componentes de
COBIT 4.1 para
las evaluaciones
de la madurez de Establecimiento de
los procesos objetivos y medición
0LVQRWDV
25
3XQWRVLPSRUWDQWHV
/RVPRGHORVGHPDGXUH]VHFRQVWUX\HQHPSH]DQGRSRUHOPRGHORFXDOLWDWLYRJHQpULFRTXH
DSDUHFHHQODWDEODGHODGLDSRVLWLYDSUHYLD
/RVSULQFLSLRVGHORVVLJXLHQWHVDWULEXWRVVHYDQDxDGLHQGRFRQIRUPHDXPHQWDQORVQLYHOHV
&RQFLHQFLD\FRPXQLFDFLyQ
3ROtWLFDVSODQHV\SURFHGLPLHQWRV
+HUUDPLHQWDV\DXWRPDWL]DFLyQ
+DELOLGDGHV\
5HVSRQVDELOLGDGHV\UHQGLFLyQGHFXHQWDV
(VWDEOHFLPLHQWRGHREMHWLYRV\PHGLFLyQ
(VLPSRUWDQWHUHFRQRFHUTXHFDGDXQRGHORVDWULEXWRVGHPDGXUH]DQWHULRUPHQWHGHVFULWRV
WLHQHORVQLYHOHVGHPDGXUH]TXHVHGHVFULEHQHQODVLJXLHQWHGLDSRVLWLYD
3RUHMHPSORHODWULEXWRGH³&RQFLHQFLD\FRPXQLFDFLyQ´WLHQHORVVLJXLHQWHVQLYHOHV
±1RH[LVWHQWH²1RVHDSOLFDHOSURFHVRGH
JHVWLyQHQORDEVROXWR
±,QLFLDO$GKRF²(OSURFHVRHVDGKRF\GHVRUJDQL]DGR
±5HSHWLEOHSHURLQWXLWLYR²(OSURFHVRVLJXHXQSDWUyQUHJXODU
±'HILQLGR²(OSURFHVRHVWiGRFXPHQWDGR\FRPXQLFDGR
±*HVWLRQDGR\PHGLEOH²(OSURFHVRHVPRQLWRUHDGR\PHGLGR
±2SWLPL]DGR²(OSURFHVRDSOLFDODVEXHQDVSUiFWLFDV\HVDXWRPDWL]DGR
7DEODGHDWULEXWRVGHODPDGXUH]
Conciencia y Políticas, planes Herramientas y Habilidades y Responsabilidad Establecimiento

Perfil de madurez
de una comunicación y procedimientos automatización conocimientos y rendición de de objetivos y
organización cuentas medición
1 Reconocimiento Existen enfoques Es posible que Las habilidades No hay definición Los objetivos no
de la necesidad ad hoc para los existan algunas necesarias para de responsabilidad son claros y no se
Modelos de del proceso, en procesos y prácticas. herramientas, el el proceso no ni de rendición de lleva a cabo
Madurez de caso de que éste uso de éstas se han sido cuentas. Las ninguna medición.
COBIT 4.1 sea emergente. Los procesos y basa en identificadas. personas se
políticas son herramientas de adueñan de los
Existe conciencia indefinidos. escritorio No existe un puntos importantes
de la importancia estándares. plan de con base en su
de comunicar los capacitación y propia iniciativa y
Atributos de aspectos No existe un tampoco se lleva de manera reactiva.
madurez importantes. enfoque a cabo una
planificado para el capacitación
uso de formal.
herramientas.
Tabla de
atributos de
madurez
Componentes de
COBIT 4.1 para
las evaluaciones
de la madurez de
los procesos
26

Conciencia y Políticas, planes Herramientas y Habilidades y Responsabilidad Establecimiento

Perfil de madurez
de una comunicación y automatización conocimientos y rendición de de objetivos y
organización procedimientos cuentas medición
2 Existe conciencia Emergen procesos Existen enfoques Se identifican Un individuo asume Ya se hace, hasta
de la importancia similares y comunes en lo requerimientos las cierto punto, el
Modelos de de actuar. comunes, pero son que concierne al de habilidades responsabilidades establecimiento
Madurez de en buena medida uso de mínimas para que le de objetivos. Se
COBIT 4.1 La gerencia intuitivos y se basan herramientas. Sin áreas críticas. corresponden y por introducen
comunica los en conocimientos embargo, estos se lo general se le algunas medidas
asuntos individuales. basan en las Se ofrece exige cierta financieras, pero
generales. soluciones capacitación rendición de sólo la alta
Algunos aspectos desarrolladas por como respuesta cuentas, incluso si gerencia está al
Atributos de del proceso pueden individuos clave. a ciertas esto no se tanto de ellas.
madurez repetirse debido al necesidades y establece Existe un
conocimiento Es posible que se no basada en un formalmente de monitoreo
individual. Es hayan adquirido plan establecido antemano. Existe inconsistente en
posible que exista herramientas a de antemano. La cierta confusión al ciertas áreas
cierta proveedores, pero capacitación respecto de quién aisladas.
Tabla de documentación y es muy posible informal ocurre es responsable de
entendimiento que no hayan sido en el trabajo un problema
atributos de informal de las aplicadas de como tal. cuando ocurre y es
madurez políticas y forma correcta y común que exista
procedimientos. que incluso, sean una cultura de
meramente “echar la culpa”.
“shelfware” o
Componentes de productos no
COBIT 4.1 para utilizados.
las evaluaciones
de la madurez de
los procesos
27

Conciencia y Políticas, Herramientas y Habilidades y Responsabilidad Establecimiento

Perfil de madurez
de una comunicación planes y automatización conocimientos y rendición de de objetivos y
organización procedimientos cuentas medición
3 Existe un Emerge el uso de Se ha definido un Los requisitos de La responsabilidad Algunos objetivos

entendimiento de buenas prácticas. plan para el uso y habilidades se y la rendición de y medidas de la
Modelos de las razones para estandarización definen y cuentas han sido efectividad han
Madurez de actuar. El proceso, las de las documentan definidas y los sido establecidos,
COBIT 4.1 políticas y los herramientas para para todas las propietarios del pero no han sido
La gerencia es más procedimientos se la automatización áreas. proceso han sido comunicados.
formal y definen y del proceso. identificados. Es Tampoco existe
estructurada en documentan para Un plan formal poco probable que un vínculo claro
sus todas las Se están usando de capacitación el propietario del con los objetivos
Atributos de comunicaciones. actividades clave. las herramientas ha sido proceso haya sido del negocio. Los
madurez para sus desarrollado, identificado. Es procesos de
propósitos pero la también poco medición
básicos, pero es capacitación probable que el emergen, pero no
posible que no formal aún propietario del se aplican de
vayan de acuerdo responde a proceso cuente con manera
Tabla de con el plan iniciativas la autoridad consistente. Se
acordado y individuales. necesaria para aplican las ideas
atributos de también es ejercer las de los cuadros de
madurez posible que no se responsabilidades. mando de TI, al
integren entre sí. igual que se hace
una aplicación
ocasional e
Componentes de intuitiva de los
COBIT 4.1 para análisis causa
las evaluaciones raíz.
de la madurez de
los procesos
28

Conciencia y Políticas, Herramientas y Habilidades y Responsabilidad Establecimient

comunicación planes y automatización conocimientos y rendición de o de objetivos y
Perfil de madurez procedimientos cuentas medición
de una
organización 4 Existe un El proceso es Las herramientas Los La responsabilidad La eficiencia y la
entendimiento de lógico y completo; se implementan de requerimientos en y rendición de efectividad se
los requerimientos se aplican mejores acuerdo a un plan cuestión de cuentas a nivel miden,
completos. prácticas a nivel estandarizado. habilidades se proceso han sido comunican y
Modelos de interno. Algunas han sido actualizan aceptadas y vinculan a los
Madurez de Se aplican integradas junto rutinariamente funcionan de tal objetivos de
COBIT 4.1 técnicas maduras Todos los con otras para todas las modo que negocio con el
de comunicación. aspectos del herramientas áreas. Se asegura permiten que un plan estratégico
Las herramientas proceso han sido relacionadas. la competencia propietario de TI. El cuadro
estándar de documentados y para todas las descargue por de mando de TI
comunicación ya son repetibles. Las Se están utilizando áreas críticas. Se completo sus se implementa en
Atributos de han sido políticas han sido herramientas en promueve la responsabilidades. algunas áreas
madurez implementadas. aprobadas y las áreas de mayor certificación. Se ha con las
firmadas por la importancia para implementado una excepciones
gerencia. Los automatizar la Las técnicas de cultura de la registradas por la
estándares para el gestión del capacitación recompensa, la gerencia, el
desarrollo y proceso y maduras se cual motiva el análisis de causa
mantenimiento de monitorear aplican de comportamiento y raíz ha sido
Tabla de los procesos y actividades y acuerdo con el las acciones estandarizado.
atributos de procedimientos se controles críticos. plan de positivas. Empieza a
madurez han adoptado y se capacitación y se emerger la
siguen. promueve que los mejora continua.
empleados
compartan
Componentes de información.Todo
COBIT 4.1 para s los expertos
las evaluaciones internos del
de la madurez de dominio se
involucran y la
los procesos
efectividad del
plan de
capacitación se
evalúa.
29

Conciencia y Políticas, Herramientas y Habilidades y Responsabilidad Establecimiento

comunicación planes y automatización conocimientos y rendición de de objetivos y
Perfil de madurez procedimientos cuentas medición
de una
organización 5 Existe un Se aplican los Se usan juegos de La organización Los propietarios de Hay un sistema
entendimiento mejores herramientas promueve de los procesos han integrado para la
avanzado y con estándares y las estandarizados a manera formal la sido empoderados medición del
visión a futuro de mejores prácticas lo largo de la mejora continua de para tomar desempeño que
Modelos de los externas. empresa. habilidades, esto decisiones y vincula el
Madurez de requerimientos. con base en efectuar acciones. desempeño de TI
COBIT 4.1 La documentación Las herramientas objetivos La aceptación de con los objetivos
Existe una del proceso se ha están totalmente personales y de la las del negocio por
comunicación convertido en integradas con organización responsabilidades medio de la
proactiva y flujos de trabajo otras claramente ha sido establecida aplicación global
basada en automatizados. herramientas definidos. a manera de del cuadro de
Atributos de tendencias de los Los procesos, relacionadas, esto cascada a lo largo mando de TI.
madurez problemas y se políticas y con la finalidad de La capacitación y de la organización, Cualquier
aplican técnicas procedimientos permitir el soporte la educación de forma excepción a esto
de comunicación han sido de principio a fin apoyan las consistente. es registrada de
maduras. Existen estandarizados e de los procesos. mejores prácticas forma global y
y se utilizan integrados para externas, utilizan consistente por la
herramientas facilitar la gestión Las herramientas conceptos y gerencia, y se
Tabla de integradas de de punta a punta se están utilizando técnicas aplica un análisis
atributos de comunicación. de la empresa, así para apoyar la novedosas. El de causa raíz. La
madurez como la mejora del compartir mejora continua
implementación de proceso y para la información es es una forma de
mejoras. detección parte de una vida.
automática de las cultura empresarial
Componentes de excepciones de y los sistemas
COBIT 4.1 para control. basados en
las evaluaciones conocimiento
de la madurez de están siendo
desplegados. Los
los procesos
expertos externos
y los líderes a nivel
industria son
utilizados como
guías.
30
3XQWRVLPSRUWDQWHV
/DWDEODTXHVHPXHVWUDHQODSDUWHVXSHULRUHVXQDWDEODGHDWULEXWRVJHQpULFRVGH&2%,7
HQHOODVHGHVFULEHHOQLYHOGHPDGXUH]SDUDFDGDWLSRGHDWULEXWRSDUDFXDOTXLHUSURFHVR
&2%,7
&RPSRQHQWHVSDUD(YDOXDFLRQHVGHFRPSRQHQWHVGHSURFHVRVGH&2%,7
Perfil de madurez Esta figura resume la manera en que se utiliza el contenido de COBIT 4.1
de una
organización para llevar a cabo una evaluación de madurez y un análisis de brecha.
Modelo de madurez
Modelos de (1 por proceso)
Madurez de
COBIT 4.1 No existente Inicial Repetible Definido Gestionado Optimizado
(Ad Hoc)
Nivel de Nivel de Nivel de Nivel de Nivel de Nivel de
Atributos de Madurez 0 Madurez 1 Madurez 2 Madurez 3 Madurez 4 Madurez 5
madurez
Tabla de atributos Atributos Genéricos del Modelo de Madurez

de madurez
Conciencia y Responsabilidad Establecimiento

Políticas, Planes Herramientas y Habilidades y
Comunicación y rendición de de objetivos y
y automatización conocimientos
cuentas medición
Procedimientos
Componentes de
COBIT 4.1 para
las evaluaciones
de la madurez de
los procesos Controles de procesos de Objetivos de control de COBIT
COBIT 4.1 4.1
31
3XQWRVLPSRUWDQWHV
(VWDILJXUDUHVXPHODPDQHUDHQTXHHOFRQWHQLGRGH&2%,7VHXWLOL]DSDUDOOHYDUDFDERXQ
DQiOLVLVGHEUHFKD\XQDHYDOXDFLyQGHPDGXUH]
(YDOXDFLyQGHPDGXUH]GH&2%,7XWLOL]DQGR&2%,7
Evaluación de El procedimiento para llevar a cabo una evaluación de madurez de COBIT 4

Madurez de
COBIT 4
usando COBIT 5 es el siguiente:
utilizando
COBIT 5 Comparar el alcance con las prácticas y actividades de gobierno y de
gestión de COBIT 5
Comparar el detalle de los procesos con la Tabla de atributos de

madurez COBIT 4.1
Comparar con otros modelos y análisis comparativos (benchmark)

disponibles
Establecer el nivel de madurez general para que corresponda con el

nivel de atributo más bajo
Analizar la brecha en comparación con COBIT 5, y con otros

estándares y buenas prácticas relevantes
32
3XQWRVLPSRUWDQWHV
(OSURFHGLPLHQWRSDUDOOHYDUDFDERXQDHYDOXDFLyQGHPDGXUH]GH&2%,7XVDQGR&2%,7
HVODVLJXLHQWH
&RPSDUDUHODOFDQFHGHOSURFHVRFRQODVDFWLYLGDGHV\SUiFWLFDVGHJHVWLyQRJRELHUQR
GHODVSUiFWLFDVGH&2%,7FRQODILQDOLGDGGHLGHQWLILFDUEUHFKDVDVXPLHQGRTXHOD
JHUHQFLDKD\DDFHSWDGR\DFRUGDGRFRQHODOFDQFHFRPSOHWRGHODVJXtDVGH&2%,7
&RQODILQDOLGDGGHFXPSOLUFRQHOQLYHO'HILQLGR\ORVTXHOHVLJXHQWRGDVODV
SUiFWLFDVGHEHQVHUDWHQGLGDV
&RPSDUDUORVGHWDOOHVGHOSURFHVRFRQODWDEODGHDWULEXWRVGHPDGXUH]GH&2%,7\
HYDOXDUHOQLYHOORJUDGRSRUFDGDDWULEXWR$GHPiVDOPRPHQWRGHHYDOXDUFDGD
DWULEXWRVHGHEHFRQVLGHUDUTXpWDQELHQVHHVWiDSOLFDQGRHQWpUPLQRVJHQHUDOHVOD
JXtDGHOSURFHVRSDUD&2%,7
o &RQFLHQFLD\&RPXQLFDFLyQ±('0\$32
o 3ROtWLFDV(VWiQGDUHV\3URFHGLPLHQWRV±('0$32\$32
o +HUUDPLHQWDV\$XWRPDWL]DFLyQ±$32
o +DELOLGDGHV\&RQRFLPLHQWRV±$32
o 5HVSRQVDELOLGDG\5HQGLFLyQGH&XHQWDV±7DEODGHOSURFHVR5$&,('0\
$32
o (VWDEOHFLPLHQWRGH2EMHWLYRV\PHGLFLyQ±$32\0($
&RPSDUDUORFRQHVWXGLRVFRPSDUDWLYRV\PRGHORVGLVSRQLEOHVR\DH[LVWHQWHVFRQOD
ILQDOLGDGGHYHULILFDUTXpWDQUD]RQDEOHUHVXOWDODHYDOXDFLyQ

(VWDEOHFHUHOQLYHOGHPDGXUH]DOQLYHOGHODWULEXWRPiVEDMRHVWRVDOYRTXHXQDWULEXWR
QRVHDFRQVLGHUDGRVLJQLILFDWLYRSDUDODFDSDFLGDGGHOSURFHVR$VHJXUDUVHGH
FRQVLGHUDUODFREHUWXUDGHODVSUiFWLFDVGHJRELHUQRRGHJHVWLyQ8WLOL]DUQ~PHURV
HQWHURV\QRIUDFFLRQHVQLSRUFHQWDMHV8QQLYHOVHDOFDQ]D~QLFDPHQWHFXDQGRWRGRV
ORVUHTXHULPLHQWRVKDQVLGRFXPSOLGRV/DJHUHQFLDQHFHVLWDWHQHUXQDYHUVLyQUHDOLVWD\
WUDQVSDUHQWHVLYDDSDWURFLQDUODVPHMRUDV
$QDOL]DUODEUHFKDHQWUHORVQLYHOHVDFWXDOHV\ORVGHVHDGRV3DUDHOORVHGHEHQ
FRQVLGHUDUODVIRUWDOH]DV\GHELOLGDGHVDFWXDOHVGHOSURFHVRHVWRFRQUHODFLyQDODV
SUiFWLFDVGHJRELHUQRRJHVWLyQ\ODVJXtDVGHDFWLYLGDGHVGH&2%,7ORVKDELOLWDGRUHV
GH&2%,7\RWURVHVWiQGDUHV\EXHQDVSUiFWLFDVUHOHYDQWHV
5HVXPHQGHOPyGX
• Las evaluaciones de capacidad de COBIT se usan principalmente como técnicas de análisis comparativo con la
finalidad de ayudar a la gerencia a entender el perfil de capacidad actual de TI
• El COBIT 5 descontinua el enfoque de modelado de madurez de capacidad de COBIT 4.1, VALIT y RISKIT
basados en el CMM, ahora soporta un nuevo esquema de evaluación de capacidad basado en ISO/IEC 15504
• El nivel de capacidad 1 es evaluado por medio de:
o La revisión de los resultados del proceso
o La evaluación de las prácticas del proceso (de gobierno o gestión)
o Consideración de los productos de trabajo
o Llevar a cabo un análisis de brecha basado en ISO/IEC 15504
• Las capacidades de mayor nivel se evalúan usando prácticas y productos de trabajo genéricos
• Identificar y priorizar las áreas de mejora a partir de una consideración de las fortalezas y debilidades evaluadas
• Las diferencias más importantes entre el proceso de evaluación de capacidades de ISO/IEC 15504 y el modelo
de madurez COBIT 4.1 son:
o La forma en que se nombran y el significado de los procesos
o Los niveles de las capacidades
o Los atributos de los niveles de las capacidades
o En COBIT 4.1, el modelo de madurez produce un perfil de madurez de una empresa para el análisis
comparativo (benchmark) y el análisis de brecha
o En COBIT 5, el modelo de evaluación proporciona una escala formal para cada atributo de capacidad. Los
niveles sólo pueden ser alcanzados una vez que todos los niveles inferiores hayan sido completados
• Los atributos de madurez en COBIT 4.1 y los atributos de capacidad del proceso en COBIT 5 no son idénticos.
Hasta cierto punto se superponen
• El procedimiento para una evaluación de madurez de COBIT 4 utilizando COBIT 5 es el siguiente:
o Comparar el alcance con las prácticas o actividades de gobierno o de gestión de COBIT 5
o Comparar el detalle del proceso con la Tabla de atributos de la madurez de COBIT 4.1 y compararlo a los
modelos o análisis comparativos (benchmarks) disponibles
o Establecer un nivel de madurez que corresponda con el nivel de atributo más bajo
o Analizar la brecha con respecto a COBIT 5, así como otros estándares y buenas prácticas relevantes
33
&2%,7
)XQGDPHQWRV
0yGXOR*XtDGHSUHSDUDFLyQSDUDHOH[DPHQ
Guía para la preparación del examen
Al final de esta sesión, serás capaz de:

• Aplicar algunos consejos y sugerencias prácticas para el examen de COBIT
• Entender el formato del examen de COBIT
• Prepararte para el examen
Manual del alumno | Guía de preparación para el examen
,GHDV\FRQVHMRVSUHSDUDFLyQ
Fundamentos Pistas y consejos: preparación
Ideas y Veamos algunos consejos prácticos:

consejos
• Estudiar el manual que se proporciona con el curso
• Dar una leída al examen muestra y a las respuestas
• Redactar un resumen o un mapa mental
Requisitos del
examen • Apuntar algunas preguntas relevantes
• Revisar los ejercicios y las respuestas proporcionadas
3XQWRVLPSRUWDQWHV
(VWDGLDSRVLWLYDFRQWLHQHFRQVHMRVSUiFWLFRVTXHGHEHVFRQVLGHUDUDQWHVGHWRPDUHOH[DPHQ
Mis notas

Fundamentos Pistas y consejos: preparación
Ideas y Veamos algunas sugerencias prácticas:

consejos
• Descansa bien la noche anterior al examen
• Lee con atención —dos veces, de ser necesario— cada pregunta antes de
contestarla. No asumas que sabes lo que te están preguntando
Requisitos del • A veces, la pregunta es “¿Cuál NO es….?” y no “¿Cuál es…?”
examen
• Sáltate las preguntas que no sepas responder en el momento y regresa a ellas más
tarde
• Para las preguntas de opción múltiple, elimina primero las respuestas que sabes
con certeza que son incorrectas
• Si sientes que te estás tensando, respira profundo
• El tiempo debe controlarse. Sabes que tienes 40 minutos para terminar el examen
3XQWRVLPSRUWDQWHV
(VWDGLDSRVLWLYDFRQWLHQHDOJXQRVFRQVHMRVSUiFWLFRVDGLFLRQDOHVSDUDODSUHSDUDFLyQGHO
H[DPHQ
Manual del alumno | Guía de preparación para el examen
5HTXHULPLHQWRVGHOH[DPHQ
Fundamentos Requerimientos del examen
Ideas y consejos Formato del examen

• Formato de opción múltiple
• 50 preguntas por examen
• 25 puntos o más son necesarios para aprobar (de 50 disponibles) - 50%
Requisitos del
• Duración de 40 minutos
examen
• Libro cerrado
• Inglés
Para mayor información, por favor lee la Guía del Estudiante de los
Fundamentos de COBIT
Mis notas
Manual del alumno | Plan de Estudio
COBIT 5® Foundation Examination Syllabus

November 2012
© The APM Group Limited 2012

COBIT® is a trademark of ISACA® registered in the United States and other countries
Version 1.0 (Live) Page 0 Owner: Chief Examiner
213
CONTENTS:
1. Introduction……………………………………………………………………………..2
2. Foundation Certificate…………………………………………………………………2
2.1 The Purpose of the COBIT 5 Foundation Certificate…………………….2
2.2 The Target Audience for the COBIT 5 Foundation Certificate………….2
2.3 High Level Performance Definition of a Successful COBIT Foundation
Candidate………………………………………………………………………2
3. Learning Outcomes Assessment Model……………………………………………..3
4. Syllabus Areas…………………………………………………………………………..3
5. Syllabus Presentation…………………………………………………………………..4
6. Important Points…………………………………………………………………………5
7. Syllabus Exclusions…………………………………………………………………….5

214
1 Introduction
The COBIT 5 ‘Business Framework for the Governance and Management of Enterprise IT’
introduces the candidate to the five basic principles which are covered in detail and includes
extensive guidance on enablers for governance and management of enterprise IT. Also
included is a supplementary guide outlining the foundation concepts of a process assessment
model (PAM) based on the ISO 15504 approach which replaces the previous CMM
(Capability Maturity Model). This is an expansion of Chapter 8 of the guide and reflects key
pieces of foundation knowledge that has been taken from the COBIT Process Assessment
Model (PAM) using COBIT 5.i
The primary purpose of the syllabus is to provide a basis for accreditation of the COBIT 5
Foundation Level certificate. It documents the learning outcomes related to the use of COBIT
and describes the requirements a candidate is expected to meet to demonstrate that these
learning outcomes have been achieved at the Foundation level.
The target audience for this document is:

x Exam Board
x Exam Panel
x APMG Assessment Team
x Accredited Training Organizations.
This syllabus informs the design of the exam and provides accredited training organizations
with a more detailed breakdown of what the exam will assess. Details on the exam structure
and content are documented in the COBIT 5 Foundation Design.
2 Foundation Certificate
2.1 Purpose of the COBIT 5 Foundation Certificate
The purpose of the Foundation certificate is to confirm that a candidate has sufficient
knowledge and understanding of the COBIT 5 guidance to be able to understand the
enterprise Governance and Management of Enterprise IT, create awareness with their
business executives and senior IT Management; assess the current state of their Enterprise
IT with the objective of scoping what aspects of COBIT 5 would be appropriate to implement.
The Foundation level training and certificate is also a pre-requisite for the following
training and certificate courses:
x COBIT 5 Implementation Training & certificate

x COBIT 5 Assessor Training & certificate
2.2 Target Audience for the COBIT 5 Foundation Level training and Certificate
Business Management, Chief Executives, IT /IS Auditors, Internal Auditors, Information
Security and IT Practitioners; Consultants, IT/IS Management looking to gain an insight into
the Enterprise Governance of IT and looking to be certified as a COBIT Implementer or
Assessor.
2.3 High Level Performance Definition of a Successful Foundation Candidate

The candidate should understand the key principles and terminology within COBIT 5.
Specifically the candidate should know and understand:
x The major drivers for the development of COBIT 5.

x The business benefits of using COBIT 5.
x The COBIT 5 Product Architecture.
x The IT management issues and challenges that affect enterprises.
x The 5 Key Principles of COBIT 5 for the governance and management of Enterprise
IT.
x How COBIT 5 enables IT to be governed and managed in a holistic manner for the
entire enterprise.

215
x How the COBIT 5 processes and the Process Reference Model (PRM) help guide the
creation of the 5 Principles and the 7 Governance and Management Enablers.
x The basic concepts for the Implementation of COBIT 5.
x The basic concepts of the new Process Assessment Model.
x The COBIT 5 guides and how they interrelate.
3 Learning Outcomes Assessment Model

A classification widely used when designing assessments for certification and education is the
Bloom’s Taxonomy of Educational Objectives. This classifies learning objectives into six
ascending learning levels, each defining a higher degree of competencies and skills (Bloom et
al, 1956, Taxonomy of Educational Objectives).
APMG have incorporated this into a Learning Outcomes Assessment Model which is used to
provide a simple and systematic means for assessing and classifying the learning outcomes
for APMG qualifications.
This structured approach helps to ensure:
x A clear delineation in learning level content between different qualification levels

x Learning outcomes are documented consistently across different areas of the
guidance
x Exam questions and papers are consistent and are created to a similar level of
difficulty.
The Foundation certificate examines learning outcomes at levels 1 (knowledge) and 2

(comprehension).
1.Knowledge 2. Comprehension
Generic Definition Know key facts, terms Understand key

from APMG Learning and concepts from the concepts from the
Outcomes manual/guidance manual/guidance
Assessment Model
COBIT 5 Learning To Know the facts, Understand the

Outcome terms, concepts, and concepts, principles,
Assessment Model principles, processes, features,
including tools, organizational factors
techniques, roles and and roles and can
responsibilities from explain how these are
the COBIT 5 applied to justify,
Framework Guidance design and implement
and the COBIT the COBIT 5
Process Assessment framework and the
Model (PAM). COBIT Process
Assessment model
(PAM)
4 Syllabus Areas
The syllabus is presented by syllabus areas. This is the unit of learning which may relate to a
chapter from the manual/guidance or several concepts commonly grouped together in a
training course module.
The following syllabus areas are identified.

216
Syllabus Syllabus Area Title

Area Code
OV Overview & Key Features of COBIT 5

PR The COBIT 5 Principles
EN The COBIT 5 Enablers
IM Introduction to COBIT 5 Implementation
PC Process Capability Assessment Model
5 Syllabus Presentation
For each syllabus area learning outcomes for each learning level are identified. Each learning
outcome is then supported by a description of the requirements that a candidate is expected
to meet to demonstrate that the learning outcome has been achieved at the qualification level
indicated. These are shown as syllabus topics.
All Foundation level requirements must be met before a candidate can move onto the
Implementation and Assessor training and certificate programme. Foundation level
knowledge and understanding will not be repeated in more advanced courses but can be
used when demonstrating application and analysis learning outcomes.
Each of the syllabus areas is presented in a similar format as follows:
Syllabus Area Syllabus Area :

Code Practitioner
Foundation
References
Primary
QUAL Syllabus Area (XX) Theme [1]
PG [2]
Level Topic
Know facts, terms and concepts relating to the syllabus area. [3]
Specifically to recall:
01 01 [6] [7 [8]
[4] [5] ]
01 02
Key to the Syllabus Area table
1 Syllabus Area Unit of learning, e.g. chapter of the reference guide or

course module.
2 Syllabus Area Code A unique 2 character code identifying the syllabus area.
3 Learning Outcome A statement of what a candidate will be expected to know,

understand or do.
(topic header shown in
bold)
4 Level Classification of the learning outcome against the APMG

217
OTE Learning Outcomes Assessment Model.
5 Topic Reference Number of the topic within the learning level.
6 Topic Description Description of what is required of the candidate to

demonstrate that a learning outcome has been achieved at
the qualification level indicated
7 Foundation/Practitioner Shows at which qualification level the topic is assessed.
N.B A topic is only assessed at one qualification level.
8 Primary Reference The main reference supporting the topic.
6 Important Points
The following points about the use of the syllabus should be noted.
COBIT 5 Guide References

The COBIT 5 guide references provided should be considered to be indicative rather than
comprehensive, i.e. there may be other valid references within the guidance. The main
reference guide for the COBIT 5 Foundation certificate is:
COBIT 5 - ’A Business Framework for the Governance and Management of Enterprise IT‘.
Most references to chapters, figures and appendices shown in the reference column below
are sourced from this guide and the ‘COBIT Process Assessment Model (PAM) – using
COBIT 4.1 and COBIT 5’.
7 Syllabus Exclusions
None
Syllabus Syllabus Area:

Area Code OVERVIEW & KEY FEATURES OF COBIT 5
Foundation
References
Primary
OV
Level Topic
Understand the concepts relating to the structure and format of the framework,
the drivers and business benefits of using the COBIT 5 framework.
Specifically to identify:
02 01 The drivers for the development of COBIT 5, specifically the needs Chapter 1 page
for the next generation of ISACA’s guidance on the enterprise 9 15 Overview
governance and management of IT.
02 02 The benefits to the enterprise stakeholders by using the COBIT 5 Executive
framework 9 Summary page
13

218

Area Code The COBIT 5 Principles
PR
Know facts and terms relating to the five Principles of COBIT 5.
01 01 The names and Key aspects of the five key Principles for Figure 2
governance and management of enterprise IT Principles model
x Principle 1 – Meeting Stakeholder Needs page 13 executive
x Principle 2 – Covering the Enterprise End-to-End 9 summary
x Principle 3 – Applying a Single Integrated Framework
x Principle 4 – Enabling a Holistic Approach
x Principle 5 – Separating Governance from Management
01 02 The names and descriptions of the seven categories of Enablers Figure 12 Chapter
that influence how the governance and management of IT works: 5 Page 27 and
x Enabler 1 – Principles, Policies and Frameworks appendix G
x Enabler 2 – Processes
x Enabler 3 – Organisational Structures
9
x Enabler 4 – Culture, Ethics and Behaviour
x Enabler 5 – Information
x Enabler 6 – Services, Infrastructure and Applications
x Enabler 7 – People, Skills and Competencies.
01 03 The Process Reference Model Governance Domain, specifically, the Chapter 6 Figure
names of the five processes in the Governance Domain. 16
Governance/man
9
agement
interactions page
33
01 04 The process Reference Model Management Domain, specifically: Chapter 6 Figure
1. The names of the processes in APO ( Align, Plan Organize) 16
2. The names of the processes in BAI ( Build, Acquire and Implement) Governance/man
3. The names of the processes in DSS (Deliver, Service and Support) 9 agement
4. The names of the processes in MEA (Monitor, Evaluate and interactions page
Assess) 33
01 05 The four questions to ask when establishing how to manage the enabler Chapter 5 page
performance: 28 to 29 Figure 13
• Are stakeholder needs addressed? The generic
• Are enabler goals achieved? enabler model
9
• Is the enabler life cycle managed?
• Are good practices applied?
Understand the concepts relating to the structure and format of the framework, the
drivers and business benefits of using the COBIT 5 framework.
Principle 1 – Meeting Stakeholder Needs Chapter 2 Pages
9 17 to 22 Figure 3
02 01 How the Governance Objective of Value Creation meets stakeholder Chapter 2 page
needs using: 17 Figure 3
x Benefits realisation 9
x Risk optimisation
x Resource optimisation
02 02 The types of Stakeholder drivers and where they fit into the COBIT 5 Chapter 2 pages
goals cascade mechanism. 9 17 to 18 Figures 4

219
02 03 The importance of Stakeholder needs and where they fit in the COBIT 5 Chapter 2 page
goals cascade mechanism, in particular: 17 to 19 and
1. The importance of transforming stakeholder needs into an Figure 5 appendix
9
enterprise’s actionable strategy D page 55
2. How stakeholder needs cascade to enterprise goals
3. The relationship to the balance score card.
02 04 The relationships of the enterprise goals to the 3 main governance Chapter 2 page
objectives: 17 to 19 and
1. The (p) Primary and (S) secondary relationship to Benefits Figure 5
realisation
2. The (P) Primary and (S) secondary relationship to Risk 9
Optimisation
3. The (P) Primary and (S) secondary relationship to Resource
Optimisation.
02 05 How Enterprise Goals cascade to IT-related Goals within the COBIT 5 Chapter 2 page
goals cascade mechanism, specifically: 9 18 to 19 Figure 6
x The relationship of IT-related goals to IT-related outcomes. & Appendix C
02 06 How IT-related Goals cascade to Enabler Goals within the COBIT 5 Chapter 2 page
goals cascade mechanism, specifically: 18 to 19
1. What is an enabler goal Appendix C
9
2. How IT-related Goals support IT-related processes.
02 07 The purpose of the Goals Cascade mechanism. Chapter 2 Page

9
17 2nd paragraph
Principle 2 – Covering the Enterprise End-to-end Chapter 3 Pages
9
23 to 24
02 08 The key components of a Governance System Chapter 3 Figure
9
8 page 23
02 09 How Key roles and activities interrelate: Chapter 3 Figure
1. Role of the stakeholders and their activities, accountabilities 9 page 24 Page
and responsibilities 31 Chapter 6
2. Role of the Governing Body and their responsibilities 9
3. Role of Management and their activities and responsibilities
4. The role of Operations and their activities and responsibilities
Principle 3 – Applying a single Integrated Framework.

02 10 The purpose of the COBIT 5 Integrator model and how it integrates and Chapter 4 Figure
aligns with existing ISACA guidance, new guidance and other standards 9 10 page 25
and frameworks.
02 11 The reasons why COBIT 5 is an integrated Framework Chapter 4 Figure
9 10 Page 25
Principle 4 - Enabling a Holistic Approach
02 12 The importance of the key components of the enabler dimension: Chapter 5 page
1. Stakeholder dimension 28 to 29 Figure 13
2. The Goals Dimension 9 The generic
3. The Life Cycle Dimension enabler model
4. The Good Practices dimension
02 13 The purpose of measurement indicators in the achievement of Goals. Chapter 5 page
x Lag indicators 29 Figure 13 The
9
x Lead indicators generic enabler
model
Principle 5 – Separating Governance from Management

220
02 14 The definition and responsibilities of Governance and Management Chapter 6 Figure

14
Governance/man
9
agement
interactions page
31
02 15 The interactions between governance and management Chapter 6 Figure
15
Governance/man
9
agement
interactions page
32

221

Area Code: The COBIT 5 Enablers
EN
Know facts and terms relating to the COBIT 5 Enablers.
01 01 The definition of a Process. Appendix G
9
page 69
Understand that COBIT enables IT to be governed and managed in a holistic
manner for the entire enterprise.
Enabler 1 - Principles, Policies and Frameworks
02 01 The purpose of principles, policies and frameworks in the enabling model. Appendix G
9 pages 67
02 02 The differences between Policies and Principles Appendix G

9
page 67
02 03 The characteristics of good policies. Appendix G
9 pages 67
02 04 The purpose of the Policy life cycle. Appendix G page
9 68
02 05 The good practice requirements for policies, principles and frameworks, Appendix G
specifically: Figure 28
x Their scope pages67 & 68
x Consequences of failing to comply with the policy 9
x The means of handling exceptions
x How they will be monitored.
02 06 The links and relationships between the Principles, policies and Appendix G
frameworks Enabler and other enablers, specifically: Figure 28
x Principles, policies and frameworks reflect the cultures, ethics pages67 & 68
and values of the enterprise
9
x Processes are the most important vehicle for executing policies
x Organisational structures can define and implement policies
x Policies are part of information.
Enabler 2 - Processes
02 07 Examples of Internal and External stakeholders Appendix G
9 Figure 29 pages
69 to 74
02 08 The key characteristics of the process goal categories: Appendix G
1. Intrinsic goals Figure 29 pages
9
2. Contextual goals 69 to 74
3. Accessibility & Security goals.
02 09 The activities in the process life cycle. Appendix G
9
page70
02 10 The differences in the Process Reference Model between Process Appendix G
Practices, Process Activities, Inputs and Outputs (Work products). 9 Figure 31 PRM
and pages 70
02 11 The Relationships between the Processes enabler and other enablers, Appendix G page
specifically: 9 71
x Processes need information as one form of input
x Processes need Organizational structure
x Processes produce and require services, infrastructure and
applications
x Processes are dependent on other processes
x Processes need policies and procedures to ensure consistent
implementation.
222
Enabler 3 - Organizational Structures

02 12 The Good Practices of an organizational structure, specifically: Appendix G
x Operating principles Figure 32 pages
x Span of control 75 to 77
x Level of authority
9
x Delegation of responsibility
x Escalation procedures
x Decision making
02 13 The responsibilities and characteristics of the following roles in an Appendix G

organization: Figure 33 pages
76 & 77
x Board
x CEO
x CFO
x COO
x CRO
x CIO
x CISO
x Business Executive
x Business Process Owner
x Strategy (IT Executive) Committee
x (Project and Programme) Steering Committees 9
x Architecture Board
x Enterprise Risk Committee
x Audit
x Head of Architecture
x Head of IT Operations
x Head of IT Administration
x Programme and Project Management Office (PMO)
x Value Management Office (VMO)
x Service Manager
x Information Security Manager
x Business Continuity Manager
x Privacy Officer
Enabler 4 - Culture, Ethics and Behaviour

02 14 The good practices for creating, encouraging and maintaining desired Appendix G
behaviour throughout the enterprise. 9 Figure 34 pages
79 to 80
02 15 The relationship of Goals for culture, ethics and behaviour to: Appendix G
x Organisational ethics Figure 34 pages
x Individual ethics 9 79 to 80
x Individual behaviours
02 16 The links and relationships of the Culture, ethics and behaviour enabler Appendix G Page
and to the other enablers, specifically: 80
x Processes
9
x Organizational structures
x Principles, Policies and frameworks
Enabler 5 - Information
02 17 The importance of the information criteria and dimensions of the COBIT 5 Appendix F Page
9
Information enablers. 63
02 18 The five steps of the Information Cycle, and how they interrelate and Appendix G
apply to the Information enablers 9 Page 81 Figure
35

223
02 19 The information attributes that are applied to the following Layers : Appendix G
1. Physical world Page 81 and 83
2. Empirical Figure 36
3. Syntactic
9
4. Semantic
5. Pragmatic
6. Social world
02 20 The possible uses of the Information Model. Appendix G Page

9
84
02 21 The attributes that are required to assess context and quality of Appendix G Page
information to the user, specifically: 82
x Relevancy
x Completeness
x Currency
x Appropriateness 9
x Conciseness
x Consistency
x Understandability and
x Ease of manipulation
Enabler 6 - Services, Infrastructure and Applications

02 The five architecture principles that govern the implementation and use of Appendix G Page
22 IT-related resources. 9 85 Figure 37
02 23 The relationship of the Services, Infrastructure and Applications Enabler Appendix G Page
to the other enablers, specifically: 86
x Information
9
x Culture, ethics and behaviour
x Processes, specifically the inputs and outputs
Enabler 7 - People, Skills and Competencies

02 24 The good practices of skills and competencies, specifically: Appendix G Page
x Defining skill requirements for each role 86 Figure 39 page
x Mapping skill categories to the COBIT 5 process domains (e.g. 9 88
EDM, APO etc.
x Using other external sources good practices
02 25 The skill categories, related to the following COBIT Process Domains: Appendix G Page
x EDM ( Evaluate, Direct and Monitor) 88 Figure 39
x APO (Align, Organize and Plan)
9
x BAI (Build, Acquire and Implement)
x DSS (Deliver, Service and Support)
x MEA (Monitor, Evaluate and Assess)

224

Area Code: An Introduction to COBIT 5 Implementation
IM
To know facts, terms and concepts relating to the Implementation of COBIT 5,
specifically to recall:
01 01 The three interrelated components of the life cycle model. Chapter 7 Figure
x Management of the programme 17 Pages 37 & 38
x Change enablement specifically addressing behaviour and
9
cultural aspects and
x Core continual improvement life cycle.
Understand the guidance that ISACA offers on implementing COBIT 5, the use
of the continual improvement life cycle’ in enabling change in an enterprise.
02 01 The enterprise specific internal and external environment factors Chapter 7 Page
as they apply to change management: 35 & 36
x Ethics and culture
x Applicable laws, regulations and policies
x Mission, vision and values
x Governance policies and practices
x Business plans and strategic intentions 9
x Operating Model
x Management style
x Risk appetite
x Capabilities and available resources
x Industry practices
02 02 The Importance of Pain Points and Trigger events that require Chapter 7 Page
improved governance and management of enterprise IT, specifically: 36 & 37
x Typical pain points:

o Business frustration with failed IT initiatives resulting
in increased costs & low business return on
investment
o Outsourcing service delivery problems
o Duplicate projects
o Continuous poor audit findings 9
o Board members and senior management reluctant to
engage with IT
x Typical Trigger Events:
o Mergers, acquisitions and divestments
o New regulatory or compliance requirements
o A shift in the market demand for the company’s
products
o Significant technology change
02 03 The importance of the business case to a programme initiative Chapter 7 Page

leveraging COBIT 5. 9 38

225
02 04 The characteristics of a good business case and what it should Chapter 7 Page
typically include, specifically: 38 & 39
x The business benefits that will be realized
x The business changes required
x The investments needed
x The on-going IT operating costs
x Constraints and dependencies derived from the risk 9
assessment
x Roles, responsibilities and accountabilities relative to other
initiative
x How the investment will be monitored

226
Syllabus Syllabus Area: Chapter 8

Area Code: Process Capability Model (The Process Assessment Model)
PC {PAM}
To know facts, terms and concepts relating to the Process Capability Model.
01 01 The six Capability Levels based on ISO 15504: COBIT 5 Chapter
x Level 0 – Incomplete Process 8 Figure 19 page
x Level 1 – Performed process 42
x Level 2 – Managed process 9
x Level 3 - Established Process
x Level 4 - Predictable Process
x Level 5 – Optimised Process
01 02 The nine Attributes based on ISO 15504: Chapter 8 Figure
x PA 1.1 Process performance 19 page 42
x PA 2.1 Performance management
x PA 2.2 Work product management
x PA 3.1 Process definition
x PA 3.2 Process deployment 9
x PA 4.1 Process measurement
x PA 4.2 Process control
x PA 5.1 Process innovation
x PA 5.2 Process optimisation
01 03 The Rating Scale based on ISO 15504: Chapter 8 page

45
xN Not achieved 0 to 15% achievement - There is
little or no evidence of achievement of the defined attribute in
the assessed process.
x P Partially achieved 15% to 50% achievement - There
is evidence of a sound systematic approach to an
achievement of the defined attribute in the assessment
approach 9
x L Largely achieved 50% to 85% achievement - There
is evidence of a sound, systematic approach to the
significant achievement of the defined attribute in the
assessment
x F Fully achieved 85% to 100% achievement - There is
evidence of a complete and systematic approach to and full
achievement of the defined attribute in the assessed
approach.
01 04 The definition of the following ISO 15504 terms: COBIT 5 PAM
1. A Process Purpose supplementary
2. A Process Outcome 9 guide 3.6.1
3. A Base Practice
4. A Work Product
To understand the Process Capability Model and the basic ISO 15504
concepts.
02 01 The Reasons for carrying out a Process Capability Assessment. COBIT 5 PAM
x ISO 15504 identifies the purpose as an activity that can be supplementary
performed either as a process assessment or as a process guide 3.1
improvement initiative
x To continuously improve the enterprise’s effectiveness
x To identify the strengths and weaknesses of selected 9
processes based on business need
x To provide a logical, understandable, repeatable, reliable and
robust methodology for assessing the capability of IT-related
processes.

227
02 02 The Scope of the COBIT assessment programme, specifically the COBIT 5 PAM
purpose of the 3 guides: supplementary
1. The Process Assessment Model (PAM) using COBIT 4.1 and guide 3.2
COBIT 5 9
2. The Assessor Guide – using COBIT 5 and COBIT 4.1
3. The Self-Assessment Guide – using COBIT 4.1 and COBIT 5
02 03 The differences between a Maturity and a Capability Assessment: COBIT 5 PAM

o ISO/IEC 15504-2 describes a Process Assessment supplementary
as one that examines the processes used by an guide 3.3
organization to determine whether they are effective
in achieving their goals. The assessment
characterizes the current practice within an
organizational unit in terms of the capability of the
selected processes. The results may be used to
drive process improvement activities or process
capability determination.
o ISO15505-7 defines organizational maturity as an
9
expression of the extent to which an organization
consistently implements processes within a defined
scope that contributes to the achievement of its
business goals (current or projected). An
Organizational Maturity Model is based upon one or
more specified Process Assessment Model(s), and
addresses the domains and contexts for use of the
Process Reference Model(s) from which the Process
Assessment Model(s) are derived
o
02 04 The purpose of a Process Reference Model as defined by ISO 15504 COBIT 5 PAM
supplementary
9
guide 3.6 pages
10
02 05 The Differences between the two dimensions outlined in the ISO COBIT 5 PAM
15504 approach: supplementary
x The capability Dimension as outlined by the 6 capability guide 3.7
levels and
9
x A process dimension which deals specifically with the 37
specific COBIT processes outlined in the Process Reference
Model (PRM)
02 06 The differences between the Generic and Specific attributes outlined COBIT 5 PAM
in the COBIT PAM. supplementary
9
1. Base Practices & Generic Base Practices guide 3.6.1.
2. Work Products & Generic Work Products
02 07 The benefits of the COBIT Capability Assessment approach. COBIT 5 Chapter
8 page 44 3.4
9
Supplementary
Guide
02 08 How the rating scales are used in an assessment COBIT 5 PAM
x To achieve a pass for a certain level, a process must be Supplementary
rated L – Largely or F – Fully at that level, and be rated F- guide 3.8
Fully on the lower levels.
x To be able to move onto another capability level all Process 9
Attributes must be F – fully for that process (if not achieved,
the organisation needs to improve that particular process
attribute to have a F rating before moving on)

228
i
All of the Process Assessment guides for COBIT 4.1 were released in 2011 and are branded separately at ISACA as
‘The COBIT Assessment Programme’. The COBIT 5 material is almost the same and will be available in November
2012.

229
COBIT® 5
FUNDAMENTOS
Examen de Prueba
Examen Foundation
Examen tipo test
Duración: 40 minutos
Instrucciones
1. Se debe contestar a cada una de las 50 preguntas.
2. Marque sus respuestas en la hoja de respuestas adjunta.
3. Utilice un lápiz y NO un bolígrafo para marcar sus respuestas en la hoja

de respuestas adjunta.
4. Sólo existe una respuesta correcta por pregunta.
5. Tiene a disposición 40 minutos para completar el examen.
6. Debe contestar al menos 25 preguntas correctamente para aprobar.
Número de candidato:
© The APM Group Ltd 2013 Este examen es propiedad de The APM Group (APMG). Se prohibe la reproducción o reventa
de este documento sin la autorización previa por parte de The APM Group Ltd.
COBIT® es una marca registrada de ISACA®, registrada en Estados Unidos y otros países.
COBIT logo™ es una marca registrada de ISACA®, registrada en Estados Unidos y otros países.
COBIT 5-ExamPaper-5012-EPCOBFSample2-121114SamplePaper1
Manual del alumno | Examen de Prueba
Examen Foundation de COBIT
1 ¿Qué pregunta es válida hacer al establecer cómo gestionar el desempeño del catalizador?
a) ¿Se aplican buenas prácticas?

b) ¿Se garantiza la seguridad?
c) ¿Las operaciones son eficientes?
d) ¿Se monitorea el desempeño?
2 ¿Qué tipo de meta de proceso es conforme con las reglas externas?
a) Intrínseca
b) De Negocio
c) Contextual
d) Accesibilidad y seguridad
3 ¿Cómo se llama la Fase de Gestión de un Programa en la Implementación del Ciclo de Vida

cuando las soluciones prácticas están apoyadas por casos de negocios justificados?
a) Construir mejoras
b) Definir la hoja de ruta
c) Planificar el programa
d) Iniciar el programa
© The APM Group Ltd 2013Este examen es propiedad de The APM Group (APMG).Se prohibe la reproducción o reventa de este documento sin la autorización previa por parte de The APM Group Ltd.
4 ¿Qué requerimiento fue un factor relevante para desarrollar el marco COBIT 5?
a) Alentar un lenguaje común, a través de toda la empresa, para permitir una mejor comprensión
de la TI por parte de las partes interesadas
b) Ser genérico y útil para empresas de todos los tamaños, ya sean comerciales, sin fines de
lucro o del sector público
c) Brindar guía adicional en áreas de alto interés, tales como la arquitectura empresarial
d) Habilitar a las empresas para que alcancen la excelencia operativa a través de una aplicación
de la tecnología confiable y eficiente
5 ¿Qué nombre se le da a un mecanismo de comunicación de la empresa para los valores

corporativos y el comportamiento esperado?
a) Resultados del proceso

b) Estructuras organizativas
c) Principios y políticas
d) Reglas y normas
6 ¿Qué requerimiento describe la “calidad contextual” en la dimensión Metas del Catalizador ?
a) Los resultados deberían ser relevantes y completos

b) Los catalizadores están disponibles cuando sea necesario
c) Los catalizadores brindan resultados precisos, objetivos y de calidad conocida
d) Los resultados están protegidos
7 ¿Qué declaración es correcta sobre estas tres guías COBIT, Modelo de Evaluación del
Proceso, Guía del Asesor, Guía de Autoevaluación?
a) El Modelo de Evaluación del Proceso (PAM) es evaluado por la Guía del Asesor
b) El Modelo de Evaluación del Programa NO tiene ningún valor sin la Guía del Asesor
c) La Guía de Autoevaluación es lo mismo que la Guía del Asesor, pero es utilizada
internamente en una organización
d) La Guía de Autoevaluación puede ser utilizada para prepararse para una Evaluación formal de
la Competencia del Proceso
8 ¿Qué elemento es un componente clave del Enfoque de Gobierno de COBIT 5?
a) Transparencia hacia las partes interesadas

b) Evaluar, Dirigir y Monitorear
c) Planificar, Construir, Ejecutar y Monitorear
d) Alcance de Gobierno
9 ¿Qué actividad es una buena práctica de principios operativos dentro del catalizador de
estructuras de la organización?
a) Publicar un calendario de las reuniones del Consejo de Administración por adelantado

b) Hacer públicos los límites de los privilegios de decisión de la estructura organizativa
c) Definir la estructura para delegar derechos de decisión
d) Documentar las decisiones que la estructura está autorizada a tomar
10 ¿Cuál es el propósito de la Cascada de Metas?
a) Considerar las Entradas y Salidas de un proceso de TI en la empresa

b) Definir e implementar la Arquitectura Empresarial de una empresa
c) Apoyar la alineación entre las necesidades de la empresa y las soluciones y servicios de TI
d) Apoyar la definición de roles y responsabilidades claras en una empresa
11 ¿Cuál sería el propósito del elemento políticas dentro del modelo de principios, políticas y
marcos?
a) Ser abierto y flexible

b) Especificar las consecuencias de la falta de conformidad
c) Proveer una guía detallada sobre la manera de poner en práctica los principios
d) Expresar los valores fundamentales de la empresa
12 Identifique la(s) palabra(s) que falta(n) en la oración siguiente.
La [ ? ] del proceso es un atributo de éste para un Proceso predecible.
a) innovación
b) gestión del desempeño
c) evaluación
d) medición
13 ¿Qué producen los Procesos como resultado de su operación?
a) Matrices RACI
b) Aspectos culturales
c) Capacidades de servicio
d) Metas de negocio
14 ¿Cuál es el dominio de proceso MÁS apropiado para las habilidades tales como Gestión de
Portafolio?
a) Monitorear, Evaluar y Verificar (MEA)

b) Entregar, dar Servicio y Soporte (DSS)
c) Construir, Adquirir e Implementar (BAI)
d) Alinear, Planificar y Organizar (APO)
15 ¿Qué catalizador convierte el comportamiento deseado en una guía práctica?
a) Cultura, Ética y Comportamiento

b) Servicios, Infraestructura y Aplicaciones
c) Principios, Políticas y Marcos
d) Personas, Habilidades y Competencias
16 ¿Qué opción NO sería un beneficio para la empresa al utilizar el marco COBIT 5?
a) COBIT 5 es ante todo un “marco de negocio”

b) COBIT 5 es un marco para ser utilizado principalmente para la Gestión de servicios de TI
c) COBIT 5 permite gestionar la TI de una manera integral
d) COBIT 5 alienta un lenguaje común en toda la empresa
17 ¿Cuál es el rol de mayor rango, dentro de la empresa, que es responsable de alinear la TI y

las estrategias del negocio?
a) Ejecutivo del Negocio

b) Jefe de Arquitectura
c) Director de Sistemas de Información (CIO)
d) Director General Operativo (COO)
18 ¿Qué factor relevante influye en las Necesidades de las partes interesadas?
a) Buenas prácticas
b) Calidad contextual
c) Indicadores de retraso
d) Ambiente regulatorio
19 ¿Cuál sería un vehículo importante para ejecutar las políticas?
a) Estructuras organizacionales
b) Prácticas del proceso
c) Marco de gobierno
d) Reglas y Normas
20 ¿Qué rol es responsable de monitorear las actividades para alcanzar los objetivos de la
empresa en el Enfoque de Gobierno?
a) Órgano de Gobierno
b) Operaciones
c) Las partes interesadas
d) Gerencia
21 ¿Qué término se utiliza para describir proyectos que están duplicados, lo cual podría indicar
una necesidad de un gobierno mejorado de la TI de la empresa?
a) Fusiones y adquisiciones
b) Punto débiles
c) Eventos desencadenantes
d) Riesgo de la TI
22 ¿Cuál es el propósito del Modelo de Referencia de Procesos?
a) Ser la base para la dimensión de competencia que define el método de puntuación para
cumplir con la ISO15504
b) Ser la base para la dimensión de proceso que delinea la estructura de los 37 procesos de
COBIT
c) Ser la base para la dimensión de proceso que brinda las referencias específicas del proceso
respecto de cada nivel de capacidad
d) Contener los atributos genéricos para los niveles dos, tres, cuatro y cinco
23 ¿En qué secuencia ocurriría lo siguiente en el Modelo de Referencia de Procesos de COBIT

5?
1. Construir
2. Orientar
3. Planificar
a) 2,3,1
b) 1,2,3
c) 2,1,3
d) 3,1,2
24 Identifique las palabras que faltan en la siguiente oración.
La Arquitectura Empresarial se considera una categoría de habilidad para el Dominio de

Procesos [ ? ]
a) Evaluar, Dirigir y Monitorear (EDM)

b) Construir, Adquirir e Implementar (BAI)
c) Alinear, Planificar y Organizar (APO)
d) Supervisar, Evaluar y Valorar (MEA)
25 ¿Qué nivel de capacidad es un proceso establecido?
a) Nivel 1
b) Nivel 2
c) Nivel 3
d) Nivel 6
26 ¿Qué representa a los resultados relacionados con la TI, requeridos para alcanzar las metas
de la empresa?
a) Metas relacionadas con la TI

b) Metas del catalizador
c) Cuadro de mando (balanced scorecard) de la TI
d) Procesos
27 ¿Cómo se llama el conjunto de prácticas influidas por las políticas y los procedimientos de la
empresa, que toma las entradas de una serie de fuentes, manipula las entradas y produce
salidas?
a) Marco
b) Políticas
c) Habilitadores
d) Proceso
10
28 ¿Qué capa de información contiene el atributo sobre la manera en que la información se

transporta?
a) Del mundo social

b) Semántica
c) Del mundo físico
d) Empírica
29 ¿Cómo se logra el Objetivo de Gobierno de “Creación de Valor”?
a) Al conseguir los beneficios

b) Al optimizar los recursos
c) Al optimizar el riesgo
d) Todos los anteriores
30 ¿Cuál es el propósito del elemento principios dentro del modelo de principios, políticas y
marcos?
a) Ser limitados en número

b) Expresar los valores fundamentales de la empresa
c) Ser abiertos y flexibles para asegurar que las políticas alcancen el propósito establecido
d) Proveer un flujo lógico para los empleados que han de cumplir con ellos
11
31 ¿Por qué se realiza una evaluación de capacidades del proceso?
a) Para identificar la mejora del proceso

b) Para realizar un análisis de costo-beneficio del proceso
c) Para juzgar la calidad de las personas que ejecutan el proceso
d) Para definir las métricas del proceso
32 ¿Qué atributo describe la información que es aplicable y útil?
a) Relevancia
b) Vigencia
c) Completa
d) Facilidad de manipulación
33 ¿En qué desencadenan las necesidades de las partes interesadas?
a) Metas relacionadas con la TI

b) Metas de la empresa
c) Metas del proceso
d) Metas de Optimización del Riesgo
12
34 ¿Qué característica es necesaria para una buena política?
a) Efectiva
b) Expresa los valores fundamentales de la empresa
c) Intrusiva
d) Limitada en número
35 ¿Qué nivel de puntuación debe alcanzar un proceso a fin de aprobar una evaluación?
a) F – Sólo Completamente
b) P – Parcialmente y o L – Ampliamente
c) L – Ampliamente y o F – Completamente
d) P – Parcialmente
36 ¿Qué acción es una buena práctica para ayudar a alentar el comportamiento deseado en una
empresa?
a) Publicar los Principios Operativos

b) Comunicar las Categorías de habilidades
c) Nombrar Campeones o líderes de mejores prácticas del negocio
d) Publicar los procedimientos de Delegación de Autoridad
13
37 ¿Qué aspecto se relaciona con el principio clave de COBIT 5 “Aplicar un Marco de Referencia
Único e Integrado”?
a) Se alinea con lo más nuevo sobre Gobierno

b) Provee una arquitectura simple
c) Traduce las Necesidades de las partes interesadas en estrategia
d) Define la relación entre Gobierno y Gestión
38 ¿Quién es una parte interesada interna?
a) Un cliente
b) Un socio de negocio
c) Un regulador
d) Un ejecutivo del negocio
39 ¿Cómo se utilizan las Prácticas Genéricas en el Modelo de Evaluación del Proceso (PAM)?
a) Para evaluar procesos de los niveles 2 a 5

b) Para evaluar procesos solamente en el nivel 1
c) Para evaluar el proceso en todos los niveles del Modelo de Capacidades
d) Para evaluar procesos solamente en el nivel 6
14
40 Al diseñar un plan de implementación para el gobierno y la gestión de la TI, ¿cuál sería un

factor ambiental que se debería tener en cuenta?
a) Modelos operativos complejos de TI

b) Los gastos de TI ocultos y sin explicación
c) Las leyes y las regulaciones aplicables
d) Una auditoría externa o evaluaciones de consultores
41 ¿Qué atributo NO se aplica a una Actividad de Proceso?
a) Considera las entradas y salidas del proceso

b) Apoya el establecimiento de roles y responsabilidades claros
c) Describe un conjunto de pasos de implementación para alcanzar una práctica de gestión
d) Provee declaraciones sobre acciones para entregar beneficios
Las responsabilidades de la Gestión incluyen actividades de planificación y monitoreo en

alineación con la dirección establecida por el cuerpo de gobierno para alcanzar los objetivos
[ ? ].
a) del catalizador
b) de las partes interesadas
c) relacionados con la TI
d) de la empresa
15
43 ¿Cuál es el término utilizado para describir los valores por los cuales la empresa quiere
operar?
a) Calidad intrínseca
b) Ética organizativa
c) Ética individual
d) Buenas prácticas
44 ¿Qué herramienta de negocio se utiliza para justificar inversiones del negocio?
a) Objetivos de negocio
b) Caso de negocio
c) Políticas del Negocio
d) Modelo de Competencia del Proceso
45 ¿Qué declaración NO es una razón por la cual COBIT 5 es un marco integrado?
a) Es completo en cuanto a la cobertura de la empresa

b) Provee una arquitectura simple
c) Debe utilizarse con otros estándares
d) Opera con otros marcos de ISACA anteriores a COBIT 5
16
Los procesos de negocio transforman los conocimientos a fin de crear [ ? ] para una empresa.
a) Procesos de TI
b) información
c) datos
d) valor
47 ¿Qué dimensión o dimensiones se ocupan específicamente del Modelo de Referencia de

Procesos?
a) La Dimensión de la Capacidad
b) La Dimensión de Proceso
c) La Dimensión del Catalizador
d) Tanto la Dimensión de Proceso como de la Capacidad
48 ¿Qué ítem es una Competencia del servicio para prestar servicios internos y externos?
a) Marcos
b) Información
c) Meta Intrínseca
d) Meta Contextual
17
49 ¿Qué mide un “Indicador de Avance”?
a) Si se alcanzan las metas del catalizador

b) Si se consideran las necesidades de las partes interesadas
c) Si se gestiona el gobierno
d) Si se aplican buenas prácticas
50 ¿Cómo se llama el criterio de información específico si solamente satisface la necesidad del

consumidor de información?
a) Cumplimiento
b) Credibilidad
c) Facilidad de operación
d) Efectividad
18
COBIT® 5
FUNDAMENTOS
Apéndice A: Caso de Estudio “Callwick”
Caso de estudio “Callwick”

1. Lee la descripción del caso de negocio.
2. Identifica y toma nota de los puntos destacados relacionados con el negocio.
▪ Entorno macro
▪ Político, económico, socio-cultural, tecnológico, ambiental, legal/regulatorio
▪ Entorno de negocios/mercado
▪ Industria
▪ Competencia
▪ Entorno interno
▪ Gobierno, estrategia, dirección, estructura organizacional, modelo operativo, funciones clave
y de soporte al negocio, personas, procesos y tecnologías
3. Lee la pregunta de estudio con atención y asegúrate de tener claro lo que se está preguntando.
4. Con la pregunta en mente, lee el caso de estudio una vez más e identifica puntos específicos relaciona-
dos con la pregunta.
5. Analiza estos puntos contra el marco de COBIT con la finalidad de formular respuestas y soluciones.
Callwick: puntos destacados
▪ Es un negocio joven (fundado en 1998) que opera en América del Norte, América Latina y Canadá, y
empieza a expandirse a Europa y Asia
▪ Su reputación es la de una compañía innovadora y fiable, que escucha a sus clientes
▪ Fue elegida Líder en tecnología y Mejor empresa para trabajar en 2009, y Compañía más admi-
rada en 2012
▪ Sus fortalezas son los servicios de comunicación por voz y por Internet
▪ Actualmente se encuentra expandiendo sus operaciones para incluir servicios de video, incluyendo pa-
quetes de servicios con TV, teléfono e Internet.
▪ Oferta actual:
o Servicios de Internet
o Servicios de teléfono y relacionados (voz y datos)
o Servicios de TV
o Soporte a negocios (redes de datos, gestión de soluciones de TI, equipos y seguridad)
Historia de la compañía
▪ Jason Late fundó la compañía en 1988 con la tecnología inalámbrica en mente. Se inspiró en el éxito
de Motorola en el mercado de la telefonía móvil
▪ La compañía experimentó un crecimiento rápido y su expansión fue apoyada por inversionistas bien
dispuestos
▪ Tras cinco años, la compañía se encontraba firmemente posicionada en los Estados Unidos. La
compañía había hecho algunas adquisiciones en el rubro de la telefonía, trabajando muy de cerca
con los fabricantes de teléfonos celulares
▪ Se enfocó en la excelencia de sus productos mientras se expandía en el mercado local, penetró en
nuevos mercados de rápido crecimiento económico y con costos de negocio bajos
▪ El negocio creció mediante una combinación de adquisiciones y crecimiento consistente
▪ A pesar de tener un alto apetito de riesgo, la compañía no se quemó durante la burbuja de las punto
com (dot-com), dado que se mantuvo enfocada en aquello que sabe hacer bien
Gobierno de la empresa
▪ La estructura organizacional no muestra énfasis ni en desarrollo del negocio ni en mer-
cadotecnia y, de forma inusual, cuenta con un VP de Gobierno Corporativo. El CTO (Chief
Technical Off cer) reporta al CIO (Chief Information Off cer)
Manual del alumno | COBIT 5: Caso de Estudio “Callwick”
▪ El Consejo directivo se reúne cada mes para discutir la situación actual y la dirección futura. Como
consecuencia de su búsqueda de crecimiento rápido, el consejo tiene un apetito de riesgo sustancial
▪ Los miembros del Consejo tienen buenos conocimientos de tecnología y de negocios, pero suelen en-
focarse en asuntos tecnológicos simplemente por la historia de la empresa
▪ Los nuevos emprendimientos son analizados de manera aislada, los impactos sobre los recursos no
suelen ser tomados en cuenta y los objetivos para la realización de valor no se determinan
▪ El VP de Gobierno Corporativo se enfoca en prepararse para la Oferta Pública Inicial y en ase-
gurar el cumplimiento regulatorio futuro, incluyendo la ley Sarbanes-Oxley (SOX)
▪ El Departamento de TI no sigue políticas ni procedimientos consistentes
▪ La gerencia está al tanto de que la alta tasa de crecimiento ha sido a expensas de la eficiencia en
general y ha caído en cuenta de que la inversión de TI podría ser mejor gestionada en la búsqueda de
estos fines
▪ El Proyecto de la Oferta pública inicial tiene prioridad por encima de los proyectos de mejora
del negocio en lo que se refiere a la asignación de recursos
Estructura organizacional
Gerencia
▪ El equipo consiste del CEO (Director general ejecutivo), CFO (Director de finanzas), CIO (Director de in-
formática), COO (Director de Operaciones), CTO (Director de tecnología), Vicepresidente ejecutivo de
Recursos humanos y la Vicepresidente de gobierno corporativo
▪ Callwick se ve a sí misma como una empresa mediana, visión que comparte la organización de TI
▪ La gerencia desea atender el asunto de la eficiencia interna, pues considera que este tema ha sido
ignorado a raíz de las adquisiciones recientes, el alto crecimiento y la toma de riesgos
▪ Se ha tomado la decisión de dirigir los nuevos productos al segmento de edad de mayores
de 55. Sin embargo, aún no se hace ninguna clase de investigación acerca del número
ni de la naturaleza de los productos que ofrecen los competidores
Gobierno de TI
▪ El Consejo y el equipo ejecutivo rara vez discuten asuntos relacionados con gestión de TI, pues con-
sideran que esto es responsabilidad del CIO. En lugar de esto, dedican más tiempo a las tecnologías
específicas del negocio
▪ No se le presta atención dedicada a los temas de gobierno, riesgo, ni a los asuntos de control relacio-
nados con TI
▪ No existen foros dedicados a discutir estrategias de TI y de gobierno; la gerencia reconoce la im-
portancia de esta necesidad pero no sabe cómo alcanzarla
▪ Las estrategias de la compañía contienen objetivos para la mejora de la supervisión e involucramien-
to ejecutivo
Ambiente de TI
▪ Es, en general, de alta tecnología, con mucho equipo, nuevas tecnologías y redes avanzadas
▪ Gestión caótica debido a cambios rápidos — no existe estructura ni disciplina
▪ La gestión de los servicios al cliente podría estar mejor mantenida y controlada
▪ El equipo de TI está conformado por técnicos avanzados que no ven necesidad alguna de que se im-
plementen procedimientos y controles
▪ Los procesos son intuitivos y dependen de los conocimientos individuales. Algunos individuos
utilizan herramientas para gestionar proyectos y costos
La organización de TI
▪ La organización de TI se gestiona centralmente desde las oficinas de Atlanta
▪ El equipo central entiende las operaciones de Estados Unidos pero no las operaciones en el
extranjero, pues se siguen distintos procesos para los diferentes niveles de madurez, en
particular en lo que refiere a la gestión de proyectos
▪ Los proyectos obligatorios que apoyan a la Oferta pública inicial están quitándole recursos a los esfuer-
zos por mejorar o extender los servicios y la eficiencia operativa
▪ La nómina, el servicio a clientes y algunas partes de desarrollo de TI han sido subcontratadas a em-
presas en Europa Oriental y en la India para aprovechar que los costos laborales son más bajos
▪ Muchas de las aplicaciones han sido desarrolladas internamente, y las nuevas adquisiciones han
sacado a la luz varios problemas de compatibilidad de TI, lo que ha incrementado los costos de
mantenimiento
Situación del mercado
▪ La industria de las telecomunicaciones incluye servicios de comunicación por video, voz e Internet
▪ Debido a la velocidad de los cambios tecnológicos, las compañías más actualizadas tienen ventaja
sobre las otras
▪ Callwick se esmera por introducir los mejores productos y servicios antes que los demás
▪ Necesita incrementar la eficiencia operacional en el mercado doméstico, porque la presión sobre
los márgenes de ganancia es mayor que en las economías emergentes
▪ Hay menores oportunidades de crecimiento en los mercados domésticos
Situación actual
▪ Para 2011, Callwick había incrementado su negocio por medio de relaciones sólidas con el cli-
ente, nombre de marca y entrega del servicio
▪ Las oportunidades de llevar a cabo adquisiciones están apareciendo en los mercados tanto domésti-
cos como extranjeros
▪ La Oferta pública inicial implicará mayor supervisión regulatoria por parte del Consejo
▪ Se necesita crear un departamento interno de auditoría, así como implementar un programa de
gobierno de TI con la finalidad de lograr consistencia en lo que respecta a la gestión de la se-
guridad y del riesgo
▪ La oficina del CIO requiere mejor información para una mejor toma de decisiones
▪ Se necesita un lenguaje común entre la gerencia, TI y los auditores
▪ El número creciente de adquisiciones incrementará la complejidad y exacerbará la disparidad en los
niveles madurez
COBIT® 5
FUNDAMENTOS
Apéndice B: Glosario
255
TÉRMINO DEFINICIÓN
Actividad En COBIT, se trata de la acción principal llevada a cabo para operar
[Activity] el proceso. Son los lineamientos para lograr prácticas de gestión que
conduzcan a un gobierno y gestión exitosos de TI en la empresa.
Actividades:
● Describen un conjunto de pasos de implementación
necesarios y suficientes orientados a la acción para lograr una
práctica de gobierno o práctica de gestión
● Consideran las entradas y salidas del proceso
● Se basan en estándares y mejores prácticas que son
aceptadas de forma general
● Apoyan el establecimiento de roles y responsabilidades claras
● No son prescriptivas y necesitan adaptarse y desarrollarse dentro
de los procedimientos específicos apropiados para la empresa
Alineación El estado en el cual los habilitadores de gobierno y gestión de TI
[Alignment] apoyan los objetivos y estrategias de la empresa.
Aplicación de TI Funcionalidad electrónica que automatiza alguna parte de los
[IT application] procesos de negocios o que los asiste.
Arquitectura de aplicaciones Descripción del agrupamiento lógico de las capacidades que
[Application architecture] gestionan los objetos necesarios para procesar la información y
apoyar los objetivos empresariales.
Arquitectura de la línea base La descripción existente del diseño fundamental subyacente de los
componentes del sistema de negocio antes de entrar al ciclo de
[Baseline architecture]
revisión y rediseño arquitectónico.
Atributo (de capacidad) del ISO/IEC 15504: Una característica medible de la capacidad del
proceso proceso aplicable a cualquier proceso
[Process (capability) attribute]
Autenticación El acto de verificar la identidad de un usuario y su derecho a acceder a
[Authentication] información computarizada.
Nota de alcance: Aseguramiento: la autenticación está diseñada como
una protección contra actividades de conexión fraudulenta. Puede
también referirse a la verificación de la exactitud de un dato.
Buena práctica Una actividad o proceso comprobado que ha sido empleado de
[Good practice] manera exitosa en diferentes empresas y ha producido resultados
confiables.
Calidad [Quality] Ser apropiado para el propósito (lograr el valor esperado).
Capacidad del proceso ISO/IEC 15504: Una caracterización de la habilidad de un proceso

[Process capability] para cumplir con los objetivos de negocio actuales o previstos.
Cartera o portafolio de El conjunto de inversiones que se están considerando o llevando a
Inversiones cabo.
[Investment portfolio]
Catálogo de servicios Información estructurada sobre todos los servicios de TI disponibles
[Service catalogue] para los clientes.
256
Manual del alumno | Apéndice B
Ciclo de vida económico El periodo de tiempo durante el cual se espera que se realicen
completo [Full economic life los beneficios materiales del negocio y/o se incurra en los gastos
cycle] materiales (incluyendo inversiones, ejecución y costos de retiro) en un
programa de inversión.
COBIT 1. COBIT 5. Anteriormente era conocido como Objetivos de Control
para Información y Tecnologías Relacionadas (COBIT); ahora,
en su quinta iteración, sólo se utiliza el acrónimo. Se trata de un
marco de trabajo completo e internacionalmente aceptado para el
gobierno y gestión de información y tecnología empresarial que
apoya a los ejecutivos y gerentes de la empresa en la definición
y logro de los objetivos de negocio y de TI. COBIT describe cinco
principios y siete habilitadores que contribuyen al desarrollo,
implementación, mejoramiento continuo y monitoreo de las buenas
prácticas en el gobierno y la gestión de TI.
Nota de alcance: las versiones previas de COBIT se enfocaban
en los objetivos de control relacionados con procesos de TI, la
gestión y el control de procesos de TI y aspectos de gobierno
de TI. La adopción y el uso del marco de trabajo COBIT están
complementados con guías de una familia cada vez más grande
de productos de apoyo. (Ver www.isaca.org/cobit para más
información).
2. COBIT 4.1 y anteriores. Previamente conocido como Objetivos de
Control para Información y Tecnologías Relacionadas (COBIT).
Se trata de un marco de trabajo de procesos para TI, completo
e internacionalmente aceptado, que apoya a la gerencia y a los
ejecutivos de negocios y de TI en la definición y logro de los
objetivos de negocio y de TI, por medio de un modelo integral de
gobierno, gestión, control y aseguramiento de TI. COBIT describe
los procesos de TI y objetivos de control asociados, guías de
gestión (actividades, responsabilidades, rendición de cuentas y
métricas de desempeño) y modelos de madurez. COBIT apoya
a la gestión empresarial en el desarrollo, implementación, mejora
continua y monitoreo de buenas prácticas de TI.
Nota de alcance: la adopción y el uso del marco de trabajo COBIT
están apoyados con guías para ejecutivos y gerentes (Board
Brief ng on IT Governance, 2da Edición), implementadores de
gobierno de TI (COBIT Quickstart, 2da Edición; La ruta hacia
el gobierno de TI: Cómo utilizar COBIT y Val IT, 2da Edición;
y Las prácticas de control de COBIT: Guía para conseguir los
objetivos de control para el éxito del gobierno de TI 2ª Edición)
y aseguramiento de TI y profesionales de auditoría (Guía de
Aseguramiento de TI: Usando COBIT). Existen también guías para
apoyar su aplicabilidad en ciertos requerimientos legislativos y
regulatorios (por ejemplo, Objetivos de control de TI para Sarbanes-
Oxley, Objetivos de control de TI para Basel II) y su relevancia en
seguridad de la información (Línea Base de Seguridad de COBIT).
COBIT está mapeado con otros marcos de trabajo y estándares
para ilustrar la cobertura completa del ciclo de vida de gestión de TI
y fomentar su uso en empresas que emplean múltiples marcos de
trabajo y estándares relacionados con TI.
257
Código de ética Documento diseñado para influir en el comportamiento individual
u organizacional de los empleados por medio de la definición
[Code of ethics]
de valores organizacionales y reglas aplicables a determinadas
situaciones. Se adopta para ayudar a que aquellas personas en
la empresa que deben tomar decisiones comprendan la diferencia
entre “bien” y “mal” y apliquen este entendimiento al momento de
tomar una decisión.
Competencia La habilidad de llevar a cabo una tarea, acción o función de manera
[Competence] exitosa.
Contexto El conjunto global de factores internos y externos que pueden influir
[Context] o determinar la manera en que actúa una empresa, entidad, proceso
o individuo.
Nota de alcance: El contexto incluye:
● Contexto y factores tecnológicos que afectan la habilidad de
una empresa para extraer valor de los datos.
● Contexto de datos: precisión, disponibilidad, prevalencia y
calidad de los datos.
● Habilidades y conocimiento general, así como experiencia y
habilidades analíticas, técnicas y de negocios.
● Contexto organizacional y cultural; factores políticos y el
hecho de si la organización prefiere datos sobre intuición.
● Los objetivos estratégicos de la empresa.
Consejo de arquitectura Grupo de partes interesadas y expertos responsables de las
[Architecture board] guías sobre asuntos y decisiones relacionadas con la arquitectura
de la empresa, y del establecimiento de políticas y estándares
arquitectónicos.
Continuidad del negocio Prevenir, mitigar y recuperarse de interrupciones. Los términos
[Business continuity] “planeación de reanudación del negocio”, “planeación de
recuperación ante desastres” y “plan de contingencia” pueden
también ser usados en este en este contexto; estos términos se
enfocan en la recuperación de los aspectos de continuidad y,
por esta razón, también debe tomarse en cuenta el concepto de
“resistencia” [resilience].
Control Los medios para gestionar riesgos, incluyendo políticas,
[Control] procedimientos, lineamientos, prácticas o estructuras
organizacionales que pueden ser de naturaleza administrativa,
técnica, legal o de gestión. Se utiliza también como sinónimo de
protección [safeguard] o contramedida [countermeasure].
Impulsor Factores externos e internos que inician y afectan la manera en la
[Driver] que una empresa o los individuos actúan o cambian.
Control del proceso de Las políticas, procedimientos, prácticas y estructuras
negocio organizacionales diseñadas para ofrecer un aseguramiento razonable
[Business process control] de que un proceso de negocio va a lograr sus objetivos.
258
Creación de valor El objetivo principal del gobierno de una empresa. Éste se logra
[Value creation] cuando los tres objetivos subyacentes (realización de beneficios,
optimización de riesgos y optimización de recursos) están en balance.
Cuadro de definición de Ilustra quién es responsable, quién debe rendir cuentas, a quién se
responsabilidades por cargo debe consultar o informar en un marco general de organización.
(Matriz RACI)
[RACI Chart]
Cultura Un patrón de comportamientos, creencias, suposiciones, actitudes y
[Culture] maneras de hacer las cosas.
Entradas y salidas Los productos/artefactos de trabajo del proceso, considerados
necesarios para apoyar la operación del proceso. Facilitan la toma
[Inputs and outputs]
de decisiones clave, proporcionan un registro y una pista de auditoría
de actividades del proceso, y permiten el seguimiento en caso de un
incidente. Están definidos en el nivel de prácticas clave de gestión
y pueden incluir algunos productos de trabajo utilizados solamente
dentro del proceso; normalmente son entradas esenciales para otros
procesos. Las entradas y salidas ilustrativas de COBIT 5 no deberán
considerarse como una lista exhaustiva, debido a que los flujos de
información adicional podrían definirse dependiendo del entorno y
marco de procesos particulares de la empresa.
Estructura organizacional Un habilitador de gobierno y gestión. Incluye a la empresa y a
[Organisational structures] sus estructuras, jerarquías y dependencias. Ejemplo: Comité de
Dirección
Ejemplo: Comité directivo.
Gerencia (Gestión) La gerencia planea, construye, ejecuta y monitorea las actividades en
alineación con la dirección establecida por el gobierno para lograr los
[Management]
objetivos empresariales.
Gestión de riesgos Uno de los objetivos del gobierno. Conlleva el reconocimiento del
[Risk Management] riesgo, la evaluación del impacto y la probabilidad de que el riesgo
suceda y el desarrollo de estrategias, tales como evitar el riesgo,
reducir el efecto negativo del riesgo y/o transferir el riesgo para
gestionarlo dentro del contexto del apetito de riesgo de la empresa.
Gobierno El gobierno se asegura que las necesidades, condiciones y opciones
[Governance] de las partes interesadas sean evaluadas para determinar objetivos
empresariales balanceados y consensuados que puedan ser
alcanzados, establecer la dirección mediante priorización y toma
de decisiones; y supervisar el desempeño y el cumplimiento de la
dirección y los objetivos establecidos.
259
Gobierno de la empresa Conjunto de responsabilidades y prácticas llevadas a cabo por el
[Enterprise Governance] consejo directivo [board] y la gerencia ejecutiva con el objetivo de
ofrecer una dirección estratégica, asegurando el cumplimiento de
objetivos, determinando que el riesgo se está gestionando de forma
apropiada y verificando que los recursos de la empresa se utilicen
responsablemente. También podría referirse a una visión de gobierno
enfocada en la empresa como un todo; es el más alto nivel de visión
de gobierno al cual todos los otros niveles deberán alinearse.
Gobierno de TI empresarial Visión de gobierno que asegura que la información y tecnología
[Governance of enterprise IT] relacionada apoyen y faciliten la estrategia empresarial y el logro
de los objetivos empresariales. También incluye el gobierno de TI
funcional; por ejemplo, el asegurar que las capacidades de TI sean
proporcionadas de manera eficaz.
Habilidad [Skill] La capacidad adquirida para lograr resultados predeterminados.
Habilitador de gobierno Algo (tangible o intangible) que contribuye a la realización de un

(Catalizador de gobierno) gobierno eficaz.
[Enabler]
Información Un activo que, al igual que otros activos de negocio importantes, es
[Information] esencial para el negocio de la empresa. Puede existir en diferentes
formas: impreso o escrito en papel, almacenado electrónicamente,
se puede enviar por correo o mail, se puede mostrar en películas o a
través de conversaciones y diálogos.
Marco general de gobierno Un marco de trabajo es una estructura conceptual básica que se
utiliza para resolver o atender asuntos complejos; un habilitador de
(Marco de trabajo de
gobierno; un conjunto de conceptos, suposiciones y prácticas que
gobierno)
definen la manera en la que se puede abordar o comprender algo,
[Governance Framework] las relaciones entre las entidades involucradas, los roles de aquellos
involucrados y los límites (lo que está y no ésta incluido en un sistema
de gobierno).
Ejemplos: COBIT y Marco Integrado del Control Interno de COSO
Métrica Una entidad cuantificable que permite la medición del logro de un
objetivo de proceso. Las métricas deben ser SMART (por sus siglas
[Metric]
en inglés): Específicas (specific), medibles (measurable), accionables
(actionable), relevantes (relevant) y oportunas (timely). La guía
completa de una métrica define la unidad empleada, la frecuencia de
medición, el valor objetivo ideal (si aplica) y los procedimientos para
llevar a cabo la medición y la interpretación de la evaluación.
Modelo Una forma de describir un grupo de componentes y la manera en
[Model] la que estos se relacionan entre sí para describir los principales
mecanismos de un objeto, sistema o concepto.
Objetivo El enunciado de un resultado deseado.
[Objective]
260
Objetivo de TI Un enunciado que describe el resultado deseado de TI empresarial
en apoyo a los objetivos empresariales. Un resultado puede ser un
[IT objective]
artefacto, un cambio significativo de estado o una mejora importante
en la capacidad.
Objetivo del proceso Un enunciado que describe el resultado deseado de un proceso. El
[Process objective] resultado puede ser un artefacto, un cambio importante de estado o
una mejoría significativa en la capacidad de otros procesos.
Objetivo de negocio La transcripción de la misión de la empresa de una declaración de
intención a metas y resultados de desempeño.
[Business goal]
Oficina de gestión de La función responsable de apoyar a los directores de programas y
programas y proyectos proyectos, así como de reunir, evaluar y reportar información sobre la
(PMO) [Programme and conducta de sus programas y proyectos constituyentes.
Project management off ce]
Optimización de recursos Uno de los objetivos del gobierno. Consiste en la utilización eficaz,
[Resource optimization] eficiente y responsable de todos recursos: humanos, financieros,
equipo, instalaciones, etc.
Parte consultada (RACI) Se refiere a aquellas personas cuya opinión es requerida en una
actividad (comunicación de dos vías)
[Consulted Party]
En un cuadro de definición de responsabilidades por cargo (RACI),
responde a la pregunta: ¿Quién está proporcionando entradas?
Son los roles clave que proporcionan entradas. Depende de aquellos
roles responsables el obtener información de otras unidades o
socios externos; sin embargo, las entradas provistas por los roles
listados deberán tomarse en consideración y, en caso de ser
requerido, se deberá llevar a cabo la o las acciones adecuadas para
su escalada, incluyendo la información al propietario de proceso y/o
comité directivo.
Parte informada (RACI) Se refiere a las personas a quienes se les mantiene al tanto del
[Informed Party] progreso de una actividad (comunicación de una vía).
En un cuadro de definición de responsabilidades por cargo (RACI),
responde a la pregunta: ¿Quién recibe la información?
Son aquellos roles a los que se les informa sobre los logros y/o
entregables de una tarea. El rol encargado de “rendición de cuentas”,
por supuesto, deberá recibir siempre la información apropiada
para supervisar la tarea; esto aplica de igual manera para los roles
responsables en su área de interés.
Parte interesada (Interesado) Cualquier persona que tenga alguna responsabilidad, expectativa o
[Stakeholder] interés en la empresa.
Por ejemplo: accionistas, usuarios, gobierno, proveedores, clientes y
público en general.
261
Parte responsable de que se Individuo, grupo o entidad sobre el cual recae la máxima
haga (RACI) responsabilidad de un asunto, proceso o alcance.
[Accountable party] En un cuadro de definición de responsabilidades por cargo (RACI),
responde a la pregunta: ¿Quién es el responsable último del éxito de
una tarea?
Parte responsable de hacer Se refiere a la persona que debe asegurarse de que las actividades
(RACI) sean completadas de forma exitosa.
[Responsible party] En un cuadro de definición de responsabilidades por cargo (RACI),
responde a la pregunta: ¿Quién está llevando a cabo la tarea?
Son los roles que toman el riesgo operativo principal para cumplir
con la actividad listada y crear el resultado esperado.
Política La dirección e intención global como lo expresa formalmente la
[Policy] gerencia.
Práctica de gobierno/gestión Para cada proceso COBIT, las prácticas de gobierno y gestión
[Governance/management proporcionan un conjunto completo de requerimientos de alto nivel
practice] para el gobierno y la gestión efectiva y práctica de TI empresarial.
Son enunciados de acciones de los cuerpos de gobierno y la
gerencia.
Principio Un habilitador de gobierno y gestión. Comprende los valores y
[Principle] los supuestos fundamentales de la empresa, las creencias que
guían y establecen los límites en torno a la toma de decisiones,
la comunicación dentro y fuera de la empresa y la administración
entendida como el cuidado de los activos de otros.
Ejemplo: Estatuto de ética, estatuto de responsabilidad social.
Proceso Generalmente, se trata de una colección de prácticas influenciadas
[Process] por las políticas y procedimientos de la empresa que toma entradas
de diversas fuentes (incluyendo otros procesos), las manipula y
produce salidas (por ejemplo: productos y servicios).
Nota de alcance: los procesos tienen razones de negocio muy

claras para existir, propietarios responsables, roles claros y
responsabilidades en torno a la ejecución del proceso, así como
elementos de medición.
Propietario Individuo o grupo que posee los derechos y responsabilidades de
[Owner] una empresa, entidad o activo; por ejemplo: propietario de proceso,
propietario de sistema, etc.
Realización de beneficios Uno de los objetivos del gobierno. La aportación de nuevos beneficios
(Cumplimiento de beneficios) para la empresa, el mantenimiento y extensión de los beneficios
existentes y la eliminación de aquellas iniciativas y activos que no
[Benefit realization]
ofrezcan suficiente valor.
Riesgo La combinación de la probabilidad de un evento y su consecuencia.
[Risk]
262
Recurso Cualquier activo empresarial que pueda ayudar a la organización a
[Resource] lograr sus objetivos.
Reembolso La redistribución de gastos entre las unidades de la empresa que los
originaron.
[Chargeback]
Nota de alcance: el reembolso es importante porque sin una
política de este estilo, podría generarse una idea engañosa sobre la
rentabilidad real de un producto o servicio, debido a que se ignorarían
ciertos gastos clave o se calcularían con base en una fórmula
arbitraria.
Rendición de cuentas del El gobierno, a través de una evaluación de las necesidades,
Gobierno (Responsabilidad condiciones y opciones de las partes interesadas, se asegura de
del Gobierno) que se cumplan los objetivos empresariales; asimismo, establece la
dirección a seguir por medio de un proceso de priorización y toma
[Accountability of governance]
de decisiones; monitorea el desempeño, cumplimiento y progreso de
acuerdo con los planes. En la mayoría de las empresas, el gobierno
es responsabilidad del consejo directivo, bajo el liderazgo del
presidente.
Salida Ver entradas y salidas.
Servicios Ver servicio de TI.
Servicio de TI La provisión diaria de infraestructura, aplicaciones y soporte para los
clientes de TI. Algunos ejemplos incluyen mesa de ayuda, suministro
de equipo y movimientos y autorizaciones de seguridad.
Sistema de control interno Las políticas, estándares, planes, procedimientos y estructuras
organizacionales diseñadas para proporcionar un aseguramiento
razonable de que se alcanzarán los objetivos empresariales y de que
los eventos no deseados se van a evitar o, en su caso, detectar y
corregir.
263
COBIT® 5
FUNDAMENTOS
Apéndice C: Tablas de Referencia
Objetivosdelaempresa
Continuidadydisponibilidad
funcionalidaddelprocesode
Productividadoperacionaly

Cumplimientoconpolíticas
delosserviciosdenegocio
lasinversionesdenegocio
Optimizacióndeloscostos
Valorparainteresadosde
Gestióndeprogramasde
Transparenciafinanciera
Culturadeinnovaciónen

Portafoliodeserviciosy
productoscompetitivos
deprocesosdenegocio
Optimizacióndecostos
negocios(salvaguardar
deentregadeservicios
cambiosenelnegocio
regulacionesexternas
estratégicabasadaen
Personasmotivadasy
elproductoynegocio
ambientedenegocio

Gestionarriesgosde
Tomadedecisiones
Culturadeservicios
Respuestaágilaun
Cumplirconleyesy
orientadaalcliente
Optimizacióndela

conhabilidades
conocimientos

delpersonal
cambiante

internas
negocio
activos)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Crecery
ObjetivosrelacionadosaTI Finanzas Cliente Interno aprender
1 AlineamientoentreTIylaestrategiadenegocio. S P P P S P P S P S P S S
CumplimientodeTIyapoyoalnegocioparaelcumplimientoconleyesy P S P
2
Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

regulacionesexternas.
Finanzas
3 CompromisodelagerenciaejecutivaparalatomadedecisionesrelativasaTI. S S P S S S P S S
4 GestiónderiesgosdelnegociorelacionadoconTI. S P P S P S S S
5 BeneficiosobtenidosdeinversionesyelportafoliodeserviciosfacilitadosporTI. P P S S S S P S S
6 Transparenciadecostos,beneficiosyriesgosdeTI. S S P S P P
Cliente
7 EntregadeserviciosdeTIenlíneaconlasnecesidadesdenegocios. S S P P P S P S P S S S S
8 Usoadecuadodeaplicaciones,informaciónysolucionestecnológicas. S S S S S S S P S P S S
9 AgilidaddeTI. S P S S P P S S S P
10 Seguridaddelainformación,infraestructuradeprocesamientoyaplicaciones. P P P P
11Optimizacióndeactivos,recursosycapacidadesdeTI. S P S P S P S S S
Interno
12 Facilitaciónyapoyoparalaintegracióndeaplicacionesytecnologíaen
procesosdenegocio. S P S S S S P S S S S
13 Entregadelosprogramasentiempoypresupuesto,yencumplimientode
losrequisitosyestándaresdecalidad. S S P S S S P S
14Disponibilidaddeinformaciónconfiableyútil. S S S S P P S
15CumplimientodeTIconpolíticasinternas. S S P
aprender
Crecery
16 PersonaldeTIcompetenteymotivado. P S S S S P P S
17 Conocimiento,experienciaeiniciativasparalainnovaciónenelnegocio. P S S P S S S S P
266
Manual del alumno | Apéndice C

Planificary
desencadenanenprocesos
Ejemplo:ObjetivosrelacionadosconTI
ProcesosdeCOBIT5
Evaluar,DirigiryMonitorear
organizar

EDM5
EDM4
EDM3
EDM2
EDM1
APO1

gestiónparaTI
Definirelmarcode
delaspartesinteresadas
Asegurartransparencia
recurso
Asegurarel
optimizacióndelriesgo
Asegurarla
optimizacióndelvalor
Asegurarla
elmarcodegobierno
Establecerymantener

Alineamiento entre TI y la estrategia de negocios.

P
P
P
S
S
S
1
deCOBIT5
MapearobjetivosdeCOBIT5vinculadosaTIconProcesos
Cumplimiento de TI y apoyo al negocio para el
P
S
S
S
2
cumplimiento con leyes y regulaciones externas.

Corporativo
Compromiso de la gerencia ejecutiva para la toma de

P
P
S
S
S
S
3
decisiones relativas a TI.
Gestión de riesgos del negocio relacionado con TI.

P
S
S
S
4
Transparencia de los costos, beneficios y riesgos de

P
S
S
5
TI.

P
P
P
S
S
6
TI.
MetasrelacionadasconTI
Entrega de servicios de TI en línea con las
Cliente
P
P
P
S
S
S
7
necesidades de negocios.
Uso adecuado de aplicaciones, información y

S
S
S
8
soluciones tecnológicas.
Agilidad de TI.
P
P
S
9
Seguridad de la información y de la infraestructura

10
P
S
S
de procesamiento y de las aplicaciones.
Optimización de activos, recursos y capacidades de

11
P
P
S
S
TI.
Interno
Facilitación y apoyo para la integración de

12
S
S
S
aplicaciones y tecnología en procesos de negocios.

Entrega de los programas en tiempo y presupuesto,
13
y en cumplimiento de requisitos y estándares de

S
S
S
S
S
S
calidad.
Disponibilidad de información confiable y útil para la

14
S
S
S
S
S
toma de decisiones.
Cumplimiento de TI con políticas internas.

15
P
P
S
S

yaprendizaje
Personal de TI competente y motivado.

16
P
P
S
S
S
Crecimiento
Conocimiento, experiencia e iniciativas para la

17
innovación en el negocio.
P
P
S
S
S
S

Ejemplo:ObjetivosrelacionadosconTIdesencadenanenprocesos
ProcesosdeCOBIT5

APO9
APO8
APO7
APO6
APO5
APO4
APO3
APO2

Gestióndeservicios
Gestiónderelaciones
Recursos
Gestiónde
costo
Gestionarpresupuestoy
Gestionarelportafolio
Gestionarlainnovación
empresarial
Gestionarlaarquitectura
Definirlaestrategia
Alineamiento entre TI y la estrategia de negocio.

P
P
P
P
P
S
S
S
1
MapearobjetivosdeCOBIT5vinculadosaTIcon
S
2

Corporativ

S
S
S
S
S
S
3

o

S
S
S
S
S
S
S
S
4
Beneficios realizados de inversiones habilitadas por

P
P
P
S
S
S
S
5
TI y portafolio de servicios

P
S
S
S
S
6
TI.

Cliente
P
P
P
S
S
S
S
7
l
P
S
S
S
S
S
S
8
soluciones tecnológicas. Metas

Agilidad de TI.
P
P
S
S
S
S
9
Seguridad de la información y de la infraestructura de

10
S
S
S
procesamiento y de las aplicaciones.

11
P
P
P
S
S
S
S
S
TI.
Interno

12
P
S
S
S


13

P
P
S
S
S
S
calidad.

14
P
S
S
S
toma de decisiones.

15
S
S
S

aprendizaje
Crecimientoy

16
P
S
S

17
P
P
P
P
S
S

desencadenanenprocesos
Ejemplo:ObjetivosrelacionadosconTI
ProcesosdeCOBIT5

APO13
APO12
APO11
APO10
Gestionarlaseguridad
Gestionarelriesgo
Gestionarlacalidad
Gestionarproveedores
Acuerdos

S
1
P
P
S
S
2

Corporativo
Compromiso de la gerencia ejecutiva para la toma

3
de decisiones relativas a TI.

P
P
P
S
4
Transparencia de los costos, beneficios y riesgos

P
S
5
de TI.

P
P
S
6
de TI.
Cliente
P
P
S
S
7

S
S
S
S
8
Agilidad de TI.
P
S
S
9

10
P
P
S

11
S
S
TI.
Interno

12
aplicaciones y tecnología en procesos de negocio.

13

P
P
S
calidad.

14
P
S
S
S
toma de decisiones.

15
S
S
S

16
yaprendizaje
S
S
Crecimiento

17
S
S
S

procesos
Ejemplo:ObjetivosrelacionadosconTIdesencadenanen
ProcesosdeCOBIT5
Construir,AdquirireImplementar

BAI7
BAI6
BAI5
BAI4
BAI3
BAI2
BAI1

Gestionarcambios
programasy
cambio
organizacional
Facilitarelcambio
disponible
Gestionarlacapacidad
construir
Identificary
Definirrequisitos
Gestiónde
Aceptarytransiciónal

P
P
S
S
1
S
2

Corporativo

S
S
S
S
3

P
P
S
S
S
S
4

P
S
S
S
S
S
S
5

S
6
TI.
Cliente
P
P
P
P
S
S
S
7
necesidades de negocio.

8
P
P
S
S
S
S
S
Agilidad de TI.
S
S
S
S
S
9

10
P
S

11
P
S
S
S
S
S
TI.
Interno

12
P
P
S
S
S

13

P
P
S
S
S
S
S
calidad.
14
P
S
S
S
S
toma de decisiones.

15
S
S

16
S
S
yaprendizaje
Crecimiento

17
P
S
S
S
S
S
S

procesos
ProcesosdeCOBIT5
Entrega,ServicioySoporte

DSS5
DSS4
DSS3
DSS2
DSS1
BAI10
BAI9
BAI8

Gestionarproblemas
Gestionarlaseguridad
Gestionarlacontinuidad
servicioseincidentes
Gestionarsolicitudes d e
Gestionaroperaciones
Gestióndelaconfiguración
Gestióndeactivos
conocimiento
Gestióndel

S
S
S
1
P
P
S
S
S
S
2

Corporativ

3

o

P
P
P
P
P
S
S
4

S
S
S
S
5

S
P
6
TI.

Cliente
P
P
P
P
S
S
S
7

Metasrelacionadas
S
S
S
S
S
S
S
8
Agilidad de TI.
P
S
S
S
S
S
9
Seguridad de la información y de la infraestructura de

10
P
S
S
S
S
S
S
procesamiento y de las aplicaciones.

11
P
P
P
P
S
S
TI.
Interno

12
S
aplicaciones y tecnología en procesos de negocio.

Entrega de los programas en tiempo y presupuesto, y
13
en cumplimiento de requisitos y estándares de

calidad.
14
P
P
P
S
S
S
S
S
toma de decisiones.

15
S
S
S
S
S
S
S

16
aprendizaje
Crecimientoy
S
S
S

17
P
S
S
S
S

procesos
ProcesosdeCOBIT5
MonitorearyEvaluar

MEA3
MEA2
MEA1
DSS6

requisitosexternos
elcumplimientocon
Monitorearyevaluar
decontrolinterno
Monitoreasistema
cumplimiento
desempeñoy
Monitorearyevaluar
decontroldelnegocio
Gestionarlosprocesos
Gestión

S
1
P
P
S
S
2

Corporativo
Compromiso de la gerencia ejecutiva para la toma

S
3
de decisiones relativas a TI.

P
P
P
P
4
Beneficios realizados de inversiones habilitadas por TI

S
S
5
y portafolio de servicios

S
S
6
de TI.
Cliente
P
P
S
S
7

S
S
S
8

Agilidad de TI.
S
9

10
S
S
S
S

11
P
TI.
Interno

12
S

Entrega de los programas en tiempo y
13
presupuesto, y en cumplimiento de requisitos y

S
estándares de calidad.

14
S
S
S
toma de decisiones.
15
P
P
S
S

aprendizaje
Crecimientoy

16
S
S

17
S
S
S
S
COBIT® 5
FUNDAMENTOS
Apéndice D: Respuestas
4.1 Alinear las necesidades de los interesados

Pregunta:
¿Qué preocupaciones crees que tengan los interesados en relación con el gobierno de TI?
Respuesta:
Uno de los problemas más comunes que tienen los interesados es no ser “letrados en TI”. Temen que TI es un tema
técnico y que hacer preguntas puede exponer su falta de conocimiento. Por el otro lado, la mayoría de los problemas
de TI no son técnicos, y hacer preguntas de gestión sensatas hará que se descubran problemas y provocará
respeto. Los profesionales de TI necesitan ser capaces de articular y comunicarse en términos de negocios, y no en
términos técnicos, si es que esperan comprender las necesidades de los interesados.
Tarea 1
● 0–5 minutos: Dividir a los alumnos en grupos (de 3 a 4 personas por grupo).
● 5–20 minutos: Leer el caso de estudio.
● 20–25 minutos: Leer la tarea.
● 25–45 minutos: Preparar las respuestas escribiéndolas en la hoja de respuestas.
● 45–60 minutos: Discusión en grupo, moderada por el instructor.
Método: Lee el caso de estudio, formula tus respuestas, discute con los miembros de tu equipo, prepárate para
la discusión en clase. El instructor moderará la discusión y le pedirá a un miembro de cada equipo que realice una
presentación breve de los retos de TI identificados por su grupo.
Pregunta:
Una vez que hayas leído el caso de estudio Callwick, debes ser capaz de identificar un número de retos de TI a los
que la compañía se está enfrentando ahora, o que podría enfrentar en un futuro cercano. Debes describir al menos
un reto de TI por categoría, usando la hoja de respuestas que encontrarás a continuación.
● Mantener operando TI
▪ …
▪ …
▪ …
▪ …
● Valor
▪ …
▪ …
▪ …
▪ …
● Costos
▪ …
▪ …
▪ …
▪ …
Manual del alumno | Respuestas
● Dominando la complejidad
▪ …
▪ …
▪ …
▪ …
● Alineando con el negocio
▪ …
▪ …
▪ …
▪ …
● Cumplimiento regulatorio
▪ …
▪ …
▪ …
▪ …
● Seguridad
▪ …
▪ …
▪ …
▪ …
Respuesta:
● Mantener corriendo a TI
▪ Callwick no puede dar servicio a sus clientes si sus propios sistemas de operación internos y los
sistemas de producción de cara al cliente están sujetos a interrupciones por cualquier razón. Debido a
esto mantener operando a TI es crítico para el negocio
▪ Uno de los puntos de venta únicos de Callwick (USP’s), de los cuales depende su reputación, es la
confiabilidad, y esto sólo puede ser garantizado si los sistemas de TI están siempre en funcionamiento
● Valor
▪ La realización del valor será por debajo de la óptima mientras las inversiones en TI sean dirigidas por las
últimas tecnologías, como parece ser el caso
▪ La falta de un ambiente estructurado y disciplinado motiva la ineficiencia interna que destruye valor que,
inevitablemente, tiene un impacto negativo en el servicio al cliente
● Costos
▪ Es probable que la gestión de costos sea problemática debido a la falta de procesos y procedimientos
consistentes a lo largo de varias áreas operativas. Esto se traduce en islas de información de diferente
calidad, las cuales se interponen en la toma de decisiones efectiva en el centro
▪ Se incrementan los costos de mantenimiento a través del tiempo debido a que, frecuentemente, nuevas
aplicaciones son agregadas y no están estandarizadas
▪ Procesos inmaduros y no definidos pueden resultar en mucho re-trabajo necesario entre los
departamentos; diferentes departamentos operan bajo sus propios procedimientos individuales que no
son compatibles con el resto de la organización
● Dominando la complejidad
▪ La alta tasa de crecimiento de Callwick’s, aunado con un número de adquisiciones recientes, da como
resultado que la compañía tenga un número de sistemas diferentes que integrar y mantener
▪ Los siempre cambiantes retos técnicos y tecnológicos que evolucionan en la industria de las
telecomunicaciones exigen supervisión y control especializado de las infraestructuras críticas
● Alineado con el negocio
▪ El equipo gerencial busca mejoras en la eficiencia operacional en las operaciones en E.U.A, pero
parece que el constante crecimiento de los costos de mantenimiento, la oferta del nuevo video-servicio
y la próxima oferta pública inicial (enlistar a la compañía en la bolsa de valores), pueden limitar la
habilidad de la compañía para financiar proyectos que mejoren la eficiencia (tales como estandarizar
el software de contabilidad, automatizar los reportes, rediseñar los procesos de TI, implementación de
sistemas de ERP, colaboración virtual y entrenamiento del personal de TI)
▪ Dado que no existe una función o comité responsable de supervisar la formulación e implementación
de la estrategia de TI, es probable que exista una desconexión entre los planes discutidos por la junta
de dirección y lo que hace la organización de TI. Por ejemplo, Callwick históricamente se ha enfocado
en el rango de edad de 15 a 55 años, pero la junta directiva ha indicado que les gustaría enfocarse
también en el grupo de mayores de 55 años. Son necesarias inversiones futuras en línea con esta
estrategia y aún no está claro qué impacto tendrá esto en los requerimientos de TI
▪ La decisión de subcontratar la nómina, servicio al cliente y algunos aspectos de desarrollo de TI, fue
justificada en base al costo. La calidad del servicio y otras consideraciones deberían de haber sido los
factores más importantes en el proceso de toma de decisiones
● Cumplimiento regulatorio
▪ La dirección está consciente de que Callwick tendrá que cumplir con las regulaciones de Sarbanes-
Oxley, de forma que la compañía se prepara para su oferta pública inicial.
▪ Adicionalmente, los futuros interesados no sólo esperarán reportes oportunos del desempeño financiero
(como fue requerido por las entidades enlistadas), también requerirán acceso a la información del
desempeño general del negocio y de cumplimiento con las regulaciones.
● Seguridad
▪ Callwick reconoce que tiene un alto apetito para el riesgo. Aunque el acercamiento emprendedor al
riesgo es parte de hacer negocios, la junta directiva debe asegurar que el intercambio de riesgo/valor es
comprendido de manera correcta y administrado cuidadosamente
▪ Es esencial que Callwick proteja de manera adecuada la información confidencial del cliente para evitar
incumplir con las regulaciones de protección de datos de la jurisdicción en la que opera. La compañía
no sólo debería proveer una protección adecuada contra hackers, virus y programas malignos; también
debería instalar procedimientos para protegerse en contra de amenazas de seguridad internas, como
robo de datos por parte de los empleados
Tarea 2
60 minutos. Incluye revisión y discusión
● 0–5 minutos: Dividir a los estudiantes en cuatro grupos.
● 5–15 minutos: Leer el caso de estudio ● las preguntas de la tarea.
● 15–35 minutos: Preparar respuestas haciendo uso de la hoja de respuestas.
● 35–60 minutos: Discusión en grupo.
Método: Leer el caso de estudio, formular tus respuestas, discutir con los miembros de tu equipo y prepararte para
la discusión en grupo. El instructor moderará la discusión y le pedirá a un miembro de cada equipo que haga una
pequeña presentación describiendo los retos de TI que su grupo identificó.
Jason Late introdujo COBIT 5 en la reunión de la dirección, y para crear conciencia de las relaciones entre las
necesidades de los interesados, las metas de la empresa y las metas relacionadas con TI, presentó de manera
breve la cascada de metas de COBIT 5 (se detuvo en seco al detallar las metas de los habilitadores, ¡demasiado
detallado para una primera exposición a los no iniciados!). Los directores apoyaron su recomendación de
designar un consultor expecialista con experiencia para que revisara sus problemas con Vidamelt, identificar
la manera para resolver la crisis e implementar de manera sistemática los principios y prácticas de gobierno
de TI en Callwick.
Jason Late se acercó a David Kaybels, CGEIT, CISA, CISM, quien de manera subsecuente se reunió con el equipo
de gestión y describió la forma típica en que las organizaciones comienzan a usar COBIT. Explicó que es mejor
comenzar con la identificación de los problemas que están causando la mayor preocupación. Una vez que han sido
identificados, entonces es posible identificar cuáles habilitadores dentro de COBIT necesitan recibir atención para
superar de manera efectiva los retos destacados en el análisis inicial.
Kaybels primero tuvo que comprender los factores en el ambiente externo de Callwick que impulsaban a
los interesados, para poder así enfocarse adecuadamente en los tres objetivos de gobierno que crean valor:
realización de los beneficios, optimización de riesgos y optimización de recursos. Después, entrevistó a varios de
los interesados internos dentro de la organización de TI y el negocio para descubrir las preocupaciones mayores.
Identificó las siguientes:
1. Los directores no tenían una forma clara de saber si su inversión en el servicio de Video a Demanda
estaba entregando valor al negocio; sin embargo, sí estaban enterados de los niveles de falta de
satisfacción de los clientes.
2. A pesar de que el departamento de TI tenía todas las nuevas tecnologías a su disposición, no había
forma de saber qué tan efectivamente estaban siendo explotadas en la búsqueda de las oportunidades
estratégicas que Video a Demanda parecía prometer.
3. No había registro de riesgos de TI y no se podía saber si la operación de TI era suficientemente robusta
para garantizar los niveles de servicio que los nuevos clientes esperaban.
4. Los problemas con Vidalmelt fueron una sorpresa para muchos y aun así, aparentemente, no se había
aprendido de esta experiencia, especialmente en el área de supervisión y gestión de costos.
5. Parecía que algunos de los interesados tenían la idea de que los problemas habían sido causados por un
entrenamiento del personal inadecuado.
En su discusión con varios de los interesados, Kaybels también notó los siguientes problemas
operacionales:
1. Video a Demanda fue puesto en línea en la fecha y el tiempo planificados, pero necesitó de presupuesto
adicional para cumplir con la fecha límite. Adicionalmente, la organización de TI reportó problemas de
implementación que derivaron en una pobre entrega del servicio a los clientes de Callwick.
2. Callwick esperaba mucho de Vidamelt, una compañía relativamente pequeña quien, quizá debido a su
tamaño, no tenía bien definidos los roles internos varios y las responsabilidades necesarias para apoyar
esta iniciativa en particular. Adicionalmente, Callwick falló en establecer de manera clara las expectativas
de entrega de servicio en el contrato (por ejemplo: el número de usuarios que Vidalment requeriría dar
servicio, quién estaría involucrado, cómo y cuándo, y demás).
3. Muchos de los objetivos no habían sido definidos con claridad y la dirección no estaba obteniendo
retroalimentación constante que mostrara si la iniciativa estaba o no dentro del plan. Cuando Video a
Demanda salió a la luz, se recibieron quejas proporcionales al crecimiento de la base de usuarios. La
dirección sólo recibió actualizaciones del estado poco estructuradas y de muy alto nivel, sin indicadores
ni reportes detallados de desempeño. Así que cuando las cosas comenzaron a salir mal, fue una gran
sorpresa para la gerencia.
4. Se autorizó acceso a la organización de TI de Callwick a los sistemas de TI de Vidalmelt, esto para
cerciorarse de cómo Callwick podría migrar la aplicación a la infraestructura de TI de Callwick al final del
periodo de contrato de un año. Sin embargo, los empleados de Callwick no tuvieron acceso a la interfase
y de cualquier forma no existían guías de usuario, ni se proveyó documentación clara del sistema. Los
empleados de Callwick no estaban entrenados de manera adecuada en cómo estos sistemas operaban.
Pregunta1:
Ahora David necesita producir un reporte inicial para la dirección, basado en la información obtenida durante las
entrevistas, recalcando los problemas principales que necesitan ser tratados para recuperarse de la crisis actual y
prevenir una repetición de este escenario potencialmente dañino para la marca.
Planea identificar y discutir varias de las metas de la empresa que corresponden de manera más cercana a las
preocupaciones de los interesados. Está consciente que las 17 metas de la empresa, identificadas dentro de COBIT,
están distribuidas en las cuatro dimensiones del Cuadro de Mando Integral (BSC) y espera encontrar al menos una
meta dentro de cada una de las dimensiones de los BSC.
Debido a esto, David ha comenzado a escribir un memorándum corto al equipo de gestióna la gerencia para informar
sus descubrimientos, comenzando con una breve explicación de algunas necesidades típicas de los interesados
internos y externos. Después va a identificar las metas más importantes de la empresa que corresponden con las
preocupaciones de los interesados, de acuerdo a lo descubierto en las entrevistas.
Usando el apéndice C, debes completar el memorándum a través de la identificación de las metas clave de la
empresa que corresponden a las preocupaciones encontradas.
Memorándum
De: David Kaybels
Para: Gerentes
Fecha: Día de hoy
Queridos todos:
largo de las cuatro dimensiones de BSC. He identificado las siguientes metas como punto de inicio para encontrar
una solución apropiada a los problemas de gestión de TI.
▪ …
▪ …
▪ …
▪ …
▪ …
▪ …
▪ …
▪ …
Respuesta 1:
Memorándum
De: David Kaybels
Para: Gerentes
Fecha: Día de hoy
Queridos todos,
largo de las cuatro dimensiones de BSC. He identificado las siguientes metas como punto de inicio para encontrar una
solución apropiada a los problemas de gestión de TI.
.
a. Portafolio de productos y servicios competitivos. (Meta de la empresa #2)
b. Continuidad y disponibilidad del servicio de negocio. (Meta de la empresa #7)

c. Optimización de la funcionalidad del proceso de negocios. (Meta de la empresa #11)
d. Personas con habilidades y bien motivadas. (Meta de la empresa #16)
Espero poder reunirme con ustedes para mostrarles cómo bajar estas metas de la empresa a metas de TI, e
identificar los varios procesos habilitadores que necesitan ser mejorados.
Quedo a sus órdenes,
David Kaybels
Pregunta 2:
David tiene confianza de que COBIT pueda ser usado para enfrentar los problemas identificados durante las
entrevistas. Tomando en cuenta las cuatro metas de la empresa que identificó, seleccionó las cuatro metas
relacionadas con TI más importantes en la situación actual.
Debes revisar la cascada de metas y seleccionar la información y las metas relacionadas con tecnología que apliquen
y, cuando sea posible, destaca los procesos habilitadores primarios referidos en la documentación de COBIT. Una
vez más, trata de encontrar metas dentro de cada una de las cuatro dimensiones del BSC. Debes ser capaz de
discutir y justificar tus recomendaciones.
Respuesta 2:
a. Gestiona el riesgo de negocios relacionado con TI. (Meta relacionada con TI #4)
Procesos habilitadores primarios:
i. EDM 03 Asegurar la optimización del riesgo
ii. APO 10 Gestionar los Proveedores
iii. APO 12 Gestionar el riesgo
iv. APO 13 Gestionar la seguridad
v. BAI 01 Gestionar los programas y los proyectos
vi. BAI 06 Gestionar los cambios
vii. DSS01 Gestionar las operaciones
viii. DSS02 Gestionar las peticiones y los incidentes del servicio
ix. DSS03 Gestionar los problemas
x. DSS04 Gestionar la continuidad
xi. DSS05 Gestionar los servicios de seguridad
xii. DSS06 Gestionar los controles de los procesos de negocio
xiii. MEA 01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad
xiv. MEA 02 Supervisar, Evaluar y Valorar el Sistema de Control Interno
xv. MEA 03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos
Externos

a. Entrega de los servicios de TI en línea con los requerimientos de negocios. (Meta relacionada con TI #7)
i. EDM 01 Asegurar el establecimiento y mantenimiento del marco de

gobierno
ii. EDM 02 Asegurar la entrega de los beneficios

iii. EDM 05 Asegura la transparencia hacia las partes interesadas
iv. APO 02 Gestionar la estrategia
v. APO 08 Gestionar las relaciones
vi. APO 09 Gestionar los Acuerdos de Servicio
vii. APO 10 Gestionar los proveedores
viii. APO 11 Gestionar la calidad
ix. BAI 02 Gestionar la definición de los requerimientos
x. BAI 03 Gestionar la identificación y construcción de soluciones
xi. BAI 04 Gestionar la disponibilidad y la capacidad
xii. BAI 06 Gestionar los cambios
xiii. DSS 01 Gestionar las operaciones
xiv. DSS 02 Gestionar las peticiones de servicio y los incidentes
xv. DSS 03 Gestionar los problemas
xvi. DSS 04 Gestionar la continuidad
xvii. DSS 06 Gestionar los controles de los procesos de negocio
xviii.MEA 01 Supervisar, evaluar y valorar el desempeño y la conformidad
3. Dimensión de los procesos internos:

a. Entrega puntual de los beneficios del programas, dentro del presupuesto y cumpliendo con los
requerimientos y estándares de calidad. (Meta relacionada con TI #13)
i. APO 05 Gestionar el portafolio

ii. APO 07 Gestionar los recursos humanos
iii. APO 11 Gestionar la calidad
iv. APO 12 Gestionar los riesgos
v. BAI 01 Gestionar los programas y los proyectos
vi. BAI 05 Gestionar la Introducción de Cambios Organizativos

a. Conocimiento, experiencia e iniciativas para la innovación de negocios. (Meta relacionada con TI #17)
i. EDM 02 Asegurar la entrega de los beneficios
ii. APO 01 Gestionar el marco de gestión de TI
iii. APO 02 Gestionar la estrategia
iv. APO 04 Gestionar la innovación
v. APO 07 Gestionar los recursos humanos
vi. APO 08 Gestionar las relaciones
vii. BAI 05 Gestionar la Introducción de Cambios Organizativos
viii. BAI 08 Gestionar el conocimiento
Tarea 3
60 minutos. Se incluye la revisión y la discusión.
● 0–5 minutos: Dividir a los estudiantes en grupos (de 3 a 4 personas por grupo).
● 25–45 minutos: Preparar las respuestas a través del llenado de la hoja de respuestas.
● 45–60 minutos: Discusión de grupo, moderada por el instructor.
Método: Leer acerca del proyecto Video a Demanda, formular tus respuestas, discutir con los miembros de tu equipo
y prepararse para la discusión en clase. El instructor moderará la discusión y le pedirá a un miembro de cada equipo
que haga una breve presentación describiendo las preocupaciones de los interesados y los principios de gobierno de
TI que el grupo identificó.
Video a Demanda
Callwick decidió lanzar un servicio de Video a Demanda, y como apoyo a este servicio, proveer a los clientes con
decodificadores funcionando con software propietario. Sin embargo, Callwick no tenía la experiencia técnica requerida.
Para lanzar el servicio al mercado sin retrasos, Callwick decidió subcontratar el desarrollo de la interfase del usuario y
del motor interno a la compañía Vidamelt, quien también hospedaría el servicio. Callwick asignó recursos dedicados
para iniciar el proyecto y determinó mantener la gestión del proyecto dentro de la empresa.
Vidalment fue seleccionada por la oficina del CIO debido a sus capacidades altamente especializadas, gráficas de
alta calidad, interfaces amigables para el usuario, experiencia probada en la oferta de servicios de Video a Demanda
y al final, pero no en último, precios competitivos.
Requerimientos de desarrollo:
Dado que Callwick quería lanzar su reproductor de video lo más pronto posible, decidió enfocarse en tener las
características básicas de Video a Demanda funcionando primero. Las características adicionales (por ejemplo,
diferentes interfaces dependiendo del grupo de edad, juegos a demanda, ajustes de canal personalizables,
aplicaciones, etc.) vendrían después.
Los requerimientos de Video a Demanda eran los siguientes:
● Video de alta calidad
● Facturación automatizada
● Posibilidades separadas de facturación con tarjeta de crédito
● Interfase con Video Llamada de Callwick
● Interfase con bases de datos de películas de terceros Requerimientos de operaciones
Dado que Callwick no contaba con los recursos necesarios para soportar completamente Video a Demanda, decidió
que Vidalmelt se haría cargo de los siguientes aspectos operacionales por el primer año:
● Alojar el servicio de Video a Demanda
● Servicio de soporte al cliente de primer y segunda línea, 24 horas al día, 365 días al año
● La facturación de Video a Demanda, disponible desde la interfase del usuario
Estado del proyecto Video a Demanda:

Debido a los cambios introducidos a las especificaciones de los requerimientos durante el curso del proyecto,
éste se entregó por arriba del presupuesto pero a tiempo. Callwick no definió ni comunicó adecuadamente los
requerimientos del proyecto, mientras que Vidalment falló en la organización formal y regular de reuniones de
revisión del proyecto. En su lugar, tendían a trabajar de manera aislada, concentrándose en el diseño técnico y,
debido a la falta de interacción con el cliente, hicieron supuestos basados en su propia experiencia. Una vez que
el servicio fue lanzado, la presencia de esta nueva oferta creció rápidamente en el mercado gracias a comentarios
positivos en el New York Times, Technology News, CNET, Wired y otras. Sin embargo, después de aproximadamente
seis meses, entre más suscriptores se daban de alta, comenzaron a salir a flote algunas dificultades.
● El centro de servicio al cliente de Vidalmente no fue capaz de proveer el nivel adecuado de soporte a los
clientes de Callwick. Por ejemplo, algunas de las llamadas de los clientes a la mesa de soporte eran sobre
preguntas generales relacionadas con otros servicios de Callwick, lo cual se encontraba fuera del alcance
del contrato con Vidamelt (y por lo tanto no podía ser resuelto por Vidalment). Otros clientes llamaron a
la mesa de soporte por problemas con pagos hechos con tarjeta de crédito y no pudieron ser atendidos,
ya que Vidalmente necesitaba acceso a información del cliente específica y ésta se encontraba dentro
de los sistemas de Callwick, y no había integración de sistemas provista entre las dos compañías. Como
resultado, tomó mucho tiempo manejar las preguntas y quejas, lo cual llevó a falta de satisfacción del
cliente.
● Una de las características agregadas al alcance del proyecto durante su ejecución, la guía de TV en línea,
representó un problema desde el principio. No hubo una comunicación adecuada con respecto a esta
característica entre los líderes de proyecto en las diferentes localizaciones. Esto resultó en que parte de la
información de los programas sólo estuviera disponible en un uso horario. Adicionalmente, los programas
y las agendas no se actualizaban de manera sistemática en todas las regiones.
● El creciente número de suscriptores resultó en un rápido incremento de demanda en el sistema, lo cual
afectó de manera negativa los tiempos de respuesta. Las quejas aumentaron debido al servicio pobre.
● Callwick intentó integrar aspectos del servicio de Video a Demanda con ciertos servicios internos
existentes. Sin embargo, dado que Vidamelt había diseñado y construido el reproductor de video
usando tecnologías propietarias, la transferencia de esta tecnología resultó ser técnicamente compleja,
muy larga y costosa.
● Los trabajos de mantenimiento, sorprendentemente agendados en la noche, se sumaron a los problemas
de desempeño para los clientes que querían ver películas en la noche.
● El equipo de mercadeo de Callwick necesitaba obtener una percepción de las preferencias y
comportamientos de sus clientes para crear ofertas personalizadas, pero no fueron capaces de obtener
esta información crítica debido a que Vidamelt no pudo capturar y entregar la información requerida.
Pregunta 1:
Claramente Callwick está enfrentando un par de retos con su servicio Video a Demanda, que está siendo manejado
por Vidalment. No es probable que haya alguna mejora en el servicio sin alguna clase de intervención. Debido a
que los requerimientos del proyecto fueron realizados de manera precipitada, hubo ciertas omisiones, incluyendo
detalles como la base de usuarios esperada, la capacidad del sistema, la integración con los sistemas de Callwick
y las provisiones para obtener la información de mercadotecnia. Mike Emmerson (CIO) y Dan Toben (CTO) están
trabajando duro para resolver estos problemas y confían que serán capaces de resolverlos en tanto continúan
trabajando con Vidalment.
Jason Late (CEO) se está preparando para una reunión con la junta directiva en la que se discutirán los varios
problemas con Video a Demanda y Vidamelt. Él cree que los problemas raíz no son tanto acerca de los roles y el
desempeño de Vidamelt, sino acerca de la necesidad organizacional de hacer uso de un marco general de gobierno
de TI para controlar de manera apropiada las iniciativas de TI y asegurar que se entregue valor al negocio. Está
consciente que este marco dará una guía específica con respecto a la identificación de los varios interesados del
gobierno de TI y explicará en detalle por qué es necesario el gobierno de TI en la empresa, qué interesados están
involucrados, a qué niveles y qué se necesita para obtener un Gobierno de TI de la empresa (GEIT) efectivo.
Jason busca en ti un consejo externo y en particular, requiere que identifiques a los varios interesados internos
y externos del gobierno de TI para Callwick y le proveas una lista de las preocupaciones que cada una de las
categorías de interesados podría tener.
Respuesta 1:
Junta directiva y Establecimiento y definición de la dirección de la empresa para el uso
Dirección general de TI; supervisión del establecimiento de los habilitadores de gobierno
de TI empresarial (GEIT) relevantes y requeridos, en orden de entregar
valor al negocio y mitigar riesgos relacionados con TI.
La dirección de ne- Facilitar la definición y alineación de las metas relacionadas con TI para
gocios ejecutiva, la asegurar que TI entregue al negocio, mientras que los riesgos relacionados
dirección de TI y los con TI estén mitigados.
propietarios de pro-
cesos
Dirección Presidir la planificación, construcción y supervisión de la información y las

de nego- soluciones de TI, y las capacidades de servicio de la manera requerida
cios por el negocio y dirigidas por la junta directiva.
Vidamelt Asegurar que la operación del sistema de Video a Demanda cumpla con
los requerimientos de negocio de Callwick, de acuerdo a lo establecido
dentro del acuerdo de nivel de servicio.
Reguladores Asegurar que Callwick cumpla con las leyes de privacidad de infor-
mación relevantes y otras regulaciones aplicables en las jurisdicciones en
donde los servicios de Video a Demanda están siendo entregados.
Clientes Asegurar que su información se encuentra asegurada de manera ad-

ecuada en todo momento, sin probabilidad de que ocurra robo de
datos y/o identidad durante la duración del contrato o después.
Riesgo, Asegurar el cumplimiento con las políticas, regulaciones, leyes y contratos,

cumplimiento y asegurar que el riesgo sea identificado, evaluado y mitigado.
y expertos en
leyes
Auditoría interna Una vez que la compañía se encuentre en lista en la bolsa de valores,
obtener la seguridad de que se han diseñado controles para que la in-
formación financiera provista por todos los sistemas y procesos pueda ser
considerada válida y exacta.
Pregunta 2:
Jason Late se encontraba leyendo acerca de los cinco principios clave de COBIT, es decir cumplir con las necesidades
de los interesados, cubrir la empresa de punta a punta, implementar un marco de trabajo único integrado, habilitar
un acercamiento holístico y separar el gobierno de la gestión.
Escribe un pequeño reporte a Jason con respecto a los problemas que necesitan ser atendidos, correspondiendo
a cada uno de los cinco principios clave. Puedes aprovechar las experiencias del proyecto Video a Demanda para
recalcar tus recomendaciones.
Respuesta 2:
Principio clave Cómo se aplica a Callwick

Cumplir con las Callwick necesita crear valor para sus interesados a través del man-
necesidades de tenimiento del balance entre la realización de los beneficios, gestión
los interesados de riesgos y la utilización adecuada de recursos. La junta directiva y la
dirección ejecutiva deben mantener una vigilancia sobre los proyectos
que están entregando nuevos servicios y sus tecnologías asociadas,
así como en la integración con los sistemas existentes alineados a los
estándares técnicos de Callwick; lo anterior mientras satisfacen los re-
querimientos de la entrega del servicio al nivel que esperan los clientes.
La situación actual de Video a Demanda amenaza con dañar la

marca y construir una opinión negativa en el cliente. La necesidad
urgente es establecer un comité adecuado (como un comité de es-
trategia de TI) con términos de referencia definidos y nombrar personas
responsables de que se haga, con roles y responsabilidades definidos
seleccionados por los rangos superiores. El comité debe estar presidido
por alguien que no sea el CIO. Este comité debe asegurarse que la
estrategia de TI esté alineada con los negocios, supervisión y ejecución
de los varios proyectos de TI en progreso, y asegurar que los riesgos re-
lacionados con TI estén identificados y se encuentren incorporados en
el marco de gestión de riesgos de la empresa.
Cubrir la empresa de Para integrar al gobierno de TI con el gobierno de la empresa, es nece-
punta a punta sario establecer varios habilitadores de gobierno (tales como marcos
de trabajo, principios, estructuras, procesos y prácticas) diseñados para
obtener los objetivos definidos. Estos después serán implementados den-
tro de un alcance de gobierno definido, en línea con los objetivos estra-
tégicos de la empresa.
Está claro que Callwick carece de formalidad y estandarización, y

que estas limitaciones pueden estar relacionadas directamente con el
pobre desempeño del nuevo servicio de Video a Demanda. A través
del establecimiento de las políticas, estructuras, procesos y prácticas
necesarias, y la asignación de las responsabilidades (asi como rendición
de cuentas), tanto de hacer (responsible), como de que se haga (ac-
countable), a gerentes de TI y al personal, será posible supervisar y eval-
uar el desempeño hacia la obtención de los objetivos definidos.
Implementar un mar- A través de la adopción de COBIT 5, la junta directiva puede estar se-
co de trabajo único gura de que la empresa se encontrará alineada con los estándares
integrado relevantes en varias áreas clave incluyendo el gobierno de TI, la arqui-
tectura de la empresa, seguridad y entrega del servicio, permitiéndole
a Callwick destacar las áreas en donde podría profundizar sus esfuerzos
con respecto al cumplimiento de los estándares relevantes (por ejemplo
la ISO/IEC 27000).
Los diversos intereses de los interesados pueden ser abordados dentro

del alcance del marco de trabajo único integrado, cubriendo áreas
tales como el cumplimiento y seguridad de la información de Sarbanes-
Oxley, y proveyendo a los respectivos interesados con los niveles de ase-
guramiento requeridos.
Habilitar un acerca- COBIT 5 especifica siete categorías de habilitadores empresariales, los cu-
miento holístico ales son dirigidos por la cascada de metas de la empresa y derivados en
metas de TI, llamados:
1. Principios, políticas y marcos de trabajo
2. Procesos
3. Estructuras organizacionales
4. Cultura, ética y comportamiento
5. Información
6. Servicios, infraestructura y aplicaciones
7. Personas, habilidades y competencias
La buena toma de decisiones depende del entendimiento de que estos
habilitadores están interconectados y son dependientes el uno del otro, y
es por esto que una decisión dentro de un área también tendrá impacto
en otra, dependiendo de la naturaleza de la decisión.
Debido a esto, Callwick debería esforzarse por obtener un buen enten-

dimiento de las interrelaciones entre sus oficinas centrales y regionales, en
lo que se refiere a los habilitadores enlistados arriba, como un prerrequisito
para formular políticas y estrategias futuras alineadas con los objetivos de
negocio.
Separar el gobierno El gobierno se enfoca en hacer que coincidan las expectativas de los
de la gestión interesados con los objetivos de la empresa, seguidos de la dirección,
supervisión y evaluación del desempeño para su logro. Por otro lado, la
gestión se enfoca en la planificación día a día, construcción, despliegue
y la supervisión de las operaciones, idealmente en línea con la dirección
establecida por los distintos cuerpos de gobierno dentro de la empresa.
La situación actual de Callwick revela una desconexión entre la gestión

de proyectos y las operaciones, la cual se debe en gran medida a la aus-
encia del establecimiento de una dirección clara a nivel de gobierno,
dejando que el departamento de TI (y Vidamelt) asuma y tome decisiones
basadas en sus propios supuestos, que pueden o no estar en línea con los
objetivos de negocio de Callwick (si es que estos se conocen de manera
clara).
La junta directiva debe entonces clarificar, a sus miembros y a los geren-

tes, la distinción entre gobierno y gestión, y “crear el código” de las varias
prácticas y artefactos que delinearán estas dos prácticas esenciales.
Tarea 4
● 0–5 minutos: Dividir a los estudiantes en grupos (de 3 a 4 personas por grupo).
● 25–45 minutos: Preparar las respuestas a través del llenado de la hoja de respuestas.
● 45–60 minutos: Discusión en grupo moderada por el instructor.
Método: Lee acerca del proyecto Video a Demanda, formula tu respuesta 1, discute con los miembros de tu equipo
y prepárate para la discusión en el salón. Después de discutir el resultado de la pregunta 1, intenta la pregunta 2. El
instructor moderará la discusión y le pedirá a un miembro de cada equipo que realice una presentación describiendo
los procesos, prácticas y metas de TI identificadas por el grupo.
Video a demanda
David se reunió con el equipo de gerentes para identificar cuatro procesos de COBIT 5 en los cuales enfocarse, dados
los problemas de gobierno y gestión de Callwick. Describió cuatro áreas de preocupación y facilitó una discusión para
llegar a un acuerdo en los cuatro procesos clave.
Pregunta 1
David usó las descripciones de los procesos de COBIT 5 y las cuatro áreas de preocupación para identificar cuatro
procesos en los cuales enfocarse. Completa la tabla de abajo con los cuatro procesos que piensas dan un mejor
tratamiento a los procesos.
Respuesta 1:
Área de preocupación Procesos de COBIT 5 Notas adicionales

La relación entre Callwick y Vidam-
elt era muy problemática, debido
al pobre entendimiento de ambas
partes de los requerimientos y ob-
ligaciones.
completada a tiempo, no entregó
los resultados y la calidad que el
negocio necesitaba.
La solución desarrollada no se inte-

gró de manera adecuada con la
infraestructura de TI y los procesos
de negocios existentes en Callwick.

requerimientos no se definieron
de manera apropiada, causando
problemas de control de acceso.
Respuesta 1:
Área de preocupación Procesos de COBIT Notas adicionales

5
La relación entre Callwick y Vi- APO09 – Callwick y Vidamelt debieron haber
damelt era muy problemática, definido y acordado un acuerdo de nivel
debido al pobre entendimiento Gestionar los Acu- de servicio, que deletreara claramente las
de ambas partes de los re- erdos de Servicio obligaciones de ambas partes.
querimientos y obligaciones.
A pesar de que la iniciativa fue BAI01 – Gestionar La gestión efectiva de programa sy

completada a tiempo, no en- los Programas y proyectos ayudará a asegurar que el
tregó los resultados y la calidad Proyectos desarrollo esté alineado con los objeti-
que el negocio necesitaba. vos estratégicos, involucre a los interesa-
dos correctos y entregue resultados de
la calidad adecuada.
La solución desarrollada no se APO03 – Gestionar Una arquitectura de la empresa bien
integró de manera adecuada la Arquitectura Em- definida asegurará que todos los do-
con la infraestructura de TI y presarial minios: de negocio, información, datos,
los procesos de negocios exis- aplicación y tecnología; hayan sido
tentes en Callwick. definidos como bloques de construc-
ción y puedan ser usados en la defin-
ición de una arquitectura objetivo para
la nueva solución que permita una in-
tegración, desarrollo y operación efec-
tivos.
Las políticas de seguridad y APO13 – Gestionar La gestión de la seguridad asegu-
los requerimientos no se defini- la Seguridad rará que se definan políticas ad-
eron de manera apropiada, ecuadas y que las soluciones sean
causando problemas de con- implementadas de acuerdo a un
trol de acceso. plan de seguridad definido.
Pregunta 2:
Después David estableció talleres con el personal de TI de Callwick más relacionado con los cuatro procesos
identificados. Quería fomentar que se convirtieran en propietarios del proceso, que se familiarizaran con las guías
de COBIT 5 y se involucraran en las áreas que más necesitan mejoras, de manera de que fueran capaces de
proponer un conjunto de acciones de mejora. Facilitó una discusión de cada uno de los procesos de COBIT 5 para
acordar qué prácticas de gestión era más importante mejorar. Completa la tabla de abajo con las prácticas que
creas es más importante tratar en estos problemas.
Área de preocupación Prácticas de COBIT 5 Notas adicionales
La relación entre Callwick y Vi-

damelt era muy problemática,
debido al pobre entendimiento
de ambas partes de los re-
querimientos y obligaciones.

completada a tiempo, no en-
tregó los resultados y la calidad
que el negocio necesitaba.
La solución desarrollada no se
integró de manera adecuada
con la infraestructura de TI y los
procesos de negocios existentes
en Callwick.
requerimientos no se definieron
de manera apropiada, cau-
sando problemas de control de
acceso.
Respuesta 2
Área de preocupación Prácticas de COBIT 5 Notas adicionales

La relación entre Call- APO09.03 – Definir y pre- La prioridad es establecer un procedimien-
wick y Vidamelt era muy parar los acuerdos de ser- to para definir un buen servicio.
problemática, debido vicio
al pobre entendimiento
de ambas partes de los
requerimientos y obliga-
ciones.
A pesar de que la inicia- BAI01.03 – Gestionar el A pesar de que todas las prácticas son
tiva fue completada a compromiso de las partes probablemente importantes, la más crítica
tiempo, no entregó los interesadas. en este caso es gestionar el compromiso
resultados y la calidad de las partes interesadas y gestionar la cali-
que el negocio necesi- BAI01.09 – Gestionar la dad de los programas y proyectos.
taba. calidad de los programas
y proyectos.
La solución desarrol- APO03.01 – Desar- A pesar de que todas las prácticas de

lada no se integró de rollar la visión de la la arquitectura necesitan ser mejoradas,
manera adecuada arquitectura de em- se decidió enfocarse en el primer y se-
con la infraestructura presa. gundo paso como los más importantes:
de TI y los procesos de obtener una línea base y arquitecturas
negocios existentes en objetivo para los patrocinadores del
APO03.02 – Definir la arqui-
Callwick. proyecto para definir las nuevas capaci-
tectura de referencia.
dades, y una arquitectura de referencia
que pueda ser usada durante el desar-
rollo.
Las políticas de seguri- APO13.1 – Declaración de Se requiere un enfoque sistemático

dad y los requerimien- alcance del SGSI. para mantener la seguridad, así como
tos no se definieron de un plan que defina cómo será tratada
manera apropiada, la seguridad dentro de Callwick.
APO13.2 – Definir y
causando problemas
gestionar un plan de
tratamiento del riesgo de
la seguridad de la infor-
mación.
Pregunta 3
Después David sugirió que cada propietario del proceso definiera una o dos metas de procesos para establecer
algunas metas y medir las mejoras. Esto les ayudará a demostrar valor ganado a la dirección. Completa la tabla de
abajo con las metas de procesos que crear mejor dan tratamiento a los problemas.
Áreas de preocupación Metas del proceso de COBIT Notas adicionales

5
La relación entre Call-
wick y Vidamelt era muy
problemática, debido
al pobre entendimiento
ciones.
A pesar de que la inicia-
tiva fue completada a
tiempo, no entregó los
resultados y la calidad
que el negocio necesi-
taba.
La solución desarrol-
lada no se integró de
manera adecuada
con la infraestructura
de TI y los procesos de
negocios existentes en
Callwick.
Las políticas de seguri-

dad y los requerimien-
tos no se definieron de
manera apropiada,
causando problemas
Respuesta 3:
Áreas de preocupación Metas del proceso de Notas adicionales

COBIT 5
La relación entre Call- 2. Los acuerdos de ser- Esta meta se enfocará en crear
wick y Vidamelt era muy vicio reflejan las capa- acuerdos de servicio efectivos.
problemática, debido cidades y necesidades
al pobre entendimiento de TI.
ciones.
A pesar de que la inicia- 1. Las partes interesadas Estas metas se enfocarán en hacer que
tiva fue completada a relevantes están com- las partes interesadas se encuentren com-
tiempo, no entregó los prometidas con los pro- prometidas y en entregar los beneficios
resultados y la calidad gramas y los proyectos. esperados.
que el negocio necesi-
taba.
6. Los beneficios espera-
dos del programa y del
proyecto son obtenidos
y aceptados.
La solución desarrol- 1. La arquitectura y los Esta meta asegurará que la arquitec-
lada no se integró de estándares son efectivas tura se encuentre en establecida para
manera adecuada apoyando a la empresa. su uso en los proyectos.
con la infraestructura
de TI y los procesos de
negocios existentes en
Callwick.
Las políticas de seguri- 1. Está en marcha un La obtención de estas dos metas
dad y los requerimien- sistema que considera demostrará que los requerimientos
tos no se definieron de y trata efectivamente para gestionar la seguridad han
manera apropiada, los requerimientos sido definidos en Callwick.
causando problemas de seguridad de la
de control de acceso. información de la em-
presa.
Se ha establecido,
aceptado y
comunicado en toda
la empresa un plan de
seguridad.
Examen Foundation
Rationale
293
1 PR0105 - The COBIT 5 Principles

A
a) “¿Se aplican buenas prácticas?” es una de las cuatro preguntas válidas que se pueden
formular al establecer la manera de gestionar el desempeño del catalizador (Página 28,
Figura 13)
b) Las cuatro preguntas válidas son: ¿se abordan las necesidades de las partes
interesadas?, ¿se alcanzan las metas del catalizador?, ¿se gestiona el ciclo de vida del
catalizador? y ¿se aplican buenas prácticas? (Página 28, Figura 13)
c) Las cuatro preguntas válidas son: ¿se abordan las necesidades de las partes
d) Las cuatro preguntas válidas son: ¿se abordan las necesidades de las partes
2 EN0208 - The COBIT 5 Enablers

A
a) Las metas intrínsecas tienen por objeto cumplir con las reglas internas y externas.
(pág. 69)
b) Esta no es una categoría de una meta de un proceso. (pág. 69)
c) Las metas contextuales se deberían adaptar a la situación específica de la empresa.
(pág. 69)
d) El propósito de esta meta es especificar el nivel de seguridad requerido, por ej.,
confidencialidad y accesibilidad para quienes la necesitan. (pág. 69)
3 IM0101 - Introduction to COBIT 5 Implementation

C
a) Construir mejoras es la Fase 4 del ciclo de vida de Mejora continua. (pág. 37, Fig. 17)
b) Definir el estado objetivo es la Fase 3 del ciclo de vida de Gestión del Programa. (pág.
37, Fig. 17)
c) Planificar el programa es la Fase 4 del ciclo de vida de Gestión del Programa. (pág. 37,
Fig. 17)
d) Iniciar el programa es la Fase 1 del ciclo de vida de Gestión del Programa. (pág. 37,
Fig. 17)
294
4 OV0201 - Overview & Key Features of COBIT 5

C
a) Este es un beneficio de utilizar COBIT y no un factor motivante. Página 13

b) Este no es un factor motivante para desarrollar un marco sino un beneficio para el
negocio de utilizar un marco como COBIT 5. Página 13
c) Este es uno de los principales factor motivantes para querer desarrollar un marco.
Página 15
d) Este es un beneficio clave de utilizar COBIT 5 pero no un factor motivante de
importancia para desarrollar un marco. Página 13

C
a) Los resultados del proceso no son un mecanismo de comunicación según la definición.

(pág. 80)
b) Las estructuras organizativas se pueden diseñar para acomodar los valores corporativos
y el comportamiento deseado pero no son un mecanismo de comunicación. (pág. 80)
c) Los principios y políticas son un mecanismo de comunicación para los valores
corporativos y el comportamiento deseado. (pág. 80)
d) Las reglas y normas proveen una guía más específica sobre los valores corporativos y el
comportamiento deseado, siendo un vínculo con un mecanismo de comunicación de la
empresa. (pág. 80)

A
a) Un ejemplo para la categoría de meta “calidad contextual” es que los “resultados

deberían ser relevantes, completos, actualizados, apropiados, consistentes,
comprensibles y fáciles de usar”. (Página 29, Calidad contextual)
b) “Los catalizadores están disponibles cuando se necesitan” es un ejemplo para la
categoría de meta “Accesibilidad y Seguridad”. (Página 29, Accesibilidad y Seguridad)
c) “Los catalizadores proveen resultados precisos, objetivos y de confianza” es un ejemplo
para “Calidad Intrínseca”. (Página 29, Calidad intrínseca)
d) “Los resultados están protegidos, es decir, el acceso está limitado a quienes están
autorizados y lo necesitan” es un ejemplo para la categoría de meta “Accesibilidad y
Seguridad”. (Página 29, Accesibilidad y Seguridad)
295
7 PC0202 - Process Capability Assessment Model

D
a) La Guía del Asesor se basa en el Modelo de Evaluación del Proceso (PAM) e ISO15504
y tiene por objeto evaluar los procesos definidos en el PAM, no el propio PAM (PAM
§3.2)
b) El Modelo de Evaluación del Proceso (PAM) tiene un valor como modelo de referencia
(PAM §3.2)
c) La Guía de Autoevaluación es diferente de la Guía del Asesor (PAM §3.2)
d) La Guía de Autoevaluación se puede utilizar, de una manera informal, para realizar una
Evaluación de Competencia del Proceso y, como tal, para preparar una evaluación
formal (PAM §3.2)

D
a) La Transparencia hacia las partes interesadas es un proceso para gobierno y no un

componente. (Página 33, Figura 16)
b) Evaluar, Dirigir y Monitorear son prácticas dentro de cada proceso de gobierno (Página
32, Figura 15)
c) Planificar, Construir, Ejecutar y Monitorear son Dominios de Gestión (Página 32, Figura
15)
d) El uso eficaz de todos los Recursos (Optimización de Recursos) es un Objetivo de
Gobierno y por lo tanto un componente principal de un sistema de gobierno. (Página 23,
Figura 8)

A
a) Los Principios Operativos describen las disposiciones prácticas sobre la manera en que
una estructura operará. (pág. 75)
b) Esto se refiere a Ámbito de Control. (pág. 75)
c) Esto se refiere a Ámbito de Control. (pág. 75)
d) Esto se refiere a Nivel de derechos de autoridad / decisión. (pág. 75)
296

C
a) La consideración de Entradas y Salidas es una actividad del proceso y no el propósito

de la Cascada de Metas (Apéndice G)
b) La definición de la Arquitectura Empresarial es una actividad en el Dominio de Procesos
APO (Alinear, Planificar y Organizar) y no el propósito de la Cascada de Metas. (Página
88, Figura 39)
c) El mecanismo para convertir las necesidades de las partes interesadas en metas
empresariales específicas, accionables y a medida. (Página 17)
d) Apoyar la definición de roles y responsabilidades claros es una actividad del proceso y
no el propósito de la Cascada de Metas (Apéndice G)

C
a) Se requiere que los marcos sean abiertos y flexibles. (pág. 67)

b) Esta es una buena práctica dentro de un marco de política. (pág. 68)
c) Las políticas proveen una guía detallada sobre la manera de poner en práctica los
principios. (pág. 67)
d) Los principios expresan los valores fundamentales de la empresa. (pág. 67)

D
a) La innovación del proceso es uno de los dos atributos del proceso para un proceso de
optimización (COBIT cap. 8 pág. 42)
b) La gestión del desempeño del proceso es uno de los dos atributos del proceso para un
proceso gestionado (COBIT cap. 8 pág. 42)
c) La evaluación del proceso no es un atributo del proceso para ningún nivel (COBIT cap. 8
pág. 42)
d) La medición del proceso es uno de los dos atributos del proceso para un proceso
predecible
297

C
a) Las matrices RACI son un medio para expresar roles y estructuras organizativas. (pág.
71)
b) Los aspectos culturales determinan lo bien que se ejecutan los procesos. (pág. 71)
c) Los procesos producen capacidades de servicio. (pág. 71)
d) Los procesos ayudan a cumplir, no a producir, las Metas del Negocio (Implícito por la
respuesta anterior en C). (pág. 71)

D
a) Según la Figura 39 Página 88.

b) Según la Figura 39 Página 88.
c) Según la Figura 39 Página 88.
d) Según la Figura 39 Página 88.

C
a) La Cultura, la Ética y el Comportamiento son factores de éxito en las actividades de

gobierno y gestión (Página 27, Catalizadores de COBIT 5)
b) Los Servicios, la Infraestructura y las Aplicaciones proveen procesamiento y servicios
de tecnología de información (Página 27, Catalizadores de COBIT 5)
c) Los Principios, las Políticas y los Marcos son el vehículo para convertir el
comportamiento deseado en una guía práctica (Página 27, Catalizadores de COBIT 5)
d) Las Personas, las Habilidades y las Competencias se requieren para una culminación
exitosa y para una toma de decisiones correctas (Página 27, Catalizadores de COBIT 5)
298
16 OV0202 - Overview & Key Features of COBIT 5

B
a) Este es un beneficio de COBIT 5; se centra inicialmente en las necesidades de las

partes interesadas. Página 13
b) Este es un beneficio para un marco como ITIL 3 pero no el beneficio principal de utilizar
COBIT. Es parte del alcance del Catalizador 6 - Servicios, infraestructura y
aplicaciones. Página 14
c) Este es un beneficio de COBIT 5. Página 13
d) Este es un beneficio de utilizar un marco como COBIT 5. Página 13

C
a) El Ejecutivo del Negocio es responsable de la operación de una unidad de negocio

específica. (pág. 76)
b) El Jefe de Arquitectura es responsable del proceso de arquitectura de la empresa. (pág.
76)
c) El CIO es el ejecutivo de mayor cargo de la empresa responsable de alinear la TI con
las estrategias del negocio. (pág. 76)
d) El COO es responsable de la operación de la empresa. (pág. 76)

D
a) Buenas Prácticas es una Dimensión del catalizador y no un factor motivante para las
necesidades de las partes interesadas (Página 28, Figura 13)
b) La Calidad Contextual es una meta del catalizador y no un factor motivante para las
necesidades de las partes interesadas (Página 28, Figura 13)
c) Se usa un indicador de retraso para medir el alcance del logro de metas y no un
ejemplo de un Factor motivante de las partes interesadas (Página 29, Gestión del
Desempeño del Catalizador )
d) Ambiente Regulador es un ejemplo de un Factor motivante de las partes interesadas
(Página 17, Paso 1)
299

B
a) Las estructuras organizativas pueden definir e implementar políticas dentro de su ámbito

de control. (pág. 68)
b) Las prácticas del proceso son el vehículo más importante para ejecutar políticas. (pág.
68)
c) Los marcos deben reflejar los objetivos de gobierno y proveer la estructura bajo la cual
operen las políticas. (pág. 67)
d) Las Reglas y Normas son prácticas que proveen una mayor guía sobre el
comportamiento organizativo deseado. (pág. 80)

D
a) El Cuerpo de Gobierno rinde cuentas (Página 24, Figura 9 y Página 31 Capítulo 6)

b) El Rol Operaciones es responsable de las Notificaciones a la gerencia (Página 24,
Figura 9 y Página 31 Capítulo 6)
c) Las partes interesadas no deben rendir cuentas ni tienen responsabilidad alguna ya que
solamente delegan (Página 24, Figura 9 y Página 31 Capítulo 6)
d) El Rol de Gestión es responsable del Monitoreo (Página 24, Figura 9 y Página 31
Capítulo 6)

B
a) Las Fusiones y adquisiciones son un ejemplo de un evento desencadenante. (pág. 36)

b) Los puntos débiles podrían indicar una necesidad de un gobierno mejorado de la TI de la
empresa. (pág. 36)
c) Los eventos desencadenantes son cambios en el ambiente interno y externo de la
empresa que pueden señalar un foco en el gobierno de la TI de la empresa. (pág. 36)
d) La cuestión en la pregunta puede ser un riesgo pero no es la definición correcta según
los ejemplos. (pág. 36)
300

B
a) El Modelo de Referencia de Procesos se utiliza para la dimensión del proceso, no para

la dimensión de la competencia. (Ref. Guía suplementaria PAM 3.6.2)
b) Esta es la definición de ISO15504 (PAM § 3.7)
c) El Modelo de Referencia de Procesos solamente se utiliza para el nivel de competencia
1 (PAM § 3.7)
d) Se hace referencia a los atributos genéricos en los niveles 2 a 5. El Modelo de
Referencia de Procesos solamente se utiliza para el nivel 1 (PAM § 3.7)

A
a) El flujo del Modelo de Referencia de Procesos es: Evaluar ി Dirigir ിPlanificar ി

Construir ി Ejecutar ിMonitorear (MEA) ി Monitorear ിEvaluar (Página 32, Figura 15)
b) El flujo del Modelo de Referencia de Procesos es: Evaluar ി Dirigir ിPlanificar ി
c) El flujo del Modelo de Referencia de Procesos es: Evaluar ി Dirigir ിPlanificar ി
d) El flujo del Modelo de Referencia de Procesos es: Evaluar ി Dirigir ിPlanificar ി

C
a) La Arquitectura Empresarial no es una categoría de habilidades del Dominio EDM según

la Fig. 39, pág. 88
b) La Arquitectura Empresarial no es una categoría de habilidades del Dominio BAI según
c) La Arquitectura Empresarial es una categoría de habilidades del Dominio APO según la
Fig. 39, pág. 88
d) La Arquitectura Empresarial no es una categoría de habilidades del Dominio MEA según
301

C
a) El nivel 1 es un proceso ejecutado (pág. 42) y Suplemento 3.7.1

b) El nivel 2 es un proceso gestionado (pág. 42) y Suplemento 3.7.1
c) El nivel 3 es un proceso establecido (pág. 42) y Suplemento 3.7.1
d) El nivel 6 es un proceso optimizado (pág. 42) y Suplemento 3.7.1

A
a) El logro de las metas de la empresa requiere una serie de resultados relacionados con
la TI que están representados por las metas relacionadas con la TI. (Página 18)
b) Los resultados relacionados con la TI están representados por las metas relacionadas
con la TI. Las metas del catalizador se utilizan en apoyo de las metas relacionadas con
la TI. (Página 18)
c) Los resultados relacionados con la TI están representados por las metas relacionadas
con la TI. El cuadro de mando (balanced scorecard) de la TI se utiliza al estructurar las
metas relacionadas con la TI. (Página 18)
d) Los resultados relacionados con la TI están representados por las metas relacionadas
con la TI. Los procesos son un tipo de catalizadores. (Página 18)

D
a) Los marcos proveen la estructura bajo la cual los procesos pueden operar (pág. 67)
b) Las políticas expresan los valores fundamentales de una empresa (pág. 67)
c) Los catalizadores son factores que influyen en que algo funcione (pág. 27)
d) Definición palabra por palabra según la pág. 69
302

C
a) El atributo que identifica el contexto en el cual la información tiene sentido. (pág. 83)
b) El atributo que identifica el tipo de información. (pág. 83)
c) Este atributo contiene el soporte físico de la información. (pág. 83)
d) El atributo que identifica el canal de acceso de la información. (pág. 83)

D
a) Esta es simplemente una de las maneras y no es suficiente por sí misma cuando se

consigue el objetivo de gobierno de creación de valor, al conseguir los beneficios a un
nivel de riesgo óptimo y optimizar los recursos. Página 17
b) Esta es simplemente una de las maneras y no es suficiente por sí misma cuando se
c) Esta es simplemente una de las maneras y no es suficiente por sí misma cuando se
d) Los tres deben contribuir al objetivo de gobierno de creación de valor. Página 17

B
a) Es necesario que los Principios estén limitados en número pero su propósito es

expresar los valores fundamentales de la empresa. (pág. 67)
b) Los principios se necesitan para expresar los valores fundamentales de la empresa tan
claramente como sea posible. (pág. 67)
c) Se requiere que los marcos sean Abiertos y flexibles. (pág. 67)
d) Solamente las políticas deben seguir un flujo lógico para que los empleados deban
cumplirlas. (pág. 67)
303

A
a) Uno de los principales propósitos de una evaluación de la competencia de un proceso

es ser parte de una iniciativa de mejora del proceso. Ref: Guía Suplementaria 3.1’.
b) La evaluación financiera no es un propósito directo de la evaluación del proceso, sino
que más bien es una actividad o práctica de base como parte de una valoración del
riesgo, o caso de negocio. Ref: Guía Suplementaria 3.1’.
c) La evaluación financiera no es un propósito directo de la evaluación del proceso, sino
que más bien es una actividad o práctica de base como parte de una valoración del
riesgo, o caso de negocio. Ref: Guía Suplementaria 3.1’.
d) Las métricas se pueden evaluar, pero no se definen durante una evaluación. Ref:
Guía Suplementaria 3.1’.

A
a) Nivel de aplicabilidad y utilidad de la información para la tarea que se va a realizar. (pág.

82)
b) Término relevante pero utilizado para describir si la información está actualizada para la
tarea que se va a realizar. (pág. 82)
c) Término relevante pero utilizado para describir el alcance de la información que falta y si
es de la suficiente profundidad para la tarea que se va a realizar. (pág. 82)
d) Término relevante pero utilizado para describir si la información es fácil de manipular y
aplicable a diferentes tareas. (pág. 82)

B
a) Las metas de la empresa desencadenan metas relacionadas con la TI. (Página 18,
Figura 4)
b) Las necesidades de las partes interesadas desencadenan Metas de la empresa.
(Página 18, Figura 4)
c) Los procesos son uno de los catalizadores y las metas del catalizador no
desencadenan procesos sino que están apoyados por ellos. (Página 18, Paso 4)
d) La Optimización del Riesgo y su meta es una Necesidad de las partes interesadas en
sí misma. (Página 17, Figura 3)
304

A
a) Las buenas políticas son efectivas. (pág. 67)

b) Los principios expresan los valores fundamentales de la empresa. (pág. 67)
c) Las buenas políticas no son intrusivas. (pág. 67)
d) Se requiere que los principios sean limitados en número. (pág. 67)

C
a) Un proceso puede aprobar ya sea con una L (Ampliamente alcanzado) o con una F
(Completamente alcanzado) pero no se requiere que sea totalmente F. (PAM § 3.8)
b) Un proceso no puede aprobar una evaluación con una P – Parcialmente alcanzado o
con una L – Ampliamente alcanzado (PAM § 3.8)
c) L – Ampliamente y o F – Completamente es correcto (PAM § 3.8)
d) Un proceso no puede aprobar una evaluación con una P – Parcialmente solo (Cap. 8
Página 42, 45 y PAM § 3.8)

C
a) Los Principios Operativos son las disposiciones prácticas sobre la manera en que una
estructura operará. (pág. 75, Fig. 32)
b) Las categorías de habilidades se utilizan para definir los requerimientos de habilidades
para cada rol. (pág. 87, Fig. 38)
c) Nombrar campeones del negocio, o líderes de mejores prácticas, es un ejemplo de
buena práctica para ayudar a alentar el comportamiento deseado. (pág. 79, Fig. 34)
d) Publicar los procedimientos de delegación de autoridad describe la estructura de sus
privilegios de decisión en caso de que hubiera problemas a la hora de tomar decisiones.
(pág. 75, Fig. 32)
305

B
a) “Se alinea con las últimas visiones sobre Gobierno” es un aspecto clave del principio
“Cubrir la Empresa Extremo-a-Extremo”. (Página 13, Figura 2 y página 23)
b) Uno los aspectos fundamentales del principio clave “Aplicar un Marco Único e Integrado”
es que:
Provee una arquitectura simple para estructurar el material de guía. (Página 13, Figura 2
y página 25)
c) “Las necesidades de las partes interesadas se traducen en estrategia” es un aspecto
clave de los principios “Satisfacer las Necesidades de las partes interesadas”. (Página
13, Figura 2 y página 17)
d) “Relación entre Gobierno y Gestión” es un aspecto clave del principio “Separar el
Gobierno de la Gestión”. (Página 13, Figura 2 y página 31)

D
a) Los clientes son partes interesadas externas. Según la Pág. 69 y la Figura 29.
b) Los Socios de Negocio son interesados externos. Según la Pág. 69 y la Figura 29.
c) Los Reguladores son interesados externos. Según la Pág. 69 y la Figura 29.
d) El Ejecutivo del Negocio es un interesado interno. Según la Pág. 69 y la Figura 29.

A
a) Las Prácticas Genéricas solamente se utilizan para evaluar procesos de los niveles 2 a
5. Guía Suplementaria PAM 3.6.1 de COBIT 5
b) Las Prácticas Genéricas no se utilizan para evaluar en el nivel 1, solamente las
prácticas específicas llamadas Prácticas de Base. Guía Suplementaria PAM 3.6.1 de
COBIT 5
c) Solamente de los niveles 2 a 5. Guía Suplementaria PAM 3.6.1 de COBIT 5
d) Para todos los niveles del nivel 2 al nivel 5. Guía Suplementaria PAM 3.6.1 de COBIT 5
306

C
a) Este es un punto débil y no un factor ambiental. Página 36

b) Los Gastos de TI ocultos y sin explicación son un punto débil y no un factor ambiental.
Página 36
c) Este es un ejemplo de un factor ambiental. Página 35
d) Este es un evento desencadenante y no se considera un factor ambiental. Página 37

D
a) Considerar las entradas y salidas del proceso es una Actividad del Proceso. (pág. 70)
b) Apoyar el establecimiento de roles y responsabilidades claros es una Actividad del
Proceso. (pág. 70)
c) Una serie de pasos de implementación para lograr una práctica de gestión es una
Actividad del Proceso. (pág. 70)
d) Declaraciones sobre acciones para entregar beneficios es una Práctica del Proceso.
(pág. 70)

D
a) Las metas/objetivos del catalizador apoyan el logro de las metas relacionadas con la TI.
(Página 18, Figura 4)
b) Las necesidades/objetivos de las partes interesadas se utilizan para establecer las
metas de la empresa. (Página 18, Figura 4)
c) Las metas/objetivos relacionados con la TI apoyan el logro de los objetivos de la
empresa. (Página 18, Figura 4)
d) La dirección establecida por el órgano de gobierno consiste en lograr los objetivos de la
empresa. (Página 31, Definición de Gestión)
307

B
a) La calidad intrínseca es un tipo de meta del proceso. (pág. 69)

b) La ética organizacional se determina por los valores por los cuales la empresa quiere
subsistir. (pág. 79)
c) La Ética individual y la Ética organizativa están determinadas por los valores personales
de cada individuo dentro de la empresa. (pág. 79)
d) Buenas prácticas se refiere a prácticas que crean, alientan y mantienen el
comportamiento deseado en toda la empresa. (pág. 79)

B
a) Los objetivos del negocio no son una herramienta según la afirmación correcta a
continuación. (pág. 38)
b) El caso de negocio es una valiosa herramienta disponible para la gestión con el fin de
justificar las decisiones sobre inversión. (pág. 38)
c) Las Políticas del Negocio son catalizadores que influyen en la manera en que la toma
de decisiones se alinea con los principios organizativos pero no una herramienta para
justificar la inversión. (pág. 67 Apéndice G)
d) Los modelos de capacidad del proceso se utilizan para medir la madurez actual de los
procesos además del estado de madurez requerido (‘a lograr’). (pág. 41)

C
a) COBIT 5 es un marco integrado porque es completo en cuanto a la cobertura de la

empresa. (Página 25, Figura 10 y lista de viñetas encima de la figura)
b) COBIT 5 es un marco integrado porque provee una arquitectura simple. (Página 25,
Figura 10 lista de viñetas encima de la figura)
c) COBIT 5 se alinea con otros estándares relevantes y por lo tanto se puede utilizar como
un marco general único y no es necesario utilizar otros estándares (Página 25, Figura
10 y lista de viñetas encima de la figura)
d) COBIT 5 es un marco integrado porque se integra con marcos ISACA anteriores.
(Página 25, Figura 10 y lista de viñetas encima de la figura)
308

D
a) Los procesos de TI se utilizan para transformar los conocimientos a fin de crear Valor.
(pág. 81, Fig. 35)
b) Los procesos transforman Datos en Información. (pág. 81, Fig. 35)
c) Los datos son generados por los Procesos. (pág. 81, Fig. 35)
d) El valor se crea cuando los Procesos transforman conocimientos. (pág. 81, Fig. 35)

B
a) Una Dimensión de Competencia que se centra en la Competencia del Proceso (niveles

1 a 5) basada en indicadores de atributos de un proceso (PAI) que solamente considera
atributos genéricos. Ref. 3.7 en la guía suplementaria PAM de COBIT 5
b) El PRM o Modelo de Referencia de Procesoscontiene indicadores adicionales para la
evaluación del desempeño del proceso en base a indicadores de desempeño muy
específicos. Además, es utilizado solamente en el Nivel 1. Ref. 3.7 en la guía
suplementaria PAM de COBIT 5
c) No hay una dimensión del catalizador en ISO 15504, hay una dimensión del Catalizador
COBIT 5 en el modelo genérico de catalizadores Principio 4, Hacer posible un enfoque
integral, Capítulo 5 Página 28.
d) Un PRM se utiliza solamente para la dimensión del proceso y no la dimensión de la
competencia. Ref. 3.7

B
a) Los marcos proveen la estructura bajo la cual los procesos pueden operar (pág. 67)
b) La información es una competencia del Servicio utilizada para distribuir servicios
internos y externos. (pág. 86)
c) Las metas intrínsecas expresan el nivel de conformidad con las reglas internas y
externas. (pág. 69)
d) Las metas contextuales expresan el nivel de personalización y adaptación a la situación
específica de la empresa. (pág. 69)
309

D
a) La pregunta “¿Se alcanzan las metas del catalizador?” considera los resultados reales
del catalizador y las métricas utilizadas se llaman “Indicadores de Retraso” (Página 29,
Gestión del Desempeño del Catalizador)
b) La pregunta: “¿Se consideran las necesidades de las partes interesadas?” considera
los resultados reales del catalizador y las métricas utilizadas se llaman “Indicadores de
Retraso” (Página 29, Gestión del Desempeño del Catalizador)
c) COBIT 5 hace una clara distinción entre gobierno y gestión. (Página 31, Gobierno y
Gestión)
d) La pregunta “¿Se aplican buenas prácticas?” considera el funcionamiento real del propio
catalizador y las métricas se llaman “Indicadores de Avance” (Página 29, Gestión de
Desempeño del Catalizador )

D
a) Conformidad es el término utilizado para especificar que la información debe ajustarse a

requerimientos específicos. (pág. 63, Fig. 26)
b) Si la información satisface la necesidad del consumidor de información Y se obtiene de
manera fácil entonces esto se conoce como eficiencia. La eficiencia concuerda con la
meta de la calidad de la información de Credibilidad. (pág. 63, Fig. 26)
c) Si la información satisface la necesidad del consumidor de información Y se obtiene de
manera fácil entonces esto se conoce como eficiencia. La eficiencia concuerda con la
meta de la calidad de la información de Facilidad de operación. (pág. 63, Fig. 26)
d) La información es eficaz si satisface la necesidad del consumidor de información que
utiliza la información para una tarea específica. (pág. 63, Fig. 26)
310
COBIT Foundation Examination
Week ending :
For Exam Paper :EPCOBFSample2-121114SamplePaper1
Syllabus Syllabus Syllabus
Q Ans Section Q Ans Section Q Ans Section
Topic Topic Topic
Page 28, COBIT 5 PAM

1 A PR0105 31 A PC0201
Figure 13 supplementary guide 3.1
2 A EN0208 pg 69 32 A EN0221 Appendix G Page 82
3 C IM0101 p37,Fig17 33 B PR0203
4 C OV0201 Page 13 34 A EN0203 Appendix G pages 67
COBIT 5 PAM
5 C EN0216 p80 35 C PC0208
Supplementary guide 3.8
Page 29,
Appendix G Figure 34
6 A PR0212 Contextual 36 C EN0214
pages 79 to 80
quality
Figure 2 Principles model

7 D PC0202 PAM §3.2 37 B PR0101 page 13 executive
summary
8 D PR0208 Page 33 38 D EN0207
pages 69 to 74
COBIT 5 PAM
9 A EN0212 p75 39 A PC0206 supplementary guide
3.6.1.
Chapter 2
Page 17
10 C PR0207 40 C IM0201 Chapter 7 Page 35 & 36
2nd
paragraph
11 C EN0202 p67 p68 41 D EN0209 Appendix G page70
Chapter 6 Figure 14
COBIT ch.
12 D PC0102 42 D PR0214 Governance/management
8 p 42
interactions page 31
13 C EN0211 p71 43 B EN0215
pages 79 to 80
Figure 39
14 D EN0224 44 B IM0203
Page 88.
Page 27,
Chapter 4 Figure 10
15 C PR0102 COBIT 5 45 C PR0211
Page 25
Enablers
Appendix G Page 81
16 B OV0202 46 D EN0218
Figure 35
COBIT 5 PAM
17 C EN0213 p76 47 B PC0205
supplementary guide 3.7
18 D PR0202 48 B EN0223 Appendix G Page 86
Chapter 5 page 29 Figure

19 B EN0206 p68 49 D PR0213 13 The generic enabler
model
Page 24,
Figure 9
20 D PR0209 and Page 50 D EN0217 Appendix F Page 63
31
Chapter 6
21 B IM0202 p36
22 B PC0204 PAM § 3.7
311
Page 32,
23 A PR0215
Figure 15
Fig 39,
24 C EN0225
p88
COBIT 5
Chapter 8
25 C PC0101
Figure 19
page 42
Chapter 2
page 18 to
19 Figure
26 A PR0205
6&
Appendix
C
27 D EN0101
Appendix
28 C EN0219
G
Chapter 2
29 D PR0201 page 17
Figure 3
Chapter 2
30 B EN0201 page 17
Figure 3
312
COBIT® 5
FUNDAMENTOS
Apéndice E: Guía de referencia de los procesos
APO03
Área: Gestión
APO03 Gestionar la Arquitectura Empresarial Dominio: Alinear, Planificar y Organizar
Descripción del Proceso
Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de
la arquitectura tecnológica de manera efectiva y eficiente para la realización de las estrategias de la empresa y de TI mediante la
creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requerimientos para
la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas, y proporcionar un vínculo para estos
componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costos
potenciales mediante iniciativas como la reutilización de bloques de componentes para los procesos de construcción.
Declaración del Propósito del Proceso
Representar a los diferentes módulos que componen la empresa y sus interrelaciones, así como los principios rectores de su diseño
y evolución en el tiempo; permitiendo una entrega estándar, sensible y eficiente de los objetivos operativos y estratégicos.
El proceso apoya el logro de un conjunto de principales metas TI:

Meta TI Métrica relacionada
Alinear, planificar y organizar

01 Alineamiento de TI y estrategia de negocio x Porcentaje de las metas y requerimientos estratégicos de la
empresa soportados por las metas estratégicas para TI
x Nivel de satisfacción de las partes interesadas con el alcance del
portafolio de programas y servicios planeados
x Porcentaje de los habilitadores de valor de TI mapeados con
habilitadores de valor del negocio
09 Agilidad de las TI x Nivel de satisfacción de los ejecutivos de la empresa con la capacidad
de respuesta de TI a nuevos requerimientos
x Número de procesos de negocio críticos soportados por infraestructuras
y aplicaciones actualizadas
x Tiempo medio para convertir los objetivos estratégicos de TI en una
iniciativa acordada y aprobada
11 Optimización de activos, recursos y capacidades de las TI x Frecuencia de evaluaciones de la madurez de la capacidad y
de la optimización de costos
x Tendencia de los resultados de las evaluaciones
x Niveles de satisfacción de los ejecutivos de negocio y TI con
los costos y capacidades
Métricas y metas del proceso
1. La arquitectura y los estándares son eficaces apoyando a la x Número de excepciones solicitadas y concedidas en los estándares
empresa. de la arquitectura básica
x Nivel de realimentación sobre la arquitectura por parte del cliente
x Beneficios aportados por el proyecto que pueden ser trazados a la
implicación de la arquitectura (por ejemplo, reducción de costos
debido al reuso)
2. La cartera de servicios de la arquitectura de empresa soporta el x Porcentaje de proyectos que usan los servicios de
cambio empresarial ágil. la arquitectura de empresa
x Nivel de retroalimentación sobre la arquitectura por
parte del cliente
3. Existen dominios apropiados y actualizados y/o arquitecturas federadas x Fecha de la última actualización en el dominio y/o arquitecturas
que proveen información confiable de la arquitectura. federadas
x Número de deficiencias detectadas en los modelos a lo largo de los
dominios de empresa, información, datos, aplicaciones y
arquitectura de tecnología
x Nivel de retroalimentación del cliente de la arquitectura en relación a
la calidad de la información proporcionada
4. Se utiliza un marco de arquitectura de empresa y una x Porcentaje de proyectos que utilizan el marco de trabajo y la
metodología común; así como un repositorio de arquitectura metodología para reutilizar componentes ya definidos
integrado, con el fin de permitir la reutilización de eficiencias x Número de personas formadas en la metodología y en el manejo del
dentro de la empresa. conjunto de herramientas
x Número de excepciones concedidas en los estándares y líneas base
de la arquitectura
314
Manual del alumno | Apéndice E
Matriz RACI APO03
Propietarios de los Procesos de Negocio
Gestor de Seguridad de la Información

Director de Seguridad de la Información
Consejo de Arquitectura de la Empresa
Director de Informática/Sistemas (CIO)

Cumplimiento Normativo (Compliance)
Gestor de Servicio (Service Manager)

Comité Ejecutivo Estratégico
Gestor de Continuidad de Negocio

Director General Financiero (CFO)
Gestor de Privacidad de la
Director General Ejecutivo (CEO)
Comité de Riesgos Corporativos
Jefe de Arquitectura del Negocio

Director de Operaciones (COO)
Oficina de Gestión de Proyectos

Director de Riesgos (CRO)
Consejo de Administración
Comité Estratégico
Jefe de Administración TI
Oficina de Gestión del Valor
Jefe de Operaciones TI
Jefe de Desarrollo
Práctica Clave de
información
Gobierno
Auditoría
APO03.01
Desarrollar la visión de la A C C R C R C R C C C C R R C C C C
arquitectura de la
empresa.
APO03.02 C C C R C R C A C C C C R R C C C C
Definir la arquitectura de
referencia.
APO03.03
Seleccionar las A C C R C R C R C C C C R R C C C C
oportunidades y las
soluciones.
APO03.04
Definir la implantación de A C R C C R C R C C C C R R C C C C
la arquitectura.
APO03.05
Proveer los servicios de A C R C C R C R C C C C R R C C C C
arquitectura empresarial.
APO03 Prácticas, Entradas/Salidas y Actividades del Proceso

Guía Práctica de Gestión Entradas Salidas
APO03.01 Desarrollar la Desde Descripción Descripción A
visión de la arquitectura EDM04.01 Principios directrices Alcance de la APO02.05
de la empresa. de la arquitectura de arquitectura definido
La visión de la arquitectura proporciona una empresa
primera descripción de alto nivel de las
arquitecturas de partida y objetivo, cubriendo APO02.05 Hoja de ruta Principios de BAI02.01
los dominios de negocio, información, datos, estratégica arquitectura BAI03.01
aplicaciones y tecnología. La visión de la BAI03.02
arquitectura proporciona al promotor la
herramienta clave para vender los beneficios Fuera del Estrategia empresarial Caso de APO02.05
de la capacidad propuesta a los interesados ámbito de negocio y APO05.03
de la empresa. La visión de la arquitectura COBIT propuesta de
de información describe cómo nuevas valor del
capacidades permitirán alcanzar las metas concepto de
de la empresa y los objetivos estratégicos, y arquitectura
considera las preocupaciones de las partes
interesadas en su implementación.
315
APO03 Prácticas, Entradas/Salidas y Actividades del Proceso (continuación)

APO03.01 Actividades
1. Identificar a las partes interesadas clave de la empresa y sus objetivos/preocupaciones y definir los requerimientos clave de la empresa a ser
considerados, así como la visión de la arquitectura a ser desarrollada para satisfacer los distintos requerimientos de los interesados.
2. Identificar los objetivos y los impulsores estratégicos de la empresa y definir las limitaciones con las que habrá que
tratar, incluyendo las limitaciones en toda la empresa y las específicas del proyecto (duración, planificación, recursos,
etc.).
3. Alinear los objetivos de la arquitectura con las prioridades estratégicas del plan empresarial.
4. Entender los deseos y las capacidades del negocio y, a continuación, identificar las opciones para realizar dichas
capacidades.
5. Evaluar la disposición de la empresa para el cambio.

6. Definir qué está dentro y qué está fuera del alcance de la arquitectura de partida y los esfuerzos de arquitectura
objetivo, entendiendo que el punto de partida y el objetivo no necesitan ser descritos con el mismo nivel de
detalle.
7. Confirmar y elaborar los principios de la arquitectura, incluyéndose los principios de la empresa. Asegurarse
de que todas las definiciones existentes estén vigentes y aclarar cualquier área de ambigüedad.
8. Entender los objetivos estratégicos actuales de la empresa y trabajar conjuntamente con el proceso de planificación estratégica para asegurarse
que las oportunidades de arquitectura de TI empresarial se apoyan en el desarrollo del plan estratégico.
9. Crear la visión de la arquitectura atendiendo a las preocupaciones de los interesados, en los requerimientos de
capacidad del negocio, en el alcance, en las limitaciones y principios: visión de alto nivel de las arquitecturas de
partida y objetivo.
10. Definir las proposiciones de valor, los objetivos y métricas de la arquitectura objetivo.
11. Identificar los riesgos empresariales asociados con el cambio de la nueva visión de la arquitectura, evaluar el nivel
de riesgo inicial (por ejemplo: crítico, marginal o despreciable) y desarrollar una estrategia de mitigación para cada
riesgo importante.
12. Desarrollar el caso de negocio del concepto de arquitectura empresarial, bocetear los planes y el trabajo de arquitectura y asegurar que están
aprobados para iniciar el proyecto alineado e integrado con la estrategia empresarial.
Práctica de gestión Entradas Salidas
APO03.02 Definir la arquitectura de Desde Descripción Descripción A
referencia. • Directrices operativas Descripciones de APO13.02
La arquitectura de referencia describe la APO01.01
corporativas dominio de partida y BAI02.01
situación actual y el objetivo de la definición de la BAI03.01
arquitectura para los dominios negocio, • Definición de la estructura BAI03.02
información, datos, aplicaciones y tecnología. de la organización y funciones arquitectura
APO01.05 • Emplazamiento operacional Modelo de APO01.01

de la función TI arquitectura de
• Evaluación de las diferentes
opciones para la organización procesos
de TI
APO01.06 Guía para la Modelo de la APO02.05
clasificación arquitectura BAI02.01
de los datos de la BAI03.02
información DSS05.03
DSS05.04
Fuera del Estrategia empresarial DSS05.06
ámbito de
316

APO03.02 Actividades
1. Mantener un repositorio de la arquitectura que contenga los estándares, los componentes reutilizables, el modelado,
las relaciones, las dependencias y las vistas para permitir una uniformidad en la organización y el mantenimiento.
2. Seleccionar los puntos de vista de referencia del repositorio de arquitectura que permitirán al arquitecto
demostrar cómo están siendo consideradas las preocupaciones de las partes interesadas en la arquitectura.
3. Por cada punto de vista, seleccionar los modelos necesarios para soportar cada uno de ellos, utilizando las
herramientas o métodos seleccionados y los niveles apropiados de descomposición.
4. Desarrollar descripciones de dominio de arquitectura de partida, utilizando el alcance y nivel de detalle necesarios para
apoyar la arquitectura objetivo, identificando, hasta donde sea posible, los bloques relevantes del repositorio de la
arquitectura.
5. Mantener un modelo de arquitectura de procesos como parte de las descripciones de dominio de referencia y objetivo.
Estandarizar las descripciones y la documentación de los procesos. Definir las funciones y responsabilidades de
quienes deciden el proceso, el propietario del proceso, los usuarios del proceso, el equipo del proceso y cualquier otra
parte interesada que pueda estar involucrada.
6. Mantener un modelo de arquitectura de información como parte de las descripciones de dominio de referencia y objetivo, que sea consistente
con la estrategia de la empresa y que permita un uso óptimo de la información para la toma de decisiones. Mantener un diccionario de datos de la
empresa que promueva una interpretación común y un esquema de clasificación que incluya detalles sobre el propietario de los datos, definición
de los niveles de seguridad apropiados y los requerimientos de retención y destrucción de los datos.
7. Verificar la coherencia interna y precisión de los modelos de la arquitectura y realizar un análisis de diferencias entre el punto de partida y el
objetivo. Priorizar las desviaciones y definir los nuevos componentes o modificaciones que se deben desarrollar en la arquitectura objetivo.
Resolver los impactos potenciales, tales como las incompatibilidades, inconsistencias o conflictos dentro de la arquitectura prevista.
8. Realizar una revisión formal con los interesados para comprobar que la arquitectura propuesta frente a la motivación original del proyecto de
arquitectura y la declaración de arquitectura funcionan.
9. Finalizar la arquitectura de los dominios de negocio, información, datos, aplicaciones y tecnología, y crear un
documento de definición de la arquitectura.
Prácticas de gestión Entradas Salidas

APO03.03 Seleccionar las oportunidades y Desde Descripción Descripción A
las soluciones. APO02.03 Cambios Estrategia de APO02.05
Racionalizar las desviaciones entre las propuestos en la Implementación a
arquitecturas de referencia y objetivo, arquitectura de alto nivel y estrategia
considerando tanto la perspectiva técnica como empresa de migración
la del negocio y agrupándolos a ambos en
paquetes de trabajo del proyecto. Integrar el
proyecto con todos los programas de inversión Fuera del • Estrategias Arquitecturas de APO02.05
relacionados con TI para asegurar que las ámbito de empresariales transición
iniciativas relacionadas con la arquitectura estén COBIT • Motivadores de la
alineadas y que estas iniciativas sean parte del empresa
cambio general en la empresa. Hacer de ello un
esfuerzo en colaboración con las partes
interesadas clave de la empresa y en TI para
evaluar el grado de preparación de la empresa
para su transformación e identificar las
oportunidades, soluciones y todas las
restricciones de la implementación.
317

Actividades
1. Determinar y confirmar los atributos clave del cambio, incluyendo la cultura empresarial y cómo ésta impactará en la implementación de la
arquitectura de la empresa, así como en las capacidades de transición empresarial.
2. Identificar los motivadores de la empresa que podrían limitar la secuencia de implementación, incluyendo una
revisión de los planes estratégicos y de negocio de la empresa y de las líneas de negocio y considerando la
madurez de la arquitectura de empresa actual.
3. Revisar y consolidar los resultados del análisis de diferencias entre las arquitecturas de partida y objetivo y evaluar
sus implicaciones respecto a las oportunidades y soluciones potenciales, interdependencias y alineación con los
programas vigentes habilitados para TI.
4. Evaluar las necesidades, las carencias, las soluciones y los factores para identificar un conjunto mínimo de
requerimientos funcionales cuya integración en el plan de trabajo daría lugar a una implementación más eficiente
y eficaz de la arquitectura objetivo.
5. Conciliar los requerimientos ya consolidados con las posibles soluciones.
6. Afinar las dependencias iniciales, asegurándose que todas las restricciones sobre los planes de implementación y
migración están identificadas y se han consolidado en el informe de análisis de dependencias.
7. Confirmar el grado de preparación de la empresa y el riesgo asociado a la transformación de la misma.

8. Formular una implementación de alto nivel y una estrategia de migración que servirán de guía para la
implementación de la arquitectura objetivo y para la estructura de la arquitectura de transición en línea con los
objetivos estratégicos y los plazos de la empresa.
9. Identificar y agrupar los principales paquetes de trabajo en un conjunto de programas y proyectos coherentes, respetando el enfoque y la dirección
de la estrategia empresarial en su implementación.
10. Desarrollar una serie de arquitecturas de transición según sea necesario, en donde el alcance del cambio requerido
para llevar a cabo en la arquitectura objetivo requiera de un acercamiento incremental.
318

Guía Práctica de Entradas Salidas
Gestión
APO03.04 Definir la implementación de Desde Descripción Descripción A
la arquitectura.
Crear un plan de implementación y de Requerimientos de BAI01.02
migración viable acorde con la cartera de recursos
proyectos y programas. Asegurarse que el
plan está coordinado de cerca, que Descripciones de BAI01.01
proporciona valor y que se disponen de los la fase de BAI01.02
recursos necesarios para finalizar los implementación
trabajos.
Requerimientos de BAI01.01
gobierno de la
Alinear, planificar y
arquitectura
Actividades
1. Establecer lo que el plan de implementación y migración deberían incluir como parte del programa y plan de proyectos para asegurarse que están
alineados con los requerimientos de los decisores aplicables.
2. Confirmar las fases y los progresos de la arquitectura de transición y actualizarlos en el documento de definición de
la arquitectura.
3. Definir los requerimientos de gobierno de la implementación de la arquitectura.
Guía Práctica de Entradas Salidas
Gestión
APO03.05 Proveer los servicios de Desde Descripción Descripción A
arquitectura empresarial. Orientación para BAI02.01
La provisión de los servicios de el desarrollo de BAI02.02
arquitectura empresarial incluye las guías y soluciones BAI03.02
supervisión de los proyectos a
implementar, la formalización de las
maneras de trabajar mediante los
contratos de arquitectura, la medición y
comunicación de los valores aportados por
la arquitectura y la supervisión del
cumplimiento.
Actividades
1. Confirmar el alcance y las prioridades, y proporcionar orientación para el desarrollo y despliegue de soluciones.
2. Gestionar la cartera de servicios de arquitectura de la empresa para asegurar el alineamiento con los objetivos estratégicos y el desarrollo de
soluciones.
3. Gestionar los requerimientos de la arquitectura empresarial y dar soporte con los principios de dicha arquitectura,
modelos y componentes básicos.
4. Identificar y alinear las prioridades de la arquitectura empresarial a los motivadores del valor. Definir y recoger los
valores de las medidas y las métricas utilizadas, y comunicar el valor de la arquitectura empresarial.
5. Establecer un foro tecnológico para facilitar guías de uso de la arquitectura, soporte en los proyectos y guía en la selección de la tecnología.
Medir el cumplimiento con estos estándares y guías de referencia, incluyendo el cumplimiento con requerimientos externos y su importancia
para el negocio.
APO03 Guías de referencia

Estándar de referencia Detalle de la referencia
TOGAF 9 El núcleo de TOGAF es el Método de Desarrollo de la Arquitectura (ADM,
Architecture Development Method) que está relacionado con las prácticas de
desarrollo de una visión de la arquitectura (ADM Fase A), con la definición de
arquitecturas de referencia (ADM Fases B, C, D), con la selección de
oportunidades y soluciones (ADM Fase E) y con la definición de la implementación
de la arquitectura (ADM Fases F, G). Varios de los componentes de TOGAF se
corresponden con las prácticas de COBIT 5 de provisión de servicios de
arquitectura empresarial. Entre ellas se incluyen la Gestión de Requerimientos
ADM, Principios de la Arquitectura, Gestión de Partes Interesadas, Evaluación de
la Preparación para la Transformación del Negocio, Gestión de Riesgos,
Planificación Basada en Capacidad, Cumplimiento de Arquitectura y
Contratación en Arquitectura.
319
APO09
Área: Gestión
AP009 Gestionar los acuerdos de servicio Dominio: Alinear, Planificar y Organizar
Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo
identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e
indicadores de desempeño.
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de la empresa.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas relacionadas
07 Entrega de servicios de TI de acuerdo a los • Número de interrupciones del negocio debidas
requerimientos del negocio a incidentes en el servicio de TI
• Porcentaje de partes interesadas satisfechas
con el cumplimiento del servicio de TI entregado
respecto a los niveles de servicio acordados
• Porcentaje de usuarios satisfechos con la

calidad de los servicios de TI entregados
14 Disponibilidad de información útil y relevante para la • Nivel de satisfacción de los usuarios del negocio y puntualidad (o
toma de decisiones disponibilidad) de la información de gestión
• Número de incidentes en los procesos de negocio causados por la
indisponibilidad de la información
• Relación o cantidad de decisiones de negocio erróneas en las que la
causa principal ha sido la falta de información o la información errónea
Metas y métricas del proceso
Metas del proceso Métricas relacionadas
1. La empresa puede usar de modo efectivo los • Número de procesos de negocio con acuerdos de servicio sin definir
servicios TI, tal como se han definido en el
catálogo.
2. Los acuerdos de servicio reflejan las capacidades y • Porcentaje de servicio TI activos cubiertos por
necesidades de TI. acuerdos de servicio
• Porcentaje de clientes satisfechos porque el servicio
cumple los niveles acordados
3. Los servicios TI rinden como está estipulado en los • Número y severidad de incumplimientos del servicio
acuerdos de servicio. • Porcentaje de servicios supervisados para cumplir los acuerdos
• Porcentaje de servicios que alcanzan su objetivo
APO09 Matriz RACI






Jefe de Desarrollo
información
Práctica Clave de
Gobierno
Auditoría
APO09.01
Identificar servicios TI C R R R C I I I R I C C C A I I
APO09.02
Catalogar servicios I I I I I R I C C C A I I
basados en TI
APO09.03
Definir y preparar R C C C C C R C R R A C C
acuerdos de servicio
APO09.04
Supervisar e I I I R C I I I I A
informar de los
niveles de servicio
APO09.05
Revisar acuerdos de A C C C C C R C R R R C C I
servicio y contratos

320

APO09.01 Identificar servicios TI. Desde Descripción Descripción A
Analizar los requerimientos del negocio y el Carencias APO02.02
modo en que los servicios TI y los niveles de identificadas de los APO05.03
servicio soportan los procesos de negocio. servicios TI de cara APO08.02
Discutir y acordar servicios potenciales y al negocio
niveles de servicio con el negocio y Definición de APO05.01
compararlos con la cartera actual para servicios
identificar servicios nuevos o modificados, u estándar
opciones de nivel de servicio.
Actividades
1. Valorar los servicios TI actuales y los niveles de servicio para identificar brechas entre los servicios existentes y
los procesos de negocio de los que son base. Identificar áreas de mejora de los servicios existentes y de las
opciones de nivel del servicio.
2. Analizar, estudiar y estimar la futura demanda y confirmar la capacidad de los servicios TI existentes.
3. Analizar las actividades de los procesos de negocio para identificar la necesidad de servicios TI nuevos o
rediseñados.
4. Comparar los requerimientos identificados con los componentes del servicio existentes en el catálogo. Si es posible,
agrupar los componentes del servicio existentes (servicios TI, opciones de nivel de servicio y paquetes de servicios)
en nuevos paquetes de servicio para cumplir con los requerimientos de negocio identificados.
5. Siempre que sea posible, relacionar demanda con paquetes de servicio y crear servicios estandarizados para obtener
una eficiencia global.
6. Revisar el catálogo de servicios TI regularmente con la gestión del catálogo y la gestión de relaciones del negocio
para identificar servicios obsoletos. Acordar la retirada de los mismos y proponer cambios.

APO09.02 Catalogar servicios basados en Desde Descripción Descripción A
TI. EDM04.01 Plan de recursos aprobado Catálogos de APO08.05
Definir y mantener uno o más catálogos de servicio
servicios para grupos de clientes objetivo EDM04.02 Comunicación de estrategia
relevantes. Publicar y mantener los servicios de gestión de recursos
TI activos en los catálogos.
APO05.05 Portafolios actualizados de
programas, servicios y
activos
Actividades
1. Publicar los servicios TI, paquetes de servicios y opciones de nivel del servicio activos del portafolio de servicios en
los catálogos relevantes.
2. Asegurar de forma continua que los componentes de servicio en el portafolio y en los catálogos de servicio
relacionados estén completos y actualizados.
3. Informar al gestor de relaciones del negocio de las actualizaciones en los catálogos de servicios.

321

APO09.03 Definir y preparar acuerdos de Desde Descripción Descripción A
servicio. APO11.03 Requerimientos del Acuerdos de nivel APO05.03
Definir y preparar los acuerdos de servicio cliente para la servicios (ANSs) APO08.04
basándose en las opciones de los catálogos gestión de la calidad DSS01.02
de servicio. Incluir acuerdos de nivel de DSS02.01
operaciones interno. DSS02.02
DSS04.01
DSS05.02
Acuerdos de nivel DSS01.02
operativos (OLAs) DSS02.07
DSS04.03
DSS05.03
Actividades
1. Analizar los requerimientos para acuerdos de servicios nuevos o modificados recibidos desde la gestión de las
relaciones con el negocio para asegurar que los requerimientos puedan ser emparejados con los niveles de
servicio. Considerar aspectos tales como tiempos del servicio, disponibilidad, desempeño, capacidad, seguridad,
continuidad, cumplimiento normativo y regulatorio, usabilidad y limitaciones de la demanda.
2. Esbozar borradores de acuerdos de nivel de servicio con el cliente basados en los servicios, paquetes de servicios y
opciones del nivel de servicio en los catálogos de servicio relevantes.
3. Determinar, acordar y documentar los acuerdos operativos internos para cimentar los acuerdos de servicio con
clientes, siempre que sea aplicable.
4. Mantener una relación estrecha con la gestión de proveedores para asegurar que los contratos comerciales
apropiados con proveedores de servicio externos dan apoyo a los acuerdos de servicio con los clientes, siempre
que sea aplicable.
5. Ultimar acuerdos de servicio al cliente con la gestión de relaciones del negocio.
322

Práctica Entradas Salidas
APO09.04 Supervisar e informar de los Desde Descripción Description A
niveles de servicio. Acciones correctivas Informes de APO08.02
Supervisar los niveles de servicio, EDM04.03
para tratar desempeño MEA01.03
informar de las mejoras e identificar desviaciones en la del nivel de
tendencias. Proporcionar información de gestión de recursos. servicio.
gestión adecuada para ayudar a la
gestión del desempeño. APO05.04 Informes del Planes de acción de APO02.02
desempeño del mejora y remedio. APO08.02
portafolio de
Inversiones.
APO05.06 • Acciones correctivas para
la mejora del beneficio
realizado
• Resultados beneficiosos y
comunicaciones
relacionadas
APO08.05 Análisis de
satisfacción
APO11.04 Resultados de
revisiones y
auditorías de
calidad
APO11.05 • Causas raíz de fallas

en la calidad de la
entrega
• Resultados de la
supervisión de la calidad
de la entrega del servicio
o solución
DSS02.02 Incidentes y
peticiones de
servicio priorizados
y clasificados
DSS02.06 Incidentes y
peticiones de
servicio cerrados
DSS02.07 • Informe del estado del
cumplimiento de
peticiones y tendencias
• Informe del estado de
incidentes y tendencias
Actividades
1. Establecer y mantener medidas para supervisar y recolectar datos del nivel de servicio.
2. Evaluar el desempeño y proporcionar informes regular y formalmente sobre el desempeño del acuerdo del
servicio, incluyendo desviaciones con respecto a los valores acordados. Distribuir estos informes a la gestión de
las relaciones del negocio.
3. Hacer revisiones regulares para anticipar e identificar tendencias en el desempeño del nivel de servicio.
4. Proporcionar información de gestión apropiada para ayudar en la gestión del desempeño.
5. Acordar planes de acción y remedio para los incidentes del desempeño o tendencias negativas del mismo.
323

APO09.05 Revisar acuerdos de Desde Descripción Descripción A
servicio y contratos. Retroalimentación
Llevar a cabo revisiones periódicas EDM04.03 ANS actualizados Interno
sobre la ubicación y
de los acuerdos de servicio y efectividad de
revisarlos cuando sea necesario. recursos y
capacidades
calidad del
servicio,
incluyendo la
opinión del cliente
revisiones y
auditorías de calidad
BAI04.01 Evaluaciones respecto
a los ANS
Actividades
1. Revisar regularmente los términos de los acuerdos de servicio para asegurar que son efectivos y actuales y que
los cambios en los requerimientos, servicios TI, paquetes de servicios u opciones de nivel de servicio se tienen en
cuenta cuando sea apropiado.
APO09 Directrices relacionadas

Estándar Relacionado Referencia Detallada
ISO/IEC 20000 • 5.0 Planificar e implantar servicios nuevos o modificados
• 6.0 Gestión del nivel del servicio
ITIL V3 2011 • 2. Gestión de la Demanda

• 3. Gestión de la Cartera de Servicios
• 5. Gestión del Catálogo de Servicios
• 6. Gestión del Nivel de Servicio
• 26. Informes del Servicio
324
APO13 Gestionar la Seguridad
Área: Gestión
APO13 Gestionar la Seguridad Dominio: Alinear, Planificar y Organizar
Descripción del proceso
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Declaración del propósito del proceso
Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de
riesgo de la empresa.
El proceso contribuye al logro de un conjunto de objetivos principales relacionados con TI:
02 Cumplimiento y soporte de TI al cumplimiento del • Costo de la no conformidad de TI, incluidos arreglos y multas, e
negocio de las leyes y regulaciones externas. impacto de la pérdida de reputación
• Número de problemas de no conformidad relativos a TI de los que
se ha informado al consejo de administración o que han causado
comentarios o bochorno público
Alinear, planificar y
• Número de problemas de no conformidad con respecto a acuerdos
contractuales con proveedores de servicios de TI
• Cobertura de las evaluaciones de conformidad
04 Riesgos de negocio relacionados con las TI • Porcentaje de procesos de negocio críticos, servicios TI y programas de
gestionadas. negocio habilitados por las TI cubiertos por evaluaciones de riesgos
• Número de incidentes significativos relacionados con las TI que no
fueron identificados en la evaluación de riesgos
• Porcentaje de evaluaciones de riesgo de la empresa que incluyen los
riesgos relacionados con TI
• Frecuencia de actualización del perfil de riesgo
06 Transparencia de los costos, beneficios y riesgo de las • Porcentaje de casos de inversión de negocio, que tienen claramente
TI. definidos y aprobados los costos y beneficios esperados relacionados
con TI
• Porcentaje de servicios de TI que tienen claramente definidos y
aprobados los costos operacionales y los beneficios esperados
• Encuestas de satisfacción dirigidas a los principales accionistas en
relación al nivel de transparencia, entendimiento y precisión de la
información financiera de TI
10 Seguridad de la información, infraestructura de • Número de incidentes de seguridad causantes de pérdidas financieras,

procesamiento y aplicaciones. interrupciones del negocio o pérdida de imagen pública
• Número de servicios de TI con los requerimientos de seguridad
pendientes
• Tiempo para otorgar, modificar y eliminar los privilegios de acceso,
comparado con los niveles de servicio acordados
• Frecuencia de la evaluación de seguridad frente a los últimos estándares
y guías
14 Disponibilidad de información útil y relevante para la • Nivel de satisfacción de los usuarios del negocio y puntualidad (o
toma de decisiones. disponibilidad) de la información de gestión
• Número de incidentes en los procesos de negocio causados por la
indisponibilidad de la información
• Relación o cantidad de decisiones de negocio erróneas en las que la falta
de información o la información errónea ha sido la causa principal
1. Está en marcha un sistema que considera y trata • Número de roles de seguridad clave claramente definidos
efectivamente los requerimientos de seguridad de la • Número de incidentes relacionados con la seguridad
información de la empresa.
2. Se ha establecido, aceptado y comunicado por • Nivel de satisfacción de las partes interesadas con el plan de seguridad
toda la empresa un plan de seguridad. de toda la empresa
• Número de soluciones de seguridad que se desvían del plan
• Número de soluciones de seguridad que se desvían de la arquitectura de
la empresa
3. Las soluciones de seguridad de la información están • Número de servicios con alineamiento confirmado al plan de seguridad
implementadas y operadas de forma consistente en • Número de incidentes de seguridad causados por la no observación del
toda la empresa. plan de seguridad
• Número de soluciones desarrolladas con alineamiento
confirmado al plan de seguridad

325
Matriz RACI APO13





Jefe de Desarrollo
Práctica Clave de
información
Gobierno
Auditoría
APO13.01 C C C I C I I C A C C C C R I I I R I R C C
Establecer y mantener un
SGSI.
APO13.02
Definir y gestionar un C C C C C I I C A C C C C R C C C R C R C C
plan de tratamiento del
riesgo de la seguridad de
la información.
APO13.03 C R C R A C C R R R R R R R R R
Supervisar y revisar el
SGSI.

APO13.01 Establecer y mantener un SGSI. De Descripción Descripción A
Establecer y mantener un SGSI que Fuera del Enfoque de Política de SGSI Interno
proporcione un enfoque estándar, formal y Ámbito de seguridad de la Declaración de APO01.02
continuo a la gestión de seguridad para la COBIT empresa alcance DSS06.03
información, tecnología y procesos de del SGSI
negocio, y que esté alineado con los
requerimientos de negocio y la gestión de
seguridad en la empresa.
Actividades
11. Definir el alcance y los límites del SGSI en términos de las características de la empresa, la organización, su
localización, activos y tecnología. Incluir los detalles de y justificación para, cualquier exclusión del alcance.
2. Definir un SGSI de acuerdo con la política de empresa y alineada con la empresa, la organización, su localización,
activos y tecnología.
3. Alinear el SGSI con el enfoque global de la gestión de la seguridad en la empresa.
4. Obtener autorización de la dirección para implementar y operar o cambiar el SGSI.
5. Preparar y mantener una declaración de aplicabilidad que describa el alcance del SGSI.
6. Definir y comunicar los roles y las responsabilidades de la gestión de la seguridad de la información.
7. Comunicar el enfoque de SGSI.
326

APO13.02 Definir y gestionar un Desde Descripción Descripción A
plan de tratamiento del riesgo de la Brechas y cambios Plan de tratamiento All EDM
seguridad de la información. APO02.04
necesarios para de riesgos de All APO
Mantener un plan de seguridad de alcanzar la seguridad de la
información que describa cómo se capacidad objetivo información All BAI
gestionan y alinean los riesgos de All DSS
seguridad de la información con la All MEA
estrategia y la arquitectura de
empresa. Asegurar que las APO03.02 Descripciones de Casos de negocio de APO02.05
recomendaciones para implementar dominios de partida y seguridad de la
las mejoras en seguridad se basan en definición de información
casos de negocio aprobados, se arquitectura
implementan como parte integral del
desarrollo de soluciones y servicios y
se operan, después, como parte APO12.05 Propuestas de proyectos
integral de las operaciones del para reducir el riesgo
negocio.
Actividades
1. Formular y mantener un plan de tratamiento de riesgos de seguridad de la información alineado con los objetivos estratégicos y la
arquitectura de la empresa. Asegurar que el plan identifica las prácticas de gestión y las soluciones de seguridad apropiadas y óptimas, con los

recursos, las responsabilidades y las prioridades asociadas para gestionar los riesgos identificados de seguridad de la información.
2. Mantener un inventario de componentes de la solución implementados para gestionar los riesgos relacionados con
la seguridad como parte de la arquitectura de la empresa.
3. Desarrollar propuestas para implementar el plan de tratamiento de riesgos de seguridad de la información,
sustentados en casos de negocio adecuados, que consideren la financiación y la asignación de roles y
responsabilidades.
4. Proporcionar información para el diseño y desarrollo de prácticas de gestión y soluciones, seleccionadas con base
al plan de tratamiento de riesgos de seguridad de la información.
5. Definir la forma de medición de la efectividad de las prácticas de gestión seleccionadas y especificar la forma
de utilizar estas mediciones para evaluar la efectividad y producir resultados reproducibles y comparables.
6. Recomendar programas de formación y concientización en seguridad de la información.
7. Integrar la planificación, el diseño, la implementación y la supervisión de los procedimientos de seguridad de
información y otros controles que permitan la prevención y detección temprana de eventos de seguridad, así
como la respuesta a incidentes de seguridad.
Prácticas de gestión Entradas Salidas
APO13.03 Supervisar y revisar el Desde Descripción Descripción A
SGSI. Incidentes
Mantener y comunicar regularmente la DSS02.02 Informes de auditoría MEA02.01
clasificados y del SGSI
necesidad y los beneficios de la mejora priorizados y
continua de la seguridad de la requerimientos de Recomendaciones
información. Recolectar y analizar servicios Interno
datos sobre el SGSI y la mejora de su para mejorar el SGSI
efectividad. Corregir las no
conformidades para prevenir
recurrencias. Promover una cultura de
seguridad y de mejora continua.
Actividades
1. Realizar revisiones periódicas del SGSI, incluyendo aspectos de políticas, objetivos y prácticas de seguridad del SGSI. Considerar los
resultados de auditorías de seguridad, incidentes, resultados de mediciones de efectividad, sugerencias y retroalimentación de todas las partes
interesadas.
2. Realizar auditorías internas al SGSI a intervalos planificados.
3. Realizar revisiones periódicas del SGSI por la Dirección para asegurar que el alcance sigue siendo adecuado y
que se han identificado mejoras en el proceso del SGSI.
4. Proporcionar información para el mantenimiento de los planes de seguridad para que consideren las incidencias de
las actividades de supervisión y revisión periódica.
5. Registrar las acciones y los eventos que podrían tener un impacto en la efectividad o el desempeño del SGSI.
AP013 Guías relacionadas

Estándares relacionados Referencias detalladas
ISO/IEC 27001:2005 Sistemas de gestión de seguridad de la información – Requerimientos, Sección 4
ISO/IEC 27002:2011
NIST (National Institute of Controles de Seguridad Recomendados para Sistemas de Información Federales de
Standards and Technology) E.U.A.
SP800-53 Rev 1
327
BAI01 Gestionar los Programas
Área: Gestión
BAI01 Gestión de Programas y Proyectos Dominio: Construir, Adquirir e
Implementar
Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia
corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión postimplementación.

Alcanzar los beneficios de negocio; reducir el riesgo de retrasos, costos inesperados y el deterioro del valor, mediante la
mejora de las comunicaciones y la involucración de usuarios finales y de negocio, asegurando el valor y la calidad de los
entregables del proyecto y maximizando su contribución al portafolio de servicios e inversiones.
El proceso apoya la consecución de un conjunto de principales metas TI:

01 Alineamiento de TI y la estrategia de negocio. • Porcentaje de las metas y requerimientos estratégicos de la empresa
soportados por las metas estratégicas para TI
• Nivel de satisfacción de las partes interesadas con el alcance del
portafolio de programas y servicios planeados
• Porcentaje de los facilitadores de valor de TI mapeados con facilitadores
de valor del negocio
04 Riesgos de negocio relacionados con las TI • Porcentaje de procesos de negocio críticos, servicios TI y programas
gestionadas. de negocio habilitados por las TI y cubiertos por evaluaciones de riesgos
• Número de incidentes significativos relacionados con las TI que no
fueron identificados en la evaluación de riesgos
• Porcentaje de evaluaciones de riesgo de la empresa que incluyen los
riesgos relacionados con TI
• Frecuencia de actualización del perfil de riesgo
05 Realización de beneficios del portafolio de inversiones • Porcentaje de inversiones de TI en los que la realización del beneficio se
y servicios relacionados con las TI. supervisa a través del ciclo de vida económico completo
• Porcentaje de servicios TI en los que se realizan los beneficios esperados
• Porcentaje de las inversiones en TI donde los beneficios demandados son

alcanzados o excedidos
13 Entrega de programas que proporcionen beneficios .• Número de programas/proyectos ejecutados en plazo y en

a tiempo, dentro del presupuesto y satisfaciendo presupuesto
los requerimientos y normas de calidad. • Porcentaje de partes interesadas satisfechas con la calidad del
programa/proyecto
• Número de programas que necesitan ser revisados significativamente
debido a defectos de calidad
• Costos del mantenimiento de aplicaciones respecto al costo total de
TI
1. Las partes interesadas relevantes están comprometidas con los • Porcentaje de partes interesadas efectivamente comprometidas
programas y los proyectos. • Nivel de satisfacción con la involucración de las partes interesadas
2. El alcance y los resultados de los programas y proyectos son • Porcentaje de grupos de interés que aprueban las necesidades de la
viables y están alineados con los objetivos. empresa, el alcance, los resultados esperados y el nivel de riesgo del
proyecto
• Porcentaje de proyectos emprendidos sin casos de negocio aprobados
3. Los planes de programas y proyectos tienen probabilidades de lograr • Porcentaje de actividades alineadas al alcance y a los resultados
los resultados esperados. esperados
• Porcentaje de programas activos emprendidos sin mapas de valor de
programa actualizados y válidos
4. Las actividades de los programas y proyectos se ejecutan de acuerdo a • Frecuencia de revisiones de estado
los planes. • Porcentaje de desviaciones del plan de referencia
• Porcentaje de partes interesadas que firman las revisiones de cambio de
estado (stage-gate) de los programas activos
5. Existen suficientes recursos de los programas y proyectos para realizar • Número de problemas con los recursos (por ejemplo, habilidades,
las actividades de acuerdo a los planes. capacidad)
6. Los beneficios esperados de los programas y proyectos son • Porcentaje de beneficios esperados que se han alcanzado
obtenidos y aceptados. • Porcentaje de resultados aceptados al primer intento
• Nivel de satisfacción expresado por las partes interesadas en las
revisiones de cierre de proyectos
328
Matriz RACI BAI01






Jefe de Desarrollo
información
Práctica Clave de
Gobierno
Auditoría
BAI01.01
Mantener un enfoque I A C C R R C C C C R
estándar para la gestión
de programas y
proyectos.
BAI01.02 I R C C A R R R R C C C C C C C C
Iniciar un programa.
BAI01.03
Gestionar el A C R R R C R I I R C C C C C C C
compromiso de
las partes
interesadas.
BAI01.04
Desarrollar y mantener el C C A C R R R C C C C C C C C C C C
plan del programa.

BAI01.05
Lanzar y ejecutar el C C A R R R I C C C R R R R C C C C
programa.
BAI01.06
Supervisar, controlar e A C I R R R C C R R C C C
informar de los resultados
del programa.
BAI01.07
Lanzar e iniciar proyectos dentro de R R I A R C C R C C C C C
un programa.
BAI01.08 C I A R C C C C C C C C C
Planificar proyectos.
BAI01.09
Gestionar la calidad de los R R I A R C C C C C R C C C C C
programas y proyectos.
BAI01.10
Gestionar el riesgo de los R R I A R C C C C C R C C C C C
programas y proyectos.
BAI01.11 I R I A R C C R C C R C C C C C
Supervisar y controlar
proyectos.
BAI01.12
Gestionar los recursos y R I A R C C C C C R C C C C C
los paquetes de trabajo del
proyecto.
BAI01.13 C C I A R C C C C C C C C C C C
Cerrar un proyecto o iteración.
BAI01.14 I C C C A R I R R R R C C C C C C C
Cerrar un programa.
329
BAI01 Prácticas, Entradas/Salidas y Actividades del Proceso

Práctica de gestión Entrada Salida
BAI01.01 Mantener un enfoque Desde Descripción Descripción A
estándar para la gestión Requerimientos para Enfoques
de programas y proyectos. EDM02.02 Interno
revisiones de cambio actualizados de
Mantener un enfoque estándar para la de estado (stage- gestión de programas
gestión de programas y proyectos que gate) y proyectos
posibilite revisiones y tomas de
decisión de gobierno y de gestión y EDM02.03 Acciones para
actividades de gestión de la entrega, mejorar la
enfocadas en la consecución de valor entrega de valor
y de objetivos (requerimientos, APO03.04 • Requerimientos de
riesgos, costos, cronograma y calidad) gobierno
para el negocio de una forma de la arquitectura
consistente.
• Descripciones en fase
de implementación
APO05.05 Portafolios de
programas,
servicios y
activos
actualizados
APO10.04 Riesgo de entrega
del proveedor
identificado
Actividades
1. Mantener y reforzar un enfoque estándar de la gestión de programas y proyectos alineado al entorno específico de la empresa y a las buenas prácticas,
basadas en procesos definidos y el uso de tecnología apropiada. Asegurar que el enfoque cubra todo el ciclo de vida y las disciplinas a utilizar, incluyendo

la gestión de alcance, recursos, riesgos, costos, calidad, tiempo, comunicaciones, involucración de las partes interesadas, adquisiciones, control de
cambios, integración y generación de beneficios.
2. Actualizar el enfoque de gestión de programas y proyectos sobre la base de las lecciones aprendidas en su uso.
BAI01.02 Iniciar un programa. Desde Descripción Descripción A
Iniciar un programa para confirmar los APO03.04 • Descripciones en fase Caso de negocio de APO05.03
beneficios esperados y para obtener la de implementación concepto del
autorización para proceder. Esto incluye los • Requerimientos de programa
acuerdos sobre el patrocinio del programa, recursos
confirmar el mandato del programa a través Mandato y
de la aprobación del caso de negocio APO05.03 Caso de negocio del APO05.03
programa expediente del
conceptual, designar a los consejeros o a los programa
miembros del comité del programa, generar
el expediente del programa, revisar y APO07.03 Matriz de habilidades Plan de APO05.03
actualizar el caso de negocio, desarrollar un y competencias realización de APO06.05
plan de realización de beneficios y obtener la beneficios del
aprobación de los patrocinadores para BAI05.02 Visión y objetivos programa
empezar. comunes
Actividades
1. Acordar el patrocinio del programa y designar una Junta/Comité con miembros que tengan intereses estratégicos en el programa y con
responsabilidad en la toma de decisiones de inversión, que serán afectados significativamente por el programa y que serán necesarios para
facilitar el cambio.
2. Confirmar el mandato del programa con los patrocinadores y las partes interesadas. Articular los objetivos estratégicos para el programa,
las estrategias potenciales de entrega, las mejoras y los beneficios que se esperan y cómo el programa encaja con otras iniciativas.
3. Desarrollar un caso de negocio detallado para el programa, si se justifica. Involucrar a todas las partes interesadas
relevantes para desarrollar y documentar un entendimiento completo de los resultados esperados por la empresa,
cómo serán medidos estos resultados, el alcance total de las iniciativas requeridas, el riesgo involucrado y el
impacto en todos los aspectos de la empresa. Identificar y evaluar los cursos de acción alternativos para lograr los
resultados esperados por la empresa.
4. Desarrollar un plan de realización de beneficios que será gestionado durante todo el programa para asegurar que
los beneficios planificados siempre tengan propietarios, se logren, sostengan y optimicen.
5. Preparar y someter a aprobación preliminar el caso de negocio inicial (conceptual) del programa, proporcionando
información esencial para la toma de decisiones respecto del propósito, la contribución a los objetivos del negocio,
la creación de valor esperado, los márgenes de tiempo, etc.
6. Designar un gerente dedicado para el programa, con las competencias y habilidades adecuadas para
gestionar el programa de forma eficiente y efectiva.

330
BAI01 Prácticas, Entradas/Salidas y Actividades del Proceso (continuación)

BAIO01.03 Gestionar el compromiso de Desde Descripción Descripción A
las partes interesadas. Plan de involucración Interno
Gestionar el compromiso de las partes de los interesados
interesadas para asegurar un intercambio
activo de información precisa, consistente y Resultados de la Interno
oportuna, que llegue a todos las partes evaluación de
interesadas relevantes. Esto incluye la efectividad del
planificación, identificación y el compromiso compromiso de las
de las partes interesadas y la gestión de sus partes interesadas
expectativas.
Actividades
1. Planificar la forma en que las partes interesadas internas y externas de la empresa serán identificadas, analizadas, comprometidas y
gestionadas a lo largo del ciclo de vida de los proyectos.
2. Identificar, comprometer y gestionar a las partes interesadas, estableciendo y manteniendo niveles apropiados de
coordinación, comunicación y vinculación para asegurar que estén involucrados en los programas/proyectos.
3. Medir la efectividad del compromiso de las partes interesadas y tomar acciones de remediación si es necesario.
4. Analizar los intereses y los requerimientos de las partes interesadas.
BAI01.04 Desarrollar y mantener el plan Desde Descripción Descripción A

de programa. APO05.03 Programas Plan de programa Interno
Formular un programa para definir las bases seleccionados con
iniciales y posicionarlo para una ejecución hitos de ROI
exitosa mediante la formalización del
APO07.03 Matriz de habilidades Presupuesto del APO05.06
alcance del trabajo a ser efectuado e
y competencias programa y registro APO06.05
identificando los entregables que satisfarán
de beneficios
sus objetivos y la entrega de valor. Mantener
y actualizar el plan del programa y el caso de APO07.05 Inventario de Requerimientos de APO07.05
negocio a lo largo del ciclo de vida recursos humanos recursos y roles APO07.06
económico completo del programa, de TI y del negocio
asegurando el alineamiento con los objetivos BAI05.02 Equipo y roles
estratégicos y reflejando el estado actual y para la
los conocimientos obtenidos hasta el implementación
momento.
BAI05.03 Plan de comunicación de
la visión
BAI05.04 Identificación de
logros rápidos (quick
wins)
BAI07.03 Plan de pruebas
de aceptación
aprobado
BAI07.05 Aceptación y pase a
producción
aprobados
Actividades
1. Definir y documentar el plan de programa cubriendo todos los proyectos, incluyendo lo que sea necesario para lograr cambios en la empresa;
su imagen, productos y servicios, procesos de negocio, habilidades y cantidad de personal, requerimientos tecnológicos, relaciones con las partes
interesadas, clientes, proveedores, entre otros; así como las restructuraciones organizacionales necesarias para lograr los resultados que la
empresa espera del programa.
331

2. Especificar las habilidades y los recursos necesarios para ejecutar el proyecto, incluyendo los gerentes y los equipos del proyecto, así como
los recursos del negocio. Especificar la financiación, costo, cronograma y las interdependencias de los múltiples proyectos. Especificar las
bases para la contratación y asignación de miembros del personal competentes y/o contratistas a los proyectos. Definir los roles y las
responsabilidades para todos los miembros del equipo y otras partes interesadas.
3. Asignar la responsabilidad ejecutiva para cada proyecto en forma clara y sin ambigüedades, incluyendo el logro de los beneficios, el control de
costos, la gestión de riesgos y la coordinación de las actividades de los proyectos.
4. Asegurar que existe una comunicación efectiva de los planes de programa e informes de avance sobre todos los proyectos y con todo el
programa. Asegurar que cualquier cambio hecho en los planes individuales se refleje en el resto de planes de programa de la empresa.
5. Mantener el plan de programa para asegurar que esté actualizado y refleje su alineamiento con los objetivos estratégicos actuales, el nivel de avance y los
cambios materiales en los resultados, beneficios, costos y riesgos. La empresa tiene que difundir los objetivos y priorizar los trabajos para asegurar que el
programa diseñado satisfacerá los requerimientos de la empresa. Revisar el avance de los proyectos individuales, ajustándolos si fuera necesario para
satisfacer las entregas planificadas.
6. Actualizar y mantener el caso de negocio y el registro de beneficios a lo largo de la vida económica del programa para identificar y definir los
beneficios principales surgidos de los programas ejecutados.
7. Preparar un presupuesto del programa que refleje los costos del ciclo de vida económico completo, así como los
beneficios financieros y no financieros asociados.
332

BAI01.05 Lanzar y ejecutar el programa. Desde Descripción Descripción A
Lanzar y ejecutar el programa para adquirir BAI05.03 Comunicaciones de la visión Resultados de la APO05.06
y dirigir los recursos necesarios para lograr supervisión de la APO06.05
las metas y beneficios definidos en el plan realización de
del programa. De acuerdo con los criterios beneficios
de revisión de lanzamiento o cambio de
fase (stage-gate), preparar los cambios de Resultados de la APO02.04
fase, las revisiones de las iteraciones o supervisión del logro
versiones para informar del progreso del de metas del
programa y ser capaz de establecer los programa
fundamentos para la financiación de la Planes de auditoría MEA02.06
siguiente etapa después de la revisión del
lanzamiento o de cambio de fase (stage- del programa
gate).
Actividades
1. Planificar, dar recursos y asignar las responsabilidades requeridas para los proyectos necesarios para lograr los resultados del programa, basados en
las revisiones de financiación y las aprobaciones en cada revisión de cambio de fase (stage-gate).
2. Establecer etapas acordadas para el proceso de desarrollo (puntos de verificación del desarrollo). Al final de cada etapa, facilitar
discusiones formales de los criterios aprobados con las partes interesadas. Después de la finalización exitosa de la revisión de
funcionalidad, desempeño y calidad, y antes de finalizar las actividades de la etapa, obtener la aprobación formal y la firma de
todas las partes interesadas y del patrocinador/propietario del proceso de negocio.
3. Llevar a cabo un proceso de obtención de beneficios durante el programa para asegurar que los beneficios
planeados siempre tienen propietarios y que es probable que se consigan, mantengan y se optimicen. Supervisar
la entrega de beneficios e informar con relación a las metas de desempeño en la revisión de los cambios de fase o
de iteración o en las revisiones de lanzamiento. Realizar análisis de causa raíz para las desviaciones del plan e
identificar y tomar las acciones correctivas necesarias.
4. Administrar cada programa o proyecto para asegurar que la toma de decisiones y las actividades de entrega están enfocadas en el valor mediante la
consecución de los beneficios y las metas del negocio de una manera consistente, considerando el riesgo y alcanzando los requerimientos de las partes
interesadas.

5. Establecer oficina(s) de gestión de programas/proyectos y planificar auditorías, revisiones de calidad, revisiones de cambios de fase (stage-gate) y
revisiones de los beneficios realizados.
BAI01.06 Supervisar, controlar e Desde Descripción Descripción A
informar los resultados del Retroalimentación Resultado de la
programa. EDM02.03 MEA01.03
sobre el desempeño revisión del
Supervisar y controlar el del portafolio y del desempeño del
desempeño del programa (entrega programa programa
de soluciones) y de la organización
(valor/resultado) versus el plan APO05.02 Expectativas del Resultados de EDM02.01
durante el ciclo de vida económico retorno de la APO02.04
completo de la inversión. Informar inversión revisiones en los APO05.04
del desempeño al comité cambios de fase
estratégico del programa y a los (stage-gate)
patrocinadores. APO05.03 Evaluación de los
casos de negocio
APO05.04 Informes del
desempeño del
portafolio de
inversiones
APO05.06 • Acciones correctivas
para mejorar la realización
de beneficios
• Resultados de beneficios
y comunicaciones
relacionadas
APO07.05 • Registro de uso de
recursos
• Análisis de escasez de
recursos
BAI05.04 Comunicación de
beneficios
BAI06.03 Informes de estado

de solicitudes de
cambios
BAI07.05 Evaluación de los
resultados de
aceptación

333

BAI01.06 Actividades
1. Supervisar y controlar el desempeño del programa general y de los proyectos dentro del programa, incluyendo la contribución de los proyectos
al negocio y a TI, e informar de una manera oportuna, completa y veraz. Los informes pueden incluir cronogramas, financiación, funcionalidad,
satisfacción del usuario, controles internos y aceptación de responsabilidades.
2. Supervisar y controlar el desempeño versus las estrategias y metas de la organización y TI, e informar a la
dirección de la organización los cambios implementados, los beneficios logrados versus el plan y la idoneidad del
proceso de obtención de beneficios.
3. Supervisar y controlar los servicios, activos y recursos de TI creados o modificados como resultado del programa. Verificar las fechas de
implementación y puesta en servicio. Informar a la dirección de los niveles de desempeño, entrega de servicio sostenido y contribución al valor.
4. Gestionar el desempeño del programa versus criterios clave (por ejemplo: alcance, planificación, calidad, obtención
de beneficios, costos, riesgos, rapidez), identificar las desviaciones del plan y tomar oportunamente acciones
correctivas cuando sean requeridas.
5. Supervisar el desempeño de proyectos individuales en relación a la entrega de capacidades esperadas, planificaciones, beneficios, costos,
riesgos u otras métricas para identificar impactos potenciales en el desempeño del programa. Tomar acciones correctivas oportunas cuando sea
requerido.
6. Actualizar los portafolios operacionales de TI que reflejen los cambios resultantes de los programas en los portafolios
relevantes de servicios, activos y recursos de TI.
7. Realizar revisiones de acuerdo con los criterios de revisión de cambios de fase (stage-gate), de lanzamiento o de
iteración para informar del progreso del programa, a fin de que la dirección pueda tomar decisiones de continuar/parar o
de ajuste y aprobar financiación adicional para el siguiente cambio de fase, lanzamiento o iteración.
BAI01.07 Lanzar e iniciar proyectos Desde Descripción Descripción A
dentro de un programa. Alcance del Proyecto Interno
Definir y documentar la naturaleza y Definiciones del proyecto Interno
alcance del proyecto para confirmar y
desarrollar, entre las partes
interesadas, un entendimiento común
o el alcance del proyecto y cómo se
relaciona con otros proyectos dentro
del programa general de inversiones
de TI. La definición debería estar
formalmente aprobada por el
patrocinador del programa y del
proyecto.
Actividades
1. Crear un entendimiento común del alcance del proyecto entre las partes interesadas, proveer a las partes interesadas de una declaración clara y por
escrito que defina la naturaleza, alcance y beneficio de cada proyecto.
2. Asegurar que cada proyecto tenga uno o más patrocinadores con suficiente autoridad para gestionar la ejecución del proyecto dentro los
programas generales.
3. Asegurar que las partes interesadas y patrocinadores claves dentro de la organización y TI estén de acuerdo y acepten los requerimientos de los
proyectos, incluyendo la definición del criterio de éxito del proyecto (aceptación) y los indicadores claves de desempeño (KPls).
4. Asegurar que la definición del proyecto describa los requerimientos para el plan de comunicación del proyecto que identifique las comunicaciones del
proyecto, tanto internas como externas.
5. Con la aprobación de las partes interesadas, mantener una definición del proyecto durante la vida del proyecto que refleje los cambios en los
requerimientos.
6. Hacer un seguimiento de la ejecución del proyecto, poniendo mecanismos como informes regulares y revisiones de cambios de estado (stage-
gate), lanzamientos o fases, de una manera oportuna y con una aprobación adecuada.
334

BAI01.08 Planificar proyectos. Desde Descripción Descripción A
Establecer y mantener un plan de proyecto BAI07.03 Plan aprobado de Planes del proyecto Interno
formal, aprobado e integrado (que cubra los aceptación de Líneas de referencia del Interno
recursos del negocio y de TI), para guiar la pruebas proyecto
ejecución del proyecto y controlarlo durante Informes y comunicaciones del Interno
toda su vida. El alcance de los proyectos proyecto
debería estar claramente definido y vinculado
a la construcción o aumento de la capacidad
del negocio.
Actividades
1. Desarrollar un plan de proyecto que provea información que permita a la dirección controlar el progreso del proyecto progresivamente. El plan debería
incluir detalles de los entregables del proyecto y criterios de aceptación, recursos y responsabilidades requeridas interna y externamente, estructuras
claras de división de trabajo y paquetes de tareas, estimaciones de recursos necesarios, hitos/planes de lanzamiento/fases, dependencias claves y la
identificación del camino crítico (critical path).
2. Mantener el plan del proyecto y cualquier plan dependiente (por ejemplo: plan de riesgo, plan de calidad o plan de obtención de beneficios) para
asegurar que están actualizados y reflejan su progreso real y los cambios materiales aprobados.
3. Asegurar que existe una comunicación efectiva de los planes del proyecto y los informes de progreso dentro de todos los proyectos y dentro del
programa general. Asegurar que los cambios hechos a planes individuales son reflejados en otros planes.
4. Determinar las actividades, interdependencias, colaboración necesaria y comunicación dentro los múltiples proyectos en el programa.
5. Asegurar que cada hito es acompañado por un entregable significativo que requiere revisión y aprobación.
6. Establecer un marco base del proyecto (por ejemplo: costo, cronograma, alcance, calidad) debidamente revisado, aprobado e
incorporado en el plan de proyectos integrado.
335

BAI01.09 Gestionar la calidad de los Desde Descripción Descripción A
programas y proyectos. BAI02.04
Preparar y ejecutar un plan, procesos y prácticas APO11.01 Plan de gestión de la Plan de gestión de la
calidad calidad BAI03.06
de gestión de la calidad, alineados al SGC que BAI07.01
describa el enfoque de calidad del programa y el
proyecto y cómo será implementado. El plan APO11.03 Requerimientos de Requerimientos BAI07.03
debería ser formalmente revisado y acordado por cliente para la gestión para la verificación
todas las partes afectadas y, después, de la calidad independiente de
incorporado en los planes integrados del los entregables
programa y los proyectos.
Actividades
1. Identificar las actividades y prácticas de aseguramiento para apoyar la acreditación de sistemas nuevos o
modificados durante la planificación del programa y del proyecto, e incluirlos dentro de los planes integrados.
Asegurarse que las tareas provean garantías de que las soluciones de seguridad y los controles internos
cumplen con los requerimientos definidos.
2. Proporcionar garantías de calidad para los entregables del proyecto, identificar a propietarios y responsabilidades, revisar el proceso de calidad, criterios
de éxito y las métricas de desempeño.
3. Definir cualquier requerimiento para la validación y verificación, independiente de la calidad de los
entregables en el plan.
4. Realizar aseguramiento de la calidad y actividades de control de acuerdo con el plan de gestión de la

calidad y el SGC.

BAI01.10 Gestionar el riesgo de los Desde Descripción Descripción A
programas y proyectos. Plan de gestión de riesgos del Interno
Eliminar o minimizar los riesgos específicos APO12.02 Resultados del
análisis de riesgo proyecto
asociados con los programas y proyectos
mediante un proceso sistemático de
planificación, identificación, análisis, respuesta, BAI02.03 • Acciones de Resultados de la Interno
supervisión y control de las áreas o eventos que mitigación de riesgos evaluación de riesgos del
tienen el potencial de causar cambios no • Registro de proyecto
deseados. Los riesgos enfrentados por la requerimientos de
administración del programa y los proyectos riesgos
deberían ser establecidos y registrados en un Fuera del Marco de trabajo de Registro de riesgos del Interno
único punto. Ámbito de ERM proyecto
COBIT
Actividades
1. Establecer un enfoque de gestión de riesgo de proyectos alineado con el marco de referencia de ERM. Asegurar que este enfoque incluya la
identificación, análisis, respuesta, mitigación, supervisión y control del riesgo.
2. Asignar la responsabilidad para ejecutar el proceso de gestión del riesgo de los proyectos de la entidad al personal con las capacidades
adecuadas y asegurar que está incorporado en las prácticas de desarrollo de la solución. Considerar asignar este perfil a un equipo
independiente, especialmente si es necesario un punto de vista objetivo o el proyecto se considera crítico.
3. Realizar un análisis de riesgo del proyecto para identificar y cuantificar el riesgo de manera continua durante el proyecto. Gestionar y
comunicar el riesgo adecuadamente dentro de la estructura de gobierno del proyecto.
4. Reevaluar el riesgo del proyecto periódicamente, incluyendo al inicio de cada fase de un proyecto importante y como parte de las evaluaciones de
solicitudes de cambios importantes.
5. Identificar a los propietarios de las acciones para evitar, aceptar o mitigar el riesgo.
6. Mantener y revisar el registro de los riesgos potenciales del proyecto y el registro de la mitigación de riesgos de todos los aspectos del
proyecto y su resolución. Analizar periódicamente el registro para ver tendencias y problemas recurrentes, y asegurarse que se corrigen las
causas raíz.
336
BAI01 Prácticas, Entradas/Salidas y Actividades del Proceso (continuación.)

BAI01.11 Supervisar y controlar Desde Descripción Descripción A
proyectos. Criterios de Interno
Medir el desempeño del proyecto versus desempeño del
los criterios clave de desempeño del proyecto
proyecto, tales como la planificación, la Informes del avance Interno
calidad, el costo y los riesgos. Evaluar el del proyecto
impacto de las desviaciones en el
proyecto y el programa general e informar Cambios Interno
los resultados a las partes interesadas acordados al
clave. proyecto
Actividades
1. Establecer y usar un conjunto de criterios de proyecto que incluyan ípero que no se limiten aí alcance, planificación,
calidad, costo y nivel de riesgo.
2. Medir el desempeño del proyecto versus criterios clave de desempeño. Analizar las desviaciones de criterios
clave de desempeño por su causa y evaluar los efectos positivos y negativos en el programa y los proyectos
que lo componen.
3. Notificar a las partes interesadas identificadas como clave, el progreso del proyecto dentro del programa, las
desviaciones de los criterios clave de desempeño establecidos, y los efectos positivos y negativos en los
programas y en los proyectos que los componen.
4. Supervisar los cambios al programa y revisar los criterios clave de desempeño del proyecto para determinar si estos
representan medidas válidas del avance.
5. Documentar y enviar cualquier cambio al programa a las partes interesadas clave antes de su adopción. Comunicar
los criterios revisados a los jefes de proyecto para su uso en los informes futuros de desempeño.
6. Recomendar y supervisar las acciones correctivas, cuando sean requeridas, en línea con el marco de
gobierno de programas y proyectos.
7. Obtener la aprobación y firma documentada de los entregables producidos en cada iteración, lanzamiento o
fase del proyecto de los gestores y usuarios designados que afectan las funciones del negocio y a TI.
8. Basar el proceso de aprobación en criterios de aceptación claramente definidos y acordados con las partes
interesadas clave antes de que comience el trabajo sobre el entregable de la fase o de la iteración.
9. Evaluar el proyecto en los cambios de fase (stage-gate), versiones o iteraciones más importantes acordados
y tomar la decisión de continuar/parar de acuerdo con criterios de éxito predeterminados.
10. Establecer y operar un sistema de control de cambios para el proyecto, de forma que todos los cambios a la línea de
referencia (baseline) del proyecto (por ejemplo: costo, cronograma, alcance, calidad) sean adecuadamente revisados,
aprobados e incorporados en el plan de proyecto.
BAI01.12 Gestionar los recursos y Desde Descripción Descripción A
los paquetes de trabajo del Requerimientos de APO07.05
proyecto. recursos del APO07.06
Gestionar los paquetes de trabajo proyecto
mediante requerimientos formales de
autorización y aceptación de los Roles y Interno
paquetes de trabajo, y asignando y responsabilidades
coordinando los recursos de negocio del proyecto
y de TI adecuados.
Brechas en la Interno
planificación
del proyecto

337

Actividades
1. Identificar las necesidades de recursos del negocio y TI para el proyecto y mapear claramente los perfiles y
responsabilidades, con el escalado y la toma de decisiones que han sido acordados y entendidos.
2. Identificar los requerimientos de habilidades y tiempo para todos los individuos involucrados en las fases del proyecto
con relación a sus perfiles definidos. Asignar personal a los roles basándose en la información sobre las habilidades
disponibles (por ejemplo: matriz de habilidades de TI).
3. Utilizar un gestor de proyecto experimentado y un líder de equipo con habilidades apropiadas al tamaño, complejidad
y riesgo del proyecto.
4. Considerar y definir claramente los roles y responsabilidades de otras partes involucradas, incluyendo financiero,
legal, compras, recursos humanos, auditoría interna y cumplimiento.
5. Definir y acordar claramente la responsabilidad sobre la compra y gestión de productos y servicios de terceras partes,
así como la gestión de las relaciones.
6. Identificar y autorizar la ejecución del trabajo de acuerdo al plan de proyecto.
7. Identificar las diferencias con el plan de proyecto y dar retroalimentación al jefe de proyecto para su remediación.
338

BAI01.13 Cerrar un proyecto o iteración. Desde Descripción Descripción A
Solicitar a las partes interesadas del BAI07.08 • Plan de acciones Resultados de la APO02.04
proyecto, al final de cada proyecto, versión o correctivas revisión
iteración, que evalúen si el proyecto, la postimplementació
versión o la iteración entregaron los • Informe de n
resultados y valor planeados. Identificar y revisión
comunicar cualquier actividad pendiente postimplementació Lecciones aprendidas del proyecto Interno
necesaria para lograr los resultados del n
proyecto y los beneficios del programa
planeados, identificar y documentar las Confirmaciones de aceptación
lecciones aprendidas para futuros proyectos, Interno
versiones, iteraciones y programas. de las partes interesadas del
proyecto
Actividades
1. Definir y aplicar los pasos claves para el cierre del proyecto, incluyendo revisiones postimplementación que evalúen si el proyecto obtuvo los resultados y
beneficios deseados.
2. Planificar y ejecutar revisiones postimplementación para determinar si los proyectos entregaron los beneficios esperados, y para mejorar la metodología
de gestión de proyecto y el proceso de desarrollo de sistemas.
3. Identificar, asignar, comunicar y rastrear las actividades incompletas necesarias para lograr los resultados y beneficios planeados del programa del
proyecto.
4. Recolectar las lecciones aprendidas de los participantes del proyecto regularmente y hasta la finalización del proyecto. Revise e identifique las
actividades clave que llevaron a los beneficios y valor entregados. Analice los datos y haga recomendaciones para mejorar los proyectos actuales, así

como el método de gestión para proyectos futuros.
5. Obtenga la aceptación de los entregables y la transferencia de propiedad del proyecto de las partes interesadas.

BAI01.14 Cerrar un programa. Desde Descripción Descripción A
Eliminar el programa del portafolio de BAI07.08 • Plan de acciones Comunicación del APO05.05
inversiones activas cuando haya acuerdo de de remediación retiro del programa y APO07.06
que el valor deseado ha sido logrado o rendición de cuentas
cuando esté claro que no será logrado con • Informe de revisión en curso
los criterios de valor establecidos para el postimplementación
programa.
Actividades
1. Llevar el programa a un cierre ordenado, incluyendo una aprobación formal, desmantelamiento de la organización
del programa y la función de apoyo, validación de los entregables y comunicación de la retirada.
2. Revisar y documentar las lecciones aprendidas. Una vez que el programa ha sido retirado, elimínelo del portafolio
de inversiones activas.
3. Establecer la responsabilidad y los procesos para asegurar que la organización continúe la optimización del valor
de los servicios, activos o recursos.
BAI01 Guías Relacionada

Estándares Relacionados Referencias Detalladas
PMBOK
PRINCE2
339
COBIT® 5
FUNDAMENTOS
Apéndice F: Guía Cobit® 5 Fundamentos para candidatos al

examen

*8Ë$&2%,7)81'$0(17263$5$&$1','$726$/(;$0(1

1 INTRODUCCIÓN
1.1 El objetivo del examen es permitir que demuestres tu entendimiento de los principios,
procesos, técnicas, temas y roles de COBIT 5. El examen de Fundamentos formula una serie
de preguntas objetivas de evaluación, lo que significa que deberás elegir la respuesta a una
pregunta a partir de una serie de opciones, de entre las cuales se habrá determinado una
respuesta correcta de antemano.

1.2 Los siguientes párrafos explican el formato de las hojas de preguntas, así como los distintos
tipos de preguntas que aparecerán. Asimismo, se incluyen algunas sugerencias sobre las
mejores maneras de responder a los distintos estilos de preguntas.

2 ESTRUCTURA DE LA HOJA DEL EXAMEN
La hoja de examen consiste en:

2.1 Una libreta de preguntas que contiene 50 preguntas.

2.2 Cada pregunta cubre un tema distinto del programa y vale 1 punto. La calificación aprobatoria es 25.

2.3 La hoja de respuestas en la que deberás entregar tus respuestas. Únicamente habrá XQD
UHVSXHVWDFRUUHFWD para cada pregunta. Si el alumno llena más de una respuesta en la hoja
de respuestas, la fila de respuesta será anulada y no recibirá puntaje alguno. No se resta
puntaje por respuestas incorrectas.

3 SE CONSIDERAN LAS ÁREAS DEL PROGRAMA QUAL
El examen consiste de 50 preguntas en total, las cuales cubren las 5 áreas del programa de
COBIT 5 Fundamentos. El programa completo de COBIT 5 Fundamentos se puede obtener
de APMG-International o de tu Organización de Capacitación Acreditada más cercana.

4 ESTILOS DE PREGUNTAS
Existen distintos tipos de evaluación en el documento. Todos los estilos de evaluación se
basan en elegir la respuesta correcta entre 4 opciones.

Los estilos del examen son los siguientes:
4.1 (VWiQGDU
¿Cuál de estos roles individuales es, a fin de cuentas, el responsable del proyecto?
a) Ejecutivo
b) Director de proyectos
c) Proveedor superior
d) Usuario superior

4.2 1HJDWLYR
¿Cuál de los siguientes 12es uno de los elementos clave que debemos incluir en el cuadro de mando
cuando buscamos definir las etapas de la gestión?

a) La disponibilidad del Consejo del Proyecto
b) Qué tan a futuro vale la pena planificar para este proyecto
c) La cantidad de riesgo que implica el proyecto
d) Qué tanta confianza tienen el Consejo del Proyecto y el Director de proyectos para seguir adelante
342
Manual del alumno | Apéndice F

4.3 3DODEUDIDOWDQWH
Identifica las palabras faltantes en la siguiente oración.

Las razones por las que se lleva a cabo el proyecto deberán motivar la [¿?] y deberán ser
usadas para alinear de manera continua el progreso del proyecto con los objetivos de
negocios.

a) Estrategia de entrega
b) Toma de decisiones
c) Estrategia de gestión de beneficios
d) Aproximación a la tolerancia

4.5 6HFXHQFLD
¿En qué orden deberán ocurrir los siguientes pasos del ciclo de vida si se busca implementar un P3O
permanente?
1. Definir el enunciado de visión inicial
2. Evaluar el estado actual de la provisión del P3O
3. Planificar las etapas o trechos de la entrega
4. Diseñar de qué manera operará el P3O

a) 1, 2, 3, 4
b) 1, 2, 4, 3
c) 2, 1, 3, 4
d) 2, 1, 4, 3

5 NOTAS DEL EDITOR
En el examen de COBIT Fundamentos, es importante considerar los usos de las palabras “deberían”, “deberán” y
“deben”:
“GHEHUtDQ” – se utiliza para expresar “obligación”; algo que es bueno, importante o recomendado.
Denota menos fuerza que “deberán” y se utiliza para probar que cierta acción debe ocurrir porque es
consistente con los principios de COBIT 5.
“GHEHUiQ” – se utiliza cuando hablamos de algo que es “necesario” o que “tiene” que ocurrir; es decir,
algo que es obligatorio.
“GHEHQ” y “HV” – se utilizan para expresar algún hecho definitivo o imposible de disputar acerca
de COBIT 5. Por ejemplo: para describir hechos genéricos sobre los cinco principios o
habilitadores, términos, principios, tipos de modelos, aproximaciones y roles.

6 GESTIÓN DEL TIEMPO
El examen tiene una duración de 40 minutos. Es importante que gestiones tu tiempo si buscas
completar todas las preguntas. Debes intentar contestarlas todas. Si deseas apuntar tus
respuestas en la hoja de preguntas primero, toma en cuenta que transferir las respuestas a la
Hoja de Respuestas te tomará más tiempo. Sólo las respuestas que hayan sido llenadas
correctamente en la Hoja de Respuestas serán tomadas en cuenta para el puntaje.
1RVHSHUPLWHQLQJúQPDWHULDOGHDSR\R. El examen es a libro cerrado.
343

7 CÓMO USAR LA HOJA DE RESPUESTAS
7.1 La Hoja de Respuestas es leída de manera electrónica y los resultados son generados por
computadora. Por lo tanto, es esencial que obedezcas las instrucciones brindadas y que
marques las respuestas de manera consistente. No hacerlo podrá tener como resultado
retrasos o incluso, en algunos casos, respuestas inválidas.
7.2 Registra tu número de candidato en el pie de página y también en las 6 casillas que aparecen
en la parte superior derecha de la hoja. Llena los óvalos que aparecen junto a las 6 casillas.
En el ejemplo que aparece a continuación, el número del candidato es 023514.
1~PHURGH&DQGLGDWR
7.3 Selecciona tus respuestas llenando los óvalos que corresponden a la respuesta de tu elección. Ejemplo:

A B C D
1
2
3
4

7.4 Llena el óvalo con /È3,=, 12&213/80$. Si utilizas pluma, es posible que las respuestas no sean
registradas.
Las maneras aceptables de llenar las hojas de respuestas son las siguientes:
Llenar el óvalo por completo o dibujar una línea que cruce el centro del óvalo, y
luego llenar el óvalo entre 80 y 100%.
Ningún otro método, incluyendo palomitas y cruces, se considera aceptable y es posible que no se
registren las respuestas.
7.5 Si deseas cambiar tu respuesta durante el examen, deberás borrar por completo tu respuesta
original y luego marcar tu nueva opción. Si en una respuesta hay más de un óvalo marcado,
la pregunta será calificada con un cero.
344
Manual del alumno | Notas de lanzamiento
Release Notes
Release Type Limited Release
Course Name COBIT 5 Foundation Spanish (LA)
Current Release Version No. r1.0.1 Current Release Date 18 October, 2013
Previous Release Version No. NA Previous Release Date NA
Next Release Version No. TBD Next Release Date TBD
Course Duration: 3-days

# of Modules: 10
Course Description Case Study Based (Yes/No): Yes
Associated Certification Name (if any): N/A
Assignments: Yes
Participant Handbook, PPTs, and Mock Exam

Components Released
This is a Translations Release
New Features N/A
COBIT® 5
FUNDAMENTOS
Formato de retroalimentación
FORMATO DE RETROALIMENTACIÓN
Nombre del alumno

Nombre de la empresa
Nombre del instructor
Fecha del curso
Nombre del curso
En desacuerdo
desacuerdo
De acuerdo
acuerdo
Muy de
Muy en
Neutral
Contenido del Curso
1. El contenido presentado en el curso era del nivel adecuado.

2. El contenido de este curso cumplió con el objetivo indicado.
3. ¿Algún tema quedó poco claro? ¿Cuál(es)? ¿Por qué? *
…………………………………………………………………………………………………………...........
..........………………………………………………………………………………………………...............
……….........………………………………………………………………………………………...............
En desacuerdo
desacuerdo
De acuerdo
acuerdo
Muy de
Muy en
Neutral
Ejercicios de Grupo
4. Los ejercicios de grupo reforzaron las habilidades aprendidas en la

capacitación.
5. Los ejercicios de grupo eran realistas y reforzaron las habilidades de la
manera en que puedo llegar a utilizarlas.
6. ¿Hubo ejercicios del curso que te hayan sido particularmente útiles? *
...........…………………………………………………………………………………………………............
…………………………………………………………………………………………………………............
…………………………………………………………………………………………………………............
Manual del alumno | Formato de retroalimentación
En desacuerdo
desacuerdo
De acuerdo
acuerdo
Muy de
Muy en
Neutral
7. El instructor comunicó el contenido de manera efectiva.
8. ¿Qué hizo bien el instructor? *

Instructor
………………………………………......................................................…………………………………
…………………………………………………………………………………………………......................
………………………………………………………………………………………………………...............
9. ¿En qué áreas es posible que mejore el instructor? *

.......………………………………………………………………………………………………...................
………………………………………………………………………………………………………...............
.......………………………………………………………………………………………………...................
En desacuerdo
desacuerdo
De acuerdo
acuerdo
Muy de
Muy en
Neutral
10. El curso valió el tiempo y esfuerzo.
11. El curso cumplió mis expectativas.
12. ¿Qué elemento de este curso puede ser mejorado? *
…………………………………………………………………………………………........………………
13. ¿Qué elemento del curso te gustó mucho? *

..………………………………………………………………………………………………………………
Overall
14. ¿Cuáles son tus impresiones generales del curso? *

........…………………………………………………………………………………………………………
………...........……………………………………………………………………………………………….
.…………........……………………………………………………………………………………………...
15. ¿Te gustaría recibir información periódica sobre capacitaciones de nuestra  sí  no

parte?
Dirección de e-mail (en mayúsculas)..............................................................
........................................................................................................................
16. Me gustaría recomendarle este curso a:
Nombre..............................................................................................................................................
Correo electrónico..............................................................................................................................
Empresa.........................................................................................................................................
Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.. 349

COBIT® 5 Foundation 1.0.1 ES

Cargado por

Copyright:

Formatos disponibles

COBIT® 5 Foundation 1.0.1 ES

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COBIT® 5 Foundation 1.0.1 ES

Cargado por

Copyright:

Formatos disponibles

COBIT® 5 Foundation

Fundamentos de COBIT® 5, Curso en clase,

Copyright © 2013 ITpreneurs. Todos los derechos reservados.

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. i

Se refiere a aprendizaje colectivo, en donde se motiva al grupo a ofrecer ideas

Miembros del Comité de Revisión :

iv Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

“Like us” on Facebook

“Follow us” on Twitter

"Add us in your circle" on Google Plus

"Link with us" on Linkedin

"Watch us" on YouTube

Copyright © 201 ITpreneurs. All rights reserved

Contrato de Licencia de Usuario Final de COBIT

¡Bienvenido al Curso COBIT Fundamentos!

1. “Contenido de COBIT 5” se refiere al marco de COBIT 5, las guías habilitadoras de COBIT 5 y

3. “Persona” refiere al individuo, corporación, sociedad anónima, propietario individual,

4. “Curso” se refiere a los documentos y presentaciones creados por el Sublicenciatario

No. de Nombre del módulo No. de tema Temas Adicionales

2 ¿Por qué COBIT?: Retos de

5 COBIT 5: Cumpliendo con

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. ix

No. de Nombre del módulo No. de tema Temas Adicionales

7 COBIT 5: Los procesos de

8 COBIT 5: Componentes del

x Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 1

Presentación de En este curso, aprenderás acerca de:

Visión general del • Dominios de gobierno y de gestión

2 Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

Presentación de Este curso consiste en los siguientes módulos:

Agenda del curso

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 3

Total – (menos tiempo de comida y descansos) 6:00

Objetivos de Descanso 10:00 10:15 00:15

8 COBIT 5: Los componentes del proceso de COBIT 5 01:30 02:30 01:00

Descanso 02:30 02:45 00:15

Tiempo total 07:45

Sobre el órgano Total – (menos comida, descansos) 06:15

4 Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

Presentación de Día 3 (opcional)

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 5

Presentación de ISACA es responsable de:

6 Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 7

¿Por qué COBIT?: Retos del gobierno y gestión en TI

Objetivos de aprendizaje del módulo

8 Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 9

10 Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

Errores al momento de Mala planificación de las

La continuidad de los servicios de TI para las operaciones críticas de

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 11

Es de suma importancia que el negocio dirija las iniciativas de TI con la

12 Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados.

Alinear TI con Ausencia de

Identifica los proyectos de TI correctos, define claramente los beneficios

Copyright © 2013, ITpreneurs Nederland B.V. Todos los derechos reservados. 13

Resumen general Factores responsables del incremento en el riesgo de las violaciones de

Asegura que exista una conciencia de las responsabilidades y riesgos de

Copyright © 201 ITpreneurs. All rights reserved