Fundamentos de COBIT 5 · COBIT 5 Guías habilitadoras ... ayudado por el material didáctico,...

Fundamentos de COBIT 5

Versión Original:

Luiz Claudio Diogo Reis, ESR RNP

Traducción al Español:

Ernesto Pérez Estévez, ESR CEDIA

1

Fundación Consorcio Ecuatoriano para el Desarrollo de Internet Avanzada – CEDIA

Director Ejecutivo

Juan Pablo Carvallo

Coordinador ESR

Ernesto Pérez Estévez

Traducción al Español

Ernesto Pérez Estévez

Escola Superior de Redes – RNP Brasil

Título Original: “Fundamentos do COBIT 5” Versión Portuguesa ©

Autores versión portuguesa

Luiz Claudio Diogo Reis

Edson Kowask Bezerra

Fábio Gomes Barros

Permiso de uso

Todos los derechos reservados para la versión en Español son para CEDIA.

Solicitamos incluir la fuente cuando se incluyan partes de este libro como referencia en otras obras. Ejemplo de cita: DIOGO, Luiz et al. Fundamentos de COBIT 5. Rio de Janeiro: Escola Superior de Redes, RNP, 2015.

ISBN: En trámite

Comentarios y preguntas a la edición en Español:

Para comentarios y preguntas sobre esta edición:Escuela Superior de Redes CEDIADirección: La Condamine 12-109 “Casa Rivera”, Cuenca, EcuadorTeléfono: +593 9 9924 [email protected]

2

mailto:[email protected]

Tabla de ContenidosPrólogo a la versión en Portugués........................................................................................................6Prólogo a la versión en Español...........................................................................................................7La metodología de la ESR....................................................................................................................8Sobre el curso.....................................................................................................................................10A quién se destina...............................................................................................................................10Sobre los autores:................................................................................................................................111 Gobernanza Corporativa de TI........................................................................................................13

Introducción...................................................................................................................................14Tecnologías de la información (TI) aplicada a los negocios..........................................................14

Ejercicio de fijación 1...............................................................................................................15Ejercicio de fijación 2...............................................................................................................17

Componentes de la gobernanza de TI............................................................................................17Alineación estratégica de TI......................................................................................................18Principios de TI.........................................................................................................................18Aplicaciones de TI....................................................................................................................18Infraestructura de TI..................................................................................................................18Demandas de TI........................................................................................................................18Tercerización de servicios de TI................................................................................................18Seguridad de la información.....................................................................................................19Capacitación de recursos humanos...........................................................................................19Organización de los procesos de TI..........................................................................................19Inversiones y costos de TI.........................................................................................................19Relación con clientes internos y externos.................................................................................19Rendimiento de TI.....................................................................................................................20Requisitos de conformidad........................................................................................................20Ejercicio de fijación 3...............................................................................................................20

Desafíos para la gobernanza y gestión de TI en las organizaciones..............................................21Introducción a las estructuras de gobernanza de TI.......................................................................22

Principales modelos de gobernanza de TI.................................................................................23Ejercicio de fijación 4...............................................................................................................25

Introducción al modelo corporativo COBIT 5...............................................................................26Factores que motivan la publicación de COBIT............................................................................26

Participación de las partes interesadas con las TI.....................................................................26Dependencia de proveedores de TI...........................................................................................26Pertinencia de la información....................................................................................................26TI como parte integral del negocio...........................................................................................27Orientaciones para tecnologías emergentes e innovadoras.......................................................27Cobertura del negocio por TI....................................................................................................27Mejoría de los controles sobre las soluciones de TI.................................................................27Alineación a estándares y estructuras de mercado....................................................................28Integración de las principales estructuras y orientaciones de ISACA......................................28Ejercicio de fijación 5...............................................................................................................28

Familia de productos del modelo corporativo COBIT 5...............................................................29COBIT 5....................................................................................................................................29COBIT 5 Guías habilitadoras....................................................................................................29COBIT 5 Guías profesionales...................................................................................................29

3

Ambiente Colaborativo Online.................................................................................................29Ejercicio de fijación 6...............................................................................................................30

En búsqueda de la gobernanza corporativa de TI..........................................................................30Ejercicio de fijación 7...............................................................................................................31

2 Los 5 principios de COBIT 5..........................................................................................................32Introducción...................................................................................................................................331er Principio: Atender las necesidades de las partes interesadas....................................................33

Ejercicio de fijación 1...............................................................................................................352do principio: cubrir la organización de punta a punta...................................................................36

Ejercicios de fijación 2..............................................................................................................393er principio: Aplicar una estructura única e integrada..................................................................40

Ejercicio de fijación 3...............................................................................................................434to Principio: Permitir un enfoque holístico...................................................................................43

Ejercicio de fijación 4...............................................................................................................455to Principio: Separar la gobernanza de la gestión.........................................................................46


3 Cascada de objetivos de COBIT......................................................................................................54Introducción...................................................................................................................................55

Ejercicio de fijación 1...............................................................................................................56Los cuatro pasos del proceso de la cascada de objetivos de COBIT.............................................57

1er Paso: las tendencias de las partes interesadas influencian a sus necesidades......................57Ejercicio de fijación 2...............................................................................................................572do paso: cascada de las necesidades de las partes interesadas en objetivos corporativos........58Ejercicio de fijación 3...............................................................................................................58Ejercicio de fijación 4...............................................................................................................603er Paso: Escalonamiento de los objetivos corporativos en objetivos de TI..............................61Ejercicio de fijación 5...............................................................................................................63Relaciones entre los objetivos de TI y los procesos de COBIT................................................63Ejercicio de fijación 6...............................................................................................................644to Paso: Escalonamiento de los objetivos de TI en metas de habilitador.................................65Adaptación de la cascada de objetivos de COBIT....................................................................67Ejercicio de fijación 7...............................................................................................................67

4 Dimensiones de los siete habilitadores de COBIT..........................................................................69Introducción...................................................................................................................................70Dimensiones comunes de los habilitadores...................................................................................70

Ejercicio de fijación 1...............................................................................................................74Dimensión control de desempeño del habilitador..........................................................................74

Ejercicio de fijación 2...............................................................................................................76Las dimensiones del habilitador Principios, Políticas y Modelos en la práctica...........................78Relaciones con otros habilitadores................................................................................................79

Ejercicio de fijación 3...............................................................................................................80Explorando las dimensiones del habilitador Procesos...................................................................81Las dimensiones del habilitador Procesos en la práctica...............................................................83


Explorando al habilitador Estructuras Organizacionales...............................................................86Ejercicio de fijación 6...............................................................................................................89

4

Explorando el habilitador Cultura, Ética y Comportamiento........................................................89Ejercicio de fijación 7...............................................................................................................91

Explorando el habilitador Información..........................................................................................92Ejercicio de fijación 8...............................................................................................................97Ejercicio de fijación 9...............................................................................................................97Ejercicio de fijación 10.............................................................................................................97

Explorando el habilitador Servicios, Infraestructura y Aplicativos...............................................98Ejercicio de fijación 11.............................................................................................................99

Habilitador Personas, Habilidades y Competencias....................................................................100Ejercicio de fijación 12...........................................................................................................101

5 Guía de implementación de COBIT..............................................................................................102Introducción.................................................................................................................................103Herramientas de implementación................................................................................................103

Ejercicio de fijación 1.............................................................................................................104Ejercicio de fijación 2.............................................................................................................105Ejercicio de fijación 3.............................................................................................................108

Capacitación para el cambio........................................................................................................108Ejercicio de fijación 4..............................................................................................................111

Premisas para la elaboración de un estudio de caso....................................................................1126 Evaluación de Capacidad de Procesos...........................................................................................114

Introducción.................................................................................................................................115Modelo de Madurez de Procesos.................................................................................................115

Ejercicio de fijación 1.............................................................................................................116Evaluación de Capacidad de Procesos.........................................................................................116

Ejercicio de fijación 2.............................................................................................................119Ejercicio de fijación 3.............................................................................................................119

Niveles de Capacidad de Procesos en la práctica........................................................................119Ejercicio de fijación 4.............................................................................................................120

Modelo de Referencia de Proceso de COBIT 5...........................................................................120Ejercicio de fijación 5.............................................................................................................125

Evaluación de Capacidad del Proceso.........................................................................................126Programa de Evaluación de Capacidad de COBIT......................................................................128

Ejercicio de fijación 6.............................................................................................................129

5

Prólogo a la versión en Portugués Escuela Superior de Redes

La Escuela Superior de Redes (ESR) es una unidad de la Rede Nacional de Ensino e Pesquisa, RNP,responsable por la difusión del conocimiento de Tecnologías de la Información y Comunicación, TIC. La ESR nace con el objetivo de ser formadora y diseminadora de las competencias en TIC para el cuerpo técnico-administrativo de las universidades federales, escuelas técnicas y unidades federales de investigación. Su misión fundamental es realizar la capacitación técnica del cuerpo funcional de las organizaciones usuarias de la RNP, para el ejercicio de las competencias aplicables al uso eficaz y eficiente de las TIC.

La ESR ofrece decenas de cursos en áreas temáticas como: administración y proyecto de redes, administración de sistemas, seguridad, medios de soporte a la colaboración digital de gobierno de las TI, etc.

La ESR también participa en diversos proyectos de interés público, como la elaboración y ejecuciónde planes de capacitación para la formación de multiplicadores para proyectos educativos, como: formación en el uso de video conferencia para la Universidad abierta de Brasil, UAB, formación de soporte técnico de laboratorios del Proinfo y creación de un conjunto de cartillas sobre redes inalámbricas para el programa Un Computador por Alumno, UCA.

6

La metodología de la ESRLa filosofía pedagógica y la metodología que orientan los cursos de la ESR están basadas en el aprendizaje como construcción del conocimiento por medio de la resolución de problemas típicos de la realidad del profesional en formación. Los resultados obtenidos en los cursos de naturaleza teórico-práctica son optimizados, pues el instructor, ayudado por el material didáctico, actúa no sólocomo un expositor de conceptos e información, sino, principalmente, como orientador del alumno en la ejecución de las actividades contextualizadas en las situaciones de su cotidianidad profesional.

El aprendizaje es entendido como una respuesta del alumno al desafío de situaciones-problemas semejantes a los encontrados en la práctica profesional, que son superados por medio del análisis, síntesis, juzgamiento, pensamiento crítico y construcción de hipótesis para la solución del problema, en abordajes orientados al desarrollo de competencias.

Así, el instructor tiene participación activa y dialogada como orientador del alumno para las actividades en el laboratorio. Inclusive la presentación de la teoría al inicio de la sesión de aprendizaje no es considerada una simple exposición de conceptos e información. El instructor busca incentivar la participación de los alumnos continuamente.

Las sesiones de aprendizaje en las que se realizan la presentación de contenidos y la realización de las actividades prácticas tienen formato presencial y esencialmente práctico, utilizando técnicas de estudio dirigidas individualmente, trabajo en equipo y prácticas orientadas al contexto profesional del futuro especialista que se pretende formar.

Las sesiones de aprendizaje se desarrollan en tres etapas, con mayor dedicación a las actividades prácticas, conforme a la siguiente descripción:

Primera etapa: presentación de la teoría y resolución de dudas (de 60 a 90 minutos).

El instructor presenta, de manera sintética los conceptos teóricos correspondientes al tema de la sesión de aprendizaje, con ayuda de diapositivas en formato PowerPoint. El instructor formula interrogantes sobre el contenido de las diapositivas en lugar de solo presentarlas, animando al grupoa la participación y a la reflexión. Esto evita que las presentaciones sean monótonas y que el alumnose coloque en actitud pasiva, lo que reduciría el aprendizaje.

Segunda etapa: actividades prácticas de aprendizaje (de 120 a 150 minutos)

Esta etapa es la esencia de los cursos de la ESR. La mayoría de las actividades de los cursos es asincrónica y realizada en grupos de dos alumnos, que siguen el ritmo de la guía de actividades propuesta en el libro de apoyo. El instructor y el monitor circulan entre los grupos para solucionar las dudas y ofrecer explicaciones complementarias.

Tercera etapa: discusión de las actividades realizadas (30 minutos)

El instructor comenta cada actividad, presentando una de las soluciones posibles, prefiriendo aquellas que generan mayor dificultad y polémica. Los alumnos son invitados a comentar las

7

soluciones encontradas y el instructor retoma tópicos que hayan generado dudas, estimulando la participación de los alumnos. El instructor siempre estimula a los alumnos a encontrar soluciones alternativas a las sugeridas por él y por sus colegas, en caso que existan, y a comentarlas.

8

Sobre el cursoEl curso presenta el “Modelo Corporativo para Gobernanza y Gestión de TI de la Organización COBIT 5”, publicado por ISACA, presentando y describiendo sus principios y sus habilitadores, buscando desarrollar competencias en los fundamentos de COBIT 5, para desde ahí iniciar su implementación en la organización y de acuerdo con las recomendaciones de los órganos de control.El alumno trabajará con el libro de apoyo y con el libro publicado por ISACA que será bajado desdeel sitio. Serán detallados los principios, los habilitadores, la guía de implementación, el modelo de capacidad, como hacer una descripción detallada de los objetivos de TI y cómo alinearles con las necesidades de las partes interesadas. El curso combina la parte teórica con las actividades prácticaspara consolidar el conocimiento y ejemplificar con las realidades de las diversas organizaciones. A través de este curso el alumno adquirirá los conocimientos y habilidades con el objetivo de entendery comprender los fundamentos de COBIT 5.

A quién se destinaEl curso se destina a los gestores y profesionales de TIC que necesitan aprender y conocer el “Modelo Corporativo para Gobernanza y Gestión de TI de la Organización COBIT 5” para comenzar con su aplicación e implementación de gobernanza en las actividades de la organización. También podrán participar otros profesionales que deseen obtener y desarrollar competencias sobre Gobernanza y COBIT 5.

9

Sobre los autores:Luiz Claudio Diogo Reis es Magíster en Tecnología por la CEFET/RJ en la línea de investigación sobre Gestión de Innovación e Información Tecnológica. Tiene un MBA en Gestión de Tecnología de Información y Negocios Virtuales por el CEFET/RJ. Especialista en Auditoría de Sistemas de Información por la Universidad Estácio de Sa y en Patrones Internacionales de Auditoría por la Universidad Católica de Brasilia (UCB). Graduado en Matemática por la Universidad del Estado deRío de Janeiro (UERJ) y de Lengua Inglesa por la Universidad de Michigan. Profesional con certificación internacional CISA – Certified Information Systems Auditor y CRISC – Certified in Risk and Information Systems Control por ISACA – Information Systems Audit and Control Association. Certificado en Seguridad de la Información con el título de MCSO – Modulo Certified Security Offices de la Modulo Security Solutions. Profesional Certificado y Acreditado en COBIT5 Foundation por el APMGroup. Auditor Senior de Tecnología de la Información por la Institución Financiera CAIXA ECONÔMICA FEDERAL con 17 años de experiencia en auditorías de gestión, de procesos y de sistemas de información. Instructor, tutor y mentor en Acciones Educacionales estratégicas de la Universidad CAIXA. Expositor en eventos nacionales e internacionales sobre IT GRC&A – Gobernanza, Riesgo, Compliance y Auditoría desde 2009. Docente en disciplinas de Gestión de Procesos de Negocio, Planeamiento estratégico, Gobernanza de TI, Gestión de Proyectos, Gestión de Servicios de TI, Seguridad de la Información, Seguridad en Aplicaciones, Gestión de Riesgos, Continuidad de Negocios y Auditoría de TI. Trabaja como voluntario desde 2012 en ISACA – Capítulo Río de Janeiro y actualmente ocupa el cargo de Presidente de la Asociación. Instructor y facilitador en programas de capacitación de líderes, gestores y profesionales de negocio para el desarrollo de habilidades gerenciales.

Edson Kowask Bezerra Profesional del área de seguridad de la información y gobierno de información, con más de quince años como auditor líder de calidad, investigador, director de proyectos y director técnico en varios proyectos de gestión de riesgos, la gestión de la seguridad de la información, continuidad del negocio, PCI, auditoría y recuperación de desastres en las grandes empresas de telecomunicaciones, financiera, energía, industria y empresas del sector del gobierno. Con amplia experiencia en las áreas de seguridad. También ha actuado como conferencista en importantes eventos en Brasil y también como instructor de formación en los temas de seguridad y gobierno. Es profesor y coordinador de cursos de postgrado en el área de seguridad de la información, la gestión integrada, la innovación y las tecnologías web. Hoy se desempeña como Coordinador Académico de Seguridad y Gobierno de las TI de la Escuela Superior de Redes.

Fábio Gomes Barros es Magíster en Gestión del Conocimiento y de Tecnología de Información (TI) por la Universidad Católica de Brasilia (2013). También es especialista en Telemática (2002) y Gestión de Proyectos (2007), ambas por la Universidad Federal de Pernambuco. Graduado en Ingeniería Electrónica por la Universidad de Pernambuco (1999). Actualmente es Analista en Tecnología de Información del Ministerio de Integración Nacional y docente en la Escuela Nacionalde Administración Pública (ENAP) y de la Escuela Superior de Redes (ESR) de la Rede Nacional

10

de Pesquisa (RNP). Tiene experiencia en las áreas de Telecomunicaciones y de Tecnología de Información, con énfasis en la Gestión y Gobernanza de TI. Posee las certificaciones PMP (Project Management Professional) otorgada por el Project Management Institute y COBIT 5 Foundation por ISACA.

11

1 Gobernanza Corporativa de TI

ObjetivosAnalizar la importancia de TI aplicada a los negocios; comprender el contexto, el alcance y la aplicación de la gobernanza de TI en las organizaciones; Identificar los desafíos para la gobernanza de TI; Conocer las buenas prácticas y normas del mercado relacionados con la gobernanza de TI; Entender el contexto de la gobernanza corporativa de TI propuesto por COBIT 5; Aplicar el conocimiento en actividades prácticas sobre gobernanza corporativa de TI.

ConceptosTecnología de información aplicada a los negocios; Gobernanza de TI; Componentes de la gobernanza de TI; Desafíos para la gobernanza y gestión de TI en las organizaciones; Investigar sobre los beneficios de la gobernanza de TI; Principales modelos y normas de gobernanza de TI, Introducción al Modelo Corporativo COBIT 5; Factores motivadores para el desarrollo del Modelo Corporativo COBIT 5; Familia de productos de COBIT 5; Gobernanza corporativa de TI en el contexto de COBIT 5.

12

IntroducciónReis (2012), Balbridge et al. (1971) describen que las organizaciones varían significativamente entre sí en función de su naturaleza, tipos de clientes, tecnologías aplicadas, capacidad técnica, estructuras organizacionales, modelos de gestión y formas de relaciones con terceros y proveedores.

Cada organización tiene objetivos de negocios y necesidades específicas según sus directrices estratégicas, de forma tal que dos organizaciones no son necesariamente iguales.

Con el avance y el uso intensivo de las Tecnologías de la Información (TI) para la automatización y soporte de procesos organizacionales, las TI pasaron a desempeñar un papel significativo en todo el ciclo de vida de la información de las empresas para hacer negocios y la toma de decisiones. Ese ciclo cubre las etapas de creación, manipulación y eliminación de la información.

En la actual era del conocimiento, las TI está en pleno proceso de evolución y cada vez más presentes en los ambientes sociales, culturales y corporativos. El uso de tecnologías emergentes hanimpulsado un cambio significativo en la forma de realización de los negocios.

En este escenario, las empresas públicas y privadas han ido, a lo largo de los años, incorporando recursos de TI para mejorar los procesos de negocios y su relación con los clientes. Algunas organizaciones están en un nivel de madurez más avanzado, otras en fase intermedia de desarrollo yalgunas, todavía, en etapa inicial.

Tecnologías de la información (TI) aplicada a los negociosDe acuerdo a la visión de Henderson y Venkatraman (1993), las TI son un sistema que engloban conceptos técnicos y de gestión del capital humano.

Para Rezende (2008), las TI representan un recurso tecnológico de las organizaciones para preservar, gestionar el uso de la información y del conocimiento, contemplando sistemas aplicativos, de telecomunicaciones y de gestión de datos y de informaciones. Además de esto, en unescenario global de competitividad de los negocios, la información representa un activo esencial para que las organizaciones tengan una ventaja estratégica.

El ITGI (2007) describe a las TI como un conjunto de procesos que dependen de la interacción entre elementos de naturaleza humana, organizacional y tecnológica, comprendiendo, por tanto, unatriada de personas, procesos y tecnologías.

Basados en estos conceptos, observamos que la gestión de TI aplicada a los negocios no son

13

Figura 1: Triada Procesos, Personas y Tecnologías

actividades fáciles de ser manejadas en las organizaciones. Para Rezende (2008), la gestión de la TI representa un factor crítico de éxito para la generación de valor y de beneficios para las organizaciones.

Para pensarSegún Reis (2012), “Planificación y Gestión de la Tecnología” comprende el proceso de planificación y alineación estratégica de TI, la organización y estructuración del área de TI, las políticas, normas y programas de capacitación continua, la arquitectura y gestión de la información, los servicios de atención y soporte a usuarios y la infraestructura tecnológica.

Por lo tanto, garantizar una gestión eficiente de los recursos de TI representa un desafío para las organizaciones modernas, pues esta actividad abarca aspectos complejos de naturaleza técnica y humana que necesitan interactuar para obtener sinergia entre las áreas de negocio y de TI de las organizaciones. De esta forma, en ambientes organizacionales complejos, con el uso intensivo de TI y la reglamentación a través de leyes y directrices de control, el área de TI sufre un gran impacto en función de la necesidad de proveer, mantener y gestionar los recursos de TI de forma eficiente, eficaz, segura y disponible para todos los interesados en las actividades de negocio de la institución.

Este escenario requiere que las organizaciones mantengan estructuras organizacionales y personas capacitadas para liderar y gobernar este ambiente de negocio complejo, de forma adecuada a sus necesidades y a través del uso de modelos de referencia de mercado adoptados como buenas prácticas para la gestión y la gobernanza de TI.

Ejercicio de fijación 1

Tecnologías de información (TI) aplicadas a los negociosEntre la triada de “Personas”, “Procesos” y “Tecnologías”, a su forma de ver, ¿Cual de estos factores es el más importante para el éxito de la gestión de Tecnología de Información en su organización? Justifique.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Describa dos buenas prácticas de gestión de TI adoptadas en su organización relacionadas a cada uno de los componentes de la triada de “Personas”, “Procesos” y “Tecnologías”.

Personas________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

14

Procesos________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Tecnologías________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Qué es la gobernanza de TI?El área de TI tiene como actividad principal la atención a las necesidades y estrategias del negocio, teniendo como prerrogativa la conformidad en relación a las leyes, normas y reglamentos internos yexternos. Estos requisitos de negocio y legales varían de acuerdo con el tipo, finalidad, ramo de actuación y exigencias regulatorias de las organizaciones.

En este contexto se introduce un concepto muy discutido y debatido en la gestión de negocios en la actualidad, denominado “Gobernanza de TI”.

Según Fernandes y Abreu (2008), el principal objetivo de la gobernanza de TI es alinear a las Tecnologías de la Información (TI) a los requisitos del negocio, teniendo como base la continuidad de los negocios, la atención a las estrategias de negocios y la atención a las reglamentaciones internas y externas.

Weill y Ross (2004) conceptualizan la gobernanza de TI como un instrumento para la definición de los derechos de decisión y de las responsabilidades de administración para fomentar comportamientos deseables en el uso de las TI.

La gobernanza de TI es de responsabilidad de las más altas esferas que lideran una organización, en las estructuras organizacionales y en los procesos para garantizar que la TI de la empresa apoye y entienda las estrategias de los objetivos de negocios de la organización (ITGI 2007).

Basado en estos conceptos, Fernandez y Abreu (2008) identifican los principales objetivos y responsabilidades del área de TI relacionados con la gobernanza, conforme a lo mostrado en la siguiente tabla.

Objetivos de la gobernanza de TI

Posicionamiento de TI en relación con las áreas de negocio

Las TI deben entender las estrategias de negocio y traducirlas en planes para sistemas, aplicaciones, soluciones, procesos e infraestructura

Alineamiento a de las iniciativas de TI con la estrategia de negocio

Las TI deben priorizar lo que ha sido planificado teniendo en cuenta las necesidades y prioridades

15

de negocio y las restricciones de recursos humanos y financieros

Alineamiento de los recursos de TI a las necesidades de negocio

Las TI deben planificar y priorizar la implantación de proyectos y servicios de acuerdo con las necesidades del negocio de corto, mediano y largo plazo

Provisión de servicios de TI de acuerdo a las necesidades del negocio

Las TI deben ejecutar proyectos y servicios de acuerdo con los procesos de gestión operacional previamente definidos y con los recursos apropiados.

Gestión de riesgos y de continuidad de los negocios

Las TI deben mantener procesos para gestión de seguridad de la información, mitigación de riesgos y continuidad operacional del negocio.

Responsabilidad sobre las decisiones y acciones relacionadas con las TI

Las TI deben identificar las responsabilidades sobre la toma de decisiones y necesidades de inversión de recursos de TI para los negocios

Tabla 1: Los objetivos de la gobernanza de TI


¿Qué es la gobernanza de TI?

Defina con sus palabras: “gobernanza de TI”________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Cite 3 objetivos de la gobernanza de TI propuestos por Fernandes y Abreu (2008).________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Componentes de la gobernanza de TISegún Weill y Ross (2004) y Fernandes y Abreu (2009), la gobernanza de TI comprende varios mecanismos y componentes que, lógicamente integrados, permiten el desdoblamiento de la estrategia de TI (Plan estratégico de TI) para el soporte y operación de los productos y servicios utilizando recursos de TI (Plan Operacional de TI).

Ese proceso debe ser ejecutado en sintonía con el Plan Estratégico Institucional (PEI), de forma quese pueda obtener eficiencia y eficacia en la gestión de los recursos de TI por parte de la organización, en la ejecución del Plan Estratégico de Tecnología de la Información.

16

En el ámbito de la administración pública, el plan Director de TI (PDTI) representa un instrumento de planificación de TI, utilizado en el contexto de los organismos públicos.

A continuación mostramos los principales componentes y mecanismos aplicados a TI para que las empresas puedan proveer una gobernanza de TI de forma eficiente y eficaz.

Alineación estratégica de TI

La alineación estratégica de TI busca la integración y adecuación de la TI de la empresa en relación con las necesidades de negocios actuales y futuras en términos de arquitectura, infraestructura, aplicaciones, procesos y estructura organizacional.

Principios de TI

Los principios de TI representan las reglas y normas definidas por la administración de la empresa las cuales todos los involucrados con las operaciones de la organización deben seguir.

Los principios de TI aportan al proceso de toma de decisiones sobre la arquitectura de TI, la infraestructura de TI, la adquisición y el desarrollo de aplicaciones, la formulación de políticas y la gestión de activos de operaciones de TI.

Aplicaciones de TI

Las aplicaciones de TI son las soluciones de negocios provenientes de los sistemas de información y la disponibilidad de servicios de TI desarrollados, adquiridos y mantenidos por la empresa para atender las necesidades estratégicas, operacionales y de continuidad de los negocios.

La estrategia de la organización sobre las aplicaciones de TI determinan aquellas que deberán ser desarrolladas, mantenidas, mejoradas, sustituidas e implantadas, considerando las necesidades del negocio.

Infraestructura de TI

La infraestructura de TI se relaciona con la capacidad técnica y humana de TI disponible en la organización, abarcando servicios compartidos, confiables y usados por múltiples aplicaciones.

También define los servicios de TI requeridos por el negocio en términos de gestión de datos, comunicaciones, gestión de activos de TI, disponibilidad, seguridad de la información, normas para las interfaces y recursos computacionales necesarios para apoyar la estrategia del negocio.

La infraestructura de TI también puede ser usada como servicio de conexión entre socios y proveedores de soluciones de TI para la empresa.

Demandas de TI

La capacidad de las necesidades de atención de TI define la cantidad de recursos humanos necesarios para atender las demandas de TI relacionadas a sistemas y servicios.

Tercerización de servicios de TI

La estrategia de tercerización de los servicios de TI abarca la definición del alcance de los servicios para tercerizar y las alternativas de asociación entre la institución contratante y la proveedora de servicios.

17

La tercerización también implica los procesos para la gestión del desempeño de los proveedores o prestadores de servicios de TI, considerando el portafolio de servicios a ser ejecutados por el proveedor contratado.

Seguridad de la información

La seguridad de la información consiste en el establecimiento de políticas, directrices y acciones referentes a la seguridad de las aplicaciones, la infraestructura, los datos, las informaciones, las personas, los socios corporativos y de los proveedores en relación de negocios con la empresa contratante.

Capacitación de recursos humanos

Los recursos humanos de TI capacitados se relacionan con las competencias – conjunto de habilidades y actitudes requeridas y necesarias para el desarrollo e implantación de las iniciativas y soluciones de TI basadas en las necesidades de negocio y, considerando además, las actividades, procesos y servicios de TI adoptados por la empresa.

Organización de los procesos de TI

La organización de los procesos de TI se relacionan con la forma de cómo los servicios y productos de TI son desarrollados, administrados y entregados a los usuarios y clientes.

La organización de los procesos de TI requieren la definición de responsabilidades, roles y procesosinternos de acuerdo con las necesidades de negocio de la empresa, considerando además las necesidades específicas de TI.

Inversiones y costos de TI

Las inversiones y costos de TI se refieren a los aspectos financieros involucrados en la administración y soporte de los negocios, tales como aplicaciones, infraestructura y personas.

Los costos de TI deben ser identificados, analizados, monitoreados y controlados regularmente paragarantizar un mejor retorno de la inversión, gastos y expensas relacionados.

La gestión del portafolio de TI representa una buena práctica para la priorización, selección, motorización, control, entre otros, de las inversiones de TI basadas en proyectos estratégicos y activos prioritarios, de forma que se integre y alineen los objetivos estratégicos de negocios a los objetivos específicos de TI.

Relación con clientes internos y externos

Las relaciones con clientes trata de la interacción de los usuarios internos y externos con el área de TI, abarcando procesos que deben definir los responsables de la solicitud de servicios, los procedimientos operacionales, indicadores de evaluación, canales de comunicación, capacitación y entrenamiento a los usuarios sobre el uso de los recursos tecnológicos y desarrollo de proyectos.

De forma similar, la relación con los proveedores y terceros trata de aspectos operacionales de TI, tales como los procedimientos previstos para la atención a requerimientos de servicios, la relación con socios, el acompañamiento y el control de Acuerdos de Servicio y los contratos de apoyo, calidad de servicios prestados y el rendimiento de los proveedores.

18

Rendimiento de TI

La administración debe establecer indicadores para medir el rendimiento del área de TI en relación con el cumplimiento de metas, según las estrategias y necesidades de negocio de la empresa.

De esta forma, los objetivos de rendimiento guían a la administración de TI para que puedan atender metas de rendimiento compatibles con los objetivos de negocio definidos para la prestación de servicios de TI.

A nivel operacional, es usual la formalización de niveles de servicios denominados “Acuerdos de Nivel de Servicios”1 (ANS), firmados entre el área de TI y las áreas de negocio y los Acuerdos de Nivel Operacional (ANO), firmados entre TI y los proveedores internos, abarcando todo el ciclo de actividades de TI.

De esta forma, los indicadores estratégicos y operacionales orientan a la gestión de TI, los controles operacionales y el establecimiento de necesidades de mejora en los niveles de servicio.

Además, la gestión del rendimiento de TI se refiere al monitoreo de los objetivos de desempeño de las operaciones de servicios en términos de desarrollo de aplicaciones, soporte a servicios, entrega de servicios, seguridad de la información y monitoreo de acuerdos firmados.

Requisitos de conformidad

Las organizaciones deben considerar las leyes, reglamentos y normas internas y externas cuando se definen los requisitos del negocio. El área de TI, al desarrollar soluciones de negocio, debe apuntar a las funcionalidades definidas por las áreas de negocio al realizarse la planificación y gestión de soluciones de TI, para apoyar a las estrategias y objetivos de la empresa.

Componentes del sistema de gobernanza: Alineación estratégica de TI Principios de TI Aplicaciones de TI Infraestructura de TI Demandas de TI Tercerización de servicios de TI Seguridad de la información Capacitación de recursos humanos Organización de los procesos de TI Inversiones y costos de TI Relación con clientes internos y externos Rendimiento de TI Requisitos de conformidad.


Componentes de gobernanza de TIResponda las siguientes preguntas, considerando el contexto de su organización.

1 Del Inglés “Service Level Agreement” (SLA)

19

Cite dos buenas prácticas adoptadas en su organización para cada uno de los componentes de gobernanza de TI listados a continuación:

Principios de TI________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Infraestructura de TI________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Demandas de TI________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Rendimiento de TI________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Desafíos para la gobernanza y gestión de TI en las organizaciones

Como consecuencia de la necesidad de uso de recursos tecnológicos por parte de las organizaciones para dar apoyo a los procesos de negocio, los gestores y líderes de TI deben aunar esfuerzos en el sentido de:

Mantener informaciones confiables para apoyar a las decisiones del negocios Agregar valor al negocio en base a las inversiones en TI Cumplir los objetivos estratégicos apoyados en recursos de TI Obtener beneficios para la organización mediante el uso eficiente e innovador de TI Alcanzar la excelencia operacional mediante la aplicación eficiente y eficaz de recursos de

TI Mantener el riesgo de TI en un nivel aceptable Optimizar el costo de la tecnología y de los servicios de TI

20

Cumplir las leyes, reglamentos, contratos, políticas y normas externasLa atención, cumplimiento y sustentabilidad de todas estas actividades en el día a día de las organizaciones no es algo simple de llevar a cabo. Estas tareas requieren planificación y gestión sobre diversas actividades de TI desarrolladas por la empresa para atender las necesidades de negocio. También, en la práctica, estas actividades representan uno de los más grandes desafíos paralos gestores de TI.

Veamos a continuación por qué la gobernanza de TI es un instrumento importante para la gestión delas organizaciones teniendo como presupuesto los beneficios obtenidos de su implementación.

Investigaciones sobre los beneficios de gobernanza de TIUna investigación realizada por PwC a más de 800 profesionales de TI y de negocios en 21 países sobre los beneficios de la gobernanza de TI para las organizaciones participantes, los resultados indican que un:

38% reportó una reducción de costos de TI 28.1% hubo una mejoría en la competitividad de los negocios 27.1% hubo un aumento en el retorno sobre las inversiones de TI

En relación con los beneficios menos tangibles, los resultados identificaron como mejorías: 42.2% en la gestión de riesgos de TI 39.6% en la comunicación y relaciones entre áreas de negocios y de TI 37.3% en la ejecución de TI para el logro de los objetivos corporativos.

Para Pensar:Actualmente, se argumenta que el valor de TI en las organizaciones se deriva directamente de la eficiencia del sistema de gobernanza de TI. ¿Qué piensa usted?

Otro estudio realizado en 250 organizaciones en todo el mundo identificó que aquellas con mejor gobernanza de TI tenían una rentabilidad de al menos un 20% mayor que las de baja madurez en temas de gobernanza, considerando los mismos parámetros de la investigación.

Otro estudio de caso en el sector aéreo concluyó que la implementación y la garantía continua de la gobernanza corporativa de TI mejoraban la confianza entre el negocio de TI, resultando en una mejora de la alineación de las inversiones con los objetivos estratégicos.

En este escenario, otros beneficios más tangibles fueron manejados en la investigación, tales como la reducción del costo fijo de TI por unidad de producción comercial y la asignación de recursos para la innovación.

Un estudio de caso en el sector financiero demostró que las empresas con mejores aplicaciones de gobernanza de TI obtuvieron las mayores puntuaciones de madurez en la alineación entre el negocioy TI.

Introducción a las estructuras de gobernanza de TILa gobernanza de TI requiere un efectivo acompañamiento sobre la gestión de procesos y actividades de TI que influencian y afectan el manejo de los negocios y, en consecuencia, al cumplimiento de metas y estrategias de la organización.

21

Como se describe anteriormente, el desafío de las organizaciones en temas de gobernanza de TI requiere la implementación de acciones de liderazgo y gestión estratégica que dependen de un amplio y variado conjunto de requisitos técnicos y humanos relacionados con las TI.

Los componentes del sistema de gobernanza son diversos y amplios. Por lo tanto se hace necesario definir un alcance, o sea, una estructura, un modelo a ser utilizado y aplicado por las organizacionespara proveer gobernanza de TI. Existen diversos modelos de buenas prácticas y normas relacionadas con la gobernanza de TI (Fernandes y Abreu, 2008).

A continuación, analizaremos los principales modelos (frameworks) de gobernanza de TI adoptados por las organizaciones.

Principales modelos de gobernanza de TI

Según Fernandes y Abreu (2008), la gobernanza de TI busca compartir las decisiones de TI con los principales actores de la organización y el establecimiento de reglas y procedimientos para el uso eficiente y eficaz de la Tecnología de Información por parte de todos los interesados en las actividades de la empresa, como son: clientes, funcionarios, áreas de negocios, gobierno y proveedores, de forma que se determine cómo las TI deberán proveer los servicios para la organización.

En las dos últimas décadas, con la evolución de las TI, diversos modelos de buenas prácticas aplicados a TI han sido desarrollados. Algunos de estos modelos son inéditos, y otros han sido construidos a partir de los anteriores (Fernandes y Abreu, 2008).

La siguiente tabla presenta una síntesis de los principales modelos relacionados con gobernanza de TI vigentes en los medios académicos y profesionales.

Modelo de buenas prácticas Alcance

COBIT 4.1: Control Objectives for Information and Related Technology

Modelo aplicable a la gobernanza, gestión, auditoría y control de los procesos de TI, abarcando las etapas de planificación, ejecución y monitoreo de las actividades de TI. Este modelo abarca 34 procesos de TI en 4 dominios inter-relacionados.

TOGAF: The Open Group Architecture Forum Modelo de arquitectura corporativa que aborda de forma global el diseño, planificación, implementación y gobernanza en cuatro niveles (Negocios, Aplicación, Datos y Tecnología). Estemodelo posibilita la proyección de arquitecturas futuras basándose en el estado actual de la estructura organizacional

ISO 31000:2009 Es una norma ABNT para establecer principios ydirectrices genéricas sobre el proceso de gestión de riesgos, sus etapas y requisitos

COSO: Comittee of Sponsoring Organizations of the Tradeway Comission

Es una estructura de gestión de riesgos corporativos capaz de ofrecer los principios y

22

conceptos fundamentales utilizando un lenguaje común. El proceso de gestión de riesgos corporativos está compuesto por ocho componentes interrelacionados.

CMMI: Capability Maturity Model Integration Modelo aplicable al desarrollo de productos y proyectos de sistemas de información (aplicaciones y software)

ITIL: Information Technology Infrastructure Library

Modelo aplicable a la infraestructura de TI, comprende los servicios de TI, seguridad, gestión de infraestructura, gestión financiera, gestión de activos y aplicativos.

ISO 20000 Norma ABNT creada a partir de los requisitos y evolución del modelo ITIL

ISO 22301: Gestión de Continuidad de Negocios Norma ABNT usada para ayudar a las organizaciones a minimizar el riesgo asociado a acontecimientos disruptivos que pueden impactarla disponibilidad de los negocios y servicios. Esta norma especifica los requisitos para mantener un sistema de gestión de continuidad de negocios para recuperarse de eventos que puedan interrumpir el funcionamiento normal de una organización.

ISO 38500 Norma ABNT que especifica los requisitos y componentes aplicables a la gobernanza de TI para las organizaciones

BS 7799, ISO/IEC 27001 e ISO/IEC 17799: Código de práctica para la gestión de seguridad de la información

Modelos aplicados a la gestión de seguridad de la información

eSCM-SP – Service Provider Capability Maturity Model

Modelo aplicado a la tercerización en servicios de TI

PRINCE2: Projects IN Controlled Environments2

Modelo aplicado a la gestión de proyectos

PMBOK: Project Management Body of Knowledge

Modelo aplicado a la gestión de proyectos, que consolida una base de conocimiento y disciplinasrelacionadas a la gestión de proyectos

BSC: Balanced Scoredcard Modelo de planificación y gestión de desempeñode la estrategia organizacional propuesto por Kaplan

Seis Sigma Modelo utilizado para mejorar la calidad de los procesos organizacionales.

SAS 70: Statements on Auditing Standards of services organizations

Norma que contempla reglas de auditoría para empresas prestadoras de servicios

RISK IT Modelo de gestión de riesgos de TI adoptado por

23

ISACA basado en la ISO 31000:2009

VAL IT Modelo de gobernanza basado en COBIT 4.1 que incluye orientaciones y procesos de soporte relacionados con la evaluación y selección de inversiones de negocios viabilizados por TI, así como los beneficios de los logros y entrega de valor de estas inversiones.

COBIT 5 Modelo para la gobernanza corporativa de TI desarrollado a partir de cinco principios y basadoen siete habilitadores

Tabla 2: Principales modelos en relación con la gobernanza de TI

Principales normas de Gobernanza de TI CMMI: Capability Maturity Model Integration ITIL: Information Technology Infrastructure Library COSO: Comittee of Sponsoring Organizations of the Tradeway Comission ISO 38500 – Gobernanza corporativa para la Tecnología de Información ISO 27001 – Tecnología de información, técnicas de seguridad – sistemas de gestión de la

seguridad de información – requisitos PRINCE2TM – Project in a Controlled Environment PMBok – Project Management Body of Knowledge BSC – Balanced scorecard COBIT

Basados en esta lista podemos concluir que cada modelo tiene un propósito, alcance y objetivos definidos. Algunos modelos son específicos, otros son abarcadores y complementarios entre sí.

Entre estos modelos de gobernanza, ISACA ha llevado a cabo investigaciones que demuestran el valor de COBIT para las organizaciones. El conjunto de datos resultante de estas investigaciones ofrece diversas oportunidades de análisis y puede esclarecer la relación entre la gobernanza corporativa de TI y el desempeño de las empresas.


Principales modelos de gobernanza de TIEnlace los modelos y normas de mercado con su principal finalidad, identificando la definición másprecisa para cada una de los siguientes puntos:

1. Gestión de riesgos TOGAF

2. Gestión de servicios de TI ISO 31000

3. Gobernanza corporativa de TI BSC

4. Arquitectura organizacional ISO 22301

5. Ambiente de control COBIT 5

24

6. Planificación y desempeño PRINCE2

7. Gestión de proyectos ITIL

8. Continuidad de negocios COSO

Introducción al modelo corporativo COBIT 5COBIT 5, publicado por ISACA el 10 de Abril del 2013 ofrece guías y orientaciones fundamentalespara la implementación de gobernanza corporativa y gestión de TI para organizaciones.

Esta publicación es el fruto de más de 15 años de uso y aplicación práctica del modelo de COBIT 4.1, a partir de las experiencias de líderes organizacionales y de usuarios de las comunidades de negocio, TI, riesgo, seguridad y auditoría mantenidas por ISACA.

El modelo COBIT 5, llamado simplemente COBIT, está estructurado en 10 secciones: un resumen ejecutivo, ocho capítulos y apéndices de A-H, de acuerdo a lo mostrado en la siguiente figura

Factores que motivan la publicación de COBITDe acuerdo a ISACA (2013), los principales factores para el desarrollo de COBIT son:

Participación de las partes interesadas con las TI

La participación de las partes interesadas tiene como objetivo determinar qué estos esperan de las TIpara obtener niveles optimizados de beneficios, riesgo y costos aceptables. Las partes interesadas deben identificar las prioridades de los negocios para garantizar qué el valor esperado de TI sea efectivamente obtenido a corto, mediano o largo plazo.

Las divergencias o conflictos en las expectativas deben ser tratados con eficiencia y transparencia, para no impactar en el logro de los resultados organizacionales.

Dependencia de proveedores de TI

Las organizaciones son cada vez más dependientes de terceros, proveedores, consultores, clientes y/o proveedores de servicios de TI para la realización de negocios. Así mismo los proveedores de servicios de TI son partes esenciales para que las organizaciones mantengan sus negocios y efectivamente agreguen valor a las partes interesadas en los negocios con el uso de recursos de TI.

Pertinencia de la información

La información es un activo esencial para la toma de decisiones, sin embargo, la cantidad de

25

Figura 2: Visión sistémica del framework de COBIT 5. Elaborado por el autor.

información viene aumentando significativamente en el contexto organizacional. Por ello las organizaciones deben tener un proceso definido para seleccionar las informaciones en base a criterios pre-establecidos, tales como relevancia, credibilidad y transparencia.

Cuando la información es administrada de forma oportuna y calificada, esta apoya al proceso de toma de decisiones por parte del área de negocio de forma eficiente y eficaz.

En ambientes complejos, las organizaciones necesitan de un modelo de tratamiento de la información para garantizar la efectividad de su gestión. Recientemente ISACA publicó la guía COBIT 5 Habilitador de Información (Enabling Information), que establece un modelo y criterios para la gestión de la información en las organizaciones.

TI como parte integral del negocio

Las TI son cada vez más una parte integral del negocio, por tanto no deben ser consideradas como un “nicho” y separadas del negocio. La TI deben estar insertadas como parte integral de los proyectos empresariales, estructuras organizacionales, gestión de riesgos, políticas, capacidades, procesos, entre otras funciones y actividades de la arquitectura empresarial.

Este escenario requiere que los ejecutivos de negocio tengan competencias en TI para la toma de decisiones y operaciones relacionadas a TI.

Por otro lado, las funciones del área de TI están en continua evolución. La administración de TI debe fundamentarse en un abordaje holístico e integrado, directamente relacionado con el negocio.

Orientaciones para tecnologías emergentes e innovadoras

Las tecnologías innovadoras están relacionadas a la creatividad, nuevas ideas y al desarrollo de productos y servicios para el apalancamiento de nuevos negocios y fidelización de clientes (actualesy futuros).

La innovación presupone una concepción y el desarrollo de productos, el modelado de procesos de producción y de la cadena de suministros apuntando a proveer productos con un alto nivel de eficiencia, con el establecimiento de plazos para las entregas de servicios.

Cobertura del negocio por TI

Las organizaciones que utilizan las TI para el apalancamiento del negocio y como un diferencial competitivo, poseen una mayor parte de sus procesos críticos sustentados por TI. Esta situación caracteriza la cobertura del negocio de punta a punta y en todas las áreas responsables por las funciones de TI. Esta estructura requiere procesos de gobernanza y de gestión de TI eficientes y eficaces.

En la concepción de COBIT, la eficiencia en la gestión depende de diversos factores como son estructuras organizacionales, políticas y cultura organizacional.

Estos factores están presentes e interactúan con los procesos de trabajo vigentes en la organización, ampliando los desafíos de gobernanza y de gestión de las organizaciones.

Mejoría de los controles sobre las soluciones de TI

Las soluciones de TI tienen como propósito la creación de valor para la organización a través del

26

uso eficiente e innovador de TI, de la satisfacción de los usuarios con los servicios de TI, del cumplimiento de las leyes, reglamentos, acuerdos contractuales y políticas internas y de la mejoría de las relaciones entre las necesidades organizacionales y los objetivos de TI.

Alineación a estándares y estructuras de mercado

La integración y alineación entre estándares y prácticas del mercado ayudan a las partes interesadas (stakeholders) a la comprensión de cómo los diversos modelos, buenas prácticas y estándares se interrelacionan y cómo estos pueden ser usados en su conjunto.

Dentro de las buenas prácticas, COBIT destaca la Information Tecnology Infrastructure Library (ITIL), The Open Group Architecture Forum (TOGAF), Project Management Body of Knowledge (PMBOK), PRoject IN Controlled Environments 2 (PRINCE2), Comitee of Sponsoring Organizations of the Treadway Comission (COSO), y otras normas internacionales del estándar ISO.

En este contexto, COBIT tiene como propósito cubrir toda la organización y proveer una base para integrar otras estructuras, normas y prácticas como una estructura única de integración.

Integración de las principales estructuras y orientaciones de ISACA

COBIT 5 tiene como misión principal la integración entre los modelos COBIT 4.1, Val IT y Risk IT.COBIT 5 considera, además, el Modelo de Negocios para la Seguridad de la Información (BMIS), la Estructura de Evaluación de TI (ITAF) y las publicaciones de Board Briefing on IT Gobernance Taking Gobernance Forward (TGF).

Esto es: COBIT 5 integra y consolida el uso y aplicación de diversas normas desarrolladas por ISACA, consolidando todo un andamiaje teórico en un único modelo de referencia.


Motivaciones para la publicación del Modelo Corporativo COBITDiversos factores motivacionales fueron importantes para la publicación de COBIT 5. Entre estos la“Mejora de los controles sobre las soluciones de TI” representa un tópico esencial y que es evaluadopor los órganos de control externo en las auditorías realizadas en el ámbito de las organizaciones públicas.

Los controles institucionales de gestión pública son definidos como prácticas adoptadas por la empresa pública para certificar que los parámetros establecidos buscan una finalidad pública.

Aplicando el concepto de control institucional al proceso de desarrollo de soluciones y servicios de TI en su organización, cite tres prácticas de gestión y actividades adoptadas por el área o el gestor de TI en el proceso de desarrollo de aplicaciones de su organización.________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

27

Familia de productos del modelo corporativo COBIT 5COBIT 5 está compuesto por un conjunto de publicaciones denominadas “Familia de Productos COBIT 5”, cuya estructura está expuesta en la siguiente figura:

COBIT 5

Es el modelo corporativo COBIT 5 para la gobernanza y gestión de la TI en la organización, esto es,COBIT 5 propiamente dicho. Esta publicación presenta una visión holística del modelo COBIT, siendo compuesta por principios, habilitadores, modelo de capacidad, entre otros temas que abordaremos en capítulos posteriores.

COBIT 5 Guías habilitadoras

Es un conjunto de guías de los habilitadores (Enabler Guides). Estas guías comprenden las publicaciones COBIT 5 Enabling Processes, COBIT 5 Enabling Information y otras guías relacionadas denominadas Other Enabler Guides que serán desarrolladas por ISACA en al futuro.

COBIT 5 Guías profesionales

Se trata de un conjunto de Guías Profesionales utilizadas para las actividades prácticas de Implementación del modelo (COBIT 5 Implementación), seguridad de la información (COBIT 5 forinformation security), auditoría (COBIT 5 for assurance) y gestión de riesgos (COBIT 5 for risk), además de otras guías profesionales relacionadas (Other Professional Guides), que serán desarrolladas por ISACA en el futuro.

Ambiente Colaborativo Online

Se trata de un ambiente de colaboración usado por los miembros de ISACA para compartir las buenas prácticas en el uso de COBIT 5.

En síntesis, la familia de COBIT 5 tiene como principales objetivos: Reunir las publicaciones COBIT 4.1, Val IT 2.0, RiskIT y BMIS de ISACA en una

estructura única. Ampliar las áreas de TI que necesitan de contenidos más elaborados y actualizados Alinearse con otras normas y principales estructuras de mercado Definir un conjunto de habilitadores de gobernanza y gestión a partir de una estructura

básica Posibilitar la inclusión de nuevos contenidos a base de conocimiento definidos en COBIT Ofrecer una sólida y abarcadora base de referencia de buenas prácticas en TI

28

Figura 3: Familia de productos de COBIT

Para pensar:El alcance de esta publicación abarca, estrictamente, el documento COBIT 5 Modelo Corporativo para la Gobernanza y Gestión de TI en la Organización, que será detallada en los siguientes capítulos.

Para más información sobre las otras publicaciones de ISACA relacionadas con COBIT 5 consulte el sitio www.isaca.org/cobit


Familia de productos del modelo corporativo COBIT 5

Detalle los documentos que componen a la familia de productos de COBIT 5________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

En búsqueda de la gobernanza corporativa de TILas TI representan un recurso indispensable en los negocios y es un factor diferencial de competitividad para las estrategias y objetivos organizacionales. De igual forma la gobernanza y la gestión eficiente y estratégica de los recursos de TI representan elementos esenciales para que las organizaciones sean exitosas en los negocios.

En un contexto organizacional cuyos procesos de negocio son soportados por TI, cada vez se vuelvemás difícil y complejo desasociar las palabras “Negocio” y “TI”.

Además, los directores y gestores de TI poseen un papel primordial para el éxito de los negocios, debiéndose tener como premisa un actuar en conjunto de las áreas de negocio y de TI. Este es el inicio que permite incluir a las TI en el contexto de la gobernanza corporativa y de la gestión estratégica de las organizaciones.

En la práctica, cuando el área de TI se apropia de buenas prácticas de gestión, adicional a la necesidad de realizar negocios de forma eficiente y segura y, además, según las estrategias de la organización, es considerado en COBIT como unidad motriz y desencadenadora de eventos que impulsan la implantación de una gobernanza corporativa.

De esta forma, la integración de la gobernanza de TI a la gobernanza corporativa de la organización desencadena el concepto de gobernanza corporativa de TI, volviéndose en el punto de partida para la implementación de la gobernanza corporativa en cualquier organización.

En este escenario, COBIT, actuando como una estructura única, puede ayudar a las organizaciones alcancen sus objetivos de negocio, manteniendo la gobernanza y la gestión de TI en un nivel adecuado a las necesidades y estructura de la organización.

Así mismo, el principal objetivo de la gobernanza corporativa de TI se relaciona con la creación de valor a través de TI, manteniendo el equilibrio entre la generación de beneficios (negocios) y la

29

http://www.isaca.org/cobit

optimización de los niveles de riesgo y de recursos utilizados.

En esta perspectiva, COBIT, compuesto por una serie de prácticas de gobernanza, de gestión y de actividades, establece diversos mecanismos para que el área de TI sea gobernada y administrada de forma holística para entender el negocio como un todo y no algo restringido a puntos específicos de TI.

Este es el camino en búsqueda de la gobernanza corporativa. ¿Y usted qué piensa?

En este escenario se requiere que los ejecutivos de negocio tengan competencias en TI para la toma de decisiones y operaciones de TI, y que los ejecutivos de TI tengan conocimiento sobre las prácticas, actividades y directrices del negocio.


En búsqueda de la gobernanza corporativa de TI¿Cómo relaciona usted el modelo corporativo COBIT 5 y la gobernanza de TI?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Defina “gobernanza corporativa de TI”________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

30

2 Los 5 principios de COBIT 5

ObjetivosConocer los cinco principios de COBIT 5 para la gobernanza y gestión de TI en las organizaciones; Analizar la influencia de los principios de COBIT 5 en la gobernanza y gestión de TI de las organizaciones; Aplicar el conocimiento de los principios de COBIT 5 en el contexto de las organizaciones.

Conceptos1er principio: Atender las necesidades de las partes interesadas; 2do principio: cubrir la organizaciónde punta a punta; 3er principio: aplicar una estructura única e integrada; 4to principio: permitir un enfoque holístico; 5to principio: separar la gobernanza de la gestión; Interrelación de los cinco principios de COBIT 5; Aplicación práctica de los cinco principios de COBIT 5 en las organizaciones.

31

IntroducciónLa figura representa una visión sistémica de los cinco principios de COBIT 5

1er Principio: Atender las necesidades de las partes interesadas

Las partes interesadas (stakeholders) son la razón de la existencia de las organizaciones. Las organizaciones existen para atender un determinado propósito. Por tanto, deben crear valor para sus partes interesadas, como forma de mantener el equilibrio entre la entrega de valor y la optimización del riesgo y de los recursos. Consecuentemente, cualquier organización, independientemente del tamaño, naturaleza y finalidad, debe tener la creación de valor como uno de los objetivos de gobernanza.

COBIT 5 presupone que las organizaciones poseen objetivos estratégicos diferenciados, esto es: cada organización es única, considerando los diversos factores asociados a los negocios y a los ambientes interno y externo. Este escenario también se aplica a los negocios y servicios soportados por TI, pues el ambiente de TI debe estar adecuado a las estrategias y necesidades de negocio de la organización.

El alineamiento entre negocio y TI es fundamental para alcanzar los objetivos de la estrategia de la organización.

Basado en la siguiente figura, en el contexto de COBIT 5, la gobernanza tiene por objetivo crear valor para la entrega de valor con optimización del riesgo y de los recursos, a partir de las necesidades de las partes interesadas.

32

Figura 4: Visión sistémica de los cinco principios de COBIT 5

Necesidades de las partes interesadas

COBIT 5 presupone que cada organización debe identificar las necesidades de sus partes interesadas, traducirlas en términos de objetivos corporativos de alto nivel y, posteriormente, identificar los objetivos de TI correspondientes. Las necesidades de las partes interesadas pueden relacionarse a aspectos sociales, económicos, tecnológicos y ambientales, por ejemplo.

Entrega de valor

Los beneficios (valores) para la organización pueden relacionarse a aspectos financieros, sociales, tecnológicos y/o ambientales. La entrega de valor en las organizaciones está directamente relacionado a la misión de la empresa, esto es, a su razón de existir, considerando, además, su naturaleza, porte, área de acción y objetivos de negocio.

La creación de valor para la organización se alcanza cuando existe un equilibrio entre la generación de beneficios, la optimización de riesgos y la optimización de recursos.

Para pensar

En un escenario de continuo cambio, la organización debe considerar el mantenimiento y ampliación de los beneficios actuales, la introducción de nuevos beneficios, así como la eliminaciónde iniciativas que no crean el valor esperado para los negocios

Optimización de riesgos

Según la ISO GUIA 73 Gestión de riesgos – Vocabulario, riesgo es la combinación de probabilidades de un evento y sus consecuencias. Como uno de los objetivos de gobernanza, la optimización del riesgo implica su reconocimiento, su evaluación de impacto y probabilidad de ocurrencia así como el desarrollo de estrategias para minimizar el riesgo, reducir su efecto negativo y/o transferirlo, de forma que sea administrado en el contexto de la empresa y de su apetito de riesgo

Optimización de recursos

33

Figura 5: Objetivo de la Gobernanza

Los recursos están relacionados a los activos de la empresa (personas, procesos y tecnología) que pueden ayudarle a alcanzar sus objetivos de negocio, por ello, representan uno de los objetivos de lagobernanza. La optimización de recursos trata sobre el uso eficaz, eficiente y responsable de recursos humanos, financieros, tecnológicos, entre otros.

Equilibrio entre beneficios, riesgos y recursosComo las organizaciones poseen diversas partes interesadas, la expresión “crear valor” puede tener significados diferentes y, a veces, en conflicto para cada una de estas partes interesadas en el contexto de la organización.

Bajo esta perspectiva, una buena práctica de gobernanza descrita en COBIT 5 se relaciona con la negociación y decisión entre los intereses de valor que diversas partes interesadas envueltas en el proceso de toma de decisión de la organización a partir del establecimiento de comités estratégicos de toma de decisión.

También, un buen sistema de gobernanza debe considerar todas las partes interesadas al tomar decisiones sobre la evaluación de los recursos, beneficios organizacionales y apetito de riesgo. Consecuentemente, para cada decisión de las partes interesadas, las siguientes preguntas deben ser consideradas en el ambiente organizacional:

¿Para quién son los beneficios?

¿Quién asume el riesgo?

¿Qué recursos son necesarios?


1er principio de COBIT

Responda las siguientes cuatro preguntas en el contexto de la organización donde usted trabaja:

¿Quiénes son las principales partes interesadas de su organización?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Cuáles son las principales necesidades de estas partes interesadas?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

34

¿Las partes interesadas tienen intereses en conflicto? En caso positivo: ¿existen mecanismos y/o procedimientos definidos para conciliar estos intereses diferentes?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

A su forma de ver: ¿TI atiende efectivamente las necesidades de las partes interesadas? ¿Cómo TI actúa o podría actuar para crear valor para el sistema de gobernanza de la organización, como formade atender las necesidades de los stakeholders?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

2do principio: cubrir la organización de punta a puntaCOBIT considera que la gobernanza y la gestión de TI son aplicables a toda la organización. Para ello, el modelo adopta el término “punta a punta” (extremo a extremo). De esta forma, la gobernanza abarca las áreas estratégicas, tácticas y operacionales de las organizaciones, así como a todas las personas responsables del desempeño de sus actividades en el contexto de la empresa.

En esta perspectiva, COBIT tiene como propósito:

Integrar la gobernanza de TI a la gobernanza de la organización, esto es: el sistema de

gobernanza corporativa de TI debe estar alineado con cualquier otro sistema de gobernanza.

Cubrir todas las funciones y procesos necesarios para regular y controlar las informaciones

de la organización y las tecnologías utilizadas.

Bajo estos principios, COBIT abarca todos los procesos de negocio y servicios soportados por TI, sean estos provistos de forma interna o externa a la organización. Otro factor esencial está vinculado a las relaciones entre todos los actores, procesos y recursos relacionados a la gobernanza y gestión de TI de la organización, tales como la definición de actividades y responsabilidades de las funciones corporativas de negocio y de TI.

Gobernanza de punta a punta

35

El enfoque de la gobernanza de punta a punta propuesto por COBIT está representado en esta figura. Este esquema, basado en el principio anterior (anterior figura), identifica los principales componentes de un sistema de gobernanza y de interacción de las partes involucradas en esta estructura.

La “creación de valor” representa el principal objetivo de la gobernanza, tal como se describe en el Principio 1. El principio 2 detalla cada componente del sistema de gobernanza propuesto en COBIT,en el contexto del enfoque de “punta a punta”.

Habilitadores de gobernanza

Algo (tangible o intangible) que apoya al éxito de la gobernanza.

Factores que interfieren en el éxito de la gobernanza

Componentes esenciales y necesarios para la gobernanza corporativa.

COBIT define siete habilitadores para un eficiente sistema de gobernanza:

1. Principios, políticas y modelos;

2. Procesos;

3. Estructuras Organizacionales;

4. Cultura, Ética y Comportamiento;

5. Información;

6. Servicios, Infraestructura y Aplicativos;

7. Personas, Habilidades y Competencias, a través de los cuales todas las acciones de gobernanza deben ser orientadas para el alcance de los objetivos corporativos.

36

Figura 6: Componentes del sistema de Gobernanza

Es importante destacar que, la falta de personal, políticas, o deficiencias en la toma de decisión en los negocios, por ejemplo, puede afectar la capacidad de la organización de crear valor para las partes interesadas, y en consecuencia impactar en una gobernanza exitosa. Así mismo, los habilitadores son elementos esenciales para el éxito en la gobernanza.

Considerando la importancia y el alcance de los habilitadores de gobernanza y de gestión propuestos por COBIT, el capítulo 4 “Dimensiones de los siete habilitadores de COBIT 5” describe detalladamente esos siete factores y la interrelación entre estos para el éxito de la gobernanza y gestión en las organizaciones.

Alcance de la gobernanza

El alcance de la gobernanza abarca a toda la organización, área de negocios, activos tangibles e intangibles. También se pueden definir diferentes visiones de la organización en la cual la gobernanza es aplicable. La definición del alcance del sistema de gobernanza de la organización es fundamental para encarrilar los esfuerzos necesarios para su aplicación en la organización según losdiversos enfoques. El alcance puede estar relacionado con la gestión de proyectos, evaluación de riesgos, seguridad de la información, desarrollo de sistemas, entre otros. Cada organización debe definir el alcance de la gobernanza.

Funciones, actividades y relaciones

Este componente genérico del sistema de gobernanza se refiere a las funciones, actividades y relaciones para lograr el éxito en el sistema de gobernanza. Este sistema identifica los principales componentes a ser adoptados en una estructura organizacional. La siguiente figura demuestra el flujo de cómo este proceso ocurre en la práctica y cómo se dan las interacciones entre las diferentes funciones en la organización.

Este esquema se origina de la expansión de la parte inferior de la anterior figura, precisamente del componente “Funciones, Actividades y Relaciones” del sistema de gobernanza.

Como puede observarse, este sistema define los actores involucrados en la gobernanza, sus relaciones e interacciones dentro del alcance de un sistema genérico de gobernanza. Esta figura muestra las actividades organizacionales relacionadas a la gobernanza y gestión.

Como COBIT distingue las actividades de gobernanza y de gestión en dominios específicos, este tema será detallado en el principio 5, “Distinguir Gobernanza de Gestión”, que también retrata la

37

Figura 7: Principales funciones, actividades y relaciones en un sistema de gobernanza

interacción entre estas dos disciplinas.

Ejercicios de fijación 2

2do principio de COBIT

Identifique y defina los tres componentes fundamentales del abordaje de la gobernanza de punta a punta propuesta por COBIT.

Componente 1:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________Componente 2:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________Componente 3:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Responda las siguientes tres preguntas considerando el contexto de la organización donde usted trabaja:

Entre los siete habilitadores de gobernanza, identifique los dos menos desarrollados y que necesitan una mayor atención de la gerencia, para la mejoría de la eficiencia y eficacia del sistema de gobernanza.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿La gerencia definió el alcance de la gobernanza? ¿Cuál es el alcance de la gobernanza? ¿Qué criterios fueron utilizados para su definición?

________________________________________________________________________________

38

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Basado en la anterior figura (principales funciones, actividades y relaciones en un sistema de gobernanza) y, considerando la estructura organizacional de TI, identifique las principales funcionesy actividades relacionadas con la gobernanza.

Responsables y participantes:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Cuerpo directivo:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Administración:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Operaciones y ejecución

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3er principio: Aplicar una estructura única e integradaDe acuerdo a lo descrito en el primer capítulo, existen diversas normas ISO, normas de mercado y buenas prácticas relacionadas con las Tecnologías de Información (TI). Cada estructura está compuesta por orientaciones específicas para un subconjunto de actividades de TI dependiendo del

39

alcance y cobertura del modelo de referencia utilizado.

COBIT tiene como tercer principio actuar como una estructura unificada integrada de alto nivel para la gobernanza y gestión de TI en la organización, alineándose a las otras normas, modelos y frameworks de buenas prácticas de TI.

COBIT 5: Estructura única, como una fuente consistente e integrada de orientación en un lenguaje común, no técnico y agnóstico-tecnológico.

También, COBIT puede ser considerado como una estructura única e integrada, porque tiene como premisa las siguientes prerrogativas:

Se basa en una arquitectura simple para estructurar las guías de orientaciones, a partir de un

conjunto de productos;

Se alinea con otras normas y estructuras de mercado, permitiendo que la organización use

este modelo como elemento integrados de la estructura de gobernanza y de gestión;

Es completo, cubriendo toda la empresa, ofreciendo una base para integrar con otras

estructuras, normas y prácticas utilizadas

Integra el conocimiento provisto por otras normas de ISACA, por ejemplo COBIT 4.1, Val

IT, Risk IT, BMIS, la publicación Board Briefing on IT Gobernance e ITAF.

Para ampliar sobre las diversas normas de ISACA que fueron utilizadas como base para COBIT 5, consulte en el sitio http://www.isaca.org/Knowledge-Center

COBIT 5 como modelo integrado de buenas prácticas

La siguiente figura sintetiza cómo COBIT 5 es utilizado como una estructura integrada para ser considerado un modelo único para el sistema de gobernanza de las organizaciones.

40

Esta figura retrata la “Base de Conocimientos de COBIT 5” como modelo y estructura

central de orientación de buenas prácticas de mercado aplicadas a TI, siendo sustentado por tres elementos principales:Orientaciones y publicaciones de ISACA y demás estructuras de mercado;Habilitadores de COBIT 5;

Familia de productos de COBIT5.

41

Figura 8: Componentes de la base de conocimientos COBIT


3er principio de COBIT

¿Por qué COBIT puede ser considerado una estructura única e integrada para ser usado como modelo de referencia normativo para el sistema de gobernanza de las organizaciones?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4to Principio: Permitir un enfoque holísticoSegún el principio “Permitir un enfoque holístico”, la gobernanza y la gestión de TI de las organizaciones, para ser eficientes y eficaces, requieren un enfoque sistémico que considere diversos componentes entrelazados.

De esta forma COBIT define un conjunto de Guías Habilitadoras para apoyar la implementación de un sistema abarcador de gobernanza y de gestión de TI para las organizaciones. Estas guúas habilitadoras tienen como objetivo facilitar y auxiliar a la organización a alcanzar los objetivos corporativos.

Introducción a los siete habilitadores de COBIT 5

Los habilitadores son factores que, individualmente y/o en conjunto, influencian en el hecho de si algo va a funcionar efectivamente o no en un contexto definido.

COBIT define siete categorías de habilitadores para la gobernanza y gestión de TI de las organizaciones, conforme lo demostrado en la siguiente figura.

42

La siguiente tabla describe sucintamente cada uno de los siete habilitadores definidos en COBIT 5

Habilitador Descripción

1- Principios, Políticas y Modelos Son instrumentos para traducir el comportamiento deseado por la gerencia en orientaciones prácticas para el día a día de la gestión

2- Procesos Representa un conjunto de prácticas y actividades para alcanzardeterminados objetivos, produciendo un conjunto de resultados en apoyo a la consecución general de los objetivos de TI

3- Estructuras organizacionales Representa las principales entidades de toma de decisión en unaorganización

4- Cultura, ética y comportamiento

Representa un factor de éxito en las actividades de gobernanza y gestión relacionada con las personas y la organización, aunque es subestimado por la administración. Es el conjunto de creencias, ideas, prácticas y comportamientos, individuales y colectivos. Pertenecen a los individuos y, de forma colectiva, a la organización

5- Información Penetra en toda la organización e incluye toda la información producida y utilizada por la organización. Es necesaria para mantener la organización en movimiento y bien regulada, más anivel operacional, es muchas veces el principal producto de la organización.

6- Servicios, infraestructura y aplicativos

Representa los recursos tecnológicos que proveen a la organización los servicios relacionados con TI

7- Personas, habilidades y competencias

Representa las personas necesarias para el éxito en la realización de todas las actividades de la organización y,

43

Figura 9: Los siete habilitadores de COBIT

además, apoya en el proceso de toma de decisiones.

Tabla 3: Descripción de los siete habilitadores de COBIT

En la práctica, los siete habilitadores, introducidos en COBIT por el “Principio 4: permitir un enfoque holístico” están presentes en todos los sectores y actividades de las organizaciones conforme lo descrito en el “Principio 2: Cubrir las necesidades de la organización de punta a punta”, incluyendo todos los recursos, actividades y responsabilidades de las personas involucradas.

En este contexto, COBIT busca proveer una base de conocimiento esencial para que la gerencia tenga una visión sistémica sobre gobernanza y gestión de TI de la organización como un todo.

Veamos un ejemplo práctico de los habilitadores en acción para el proceso “Prestar Servicios de TI”, que demuestra la importancia y la necesidad de interacción entre los siete habilitadores de COBIT para una prestación de servicios exitosa.

Un análisis detallado de las guías habilitadoras “Enabler Guides” no hace parte del alcance de esta publicación. Para mayor información sobre estas guías referirse a http://www.isaca.org/cobit5

Prestar Servicios Operacionales de TI a los usuarios requiere capacidad de servicio (infraestructura y aplicativos), personas calificadas y con el comportamiento adecuado. Diversos procesos de prestación de servicios también deben ser implementados y apoyados por estructuras organizacionales adecuadas par la gestión eficiente de la información de negocios.

El capítulo 4 “Dimensiones de los siete habilitadores de COBIT” de esta publicación detalla el contenido de los habilitadores de COBIT 5.


4to principio de COBIT

¿Cuáles son los siete habilitadores definidos por COBIT en el principio 4?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Los siete habilitadores de COBIT influencian el éxito del sistema de gobernanza y de gestión de suorganización? Justifique su respuesta

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

44

http://www.isaca.org/cobit5

5to Principio: Separar la gobernanza de la gestiónLa estructura del modelo de referencia de procesos de COBIT diferencia gobernanza de gestión. Para COBIT, estas dos disciplinas comprenden actividades y estructuras organizacionales diferenciadas, y tienen propósitos y objetivos distintos.

La siguiente figura identifica la diferencia entre estas dos áreas de COBIT, demostrando que cada una de ellas posee objetivos y actividades específicas en el contexto de las organizaciones.

Concepto de gobernanza

La gobernanza debe garantizar que las necesidades, condiciones y direccionamiento de las partes interesadas sean evaluados a fin de determinar objetivos corporativos equilibrados y consensuados aser alcanzados. La gobernanza define la orientación, la toma de decisiones y monitorea el desempeño y la conformidad en relación con las orientaciones y a los objetivos consensuados.

Concepto de gestión

La gestión es responsable por la planificación, creación, ejecución y monitoreo de las actividades enconsonancia con la orientación definida por el área de gobernanza a fin de alcanzar los objetivos corporativos.

En la mayoría de las organizaciones, la gobernanza generalmente es de responsabilidad del Consejo de Administración (CA), bajo el liderazgo del presidente. En organizaciones más complejas y grandes, las responsabilidades de gobernanza específicas pueden ser delegadas a estructuras organizacionales de menor nivel.

Por otro lado, la responsabilidad sobre la gestión, en la mayoría de las organizaciones, le corresponde a la Dirección Ejecutiva (DE), bajo el liderazgo del Director Ejecutivo (CEO). Cada organización posee una estructura organizacional diferenciada, de acuerdo con sus necesidades,

45

Figura 10: Diferencias entre Gobernanza y Gestión en COBIT

porte, objetivos de negocio y legislaciones específicas.

Además, considerando la distinción entre gobernanza y gestión, COBIT, con énfasis en el habilitador “Procesos”, se define un conjunto de procesos específicos para cada una de estas dos áreas.

Modelo de referencia de procesos

COBIT sugiere que las organizaciones implementen procesos de gobernanza y de gestión de tal forma que las principales áreas de las estructuras organizacionales estén cubiertas por un modelo de referencia.

La siguiente figura muestra el conjunto de 37 procesos del modelo de referencia descritos en COBIT. Estos procesos están divididos en 5 procesos para gobernanza de TI y 32 procesos para gestión de TI.

46

Figura 11: Modelo de referencia de Procesos de COBIT 5

Cada dominio contiene los procesos asignados de acuerdo con el área de actividad más relevante considerando a TI a nivel corporativo.

El modelo de referencia del proceso de COBIT 5 es el sucesor del modelo de proceso de COBIT 4.1y cuenta además con la integración de los modelos de proceso de ISACA Risk IT y Val IT.

El área “Procesos para la gobernanza” relaciona los cinco procesos de gobernanza que

constan en el dominio “Evaluar, Dirigir y Monitorear” (EDM)

El área “Procesos para Gestión” relaciona los cuatro dominios de los procesos de gestión

que consta de los dominios “Alinear, planificar y organizar”, “Desarrollar, Adquirir e Implementar”, “Ejecutar, Atender y Apoyar” y “Monitorear, Evaluar y Analizar” - Completando el ciclo de gestión “Planificar, Crear, Ejecutar y Monitorear (PBRM)”.

47

La representación de los nombres y dominios está en consonancia con las designaciones de las áreasprincipales y usan un verbo para describirlas:

Alinear, Planificar, Organizar (APO);

Desarrollar, Adquirir e Implementar (BAI);

Ejecutar, Atender y Apoyar (DSS);

Monitorear, Evaluar y Analizar

El modelo de referencia COBIT 5 presenta los procesos encontrados normalmente en las organizaciones cuyos procesos son soportados y relacionados con TI. COBIT provee una directriz común para los gestores de negocios y de TI aplicable en las organizaciones, con énfasis en las necesidades de negocio y de TI.

Este modelo no es el único modelo de proceso posible. Cada empresa debe definir su conjunto de procesos, teniendo en consideración su situación específica.

Incorporar un modelo operacional y un lenguaje común para todas las partes de la organización involucradas en actividades de TI es una de las etapas más importantes y críticas para una buena gobernanza.

El modelo propuesto por COBIT ofrece una estructura para medir y monitorear el desempeño de TI,de forma que posibilita su evaluación, comunicación entre los proveedores de servicio y mejor integración con las prácticas de gestión organizacional.

Consideraciones sobre el modelo de referencia de procesos

El modelo de referencia de procesos de COBIT representa una evolución en relación con el modelo COBIT 4.1 con respecto a la estructura de procesos y dominios del modelo anterior. Este modelo dereferencia:

No es dogmático y único;

Describe los posibles procesos de una organización;

Es adaptable a las necesidades de la organización;

Identifica los objetivos de gobernanza y de gestión;

Se adapta al tamaño, la complejidad y la naturaleza de la organización;

Se alinea a los objetivos estratégicos de la organización.

Un detalle de cada uno de los procesos, según el modelo de referencia definido por COBIT, puede ser consultado en la publicación de COBIT 5 – Modelo de Referencia de Procesos, no está dentro de los objetivos de esta publicación.

48

Consulte http://www.isaca.org/cobit para obtener información adicional sobre el modelo de procesos de COBIT 4.1.


5to Principio de COBIT

Defina “Gobernanza” y “Gestión” en el contexto de COBIT

Gobernanza:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Gestión

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Relacione “(1) Proceso de Gobernanza de TI” y “(2) Proceso de Gestión de TI” en el contexto del modelo de referencia de procesos de COBIT

Garantizar la entrega de valor Gestión de innovación

Gestionar cambios Garantizar optimización del riesgo

Gestionar activos Gestionar Portafolio

Garantizar optimización de recursos Gestionar proveedores

Gestionar estrategias Garantizar la transparencia

Interacciones entre gobernanza y gestión en COBIT

La definición de las estructuras de gobernanza y gestión debe tener en consideración las necesidades específicas de las organizaciones. Las definiciones de gobernanza y de gestión incluyendiversas actividades y responsabilidades en la gestión de estas dos estructuras, por parte de las organizaciones.

Considerando el papel de la estructura de gobernanza de: evaluar, dirigir y monitorear, diversas interacciones son requeridas entre la gobernanza y la gestión, a fin de desembocar en un sistema de gobernanza eficiente y eficaz.

49


La siguiente tabla presenta un análisis de alto nivel de estas interacciones, teniendo como parámetrolos siete habilitadores de COBIT.

Interacciones entre Gobernanza y Gestión en COBIT 5

Habilitador Interacción: Gobernanza vs Gestión

Procesos El modelo de procesos de COBIT 5 (COBIT 5: Enabling Processes) diferencia entre procesos de gobernanza y de gestión, con definiciones de prácticas y actividades de cada una. El modelo de proceso también incluye las tablas RACI2 que describen las responsabilidades de las diferentes estructuras organizacionales y sus funciones en la organización.

Información El modelo de proceso describe entradas y salidas de las diferentes prácticas del proceso para otros procesos, inclusiva lasinformaciones intercambiadas entre los procesos de gobernanza y de gestión. Informaciones utilizadas para evaluar, orientar y monitorear a TI de la organización son intercambiadas entre la gobernanza y la gestión, conforme la descripción de entradas y salidas del modelo de proceso.

Estructuras organizacionales Diversas estructuras organizacionales son definidas en cada empresa; estas pueden ser definidas en el ámbito de la gobernanza o de la gestión, dependiendo de su composición y alcance de las decisiones. Como la gobernanza define la orientación, existe una interacción entre las decisiones tomadas por las estructuras de gobernanza, por ejemplo de decisión sobre el portafolio de inversiones y de la definición de apetito de riesgo.

Principios, Políticas y Modelos Representan un vehículo a través del cual las decisiones de gobernanza son institucionalizadas en la organización y por este motivo, constituyen una interacción entre las decisiones de gobernanza (definición de orientación) y de gestión (ejecución de decisiones).

Cultura, ética y comportamiento El comportamiento es un habilitador esencial para la buena gobernanza y gestión de la organización. Está en la parte superior y es, en consecuencia, una interacción importante entre la gobernanza y la gestión

Personas, habilidades y competencias

Las actividades de gobernanza y gestión requieren conjuntos de habilidades diferentes, es una habilidad esencial para los miembros del órgano de gobernanza y de gestión es entender las dos tareas y cómo ellas se diferencian.

Servicios, infraestructura y aplicativos

Son necesarios, apoyados por aplicativos e infraestructura que proporcionan a los órganos de gobernanza informaciones adecuadas y apoyo a las siguientes actividades de gobernanza: Evaluación, definición de orientación y monitoreo.

2 Tabla o matriz RACI es una herramienta concebida para atribuir papeles y responsabilidades en procesos, proyectos, servicios en el contexto de un departamento/función: Responsible, Accountable, Consulted, Informed

50

Tabla 4: Interacciones entre Gobernanza y Gestión en COBIT

COBIT también presupone que la gobernanza de TI está integrada a la gobernanza corporativa de forma que:

Abarque todas las funciones y procesos corporativos soportados por TI;

Trate a la Tecnología de Información y tecnologías relacionadas como un activo esencial

para la organización;

Se concentre fundamentalmente en las “funciones de TI”;

Considere la armonía entre los siete habilitadores de gobernanza y gestión de TI aplicables a

la organización.

En este contexto, COBIT destaca la importancia de las políticas, directrices estratégicas, estructura organizacional y procesos decisorios en la conducción de los negocios, y que estos facturas pueden abarcar tanto aspectos internos y externos al ambiente organizacional.

Consideraciones finales

Los cinco principios de COBIT 5, actuando de forma armónica, posibilitan que la organización creeuna estructura eficiente de gobernanza y de gestión, de forma que permita optimizar las inversiones y el uso de los recursos de TI siguiendo las orientaciones de las partes interesadas.

Los siete habilitadores definidos por COBIT 5 no son aplicables solamente a la gobernanza y gestión de TI. Por el contrario, su aplicación abarca a toda la organización. Estos habilitadores también son considerados componentes esenciales y necesarios para la gobernanza y gestión corporativas.

Los habilitadores deben ser comprendidos de forma holística y, además, considerando la influencia de un determinado factor sobre los demás. Cada habilitador necesita de información de los demás para obtener resultados efectivos.

Por ejemplo, los procesos requieren de informaciones y estructuras organizacionales requieren de personas capacitadas y con habilidades y comportamientos apropiados. Adicionalmente los procesos en operación generan informaciones y las habilidades y el comportamiento de las personasvuelven a los procesos eficientes, produciendo resultados para el beneficio de los demás habilitadores armónicamente.

También, al hablar de gobernanza y gestión de TI de la organización, las buenas decisiones pueden ser tomadas solamente cuando el emparejamiento entre gobernanza y de gestión fueron considerados en el contexto de la organización.

En la práctica, esta dinámica significa que, para tratar cualquier necesidad de las partes interesadas, la referencia para todos los habilitadores interrelacionados debe ser considerada, comprendida y orientada por la gerencia de la empresa.

51

El capítulo 4, “Dimensiones de los siete habilitadores de COBIT 5”, detalla cómo los siete habilitadores de COBIT 5 influencian en el éxito de la gobernanza y gestión corporativa de TI en lasorganizaciones.


Interacciones entre gobernanza y gestión en COBIT

Responda las siguientes preguntas considerando el contexto de la organización donde usted trabaja

¿Las estructuras funcionales de gobernanza y de gestión de TI están definidas y segregadas? ¿De qué forma? ¿Cómo ocurre la interacción entre estas dos áreas?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

La cultura organizacional es uno de los siete habilitadores de COBIT. La cultura está asociada a un conjunto de comportamientos, convicciones, asunciones, actitudes y formas de hacer las cosas. ¿Cómo usted evalúa la cultura de su institución con enfoque en el éxito de la gobernanza y gestión de TI? La cultura representa un factor restrictivo a una gobernanza y gestión eficientes? Justifique su respuesta.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

52

3 Cascada de objetivos de COBIT

ObjetivosConocer las etapas del proceso de cascada de objetivos de COBIT; Analizar los beneficios del proceso de la cascada de objetivos de COBIT; Aplicar, en actividades prácticas, el proceso de la cascada de objetivos de COBIT.

ConceptosVisión general de los cuatro pasos del proceso de cascada de objetivos de COBIT; 1er paso: las directrices de las partes interesadas influencian sus necesidades; 2do paso: escalonamiento de las necesidades de las partes interesadas en objetivos corporativos; 3er paso: escalonamiento de los objetivos corporativos en objetivos de TI; 4to paso: cascada de los objetivos de TI en metas del habilitador; Beneficios del proceso de cascada de objetivos de COBIT; Aplicación práctica de la estructura del proceso de cascada de objetivos de COBIT.

53

IntroducciónLas organizaciones operan en contextos diferentes y determinados por factores externos (ej: mercado, tecnologías, leyes y geopolíticas) y factores internos (ej: cultura, estructura organizacional, personas y apetito por el riesgo, consecuentemente cada organización requiere de unsistema de gobernanza y gestión diferenciado y personalizado.

En el capítulo 2, analizamos que COBIT tiene como 1er principio “La atención de las necesidades delos stakeholders”. En esta perspectiva, COBIT presupone que las necesidades de las partes interesadas sean transformadas en una estrategia accesible por la organización.

El proceso de transformación de las expectativas y tendencias de las partes interesadas en la creación de objetivos de negocio es denominado, en COBIT, como cascada de objetivos3

Cascada de objetivosTraducción de los objetivos corporativos de alto nivel en objetivos de TI específicos y gerenciables,convirtiéndoles en prácticas y procesos específicos.

3 En Castellano se le ha traducido también como “objetivos en cascada”, “metas en cascada”, “cascada de metas”

54

Figura 12: Cascada de objetivos de COBIT

Basados en la anterior figura, podemos concluir que el proceso de la cascada traduce las necesidades de las partes interesadas en objetivos corporativos específicos que requieren objetivos de TI, estableciendo metas para cada uno de los siete habilitadores de COBIT 5.

Este proceso permite la configuración de objetivos específicos en cada nivel y área de la organización, en consonancia con los objetivos generales y las exigencias de las partes interesadas.

En la práctica, este proceso ayuda y apoya efectiva y continuamente el alineamiento entra las necesidades corporativas (procesos y productos) y de TI (servicios y soluciones) para los negocios. La cascada de objetivos de COBIT está estructurado en cuatro pasos fundamentales:

Las directrices de las partes interesadas influencian a sus necesidades; Cascada de las necesidades de los stakeholders en objetivos corporativos; Cascada de los objetivos corporativos en objetivos de TI; Cascada de los objetivos de TI en metas del habilitador.


Introducción al escalonamiento de objetivos de COBITDefina el proceso de la cascada de objetivos de COBIT________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Identifique los cuatro pasos del proceso de la cascada de objetivos de COBIT.

1er paso

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

2do paso

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3er paso

________________________________________________________________________________________________________________________________________________________________

55

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4to paso

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Los cuatro pasos del proceso de la cascada de objetivos de COBIT

Analizamos, a continuación, cada uno de los cuatro pasos del proceso de la cascada de objetivos de COBIT.

1er Paso: las tendencias de las partes interesadas influencian a sus necesidades.

Las directrices de las partes interesadas son influenciadas por diversos factores, tales como cambiosen el ambiente de negocio, reglamentaciones internas y externas, políticas de gobierno y tendencias sociales, ambientales y tecnológicas, entre otras.


1er Paso del proceso de la cascada de objetivos de COBIT

¿Cuál es el objetivo del 1er paso del proceso de la cascada de COBIT?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Responda la siguiente pregunta, considerando el contexto de la organización donde usted trabaja.

Identifique tres directrices de las partes interesadas e indique si estas directrices son influenciadas por el ambiente interno/externo y cuáles factores (tecnológicos, ambientales, sociales, políticos, etc)son preponderantes en este análisis. Complete la siguiente tabla con las informaciones requeridas:

Descripción de las directrices de las partes interesadas

Influencia del ambiente (internoy/o externo)

Factores predominantes

56

2do paso: cascada de las necesidades de las partes interesadas en objetivos corporativos

Primeramente, COBIT define, de forma amplia y genérica, que las necesidades de las partes interesadas se relacionan a un conjunto de 17 objetivos corporativos de alto nivel.

Estos objetivos corporativos fueron establecidos en base a investigaciones y experiencias de profesionales en diversas partes del mundo, cuando se desarrolló COBIT. Mayor información en http://www.isaca.org/cobit

Ver: Modelo corporativo para la Gobernanza y Gestión de TI de la Organización, figura: “Objetivos Corporativos de COBIT 5” Capítulo 2.

Estos objetivos no son exhaustivos, representan una guía para que las empresas analicen sus estrategias organizacionales y utilicen la cascada de COBIT como instrumento de referencia del mercado.

A continuación, los 17 objetivos corporativos definidos por COBIT son vinculados a las cuatro dimensiones (Financiera, Cliente, Procesos Internos y Aprendizaje y Crecimiento) del modelo BSC4

Cada uno de los 17 objetivos corporativos genéricos de COBIT se relacionan a una de las cuatro dimensiones del modelo BSC.

Todavía en el proceso de relación entre los objetivos corporativos y las dimensiones BSC, COBIT identifica una marca (P = Primaria, S = Secundaria), relacionando estos parámetros a cada uno de los tres objetivos de gobernanza (Entrega de valor, Optimización del riesgo, Optimización de Recursos), completándose la tabla con la referencia “P” o “S”.

Así por ejemplo, el objetivo corporativo “5 – Transparencia financiera” se relaciona con la dimensión “Financiera” del modelo BSC, y tiene como objetivos de gobernanza “Primario (P)” la Entrega de Valor y “Secundario (S)” la optimización del riesgo y la optimización de recursos.

En la práctica, las organizaciones pueden establecer sus objetivos de negocio y, a continuación, comparar las metas institucionales a los parámetros (indicadores) adoptados en COBIT, más allá de verificar su adecuación en relación a este modelo de referencia.

Esta es la propuesta de COBIT. De esta forma, cada organización debe establecer sus objetivos corporativos y de TI y compararlos con COBIT.


2do paso del proceso cascada de objetivos de COBIT

¿Cuál es el objetivo del 2do paso del proceso cascada de COBIT?

4 BSC: Balanced Score Card, KAPLAN 1992

57


________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Identifique los objetivos corporativos de COBIT asociados a la dimensión “Cliente” de BSC

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Responda las siguientes preguntas, considerando el contexto de la organización donde usted trabaja.

Identifique tres objetivos corporativos definidos por su organización previstos en el Plan EstratégicoInstitucional (PEI)

Objetivo Corporativo 1

________________________________________________________________


________________________________________________________________


________________________________________________________________

¿Existe relación entre estos objetivos corporativos y los 17 definidos en COBIT (Fig 1 del capítulo 3)? Justifique.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Entre los objetivos corporativos definidos en COBIT, cite tres que pueden ser utilizados en el contexto de su organización. Justifique

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

58

Necesidades de las partes interesadas relacionadas a TI

Al relacionar el Paso 1 “Las directrices de las partes interesadas influencian a sus necesidades” con el Paso 2 “Cascada de necesidades de las partes interesadas en objetivos corporativos”, en lo referente a las necesidades específicas de los stakeholders relacionadas con TI, COBIT identificó una serie de preocupaciones (en forma de preguntas) sobre la efectividad de TI que los stakeholders normalmente solicitan a la alta administración, para obtener un mejor resultado sobre el uso de los recursos de TI.

Estas preocupaciones se vinculan, de ser pertinentes, a uno o más objetivos corporativos de COBIT entre los 17 definidos en este modelo.

En la visión de las partes interesadas, en caso de que estas preocupaciones no sean contempladas dentro del alcance del proceso de gobernanza y gestión de TI de la organización, la ausencia o ineficiencia de estos requisitos pueden comprometer el éxito de las iniciativas de esta naturaleza.

Para pensar

Las necesidades de las partes interesadas, relacionadas con TI, deben ser incorporadas a los objetivos corporativos

Las necesidades de las partes interesadas están relacionadas a las actividades de TI de la organización y son resultado de situaciones en las que puede influenciar algún criterio de información, tales como eficiencia, eficacia, acceso o seguridad.


Necesidades de las partes interesadas relacionadas a TI

COBIT define como objetivo corporativo “8. Respuestas rápidas para un ambiente de negocios en cambio”. Identifique cinco necesidades de los stakeholders relacionadas a los requisitos del negocio.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Responda las siguientes preguntas, considerando el contexto de la organización donde usted trabaja.

La tabla siguiente está considerando solamente las preocupaciones de las partes interesadas, en forma de preguntas, relacionadas al objetivo corporativo “7. Continuidad y disponibilidad de los servicios COBIT de la empresa”

Necesidades de las partes interesadas relacionadas a la continuidad y disponibilidad de los servicios de TI

59

¿Cómo hago para obtener valor a través del uso de TI?

¿Los usuarios finales están satisfechos con la calidad del servicio de TI?

¿He considerado todos los riesgos de TI?

¿Estoy manejando una operación de TI sólida y eficiente?

¿Las informaciones que estoy manejando están bien protegidas?

¿Cuán crítica es TI para la sostenibilidad de la empresa? ¿Qué hacer si TI no estuviera disponible?

Complete la siguiente tabla identificando tres prácticas o actividades que usted adopta (o adoptaría) en su organización para minimizar cada una de las cinco preocupaciones de los stakeholders. Responda esta pregunta en forma de items, relacionados con el objetivo corporativo “7. Continuidad y disponibilidad de los servicios de TI”.

Preocupaciones de TI de los interesados Qué hacemos (o podemos hacer) en nuestra organización

Garantizar valor de TI y la satisfacción de los usuarios finales

Gestionar los riesgos de TI

Gestionar las operaciones de TI

Garantizar la seguridad de las informaciones

Garantizar la disponibilidad de los servicios críticos de TI

3er Paso: Escalonamiento de los objetivos corporativos en objetivos de TI

El cumplimiento de los objetivos corporativos requiere una serie de resultados de TI que, en COBIT, son representados por los objetivos de TI.

COBIT establece los objetivos de TI de acuerdo con las dimensiones del Balanced ScoreCard (BSC), adaptando el modelo tradicional BSC a un modelo relacionado con TI, denominado BSC de TI.

Objetivos de TI

Dimensión BSC de TI Objetivo de la información / Tecnología relacionada

Financiera 01 Alineación de la estrategia de negocios y de TI

60

02 Conformidad de TI y apoyo para la conformidad de los negocios con leyes y reglamentos externos

03 Compromiso de gestión ejecutiva con toma de decisiones de TI

04 Gestión del riesgo corporativo de TI

05 Beneficios obtenidos por el portafolio de servicios e inversiones facilitadas por TI

06 Transparencia de costos, beneficios y riesgos de TI

Cliente 07 Prestación de servicios de TI en consonancia con los requisitos del negocio

08 Uso adecuado de aplicativos y de soluciones tecnológicas y automatizadas

Interna 09 Agilidad de TI

10 Seguridad de la información, infraestructura de procesamiento y aplicativos

11 Optimización de activos, recursos y capacidades de TI

12 Capacitación y apoyo a los procesos de negocios a través de la integración de aplicativos y tecnologías en los procesos de negocio

13 Ejecución de programas que generen beneficios, dentro del plazo y presupuesto y que atiendan a las exigencias ynormas de calidad

14 Disponibilidad de informaciones útiles y confiables parala toma de decisiones

15 Conformidad de TI con las políticas internas

Aprendizaje y crecimiento 16 Equipos de TI y de negocios motivados y competentes

17 Conocimiento, expertise e iniciativas para la innovación de los negocios

Tabla 5: Objetivos de TI en COBIT

En esta tabla, los 17 objetivos de TI están relacionados a las cuatro dimensiones del modelo BSC.

COBIT también provee una relación entre los objetivos corporativos y los objetivos de TI.

Por ejemplo, el objetivo corporativo “15. Conformidad con las políticas internas” está asociado a los objetivos de TI: conformidad de TI en relación a la conformidad de los negocios, gestión de riesgo de TI, seguridad de la información, infraestructura de procesamiento y aplicativos y conformidad de TI con políticas internas.

Para mayor información sobre el Modelo corporativo para la gobernanza y gestión de TI de la organización, vea la imagen “Relación de los objetivos Corporativos de COBIT 5 en Objetivos de TI” en el apéndice B.

61

Cada uno de estos objetivos de TI tienen un grado de relevancia Primario (P) o Secundario (S) relacionado al objetivo corporativo; y, además, los objetivos de TI son identificados con cada una delas cuatro dimensiones de la matriz BSC.

Esta tabla puede ser utilizada por las organizaciones como un instrumento de referencia para la evaluación de la eficiencia y eficacia del modelo de gobernanza corporativa de TI vigente en cada institución.


3er Paso: Cascada de objetivos corporativos en objetivos de TI

Identifique los objetivos de TI relacionados al objetivo corporativo “9. Disponibilidad de informaciones para la toma de decisiones”, el grado de correlación (Primario=P, Secundario=S) y ladimensión correspondiente en la matriz BSC.

Objetivo Corporativo “9. Disponibilidad de informaciones para la toma de decisión”

Objetivos de TI Dimensión BSC Dimensión BSC de TI Primario/Secundario

Antes de comenzar a detallar el cuarto paso del proceso de escalonamiento de objetivos de COBIT, analizaremos la relación entre los objetivos de TI y los procesos de COBIT definidos en el modelo de referencia de procesos.

Relaciones entre los objetivos de TI y los procesos de COBIT

Para facilitar la aplicación de COBIT en el contexto de las organizaciones, el modelo presenta relaciones entre los objetivos de TI y el modelo de referencia de procesos de COBIT. Estas relaciones identifican los procesos de TI más importantes y que apoyan a los objetivos de TI definidos en COBIT para alcanzar las metas y estrategias del negocio.

Las organizaciones pueden utilizar estas tablas como referencia para la implementación del modelo COBIT para la gobernanza y gestión de TI, en lo que se refiere al habilitador proceso.

Estas tablas representan un recurso esencial para las organizaciones. Basándose en sus necesidades de negocio relacionadas con TI, la organización debe identificar los procesos críticos y los requisitos necesarios para la priorización e implementación de los procesos de COBIT para alcanzar

62

las metas y estrategias del negocio.

Para pensar:

Conforme lo indicado en el capítulo 2, los procesos solamente no son suficientes para garantizar eléxito y el cumplimiento de las metas organizacionales, esto es: los demás habilitadores son importantes y requieren un conjunto de objetivos bien definidos.


Relaciones entre los objetivos de TI y los procesos de COBIT

Identifique los objetivos de TI en relación a cada uno de los tres procesos de COBIT listados a continuación y complete la tabla con las informaciones pertinentes.

Proceso de COBIT Objetivos de TI

APO4 Gestionar la innovación

BAI09 Gestionar activos

DSS09 Gestionar problemas

El comité de gobernanza de TI de una empresa de cosméticos realizó un levantamiento de las debilidades de la empresa e identificó las siguientes situaciones:

No existe un alineamiento estratégico entre las áreas de negocio y de TI;

Existe baja satisfacción de los usuarios en relación con los servicios prestados por el área de

TI;

No existen perspectivas de iniciativas innovadoras basadas en soluciones de TI.

Suponiendo usted sea miembro del comité de gobernanza de la empresa: luego de participar en un curso de COBIT y, además en base a la tabla, usted ha recomendado el proceso “AP02 Gestionar la Estrategia” sea esencial para la organización, en base a las debilidades identificadas. Justifique su respuesta

63

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4to Paso: Escalonamiento de los objetivos de TI en metas de habilitador

COBIT describe que, para alcanzar los objetivos de TI, es necesario tener sinergia entre los siete habilitadores de gobernanza y gestión, conforme lo descrito en el capítulo 2 (Principio 4: permitir un enfoque holístico).

En este escenario, COBIT 5 define, para cada uno de los siete habilitadores:

1. Principios, políticas y modelos

2. Procesos

3. Estructuras organizacionales

4. Cultura y ética

5. Información

6. Servicios, Infraestructura y Aplicativos

7. Personas, Habilidades y Competencias

que son un conjunto específico de metas relevantes para apoyar los objetivos de TI.

Los siete habilitadores definidos en COBIT tienen un conjunto de dimensiones comunes o genéricas, de acuerdo a lo mostrado en la siguiente figura.

Basados en ella observaremos que COBIT define cuatro dimensiones comunes (Partes interesadas, Metas, Ciclo de Vida y Buenas Prácticas) para los siete habilitadores definidos en el modelo.

64

Cascada de objetivos de COBIT en la práctica organizacionalEn la práctica, cada organización debeestablecer sus objetivos corporativos específicos que son relacionados a partir de los objetivos corporativos genéricos previstos en COBIT, relacionando cada objetivo a una de las cuatro dimensiones de la matriz BSC.

Los resultados de TI no son exclusivamente el único beneficio intermediario necesario para alcanzarlos objetivos corporativos. Otras áreas de la organización (ej: finanzas, marketing, ventas) también contribuyen a alcanzar los objetivos corporativos, pero, en el contexto de COBIT, este modelo considera estrictamente las actividades y objetivos corporativos relacionados con TI.

Un detalle de los siete habilitadores de COBIT están descritos en el capítulo 4, “Dimensiones de los siete habilitadores de COBIT 5”.

Beneficios del escalonamiento en cascada de objetivos de COBIT

El escalonamiento de objetivos definidos en COBIT es un proceso utilizado para permitir la definición de las prioridades de implementación, mejora y garantía de gobernanza corporativa de TI, en base a los objetivos estratégicos de la organización y en su apetito por el riesgo. En la práctica, el escalonamiento de objetivos de COBIT tiene como propósito:

Definir las metas y los objetivos relevantes en niveles diferenciados de responsabilidad;

65

Figura 13: Dimensiones genéricas de los habilitadores de COBIT 5

Filtrar la base de conocimiento de COBIT, a partir de los objetivos corporativos buscando la

mejoría y/o garantía de proyectos organizacionales específicos;

Identificar y comunicar la importancia de los siete habilitadores para alcanzar los objetivos

corporativos.

Para pensar:

La cascada de objetivos de COBIT no son la verdad absoluta

Adaptación de la cascada de objetivos de COBIT

Los usuarios no deben utilizar la cascada de objetivos de COBIT de una forma puramente mecánicasino como una directriz considerando que:

Cada organización tiene prioridades diferentes en sus objetivos, las cuales pueden inclusive

sufrir cambios con el tiempo

Las tablas de relación no hacen distinción en el tamaño de la organización y/o en el sector en

que se desenvuelve

Los indicadores usados en las relaciones consideran solamente dos niveles de importancia o relevancia: Primario (P) o Secundario (S); pero en la práctica cada organización puede utilizar otrosniveles.

Los niveles de relevancia (P) o (S) no son los únicos niveles que pueden ser utilizados por las organizaciones. En la práctica, otros niveles como “discretos” o “ponderados” también pueden ser considerados o adaptados al modelo COBIT.

En este escenario, el primer paso que una organización debe tomar para usar la cascada de objetivosde COBIT es adaptar las relaciones, teniendo en cuenta su contexto organizacional, o sea, la organización debe crear su propia cascada de objetivos, de acuerdo con sus necesidades y realidades, para, en seguida, compararle con COBIT y, si fuera el caso, refinarle.


Consideraciones sobre la cascada de objetivos de COBIT

Identifique los propósitos de la cascada de objetivos

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

El proceso cascada de objetivos de COBIT representa una verdad absoluta. Justifique.

66

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Identifique los principales desafíos y dificultades para la implementación del proceso de cascada de objetivos de COBIT en su organización

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

67

4 Dimensiones de los siete habilitadores de COBIT

ObjetivosConocer las dimensiones genéricas de los siete habilitadores de COBIT; Analizar las dimensiones genéricas de los siete habilitadores de COBIT; Identificar las dimensiones específicas de los siete habilitadores de COBIT; Analizar las dimensiones específicas de los siete habilitadores de COBIT.

ConceptosDimensiones genéricas de los siete habilitadores de COBIT; Dimensiones del habilitador “Principios, Políticas y Modelos”; Dimensiones del habilitador “Procesos”; Dimensiones del habilitador “Estructuras Organizacionales”; Dimensiones del habilitador “Cultura, Ética y Comportamiento”; Dimensiones del habilitador “Información”; Dimensiones del habilitador “Servicios, Infraestructura y Aplicativos”; Dimensiones del habilitador “Personas, Habilidades y Competencias”; Aplicación práctica de las dimensiones de los siete habilitadores de COBIT; Beneficios del uso de las dimensiones de los habilitadores de COBIT.

68

IntroducciónLos siete habilitadores de COBIT poseen un conjunto de dimensiones genéricas (comunes), de acuerdo a lo mostrado en la siguiente figura.

Basados en ella observaremos que COBIT define cuatro dimensiones comunes (Partes interesadas, Metas, Ciclo de Vida y Buenas Prácticas) para los siete habilitadores definidos en el modelo.

Dimensiones comunes de los habilitadores

69

Figura 14: Dimensiones genéricas de los habilitadores de COBIT

Figura 15: Tipos de partes interesadas

De acuerdo a lo analizado en el capítulo 2, las partes interesadas pueden ser internas o externas a la organización. La anterior figura hace referencia a estos tipos de partes interesadas. Cada organización posee un conjunto de partes interesadas.

La siguiente tabla presenta una relación genérica de las principales partes interesadas internos y externos, que pueden ser aplicables a cualquier tipo de organización. Chief Information Officer (CIO), clientes internos, clientes externos, proveedores y la sociedad son ejemplos de partes interesadas.

Internos Externos

Junta directiva Director ejecutivo (CEO) Director financiero (CFO) Director de TI (CIO) Director de riesgos (CRO) Ejecutivos de negocios Responsable de los procesos comerciales Gerentes de negocios Gerentes de riesgo Gerentes de seguridad Gerentes de servicios Gerentes de Recursos Humanos (RRHH) Auditores Internos Directores de privacidad Usuarios de TI Gerentes de TI

Socios comerciales Proveedores Accionistas Reguladores / Gobierno Usuarios externos Clientes Organizaciones de normalización Auditores Externos Consultores

Tabla 6: Principales partes interesadas internas y externas

Para pensar

En el capítulo 2, analizamos que las partes interesadas tienen sus propios intereses y necesidades yque estos, a veces, pueden entrar en conflicto.

En el capítulo 3 analizamos que las necesidades de las partes interesadas deben ser traducidas en objetivos corporativos. Pero como las expectativas de estas no siempre son uniformes, COBIT prevee que estas diferencias sean analizadas y alineadas cuando se establezcan los objetivos de TI.

Cada habilitador de COBIT tiene por lo menos una parte interesada

COBIT tiene como premisa que cada uno de los siete habilitadores posea al menos una parte interesada que desempeñe un papel activo y/o tenga algún interés en el resultado del habilitador.

Por ejemplo, los procesos tienen diversas partes que ejecutan sus actividades y/o que tienen algún interés en los resultados del proceso; las estructuras organizacionales pueden tener diversos gestores

70

y técnicos, cada uno con su función, responsabilidades e intereses en los negocios que hacen parte del proceso de toma de decisiones de la empresa. Determinada información tendrá valor y significado para algunos grupos de interesados; para otros esta información puede no aplicar.

Metas

COBIT define las metas de los siete habilitadores en términos de resultados esperados de cada habilitador en el contexto de su aplicación, y tienen como expectativa un resultado exitoso para su propia operación.

También, cada habilitador debe establecer metas específicas y, al alcanzarlas, propician la gerencia de valor para la organización.

Las metas de los habilitadores equivalen a los resultados esperados. Cada habilitador debe establecer metas específicas para generar valos para la organización.

De acuerdo a lo detallado en el capítulo 3, las metas de los habilitadores representan la última etapa del proceso de la cascada de objetivos de COBIT. En este capítulo vamos a detallar las metas de los habilitadores definidas en COBIT.

Las metas de los habilitadores están divididas en tres categorías de acuerdo a la siguiente figura

Calidad intrínseca;

Calidad contextual;

Confiabilidad.

Calidad intrínseca

Esta categoría define en qué medida los habilitadores actúan de forma precisa, objetiva y producen resultados exactos, objetivos y confiables.

Calidad contextual

Esta categoría define en qué medida los habilitadores y los resultados propios de ellos cumplen su objetivo teniendo en consideración el contexto en que estos operan.

71

Figura 16: Metas de los habilitadores

Confiabilidad

Esta categoría define en qué medida los habilitadores y sus resultados son accesibles y confiables. Engloba dos aspectos esenciales:

Disponibilidad: Los habilitadores deben estar disponibles cuando sean necesarios

Acceso seguro: Los habilitadores deben generar resultados seguros y el acceso debe estar

restringido a aquellos que efectivamente estén autorizados (derecho de acceso) y necesitan tal acceso.

Ciclo de vida

Cada habilitador tiene un ciclo de vida, desde su creación, pasando por su vida útil u operacional, hasta llegar a la baja. Este ciclo, por ejemplo, se aplica a los habilitadores informaciones, estructuras organizacionales, procesos y políticas organizacionales.

COBIT define siete fases para el ciclo de vida de los habilitadores descritas en la anterior imagen.

Buenas prácticas

Estas son definidas para cada uno de los siete habilitadores. Las buenas prácticas apoyan a alcanzar las metas del habilitador. Las buenas prácticas ofrecen ejemplos o sugerencias de cómo implementar con éxito el habilitador, así como apoyan a la identificación de los productos del trabajo o a las entradas y salidas necesarias.

Las buenas prácticas son actividades o procesos comprobados y aplicados con éxito por diversas empresas, siendo utilizadas para producir resultados confiables.

72

Figura 17: Fases del ciclo de vida de los habilitadores

Figura 18: Buenas prácticas

Las buenas practicas representan un conjunto de orientaciones y productos de trabajo aplicado al ambiente organizacional con el objetivo de mejorar los procesos de negocio y la consecución de resultados exitosos.

Conforme lo definido en la anterior figura, las buenas prácticas de COBIT se componen de orientaciones y productos del trabajo.

ISACA recomienda el uso de guías de orientación para asegurar las buenas prácticas. Para mayor información consulte www.isaca.org


Dimensiones comunes de los habilitadores de COBIT

¿Cuáles son las cuatro dimensiones genéricas de los habilitadores de COBIT?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿La dimensión “Metas de los habilitadores” qué representa para la gobernanza y gestión de TI de las organizaciones?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Defina qué son las buenas prácticas?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Dimensión control de desempeño del habilitadorDe acuerdo a lo demostrado en la Figura 14, los habilitadores de COBIT están estructurados en una dimensión denominada control de desempeño del habilitador.

73

http://www.isaca.org/

En la práctica, las organizaciones deben esperar resultados positivos en la aplicación y uso de los habilitadores. Inicialmente, para controlar el desempeño de los habilitadores, cuatro cuestiones clave pueden actuar como un mecanismo de acompañamiento de la efectividad de los habilitadores, de forma que, en base a métricas, los habilitadores puedan ser re-evaluados periódicamente.

La siguiente figura sintetiza las cuatro dimensiones de control de desempeño del habilitador.

En este esquema, cada dimensión del habilitador posee una cuestión clave para controlar su desempeño. La Tabla 7 relaciona las cuestiones clave asociadas a la dimensión de control de desempeño de los habilitadores.

Dimensión Preguntas clave

Partes interesadas ¿Fueron consideradas las necesidades de las partes interesadas?

Metas ¿Fueron alcanzadas las metas del habilitador?

Ciclo de vida ¿Es controlado el ciclo de vida del habilitador?

Buenas prácticas ¿Fueron aplicadas buenas prácticas?

Tabla 7: Preguntas clave para las dimensiones de los habilitadores

Indicadores y métricas para los habilitadores

De acuerdo a lo demostrado en la Tabla 7 (Partes interesadas y metas), en COBIT los habilitadores pueden ser medidos por dos indicadores clave:

Indicadores de resultado;

Indicadores de dirección.

Indicadores de resultado

El indicador de resultado del habilitador está asociado a las dos primeras dimensiones descritas en

74

Figura 19: Control de desempeño del habilitador

la Tabla 7 (Partes interesadas y metas), y trata de las métricas utilizadas para evaluar en qué nivel o medida las metas fueron efectivamente alcanzadas.

Indicadores de dirección

El indicador de dirección del habilitador está asociado a las dos últimas dimensiones descritas en la Tabla 7 (Ciclo de vida y buenas prácticas), y trata del funcionamiento del habilitador propiamente dicho y si las métricas están o no definidas.

Beneficios de las dimensiones genéricas de los habilitadores

Este modelo genérico de las dimensiones de los habilitadores tiene como premisa los siguientes beneficios:

Aplicación de lenguaje simple y estructurado para describir los siete habilitadores

Control individualizado de cada habilitador y su influencia o interacción con los demás

Análisis de los resultados de desempeño de los siete habilitadores como un todo.

Hasta el momento hemos analizado las dimensiones genéricas de los habilitadores de COBIT, pero estas dimensiones poseen enfoques diferenciados, dependiendo del alcance y objetivo del habilitador específico para la gobernanza y gestión de TI de la empresa.

A partir de esta etapa, vamos a explorar las dimensiones específicas de cada uno de los siete habilitadores de COBIT.


Dimensión control de desempeño del habilitador

¿Cuál es la principal diferencia entre indicadores de resultado e indicadores de dirección?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Cuáles son los beneficios del Modelo Genérico de las Dimensiones de los Habilitadores de COBIT?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

75

Explorando las dimensiones del habilitador Principios, Políticas y Modelos

Principios, Políticas y Modelos son instrumentos para transmitir las reglas de la organización como apoyo a los objetivos de gobernanza y valores de la empresa.

Consideraciones sobre Principios

Los principios de una organización están asociados a la misión, visión y valores de esta para con suspartes interesadas y los negocios que la empresa realiza. Los principios deben ser:

Limitados;

Escritos en lenguaje simple;

Claros en relación con los valores fundamentales de la organización.

Consideraciones sobre Políticas

Las políticas deben proveer orientaciones detalladas sobre cómo colocar los principios en práctica. Las políticas influencian cómo un proceso de toma de decisión se alinea a los principios de la organización.

Las políticas deben ser actualizadas y revisadas siempre que sea pertinente, y las personas deben serinformadas sobre sus cambios. Las buenas políticas son:

Efectivas: Alcanzan el objetivo establecido;

Eficientes: Garantizan que los principios sean implementados de manera más eficiente;

No intrusivas: Aquellos que deben cumplirlas les hallan lógica; no crean resistencia

innecesaria.

Para pensar

Toda organización debe implementar mecanismos de fácil acceso a las políticas para que todas las partes interesadas puedan consultarles y seguirles. Las partes interesadas deben saber dónde pueden encontrarles.

Las políticas son un componente esencial de un sistema corporativo de control interno, cuyo principal propósito es administrar el riesgo. Como parte de las actividades de gobernanza de riesgos, la inclinación de la empresa al riesgo debe ser definida y reflejada en las políticas. También una empresa reacia a tomar riesgos tendrá políticas más estrictas que aquellas con fuerte inclinaciónal riesgo.

Consideraciones sobre Modelos

Los modelos de gobernanza y gestión de TI deben proveer a la administración estructura, orientación, herramientas, entre otros elementos, de forma que posibilite que la organización implemente un sistema de gobernanza y de gestión de TI adecuados a las necesidades de la

76

empresa.

La tabla 1 del capítulo 1, describe los principales modelos disponibles enel mercado utilizados por las organizaciones actualmente tales como: COBIT5, COBIT 4.1, VAL IT, ITIL, ISO 31000 e ISO 27000.

Los modelos deben ser:

Abarcadores;

Abiertos y Flexibles;

Actuales (en relación con la orientación de la empresa y objetivos de gobernanza y gestión);

Disponibles y accesibles para las partes interesadas.

Las dimensiones del habilitador Principios, Políticas y Modelos en la práctica

En comparación con las dimensiones genéricas de los habilitadores de COBIT descritos en la figura1 de este capítulo, el habilitador Principios, Políticas y Modelos se destaca por la aplicación y uso de buenas prácticas (orientaciones y productos de trabajo) en las actividades organizacionales.

Como buenas prácticas en el contexto de este habilitador, COBIT destaca prácticas y productos de trabajo como sigue:

Prácticas: estructura de Control, Principios, Estructura de la Política, Alcance y Validez;

Productos del trabajo (Entradas/Salidas): declaraciones de las Políticas

Más aún, las demás dimensiones genéricas de los habilitadores también están presentes en el habilitador Principios, Políticas y Modelos, de acuerdo al siguiente análisis:

Partes interesadas

Las partes interesadas pueden ser internas y/o externas a la organización. Las partes interesadas son de dos tipos: unas definen y establecen las políticas de la organización; otras deben seguir y cumplirestas políticas. Ejemplos: consejo de administración, dirección ejecutiva, directores de conformidad,gerentes de riesgo, auditores internos y externos, prestadores de servicio, clientes y entes de regulación.

Metas y métricas

Los Principios, Políticas y Modelos son instrumentos definidos por el Consejo de Dirección para transmitir las reglas de la organización en apoyo a los objetivos de gobernanza y valores de la empresa.

De esta forma, el cumplimiento de las directrices de la organización debe ser medido por el nivel deadherencia, conformidad y cumplimiento por parte de los funcionarios de las metas establecidas por

77

la gerencia de este habilitador.

Ciclo de vida

Modelos: Son instrumentos importantes porque proveen una base para definir orientaciones

consistentes para la organización y son usados como base para la formulación de las políticas. Algunas organizaciones utilizan modelos de mercado; otras customizan los modelos existentes o desarrollan uno in-house considerando sus necesidades específicas.

Principios: Son la razón de ser de una organización y no sufren alteraciones frecuentes.

Políticas: tienen una vida útil; algunas permanecen por tiempo indeterminado porque son

obligatorias; otras necesitan ser reformuladas para adecuarse al negocio.

Las organizaciones pueden mantener una estructura de políticas para proveer una base en que un conjunto de políticas consistentes puede ser creado, accedido y actualizado siempre que sea necesario.

Los cambios en las políticas requieren un control efectivo sobre la actualización y efectividad de estos instrumentos de gestión, las políticas poseen un ciclo de vida que debe apoyar al alcance de las metas definidas por la organización.

Buenas prácticas

Las buenas prácticas requieren que las políticas hagan parte de una estructura de gobernanza y gestión de TI en la organización, proveyendo una jerarquía en la que estos instrumentos deben teneruna clara conexión con los principios subyacentes. Las buenas prácticas relacionadas a las Políticas incluyen los siguientes requisitos:

Alcance y validez

Consecuencias por no cumplimiento

Tratamiento de excepciones

Mecanismos para evaluar el cumplimiento de la política (verificación y medición)

Estructuras de gobernanza y gestión que puedan proveer orientaciones sobre las

afirmaciones de las políticas

Políticas alineadas con la inclinación de riesgo de la empresa

Políticas revalidadas y/o actualizadas, siempre que sea necesario.

Relaciones con otros habilitadoresLas interacciones del habilitador Principios, Políticas y Modelos con los demás habilitadores incluyen:

78

Valores culturales y éticos de la empresa, que reflejen y estimulen el comportamiento

deseado, consecuentemente, hay interacción con el habilitador “Cultura, Ética y Comportamiento”;

Las políticas que son materializadas por las prácticas y actividades de los Procesos que

corresponden al mecanismo más importante para la ejecucución y operación de las orientaciones de la administración.

Estructuras Organizacionales que definen e implementan las políticas en determinadas áreas

de negocio y de control, y actividades relacionadas con la estructura que deben ser definidas y orientadas por las políticas;

Las políticas representan una fuente de “informaciones” dentro de una organización.


¿Cuáles son los objetivos principales del habilitador Principios, Políticas y Modelos?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Responda las siguientes 3 preguntas, considerando el contexto de su organización.

¿El habilitador Principios, Políticas y Modelos está presente y operativo en su organización? Justifique:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Identifique una política vigente en su organización y verifique si este documento contempla los requisitos de Buenas Prácticas indicadas por COBIT, tales como: alcance y validez; consecuencias por no cumplimiento; tratamiento de excepciones; procedimientos de control y monitoreo; estructura de gobernanza y de gestión; inclinación al riesgo de la empresa; y periodicidad de mantenimiento.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

79

Explorando las dimensiones del habilitador ProcesosConsideraciones sobre el habilitador Procesos: un proceso es definido como un conjunto de prácticas influenciadas por las políticas y procedimientos de la organización, alimentado de diversasfuentes, incluso de otros procesos, que manipula las entradas y produce resultados.

COBIT define un modelo de referencia de proceso que describe en detalle los 37 procesos de gobernanza y gestión, conforme lo descrito en el capítulo 2. Este modelo representa los procesos típicamente encontrados en las actividades de TI de las organizaciones.

El modelo COBIT es completo y abarcador, pero no es el único modelo posible. Cada empresa debedefinir su propio conjunto de procesos, considerando sus necesidades. Incorporar un modelo operacional de procesos y un lenguaje común para todas las áreas de la empresa involucradas en actividades de TI es una actividad importante y crítica para una buena gobernanza. El modelo de procesos debe proveer una estructura para la medición y monitoreo del desempeño de TI, comunicación con los prestadores de servicios e integración de las buenas prácticas de gestión.

A continuación vamos a identificar cada componente de la Dimensión Genérica del habilitador Procesos.

Prácticas

Las prácticas de gobernanza y gestión de COBIT proveen un conjunto completo de requisitos en alto nivel para una práctica eficaz de la gobernanza y gestión de TI en la organización para cada unode los 37 procesos de COBIT.

Según COBIT, las prácticas representan:

Declaraciones de acciones para la entrega de valor, optimización del nivel de riesgo y

optimización de los recursos;

Alineación a las normas y buenas prácticas generalmente aceptadas;

Acciones genéricas, por ende, adaptables para cada organización;

Cobertura abarcadora (de punta a punta) para procesos de negocios y de TI.

Cada organización, basada en su estructura de gobernanza y gestión, debe identificar las prácticas relacionadas a los procesos de forma que:

Seleccione aquellas que serán aplicables y puedan ser efectivamente implementadas;

Añada y/o ajuste las prácticas, siempre que sea necesario;

Define y adicione prácticas no relacionadas con TI para la integración de los procesos de

negocio;

Customice la implementación de las prácticas considerando variables como frecuencia,

80

amplitud, automatización y responsabilidad;

Acepte el riesgo de no implementar determinadas prácticas.

Actividades

Las actividades representan un conjunto completo de tareas genéricas y específicas que proveen un enfoque que incluye las acciones necesarias para alcanzar el propósito de las prácticas de gobernanza y gestión.

De esta forma, las actividades ofrecen orientaciones de alto nivel, a un nivel debajo de las prácticas de gobernanza y gestión, para evaluar el desempeño del proceso y considerar potenciales mejoras. Las actividades representan las principales acciones tomadas en la operación del proceso, y pueden ser definidas como orientaciones para alcanzar las prácticas de gestión para obtener éxito en la gobernanza y gestión de TI de la empresa.

Las actividades de COBIT proveen informaciones sobre cómo, por qué y el qué implementar en cada práctica de gobernanza y gestión para mejorar el desempeño de TI, gestionar el riesgo de TI y mejorar la prestación de servicios de TI. Las actividades descritas en COBIT son útiles para los siguientes públicos objetivo:

Gestores, prestadores de servicios, usuarios finales y profesionales de TI que necesitan

planificar, desarrollar, ejecutar o monitorear las TI de la empresa;

Auditores, profesionales de control y consultores que pueden opinar sobre los procesos

actuales y propuestas de mejoras necesarias.

En fin, las actividades son importantes porque:

Describen un conjunto de etapas de implementación orientadas a las acciones necesarias

para alcanzar el objetivo de la práctica de gestión y/o gobernanza relacionada;

Consideran las entradas y salidas del proceso;

Tienen como base las normas y buenas prácticas generalmente aceptadas;

Apoyan al establecimiento de funciones y responsabilidades bien definidas;

Deben ser adaptadas y desarrolladas en procedimientos específicos adecuados a la empresa,

no deben ser consideradas un dogma.

Actividades detalladas

Las actividades pueden no tener un nivel suficiente de detalle para la implementación, por lo tanto pueden requerirse orientaciones adicionales.

El detalle de las actividades puede ser obtenido a partir de normas y buenas prácticas específicas, tales como ITIL, ISO/IEC serie 27000 y PRINCE2. ISACA, conforme a lo previsto en los productos de la familia COBIT, desarrollará orientaciones específicas con detalle necesario sobre

81

cómo implementar las prácticas relacionadas.

Las dimensiones del habilitador Procesos en la prácticaComparando las dimensiones genéricas de los habilitadores de COBIT descritas en la figura 1 de este capítulo, el habilitador Procesos se destaca por la aplicación y uso de buenas prácticas (orientaciones y productos del trabajo) en las actividades organizacionales, en especial lo tocante a Prácticas, Actividades y Actividades detalladas de los procesos.

Todavía, las demás dimensiones genéricas de los habilitadores también están presentes en el habilitador Procesos, conforme al siguiente análisis:

Partes interesadas

Las partes interesadas (interesados) pueden ser internos o externos, cada uno desempeñando sus funciones. En COBIT, los niveles de responsabilidades de las partes interesadas están descritos y documentados por las tablas RACI. Ejemplos: clientes, socios comerciales, accionistas, consejo de administración, funcionarios y voluntarios.

Metas

Las metas del proceso son definidas como una declaración que describe el resultado esperado de un proceso. El resultado esperado puede ser definido como un artefacto, un cambio significativo o mejoría en la capacidad de otros procesos, pues depende del alcance del proceso.

De acuerdo a lo analizado en el capítulo 3, en el proceso de escalonamiento de objetivos de COBIT las metas del proceso apoyan a los objetivos de TI, que a su vez apoyan a los objetivos corporativos.Las metas del proceso abarcan las dos categorías:

Metas intrínsecas: se relacionan con la calidad intrínseca del proceso, o sea, exactitud y

consonancia con las buenas prácticas y el cumplimiento de regulaciones (normas internas y externas)

Metas contextuales: tienen relación con la adaptación del proceso a las necesidades y

realidades específicas de la empresa, o sea, abarcando aspectos de significado, comprensión y facilidad de aplicación.

Metas de accesibilidad y seguridad: se relacionan a la confidencialidad, cuando sea

necesaria, del proceso, o sea, el conocimiento del proceso por los responsables y la accesibilidad por parte de quienes requieren tener acceso

En cada nivel de escalonamiento de objetivos de COBIT y, consecuentemente, también para los procesos, se definen métricas para evaluar en qué medida los objetivos son alcanzados.

Las métricas pueden ser definidas como “una entidad calificable que permite medir la consecución de metas en un proceso”.

82

Para pensar

Para que el habilitador Proceso sea eficaz y eficiente, las métricas deben ser definidas para medir en qué medida los resultados esperados del proceso fueron alcanzados.

Las métricas deben ser SMART, esto es: Específicas, Medibles, Procesables, Pertinentes y Oportunas.

El control del desempeño del habilitador debe describir en qué medida las buenas prácticas fueron aplicados. Deben ser definidas métricas para apoyar a la medición del control de desempeño del habilitador proceso.

Ciclo de vida

Un proceso es definido, creado, operado, monitoreado, actualizado y hasta cerrado de ser el caso. Los procesos pueden tener ciclos de vida diferenciados, considerando las necesidades de negocio dela organización.

Las prácticas de procesos genéricas, tales como las definidas en el modelo de evaluación de procesode COBIT basado en la ISO/IEC 15504, pueden apoyar a la definición, ejecución, monitoreo y optimización de los procesos.

Buenas Prácticas

COBIT 5 ya describe prácticas y actividades relacionadas a la gobernanza y gestión de TI. Por otro lado, las actividades detalladas están siendo desarrolladas en guías profesionales por ISACA

Para pensar:

Se pueden obtener orientaciones adicionales sobre los procesos a través de normas y estructuras indicadas al final de cada proceso de gobernanza y gestión de TI.

Actualmente, las orientaciones sobre las buenas prácticas relacionadas con los procesos están descritas en normas y estructuras relacionadas, referenciadas al final de las actividades detalladas encada uno de los 37 procesos de gobernanza y gestión de TI.

Las buenas prácticas relacionadas a los procesos están descritas en el inicio del detalle del habilitador Procesos. Buenas prácticas externas pueden existir en cualquier nivel de detalle y la mayoría se refiere a otras normas y modelos. Los usuarios, cuando sea necesario, deben consultar estas buenas prácticas externas, en vista de que COBIT está alineado con estas normas y, cuando sea pertinente, las informaciones sobre estas relaciones serán publicadas.

Entradas y salidas

Las entradas y salidas de COBIT son los productos del trabajo o artefactos de proceso considerados necesarios para apoyar la operación del proceso. Son recursos que posibilitan decisiones importantes, proveen un registro y una prueba de auditoría de actividades de proceso, y permiten el acompañamiento en caso de un incidente. Las entradas y salidas son ajustadas para un nivel de

83

práctica de gobernanza y de gestión y pueden incluir algunos productos del trabajo usados solamente en el propio proceso – o pueden ser entradas para otros.

Las entradas y salidas previstas en COBIT no son consideradas una lista completa y única, porque flujos de informaciones adicionales pueden ser definidos, dependiendo del ambiente y de la estructura del proceso y de la necesidad específica de la empresa.

Control del Desempeño del Habilitador

Esta dimensión es idéntica a la dimensión genérica, basándose en cuatro cuestiones clave.

En relación a las métricas para el habilitador proceso, los dos primeros indicadores de resultado tratan del resultado efectivo del proceso, esto es, si fueron utilizadas métricas para medir y en cuál medidas estas fueron efectivamente cumplidas. “COBIT 5: Habilitador procesos” define métricas para cada meta del proceso evaluado. Por otro lado, los dos últimos indicadores de dirección tratan del funcionamiento real del propio habilitador y las métricas para su finalidad.

Nivel de capacidad del proceso

Para pensar

COBIT posee un esquema de Evaluación de Capacidad del Proceso, basado en la ISO/IEC 15504 –Tecnología de Información – Evaluación del proceso Parte 1: Conceptos. Vocabulario.

El nivel de capacidad del proceso mide la consecución de las metas y la aplicación de las buenas prácticas. El detalle de evaluación de capacidad del proceso está descrito en el capítulo 6.

Relaciones con otros habilitadores

Las interacciones entre el habilitador Procesos y los demás ocurren a través de las siguientes relaciones:

Los procesos necesitan de informaciones (como uno de los tipos de entrada) y pueden

producir informaciones (como un producto del trabajo);

Los procesos necesitan de estructuras organizacionales y funciones para la puesta en

funcionamiento, conforme la tabla RACI;

Los procesos producen, y también requieren, capacidades de servicio (infraestructura y

aplicativos);

Los procesos interactúan y pueden depender de otros procesos;

Los procesos producen o necesitan de políticas y procedimientos para garantizar la

consistencia de la implementación y ejecución;

Aspectos culturales y de comportamiento determinan la calidad de la ejecución de los

procesos.

84


Suponga que usted es el responsable de la implementación del modelo de referencia de procesos de COBIT en su organización. Describa las principales etapas que usted deberá seguir para implementar este modelo.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


En el habilitador Proceso: ¿por qué COBIT define a las actividades como elementos importantes y esenciales para la implementación de las prácticas de gestión y gobernanza?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Explorando al habilitador Estructuras OrganizacionalesConsideraciones sobre el habilitador Estructuras Organizacionales

La estructura organizacional representa la jerarquía de las funciones y la organización del proceso de toma de decisión en una organización. En este contexto, el modelo de referencia de procesos de COBIT incluye tablas RACI, que abordan diversas funciones y estructuras para el proceso jerárquico de toma de decisión.

La siguiente tabla describe algunas funciones existentes en las organizaciones actualmente

85

Estructuras organizacionales

Función Descripción

Consejo El grupo de ejecutivos más antiguos y/o consejeros no ejecutivos dela empresa responsables por la gobernanza de la empresa y control general de sus recursos.

Director Ejecutivo Director con el mayor nivel de autoridad, responsable de la administración de la empresa como un todo.

Director Financiero Responsable de todos los aspectos de la administración financiera, inclusive riesgos y controles financieros así como por la confiabilidad y exactitud de las cuentas.

Director de Operaciones Responsable de la operación de la empresa

Director de Riesgos Responsable por todos los aspectos de la gestión de riesgo de la empresa. La función de director de riesgo de TI puede ser creada para supervisar los riesgos de TI.

Director de Informática Responsable por la alineación de TI con las estrategias de negocios y responsable por la planificación, movilización de recursos y administración de la prestación de servicios y soluciones de TI en apoyo a los objetivos corporativos.

Director de Seguridad de la Información

Responsable por la seguridad de la información de la empresa en todas sus formas.

Ejecutivo de negocios Administrador senior responsable por la operación de una unidad denegocios o subsidiaria específica

Responsable del proceso de negocios

Persona responsable por la ejecución de un proceso y consecución de sus objetivos, orientación de mejoras al proceso y aprobación de cambios al proceso

Jefe de RRHH Responsable por la planificación y las políticas de recursos humanos de la empresa.

Jefe de Desarrollo Funcionario responsable por los procesos de desarrollo y solucionesde TI

Jefe de Operaciones de TI Responsable por los ambientes operacionales y la estrucrura de TI

Jefe de administración de TI Responsable por los documentos de TI y asuntos administrativos relacionados con TI

Gerente de Servicios Persona que administra el desarrollo, implementación, evaluación y control continuo de los productos y servicios nuevos y ya existentespara un cliente específico (usuario) o un grupo de clientes (usuarios)

Tabla 8: Principales funciones en las estructuras organizacionales

Estas funciones no necesariamente se corresponden con funciones reales de las empresas, sin embargo, agregan valor en el sentido de que el objetivo descrito de la estructura o función puede ser

86

válido en la mayoría de ellas.

La finalidad de la tabla RACI no es definir funciones organizacionales universales para las empresas, sino que es un instrumento de referencia y consulta para las organizaciones.

Las dimensiones del habilitador Estructuras Organizacionales en la prácticas

Comparando las dimensiones genéricas de los habilitadores de COBIT, descritas en la figura 14 de este capítulo, el habilitador Estructuras Organizacionales se destaca por las Prácticas (Principios Operacionales, Amplitud de Control o Alcance, Nivel de Autoridad, Delegación de Autoridad y Procesos de escalamiento y Productos de Trabajo – Decisión).

Sin embargo, las demás dimensiones genéricas de los habilitadores también están presentes en el habilitador Estructuras Organizacionales, de acuerdo al siguiente análisis.

Partes Interesadas

Las partes interesadas pueden ser internas o externas a la organización, e incluyen los representantesde la estructura jerárquica, entidades organizacionales, clientes, proveedores y reguladores. Las funciones de la estructura organizacional se refieren a los procesos de tomas de decisión, influencia y asesoramiento. Los intereses de las partes interesadas también pueden variar en función de las decisiones establecidas en las diversas áreas y niveles de negocio.

Metas

Las metas para el habilitador Estructura Organizacional incluyen su propia organización, principios operacionales definidos y uso de buenas prácticas. Como resultado, este habilitador abarca actividades y decisiones relacionadas con los responsables de las áreas de gobernanza y gestión.

Ciclo de vida

Cada estructura organizacional tiene un ciclo de vida. Las áreas son creadas, puestas en operación, ajustadas y, en algunos casos, dadas por terminadas.

Las partes interesadas, en función de las necesidad del negocio de la organización, pueden establecer la creación de unidades definiendo un motivo, responsabilidades y objetivos.

Buenas prácticas

La siguiente tabla, adaptada de COBIT, relaciona las buenas prácticas para el habilitador Estructura Organizacional.

Buenas prácticas Descripción

Principios operacionales Disposiciones prácticas sobre cómo la estructura operará, definiendo la frecuencia de reuniones, normas de documentación y organización interna.

Composición Las estructuras organizacionales son formadas por miembros que pueden ser representantes (partes interesadas) internos o externos.

87

Amplitud de control Los límites de derechos de decisión de la estructura organizacional son basados en controles pre-establecidos.

Nivel de autoridad o derechos de decisión

Representan las decisiones que la estructura está autorizada a tomar, en función de las actividades que realizan en el día a día.

Delegación de autoridad La estructura puede delegar (un subconjunto de) derechos de decisióna otras estructuras subordinadas a ella.

Procedimientos de escalamiento

El camino de escalamiento de una estructura describe las acciones necesarias en caso de problemas o conflictos relacionados con la toma de decisiones.

Tabla 9: Buenas prácticas para el habilitador Estructura Organizacional


Las interacciones con otros habilitadores incluyen:

Tablas RACI asocian las actividades del proceso a las estructuras organizacionales y/o

funciones individuales en la empresa. Las tablas son útiles porque describen el nivel de involucramiento de cada función en la organización en relación con las prácticas definidas para los procesos, identificando los responsables, consultados o informados;

Cultura, ética y comportamiento determinan la eficiencia y eficacia de las estructuras

organizacionales y de sus decisiones;

La composición de la estructura organizacional deberá considerar las habilidades y expertise

de sus miembros;

Los principios de orden y operación de las estructuras organizacionales son orientados por

las políticas adoptadas por la administración;

Las estructuras organizacionales requieren entradas (generalmente informaciones) antes que

esta pueda tomar decisiones en base a informaciones, y esto produce salidas, por ejemplo, decisiones. Además otras informaciones o solicitudes de entradas adicionales.


Identifique las buenas prácticas definidas por COBIT en el habilitador Estructura Organizacional

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Explorando el habilitador Cultura, Ética y ComportamientoCultura, ética y comportamiento se refiere al conjunto de comportamientos individuales y

88

conectivos de cada organización.

Este conjunto de factores (ética organizacional, ética individual, cultura organizacional, relaciones interpersonales, objetivos y ambiciones personales) guía el comportamiento de las personas en las empresas.

COBIT destaca 3 comportamientos que pueden ser significativos en el contexto organizacional:

Comportamiento relacionado con la aceptación del riesgo por la empresa;

Comportamiento relacionado con el cumplimiento de las políticas;

Comportamiento relacionado con los resultados negativos, prejuicios o pérdida de

oportunidades

Algunas empresas, basándose en el sentimiento de pérdida, utilizan esta práctica como procedimiento para mejorar; otras adoptan un sentimiento de culpa sin tratar la causa primordial.

Comparando las dimensiones genéricas de los habilitadores de COBIT, descrita en la figura 14, el habilitador Cultura, Ética y Comportamiento se destaca por las Prácticas (Comunicación, ejecución,incentivos y recompensas, concienciación, reglas y normas y liderazgo) adoptadas por las organizaciones.

Sin embargo, las otras dimensiones genéricas de los habilitadores también están presentes en el habilitador Cultura, Ética y Comportamiento, de acuerdo al siguiente análisis.

Partes interesadas

Las partes interesadas pueden ser internas o externas a la organización. Los internos incluyen toda la empresa y los externos incluyen agentes reguladores, por ejemplo, auditores externos u órganos de control.

Para pensar

Algunas partes interesadas se ocupan de la definición, implementación y ejecución de los comportamientos deseados; otros deben alinearse a las normas y a los reglamentos previamente definidos.

Metas

Las metas de este habilitador se refieren a:

Ética organizacional, determinada por los valores que rigen la existencia de la empresa;

Ética individual, determinada por los valores personales de cada funcionario de la empresa y

dependiente de factores externos como la religión, pertenencia a grupos étnicos, contexto socio-económico, localización física y experiencias personales;

Comportamientos individuales, determinan colectivamente la cultura de una empresa.

89

Ciclo de vida

Cultura organizacional, postura ética y comportamiento individual tienen ciclos de vida. Considerando la cultura organizacional actual, factores positivos y negativos, una empresa puede identificar los cambios necesarios y llevarlos a cabo.

En la dimensión Buenas Prácticas, COBIT describe algunas técnicas que pueden ser utilizadas en las organizaciones para mejorar el clima organizacional.

Buenas prácticas

Las buenas prácticas para la creación, incentivo y conservación del comportamiento deseado incluyen:

Comunicar a toda la empresa los comportamientos deseados y valores corporativos

subyacentes;

Concientizar en el comportamiento deseado, reforzada por el liderazgo con el ejemplo a

partir de comportamientos ejercidos por la alta administración y otros líderes.

Incentivos para promover y convencer sobre la adopción del comportamiento deseado,

considerando la conexión entre el comportamiento individual y el esquema de recompensas adoptado como política de RRHH;

Reglamentos y normas que proveen orientaciones adicionales sobre el comportamiento

organizacional deseado, definidas claramente en principios y políticas adoptadas por la empresa.



Las partes interesadas, en caso que no ejecuten las actividades de los procesos conforme a lo

esperado y si su comportamiento no está en conformidad, los resultados de los procesos no serán alcanzados.

Las estructuras organizacionales son proyectadas y creadas de acuerdo al manual, pero si sus

decisiones no fueran implementadas por causa de comportamientos (por ejemplo: agendas personales, faltas de incentivos), las estructuras decisorias no estarán comportándose en basea una gobernanza y gestión de TI de niveles aceptables;

Los valores corporativos y el comportamiento deseado deben ser establecidos en los

Principios y Políticas de la organización como un mecanismo de comunicación importante para la empresa.


¿Como COBIT caracteriza las Metas del Habilitador Cultura, Ética y Comportamientos?

90

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Explorando el habilitador InformaciónEste habilitador se refiere a las informaciones importantes para la organización, sean estas automatizadas, manuales, estructuradas, no estructuradas, formales o informales.

COBIT define seis atributos para la información, como describimos a continuación:

Físico: Vehículos y medios;

Empírico: interfaz del usuario;

Sintáctico: lenguaje y formato;

Semántico: significado, tipo, actualización y nivel;

Pragmático: uso, considerando elementos como retención, poder, contingencia e

innovación;

Social: contexto organizacional

Introducción al Ciclo de la información

El esquema de la siguiente figura presenta las etapas del Ciclo de la Información propuesto por COBIT.

91

Figura 20: Ciclo de la información

En este esquema, los procesos de negocio generan y procesan datos, transformándolos en informaciones y conocimiento y al final, deben crear valor para la empresa. Los procesos de TI apoyan a la organización en la generación de valor, ayudando en la mejoría de los procesos.

Las dimensiones del habilitador Información en la práctica

En comparación con las dimensiones genéricas de los habilitadores de COBIT, descritas en la Figura 14, el habilitador Información se destaca por las Metas. Sin embargo, las otras dimensiones genéricas de los habilitadores también están presentes en el habilitador Información de acuerdo a lo indicado a continuación:

Generador: responsable por la administración de la información;

Custodio: responsable por la salvaguarda de la información;

Cliente: responsable del uso de la información.

En la práctica, las funciones de las partes interesadas pueden ser definidas de acuerdo con cada fase del ciclo de la información propuesto por COBIT, tales como planificadores, diseñadores y usuariosde la información.

La dimensión stakeholder de la información no es independiente, esto es, cada fase del ciclo de vidatendrá participantes diferentes y con necesidades y diferentes intereses por recurso.

Metas

Las metas del habilitador Información son:

Calidad intrínseca

Esta dimensión requiere conocer en qué medida los valores de los datos están en conformidad con los valores reales y efectivos. Esta dimensión incluye:

Exactitud: en qué medida la información es correcta y confiable;

Objetividad: en qué medida la información es imparcial y sin preconceptos;

Credibilidad: en qué medida la información es verdadera y creíble;

Reputación: en qué medida la información se acepta en términos de su fuente o contenidos.

Calidad contextual

Esta dimensión considera en qué medida la información es aplicable a la tarea del usuario de la información y es presentada de forma clara e inteligible, reconociendo que la calidad de la información depende del contexto de su aplicación.

Esta dimensión incluye requisitos relacionados a:

Relevancia: en qué medida la información es aplicable y útil a la tarea en cuestión;

92

Exhaustividad: en qué forma la información es completa y abarcadora para la tarea;

Actualización: en qué medida la información está actualizada para la tarea en cuestión;

Suficiencia: de qué forma el volumen de la información es adecuado para la tarea;

Brevedad: en qué medida la información es representada de forma compacta y concisa;

Consistencia: de qué forma la información es presentada en el formato adecuado;

Interpretación: en qué medida la información es presentada en lenguajes y símbolos

adecuados y definidos;

Comprensión: de qué forma la información es comprensible con facilidad;

Manipulación: en qué medida la información es fácilmente manipulada y aplicada a

diferentes tareas.

Seguridad y accesibilidad

Esta dimensión está asociada a en qué medida la información es consultada, contemplando:

Disponibilidad o agilidad: en qué medida la información es desplegada fácilmente cuando

sea requerido, así como su recuperación;

Acceso restringido: en qué medida el acceso a la información está restringido a las partes

autorizadas.

Ciclo de vida

El ciclo de vida de la información (ver figura anterior) debe ser considerado, y diferentes enfoques pueden ser necesarios para la información en las diversas fases del ciclo de vida. El habilitador Información de COBIT destaca las siguientes etapas para el ciclo de información:

Planificar: fase en la que la creación y el uso de los recursos de la información son

preparados. En esta fase, las actividades se refieren a la identificación de los objetivos, la planificación de la arquitectura de la información y a la elabotación de las normas y definiciones tales como definiciones y procedimientos para la recolección de información.

Proyectar: fase en la que se destaca el diseño de la información;

Desarrollar/Adquirir: fase en la que los recursos de información son adquiridos,

englobando la creación de los registros de datos, alimentación de datos y carga desde archivos externos, por ejemplo;

Usar/Operar: fase que abarca el almacenamiento, la compartición y el uso de los recursos

de información;

Almacenamiento: fase en la que la información es almacenada electrónicamente por medio

93

de archivos electrónicos, bases de datos y/o datawarehousing; en copia impresa por medio de documentos en papel o en la memoria del humano a través del conocimiento tácito de las personas;

Compartición: fase en la que la información es puesta a disposición para su uso a través de

un método de distribución. Las actividades en esta fase se refieren a los procesos de asignación de información en locales donde esta pueda ser accesada y usada (por ejemplo distribución a través de emails);

Uso: fase en la que la información es utilizada para alcanzar los objetivos de negocio. Las

actividades en esta fase se refieren a los tipos de uso de información (por ejemplo, toma de decisión gerencial, procesos automatizados de ejecución) y actividades de recuperación y conversión de informaciones de un formato a otro;

Monitoreo: fase donde se asegura que los recursos de información se mantienen

funcionando adecuadamente. Las actividades en esta fase se refieren a actualizar el mantenimiento de la información, mejoras, limpieza, mezcla y remoción de datos duplicadosen diversas bases de datos.

Descarte: fase en que los recursos de información son descartados cuando ya carecen de

utilidad. Las actividades en esta fase se refieren al archivo y destrucción de la información.

Información es un habilitador de gobernanza corporativa; por esta razón, el uso de la información debe ser pensado como la finalidad para la cual las partes interesadas responsables necesitan de la información al asumir sus funciones, realizar sus actividades e interactuar entre sí.

Las interacciones entre los participantes exigen flujos de informaciones cuyos objetivos se refieren a las funciones de responsabilidad, delegación, monitoreo, definición de la orientación, alineación, ejecución y control.

Buenas prácticas

El concepto de información se entiende de formas diferentes en diferentes disciplinas como Economía, Teoría de la comunicación, Ciencia de la información, Gestión del conocimiento y Sistemas de Información; por lo tanto no hay una definición aceptada mundialmente sobre en qué consiste la información. La naturaleza de la información puede, en todo caso, ser esclarecida, a través de la definición y descripción de sus propiedades.

COBIT define un modelo en seis niveles para estructurar las diferentes propiedades de la información. Estos niveles presentan atributos continuos, que varían desde el mundo físico de la información donde los atributos se conectan con las tecnologías de la información y los medios parala captura, almacenamiento, procesamiento, distribución y presentación de la información hasta el mundo social del uso, comprensión y acciones relacionadas a la información.

En la práctica la información almacenada electrónicamente en la fase de compartición del ciclo de vida puede sobreponerse, en gran medida, a la fase de almacenamiento, por ejemplo, al compartir la

94

información a través de acceso a bases de datos, servidores de archivos/documentos.

Las descripciones a continuación se refieren a las capas de atributos de la información:

Capa del mundo físico: el mundo donde suceden todos los fenómenos que pueden ser

empíricamente observados;

Portador/medios de información: atributo que identifica el portador físico de la

información; por ejemplo: papel, señales eléctricas y ondas sonoras.

Capa empírica: la observación empírica de las señales utilizadas para codificar la

información y poderlas diferenciar del ruido de fondo;

Capa de acceso a la información: atributo que identifica el canal de acceso de la

información, por ejemplo, interfaces de usuario.

Capa sintáctica: reglas y principios para la creación en lenguajes naturales o artificiales.

Código/lenguaje: atributo que identifica el lenguaje o formato utilizado para codificar la

información y las reglas para combinar los símbolos del lenguaje para formar estructuras sintácticas.

Capa semántica: reglas y principios para la construcción del significado a partir de las

estructuras sintácticas. Semántica es el significado de la información.

Tipo de información: atributo que identifica el tipo de información, por ejemplo,

información financiera o no financiera, información de origen interno o externo, valores previstos/esperados vs valores observados, valores planificados vs valores realizados.

Actualización de la información: atributo que identifica la línea de tiempo asignada a la

información, por ejemplo: información en el pasado, presente o futuro.

Nivel de información: atributo que identifica el grado de detalle de la información, por

ejemplo: ventas anuales, trimestrales, mensuales.

Capa pragmática: reglas y estructuras para la construcción de estructuras de lenguaje más

amplias que apuntan a finalidades específicas en la comunicación humana. Pragmática se refiere al uso de la información.

Periodo de retención: atributo que define el tiempo que la información puede ser retenida

antes de ser destruida.

Estado de la información: atributo que identifica si la información es operacional o

histórica.

Innovación: atributo que identifica si la información crea nuevo conocimiento o confirma el

conocimiento ya existente, por ejemplo: información o confirmación.

95

Contingencia: atributo que identifica la información necesaria está disponible y se puede

entender por el usuario.

Capa del mundo social: el mundo construido socialmente a través del uso de estructuras del

lenguaje a nivel pragmático de la semiótica, por ejemplo contratos, legislación y cultura.

Contexto: identifica el contexto en que la información tiene sentido, es usada, tiene valor,

etc. Por ejemplo, contexto cultural, contexto del dominio del tema.

Las inversiones en la mejoría de la información tecnológica deben ser basados en estudios de caso con análisis de costo beneficio. Costos y beneficios no se refieren solamente a factores tangibles y mesurables, sino que deben considerar factores intangibles como ventajas competitivas, satisfaccióndel cliente e incertidumbre tecnológica. Consulte: COBIT Enabling Process, en www.isaca.org/cobit para un detalle del proceso de inversioens en TI.

En la publicación COBIT 5: Habilitador Información, disponible en www.isaca.org/cobit, se detallan los principales aspectos del habilitador información definido en COBIT.


Identifique los seis atributos para la información definidos por COBIT

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


Identifique los nueve requisitos definidos en la dimensión Calidad Contextual del habilitador Información de COBIT.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


Para el habilitador Información, COBIT define cinco especificaciones de capas para la información.Identifique estas capas e indique qué representa cada una para el negocio en términos de atributos de información para la fase de especificación de un nuevo proyecto de desarrollo de una aplicación.

96



________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Explorando el habilitador Servicios, Infraestructura y Aplicativos

La capacidad de prestación de servicios se refiere a los recursos, aplicativos e infraestructura proporcionados por la prestación de servicios del área de TI.

Al comparar las especificaciones del habilitador Servicios, Infraestructura y Aplicativos con la descripción del habilitador genérico representado en la Figura 14, destacamos lo siguiente:

Partes interesadas: representan la capacidad de generación de servicio. Los servicios

pueden ser prestados por partes interesadas internas o externas. Los usuarios de los serviciostambién pueden ser internos (usuarios del negocio) o externos (socios, clientes y proveedores). Los intereses de cada parte interesada deben ser identificados y serán concentrados en la prestación de servicios adecuados o mediante la entrega de los servicios solicitados por parte de los proveedores;

Metas: las metas de capacidad de nivel de servicio pueden ser expresadas en términos de

servicios (aplicativos, infraestructura y tecnología) y de niveles de servicio, teniéndose en consideración cuáles servicios y sus respectivos niveles son más económicos para la organización. Las metas se relacionan con los servicios, cómo estos son prestados y cuáles resultados son identificados.

Ciclo de vida: las capacidades de servicio tienen un ciclo de vida. Las capacidades de

servicio futuras o planificadas son normalmente descritas en una arquitectura que puede abarcar nuevos aplicativos y modelos de infraestructura. Las actuales capacidades de servicio usadas u operadas para prestar los actuales servicios de TI son descritas en una arquitectura de referencia. Dependiendo del tiempo de duración de la arquitectura objetivo, una arquitectura de transición también puede ser definida, mostrando la evolución desde la arquitectura inicial hasta la arquitectura objetivo.

Buenas prácticas: las buenas prácticas de las capacidades de servicio incluyen:

◦ Definición de los principios de arquitectura: directrices generales que rigen la

implementación y el uso de los recursos de TI de la organización.

Ejemplos de posibles principios de arquitectura:

Reaprovechamiento: componentes comunes de la arquitectura pueden ser usados para

proyectar e implementar soluciones parte de las arquitecturas de transición u objetivo.

97

Compra o desarrollo: las soluciones deben ser compradas, a menos que haya una

justificación aprobada para su desarrollo interno.

Simplicidad: la arquitectura corporativa debe ser proyectada y mantenida de la forma más

simple posible, siguiendo los requisitos definidos por la empresa.

Agilidad: la arquitectura corporativa debe ser ágil para satisfacer las necesidades de cambio

de los negocios de forma eficaz y eficiente.

Abertura: la arquitectura corporativa debe apalancarse en las normas abiertas del sector.

Definiciones de modelo apropiado

La organización, bajo la óptica de la arquitectura más adecuada, debe atender las necesidades de diferentes partes interesadas. Estos son los modelos, catálogos y matrices usados para describir las arquitecturas de referencia, o de transición; por ejemplo, la arquitectura de un aplicativo podría ser descrita a través de un diagrama de interfaz de la aplicación que muestre las entradas en uso (o planificadas) y las interfaces entre ellas.

Disponer de un archivo de arquitectura

El archivo puede ser utilizado para almacenar diferentes tipos de salidas arquitectónicas, incluso principios y normas de arquitectura, modelos de referencia de arquitectura así como otros servicios de la arquitectura, y que definen los módulos de servicio como aplicativos que proporcionan funcionalidad a los negocios; infraestructura de tecnología como hardware, software e infraestructura de red y física.

Definición de niveles de servicio

Los niveles de servicio que deben ser definidos y alcanzados por los prestadores de servicio. Las buenas prácticas representan estructuras de arquitectura y capacidad de servicio y actúan como directrices, modelos o normas que pueden ser utilizados para acelerar la creación de los servicios dearquitectura, tales como TOGAF e ITIL.



Información: las capacidades de servicio pueden ser apalancadas por los procesos de

prestación de servicio internos y externos;

Cultura y comportamiento: los aspectos culturales y de comportamiento son pertinentes

cuando la organización se basa en una cultura orientada al servicio.


Los principios de arquitectura representan directrices generales que apuntan a la implementación y el uso de los recursos de TI de la organización. Identifique tres elementos que marcan el rumbo de

98

los principios de TI propuestos como ejemplos en COBIT.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Habilitador Personas, Habilidades y CompetenciasAl comparar el modelo genérico propuesto por COBIT en la Figura 14, el habilitador Personas, Habilidades y Competencias destaca:

Partes interesadas

Las habilidades y competencias pueden ser encontradas en las partes interesadas internas y externas a la organización, en la cual estos pueden asumir funciones de administradores de negocios, de proyecto, socios, competidores, reclutadores, instructores, desarrolladores y especialistas técnicos en TI; además de esto, cada función exige un conjunto de habilidades distintas.

Metas

Las metas de las habilidades y competencias están relacionadas con los niveles de educación y calificación, habilidades técnicas, niveles de experiencia, conocimiento y habilidades en el comportamiento necesarias para realizar y desarrollar exitosamente las actividades del proceso. Las metas de los funcionarios incluyen niveles apropiados de disponibilidad del personal y niveles de rotación.

Ciclo de vida

Habilidades y competencias tienen un ciclo de vida. Una organización tiene que saber cuál es su base actual de habilidades y planificar o proyectar estas a futuro. Esto se ve influenciado por la estrategia (entre otras cosas) y por los objetivos corporativos. Las habilidades pueden ser desarrolladas (por ejemplo, con entrenamiento) o adquiridas (por ejemplo, a través del reclutamiento) e implantadas en las diversas funciones de la estructura organizacional. Las habilidades deben ser transferidas, por ejemplo, si una actividad fue automatizada o tercerizada.

Periódicamente la organización debe evaluar la base de competencias para comprender la evoluciónque ha ocurrido y que será alimentada al proceso de planificación del siguiente periodo. Además, esta evaluación puede ser alimentada al proceso de recompensa y reconocimiento de Recursos Humanos.

Buenas prácticas

99

Las buenas prácticas de habilidades y competencias incluyen la definición de requisitos de calificación claros y objetivos de cada función desempeñada por los diversos participantes. Esto puede ser descrito en diferentes niveles de habilidades en diversas categorías. Para cada nivel de habilidad apropiado en cada categoría de habilidades, una definición de habilidad deberá ser definida. Las categorías de habilidades corresponden a las actividades de TI asumidas, por ejemplo, gestión de información, análisis de negocios.



Procesos y estructura organizacional: habilidades y competencias son necesarias para

realizar las actividades del proceso y tomar decisiones en estructuras organizacionales; por otro lado, algunos procesos buscan apoyar el ciclo de vida de las habilidades y competencias;

Cultura, ética y comportamiento: este habilitador tiene relación con las habilidades de

comportamiento que guían el comportamiento de cada individuo y son influenciadas por la ética de la persona y de la empresa;

Informaciones: las definiciones de habilidades y comportamientos se valen de

informaciones para las cuales buenas prácticas del habilitador deben ser consideradas.


Considerando el habilitador Personas, Habilidades y Competencias: ¿cómo su empresa implementa en la práctica un plan de desarrollo de habilidades y competencias para los profesionales de TI?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

100

5 Guía de implementación de COBIT

ObjetivosConocer las etapas para la implementación de COBIT; Conocer las herramientas de implementaciónde COBIT; Identificar los requisitos necesarios en cada fase del proceso de implementación de COBIT; Identificar los factores críticos de éxito en la implementación de COBIT; Aplicar el roadmap en la implementación de COBIT

Conceptos

Etapas del proceso de implementación de COBIT; Etapa 1: entendiendo el contexto de la organización; Etapa 2: creación de un ambiente apropiado; Herramientas de implementación; Planificación de la implementación de COBIT; Reconocimiento de los puntos débiles y eventos de activación; Capacitación para el cambio; Roadmap para la implementación de COBIT

101

IntroducciónPara que las organizaciones agreguen valor y obtengan beneficios del uso e implementación de COBIT, se hace necesario adaptarle para atender las necesidades específicas de la empresa. Es por esto que las etapas de planificación y definición del alcance de la implementación de COBIT desempeñan un papel fundamental para el éxito en el uso del modelo para la organización.

La implementación de COBIT en las organizaciones debe tener en consideración factores tangibles e intangibles en el contexto de la empresa. En relación a los componentes intangibles, es necesario que las organizaciones consideren desafíos relacionados con los cambios internos y externos, cultura y comportamiento de las personas en la aceptación o rechazo del modelo.

El documento denominado “COBIT 5 Implementación” no es una camisa de fuerza ni es obligatorio, mas bien establece buenas prácticas para minimizar eventuales obstáculos en su implementación, como forma de apoyar a las organizaciones en el logro de mejores resultados a través del uso de COBIT.

Herramientas de implementaciónLa guía de orientación “COBIT 5 implementación” está compuesta por un kit de herramientas, conteniendo una variedad de recursos tales como:

Herramientas de autoevaluación, medición y diagnóstico;

Disponibilidad de informaciones relevantes a las partes interesadas involucradas;

Artículos relacionados y explicaciones adicionales acerca del uso del documento

Para mayor información sobre el kit de herramientas de implementación, consulte en www.isaca.org/cobit y consulta la publicación COBIT 5 Implementation. Esta guía presenta una orientación práctica para la implementación del modelo de COBIT 5 basado en el ciclo de vida de mejora continua de procesos.

Factores críticos para el éxito en la implementación de COBIT

Existen diversos factores críticos para que la implementación de COBIT sea eficiente. La guía de implementación de COBIT 5 sugiere cinco factores esenciales para el éxito en la implementación deeste modelo:

Orientación y compromiso continuo de la gerencia;

Apoyo de las partes interesadas a los procesos de gobernanza y gestión de TI en la

organización;

Garantía de comunicación efectiva y capacitación sobre los cambios necesarios;

Adaptación de COBIT para atender las necesidades y el contexto de la organización;

102


Enfoque en resultados rápidos y priorización de acciones en las mejoras mas beneficiosas y

fáciles.

Normalmente, las iniciativas de TI fallan debido a la falta o fallas en la orientación, apoyo o supervisión de las partes interesadas involucradas con la implementación de la gobernanza o gestiónde TI.

También, el apoyo y orientación de las principales partes interesadas son elementos críticos para el éxito en la implementación de COBIT. Además, en un ambiente corporativo frágil, esto es, en que elmodelo operacional de negocios no es claro y objetivo y no es efectivo en los habilitadores de gobernanza a nivel corporativo, el apoyo y la participación de las partes interesadas son instrumentos importantes y críticos.

Planificación de la implementación de COBIT

La planificación de la implementación de COBIT es una etapa fundamental para el éxito en su implementación. En esta etapa, algunas situaciones son esenciales y deben hacer parte del contexto de la implementación del modelo de acuerdo a lo descrito en la siguiente tabla

Etapa Descripción

Elaboración de un estudio de caso

El estudio de caso representa el punto de partida para la implementación y mejoría de la gobernanza y gestión de TI de la organización. Todos los esfuerzos deben concentrarse en el alcance de la implementación del modelo a partir de las necesidades específicas de la empresa

Reconocimiento de puntos débiles

La identificación de fallas y análisis de problemas en relación con el estado actual de los siete habilitadores de COBIT es fundamental para la implementación de mejoras en la gobernanza y gestión de TI en la organización

Tabla 10: Planificación de la implementación

Para pensar

El reconocimiento de puntos débiles apoyan a la creación de un ambiente apropiado para la implementación de COBIT

Las organizaciones sufren transformaciones en el día a día y enfrentan un continuo proceso de cambios en los negocios. El área de TI como parte integrante de este proceso no puede mantenerse al margen de este escenario.


¿En su organización, el área de TI está efectivamente lista y preparada para asumir los desafíos relacionados con la Gobernanza de TI? ¿Ya identificó la organización sus puntos débiles y consecuencias (eventos de activación) para que la implementación de COBIT tenga éxito en la institución? Justifique su respuesta.

___________________________________________________________________________

103

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________


En su condición de Gestor de TI en su organización: ¿qué haría usted para iniciar la implementaciónde COBIT? ¿Por dónde comenzar? Ejemplifique su respuesta con un caso

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

Etapas para la implementación de COBIT

COBIT indica que hay dos etapas fundamentales para su implementación:

Etapa 1: entender el contexto de la organización;

Etapa 2: crear el ambiente apropiado.

Etapa 1: entender el contexto de la organización

La gobernanza y gestión de TI en una organización no ocurre al azar. Toda institución debe elaborarsu propio plan o guía de actividades de implementación que, entre otros aspectos, debe contemplar factores específicos del ambiente interno y externo tales como:

Ética y cultura;

Leyes, reglamentos y políticas aplicables;

Misión, visión y valores;

Políticas y prácticas de gobernanza;

Plan de negocios e intenciones estratégicas;

Modelo operacional y nivel de madurez;

Estilo de gestión;

104

Inclinación o apetito por el riesgo;

Capacidades y recursos disponibles;

Prácticas específicas del sector o industria de la empresa.

Para pensar

Cabe indicar que COBIT es un modelo sustentado por otros modelos, buenas prácticas y normas, por lo tanto, el equipo de implementación debe considerar adaptar estos instrumentos conceptualesy prácticos para atender a los requisitos específicos de estas normas relacionadas.

El abordaje ideal a la gobernanza y gestión de TI debe ser específico para cada organización. El contexto de la empresa debe ser comprendido, entendido y considerado quienes implementan COBIT a fin de ajustar el modelo a sus necesidades. Este entendimiento es fundamental para obtener éxito y eficiencia en la implementación de los habilitadores de gobernanza y gestión de TI en la organización como un todo.

Etapa 2: crear el ambiente apropiado

Los habilitadores de COBIT proveen una solución que trata de las necesidades y problemas reales de la empresa, en vez de servir como fin en sí mismos.

De esta forma, el diagnóstico basado en puntos débiles y en las tendencias actuales deben ser identificados y aceptados por la administración como directrices a ser tratadas para sensibilizar, crear consenso y generar un compromiso de acción por todos los responsables e involucrados en el área de TI.

El compromiso y la adhesión de las partes interesadas deben ser considerados desde el inicio de la implementación, con la generación de los compromisos, de los recursos necesarios para apoyar el programa y el establecimiento de un estudio de caso.

Las principales funciones y responsabilidades deben ser definidas y el compromiso de todos los colaboradores involucrados, considerado.

Estructuras y procesos apropiados para la supervisión y orientación deberán ser creados y mantenidos para garantizar el alineamiento continuo de los enfoques de gobernanza y gestión de riesgo en toda la empresa.

Reconocimiento de puntos débiles y eventos de activación

Existen diversos factores que pueden indicar la necesidad de mejoras de la gobernanza y gestión de TI en las organizaciones.

Usando los puntos débiles relacionados y eventos de activación como punto de partida para las iniciativas de implementación, el establecimiento de un estudio de caso de mejora de gobernanza o gestión de TI de la empresa propicia la identificación de las necesidades de mejora en base a los problemas prácticos o vivencias cotidianas. Esto aumentará la adhesión y creará el sentido de

105

urgencia en la empresa necesario para iniciar la implementación. Este escenario propicia una plataforma para la introducción de nuevos cambios y puede ayudar a la generación de compromisosy apoyo de la gerencia para cambios más profundos.

COBIT relaciona algunos puntos débiles más comunes para los cuales los habilitadores de gobernanza y gestión de TI pueden ser el punto de partida como solución para la implementación del modelo:

Frustración con iniciativas fracasadas, aumentando los costos de TI y la percepción de bajo

valor del negocio;

Incidentes significativos relacionados al riesgo de TI, tales como la pérdida de datos o fallas

en proyectos;

Problemas con la prestación de servicios tercerizados por el no cumplimiento de los niveles

de servicio acordados;

No cumplimiento de las exigencias regulatorias o contractuales;

Limitación por parte del área de TI de la capacidad de innovación de la empresa y de la

agilidad del negocio;

Frecuentes informes de auditoría sobre el bajo desempeño de TI y/o de problemas con la

calidad de servicios de TI prestados;

Gastos encubiertos y/o innecesarios en TI

Duplicación o sobreposición de las iniciativas o desperdicio de recursos, tales como cierres

prematuros de proyectos

Recursos de TI insuficientes, personal con habilidades inadecuadas, insatisfechos o

desmotivados;

Cambios en la capacitación de TI que no cubren las necesidades de la empresa y demoran en

dar un retorno o por encima del presupuesto;

Miembros del consejo, ejecutivos o gerentes senior que rechazan involucrarse con TI o

responsables de TI de la empresa no satisfechos;

Modelos operacionales de TI muy complejos.

Además de estos puntos débiles, COBIT también se relaciona otros eventos involucrando ambientesinternos y externos de la organización, que pueden señalar la necesidad de reve el enfoque de la gobernanza y gestión de TI tales como:

Fusión, adquisición o separación de otras organizaciones;

Cambios en el mercado, economía o en la posición competitiva;

106

Cambios en el modelo operacional de la empresa o en los arreglos de tercerización;

Nuevas exigencias regulatorias o de conformidad;

Cambios significativos de la tecnología;

Enfoque del proyecto de gobernanza para toda la empresa;

Cambios en los liderazgos de la gerencia de la organización;

Auditoría interna, externa, o evaluaciones de consultorías;

Nuevas prioridades o estrategias de negocios.

Cada organización debe identificar sus puntos débiles y consecuencias de las fallas y/o vulnerabilidades relacionadas.


Basándose en los puntos débiles ejemplificados por COBIT, relacione los tres que usted entiende que son los más críticos y que se aplican en el contexto de la empresa en que usted trabaja. A continuación identifique dos buenas prácticas que pueden ser utilizadas para mejorar el escenario degobernanza y gestión en el contexto de la empresa.

Puntos débiles Acciones para mejorar estos

1. 2. 3. 4. 5.

1. 2. 3. 4. 5.

Capacitación para el cambioEl éxito en la implementación de COBIT depende de la implantación del cambio apropiado con un enfoque en los habilitadores de gobernanza y gestión apropiados.

En muchas empresas, existe poco énfasis en la gestión de los aspectos humanos, de comportamientoy culturales del cambio y motivación de las partes interesadas para aceptar el cambio.

No se puede presuponer que las partes interesadas involucradas con los siete habilitadores la aceptarán rápidamente y adoptarán el cambio. La posibilidad de que ignoren y/o se resistan al

107

cambio tiene que ser contemplada por medio de un enfoque estructurado y proactivo.

La concientización del programa de implementación debe alcanzarse a través de un plan de comunicación eficiente que defina lo que será comunicado, de que forma y por quién, a lo largo de las varias fases del programa.

Puede conseguirse una mejoría sustentable obteniéndose el compromiso de las partes interesadas. Este compromiso debe considerar la participación, tiempo de dedicación y comunicación amplia de todos los actores involucrados, especialmente la gerencia, para lograr un éxito en el cambio.

En otras palabras, las barreras humanas, de comportamiento y culturales deben ser superadas de forma que haya un interés común en adoptar correctamente el cambio, infundir la voluntad de adoptar el cambio y garantizar la capacidad de adoptarle.

Enfoque del ciclo de vida

Un ambiente adecuado para la implementación de COBIT es uno de los dos requisitos necesarios para minimizar los riesgos y alcanzar el éxito en la implementación o en la mejora de los procesos.

El ciclo de vida de la implementación propuesto en COBIT presenta un modelo a ser utilizado por las organizaciones. Este modelo fue estructurado considerando la complejidad y los desafíos generalmente encontrados en su implementación.

Componentes del ciclo de vida

Los tres componentes interrelacionados del ciclo de vida son:

Ciclo de vida principal de mejora continua;

Capacitación para el cambio;

Gestión del programa.

En la siguiente tabla veremos una breve descripción de las etapas:

Componente Descripción

Ciclo de vida principal de mejora continua

El proyecto debe englobar a toda la organización, no puede ser tratado de forma aislada

Capacitación para el cambio El proyecto debe contemplar un abordaje de los aspectos de comportamiento y culturales de la organización

Gestión del programa El programa debe ser administrado continuamente de forma tal que se identifiquen cuellos de botella.

Tabla 11: Etapas del ciclo de vida

La siguiente figura ilustra las siete fases de implementación de COBIT:

108

A continuación analizaremos cada una de estas fases

Fase 1:

Esta fase comienza con un reconocimiento y aceptación de las necesidades o iniciativas de la implementación de COBIT, identificando los puntos débiles para crear el deseo de cambio en los niveles de gestión ejecutiva de la empresa.

Fase 2:

Esta fase se concentra en la definición del alcance de la implementación, usando un emparejamientode los objetivos corporativos de COBIT con objetivos de TI, de acuerdo a lo visto en el capítulo 3, considerando, además, los escenarios de riesgo de los principales procesos relacionados.

109

Figura 21: Fases del ciclo de vida de implementación de COBIT. Fuente: www.isaca.org

Diagnósticos de alto nivel son herramientas esenciales para definir el alcance y comprender las áreas prioritarias para concentrar los esfuerzos de su aplicación. Una evaluación del estado actual serealiza entonces, y los problemas y deficiencias de los procesos son identificados por medio de una evaluación de capacidad.

Fase 3

En esta fase, se define una meta de mejora para, a continuación, realizar un análisis más detallado según las orientaciones de COBIT para identificar fallas y posibles soluciones. Las soluciones propuestas pueden presentar resultados rápidos, en cuanto otras podrán exigir actividades más desafiantes y en un mayor plazo.

COBIT sugiere priorizar las iniciativas más fáciles de alcanzar y que producirán mejores beneficios para la organización.

Fase 4

Esta fase establece la planificación de soluciones prácticas mediante la definición de proyectos apoyados por estudios de casos justificables. Un plan de cambio para la implementación de COBIT también debe ser desarrollado en esta fase. Un estudio de caso bien elaborado ayuda a garantizar que los beneficios del proyecto sean identificados y monitoreados.

Fase 5

En esta fase, las soluciones propuestas son implementadas en forma de prácticas diarias. Las métricas y el monitoreo son definidos y establecidos con el uso de las metas y métricas tratadas en el capítulo 4.

Esta sistematización garantiza que el alineamiento de la empresa sea alcanzado y mantenido, y el desempeño pueda ser medido. El éxito exige demostración de que las partes autorizadas se involucren y demuestren empeño, así como la responsabilidad de los involucrados de las áreas de TIy administración.

Fase 6

Esta fase se concentra en la operación sustentable de los habilitadores, así como el monitoreo de la consecución de los beneficios esperados.

Fase 7

Fase que se basa en el análisis de nuevos requisitos para la gobernanza y gestión de TI de la empresa, identificando necesidades de mejora continua. El ciclo de vida debe ser seguido de forma interactiva paralelamente a la creación de un enfoque sustentable para la gobernanza y gestión de TIde la empresa.


El roadmap de COBIT está estructurado en siete etapas. Basándose en la Figura 21, escriba

110

sucintamente el objetivo de cada fase.

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

Premisas para la elaboración de un estudio de casoEl estudio de caso es el primer paso para la implementación de COBIT. El éxito en la implementación de COBIT depende de la divulgación, de la necesidad de actuar y de la comunicación a toda la organización.

Una buena práctica sugiere el uso de la técnica “llamado de atención”, en el cual los puntos flacos deben ser identificados.

El nivel de urgencia de los riesgos debe ser discutido entre las principales partes interesadas involucradas en los procesos de TI de la organización. Todos los responsables deben tener una clara comprensión de los resultados empresariales deseados. Se debe definir las tareas y metas críticas de las funciones y responsabilidades.

El estudio de caso es una valiosa herramienta de la que dispone la administración para la orientación en la creación de valor para la empresa y debe incluir, como mínimo, las siguientes situaciones:

Los beneficios buscados para la empresa, su alineación con la estrategia de negocios y los

respectivos responsables;

Los cambios en los negocios necesarios para crear el valor esperado, que puede basarse en

verificaciones de integridad y análisis de fallas en la capacidad, y deben indicar claramente el alcance definido;

Las inversiones necesarias para llevar a cabo los cambios en la gobernanza y gestión de TI

111

de la empresa;

Los costos fijos del negocio y de TI;

Los beneficios esperados de operación luego del cambio;

El riesgo inherente y cualquier restricción o dependencias, basándose en los factures de

éxito;

Funciones y responsabilidades definidas;

Monitoreo y métrica de las inversiones y de la creación de valor durante el ciclo de vida

económico, para alcanzar las metas y resultados.

El estudio de caso no es un documento estático, es una herramienta operacional dinámica que debe ser continuamente actualizada para reflejar la visión de futuro para identificar la viabilidad del programa.

Puede ser difícil cuantificar los beneficios de implementación o de las iniciativas de implementación, y deben ser tomadas medidas para comprometerse solamente con beneficios realistas y alcanzables. Estudios realizados en diversas empresas (benchmarking) pueden ofrecer informaciones útiles sobre los beneficios que fueron alcanzados.

112

6 Evaluación de Capacidad de Procesos

ObjetivosConocer el Modelo de Capacidad de Procesos de COBIT 5; Aprender sobre los atributos y niveles del Modelo de Capacidad de Procesos; Revisar los atributos y niveles del Modelo de Madurez de Procesos de COBIT 4.1; Comparar los modelos de Madurez y de Capacidad de Procesos de COBIT;Identificar los beneficios del Modelo de Capacidad de Procesos; Efectuar una evaluación práctica de la capacidad de Procesos de COBIT.

Conceptos

Modelo de Evaluación de Madurez de Procesos; Modelo de Evaluación de Capacidad de Procesos; Comparativo entre los Modelos de Madurez y de Capacidad de Procesos; Beneficios del Modelo de Capacidad de Procesos de COBIT; Atributos del Modelo de Evaluación de Capacidad del Proceso; Aplicación práctica del Modelo de Evaluación de Capacidad del Proceso.

113

IntroducciónLos modelos COBIT 4.1, RISK IT y Val IT adoptaban un Modelo de Madurez de Procesos para medir los resultados de los procesos de gobernanza y de gestión de TI de una organización.

Por otro lado, en COBIT 5 se vale de un Modelo de Capacidad de Procesos para medir los resultados y el desempeño de los procesos de TI.

Este capítulo tiene como propósito:

Revisar los conceptos fundamentales del Modelo de Madurez de Procesos de COBIT 4.1;

Profundizar el conocimiento sobre el Modelo de Capacidad de Procesos;

Realizar una comparativa entre los modelos de madurez y de capacidad;

Realizar un estudio de caso práctico usando el Modelo de Capacidad.

Modelo de Madurez de Procesos

Principales objetivos del Modelo de Madurez de Procesos de COBIT 4.1

Medir la madurez actual o el estado en que se encuentran los procesos de TI de la organización

Definir el estado de madurez deseado y entendido como meta para su organización

Determinar la diferencia entre los dos estados (actual y deseado)

Mejorar el proceso para alcanzar el nivel de madurez deseado

Tabla 12: Principales objetivos del Modelo de Madurez de Procesos de COBIT 4.1

Como puede observarse, los niveles de madurez varían entre “Inexistente” (Nivel 0) a “Optimizado” (Nivel 5). Cuanto más alto es el nivel, más estructurada será la madurez (resultado) del proceso.Además, en esta figura tenemos que el Modelo de Madurez de Procesos está compuestopor seis atributos denominados “Concienciación y Comunicación”, “Políticas, Planes y Procedimientos”, “Herramientas y Automatización”, “Habilidades y Expertise”, “Responsabilidad yrendición de cuencas” y “Definición de metas y medición”. El modelo de COBIT 4.1 se usa para:

Evaluar de la mejoría del proceso;

Evaluar la madurez del proceso;

Definir el nivel de madurez deseado para un determinado proceso;

Identificar las fallas de un proceso para confirmar si los objetivos de control del proceso

fueron alcanzados;

Obtener el perfil de madurez del proceso.

114

El modelo de madurez genérico tiene seis atributos distintos aplicables a cada proceso y que apoyana la organización a obtener una visión más detallada del nivel de madurez de los procesos.


Mencione los seis niveles de madurez del proceso adoptado por COBIT 4.1.

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

Evaluación de Capacidad de ProcesosEn COBIT 5, ya no se usa el término madurez como instrumento de medición de los procesos, sino el término “capacidad”. Los modelos de capacidad y de madurez son distintos, pero existe una relación entre ellos como veremos en este capítulo.

El modelo de evaluación de Procesos sistematizado por PAM abarca los otros 6 habilitadores del modelo COBIT 5 (capítulo 2), y no únicamente “Procesos”, como sucedía con el modelo de madurez de COBIT 4.1.

115

Figura 22: Atributos genéricos del Modelo de Madurez de COBIT 4.1

Así que aunque el PAM ofrezca información importante sobre el estado actual de los procesos de TI, estos, en la práctica, representan solamente uno de los siete habilitadores de gobernanza y gestión.

Basados en COBIT 5, las evaluaciones de los procesos no representan el cuadro completo del estado de gobernanza y de gestión de una empresa, una vez que los demás habilitadores también deben ser analizados en el contexto de gobernanza y gestión corporativa en una organización.

Modelo de Evaluación de Capacidad de Procesos (PAM): Atributos y niveles

La evaluación de Capacidad de Procesos de COBIT está basada en la ISO/IEC 15504, que es una norma reconocida mundialmente. Este modelo de capacidad se basa en la norma de Evaluación de Procesos de Ingeniería de Software.

La evaluación de capacidad del modelo basado en la ISO/IEC 15504 proporcionará medios para medir el desempeño de cualquiera de los procesos de gobernanza (Dominio EDM) o de gestión (Dominio PBRM). El modelo de evaluación basado en la ISO/IEC 15504 permite la identificación de las áreas y procesos que necesitan ser mejorados.

La figura 6.2 presenta los niveles y atributos genéricos de Evaluación de Capacidad de Procesos de COBIT basado en la ISO/IEC 15504.

Como puede observarse, los Niveles de Capacidad de Procesos varían desde Inexistente, Ejecutado, Gestionado, Establecido, Predecible hasta Optimizado. Cada nivel está compuesto por atributos mínimos que deben estar presentes para determinar el nivel de capacidad a atribuirse a un proceso evaluado.

116

Figura 23: Atributos de Capacidad de Procesos de COBIT 5

El proceso de Evaluación de COBIT 5 mide hasta cuánto un determinado proceso alcanza atributos específicos relativos a este proceso, siendo denominado “Atributos del proceso”. Este proceso de evaluación contempla nueve atributos de proceso basados en la ISO/IEC 15504-2:

PA1.1: desempeño (ejecución) del proceso;

PA2.1: gestión de ejecución;

PA2.2: gestión del resultado del trabajo;

PA3.1: definición del proceso;

PA3.2: implementación del proceso;

PA4.1: gestión del proceso;

PA4.2: control del proceso;

PA5.1: innovación del proceso;

PA5.2: optimización del proceso.

Niveles de Evaluación de Capacidad de Procesos

Un determinado proceso puede alcanzar seis niveles de capacidad, de acuerdo con su estado de implementación, variando desde “Inexistente” hasta el nivel de “Optimizado” de acuerdo a lo descrito en la siguiente tabla.

Nivel de Capacidad Descripción del proceso

0: Proceso Inexistente El proceso no ha sido implementado o no alcanzó su objetivo. Hay poca oninguna evidencia de cualquier avance sistemático en el objetivo del proceso

1:Proceso Ejecutado (un atributo)

El proceso implementado alcanza su objetivo

2: Proceso Gestionado (dos atributos)

El proceso está implementado de forma planificada, monitoreada y ajustada, y sus productos del trabajo han sido adecuadamente establecidos, controlados y mantenidos

3: Proceso Establecido (dos atributos)

El proceso está implementado utilizando un proceso definido, capaz de alcanzar sus resultados.

4: Proceso Predecible (dos atributos)

El proceso opera dentro de los límites definidos para producir sus resultados esperados.

5: Proceso Optimizado (dos atributos)

El proceso es continuamente mejorado, buscando la consecución de los objetivos corporativos pertinentes, actuales o previstos.

Tabla 13: Niveles de Capacidad de Procesos

Como podemos observar, niveles de capacidad más altos, requieren la incorporación de diferentes atributos.

117

Para pensar

Existe una diferencia significativa entre la capacidad de procesos de nivel 1 y los niveles de capacidad más elevados.


¿Cual es la principal diferencia entre los niveles de capacidad 0 y 1 de COBIT?

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________


¿Cómo podemos garantizar que el proceso de Gestión de Cambios en una organización esté en el nivel 5?

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

Niveles de Capacidad de Procesos en la prácticaPara alcanzar las capacidades de proceso de nivel 1, existe el requerimiento de que el atributo de desempeño del proceso sea ampliamente cumplido, esto es, que el proceso sea realizado con éxito y los resultados esperados sean obtenidos por la empresa.

El alcanzar la capacidad de nivel 1 debe ser considerado un importante hito para la empresa, aunquerepresenta un nivel bajo de capacidad para el proceso.

Cada empresa definirá su meta o nivel deseado. En la práctica, las empresas tendrán dificultades para implementar niveles de capacidad más elevados.

Un determinado nivel de capacidad solamente puede ser alcanzado cuando el nivel anterior ha sido plenamente alcanzado.

Por ejemplo, una capacidad de proceso de nivel 3 (proceso establecido) exige que la definición del proceso y de los atributos de implementación sean ampliamente alcanzados además de que se haya alcanzado la consecución plena de los atributos de una capacidad de proceso nivel 2 (proceso gestionado).

118


Identifique los principales desafíos y dificultades para la implementación de niveles de capacidad más elevados en su organización.

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

Modelo de Referencia de Proceso de COBIT 5El modelo de referencia de procesos de COBIT – Enabling Process, de acuerdo con la ISO/IEC 15504, define los requisitos mínimos para la evaluación de los procesos en las áreas de gobernanza y de gestión de una organización. La norma ISO/IEC 15504 tiene como presupuestos que:

El proceso debe ser descrito en términos de objetivos y resultados;

La descripción del proceso no tendrá medición más allá o por debajo del nivel 1;

De esta forma, ninguna característica de un atributo de proceso por debajo del nivel 1 podrá constar en la descripción del proceso; si un proceso fuera medido y monitoreado o formalmente descrito, nopodrá constar de descripción de proceso o de cualquiera de las prácticas o actividades de gestión dentro de este nivel.

En la práctica, esta sistematización indica que las descripciones de un determinado proceso, previsto en la publicación de COBIT 5 – Habilitador Proceso, contiene solamente los pasos necesarios para la consecución de las metas y objetivos del proceso.

Históricamente, algunos modelos (COBIT, ITIL, PRINCE 2) adoptaron un enfoque CMM: SEI (Software Engineering Institute), que combina evaluaciones de capacidad y de madurez en una única evaluación. La ISO 15504, por otro lado, establece dos evaluaciones distintas:

Una evaluación de madurez es realizada en el nivel organizacional y usa una escala de

medición diferente de una evaluación de capacidad, además de diferentes criterios y atributos;

Una evaluación de capacidad se realiza a nivel de proceso y es usada para fines de mejora en

los procesos.

Matemáticamente, no se puede combinar una evaluación de capacidad de diversos procesos para obtener una evaluación de la organización. Esto funciona para el CMMI/SEI, porque está evaluandoun único proceso, el de “desarrollo de ingeniería de software o desarrollo de aplicaciones”. Más aún, la mayoría de los modelos, como COBIT, contienen más de 10 procesos.

La ISO/IEC 15504 establece que las prácticas de gobernanza y gestión, cuando son ejecutadas de

119

forma consistente, contribuyen a alcanzar la finalidad del proceso y que los productos del trabajo (artefacto asociado con la ejecución de un proceso) deben ser definidos en términos de entradas y salidas del proceso.

Comparativo entre los modelos de Madurez y de Capacidad

Los atributos de los modelos de madurez de COBIT 4.1 y de capacidad de COBIT 5, en cierta medida, se sobreponen. La siguiente figura presenta una tabla comparativa entre los atributos de madurez y de capacidad, destacando los que son en común.

Atributo de Madurez de COBIT4.1

Atributo de Capacidad de Procesos en COBIT 5

Desempeñodel proceso

Gestión de Desempeño

Gestión de Producto del trabajo

Definición del proceso

Implementación del proceso

Gestión delproceso

Control del proceso

Innovación del proceso

Optimiza-ción del proceso

Concien-ciación y Comuni-cación

Políticas, planes y procedi-mientos

Herra-mientas y Automati-zación

Habilida-des y Expertise

Respon-sabilida-des

Definiciónde metas ymedición

Tabla 14: Tabla comparativa entre los Modelos de Madurez y de Capacidad

Existen diferencias prácticas asociadas al cambio en los modelos de Evaluación de Procesos. Los profesionales involucrados en actividades de Evaluación de Procesos deben conocer estos cambios y estar prestos a considerarles en sus tareas en las organizaciones.

Los principales cambios considerados están descritos en la siguiente tabla.

Comparación entre Niveles de Madurez (COBIT 4.1) y de Capacidad de Proceso (COBIT 5)

Nivel del Modelo de Madurez Nivel de Capacidad de Proceso Contexto

5. Optimizado: Los procesos están afinados a nivel de buenas prácticas, en base a los resultados de mejoras continuas y modelado

Nivel 5: proceso Optimizado – El proceso predecible (nivel 4) escontinuamente mejorado como forma de satisfacer los objetivos

120

de la madurez en otras organizacionesTI aplicadas de forma integrada para automatizar el flujo de trabajo, ofreciendo herramientas para la mejora de la calidad y de la eficacia, haciendo que la organización se adapte rápidamente.

corporativos pertinentes, actualeso previstos.

4. Controlado y Medible: la administración monitorea y evalúa la conformidad con los procedimientos, y toma medidas cuando los procesos puedan no estar funcionando efectivamente. Los procesos están en constante mejoría y resultan en buenas prácticas. Automatización y herramientas son utilizadas de manera limitada o fragmentada.

Nivel 4: proceso Predecible – El proceso Establecido (nivel 3) opera dentro de límites definidos,capaz de alcanzar sus resultados.

Visión de organización.

Conocimiento corporativo.

3. Proceso Establecido: Los procedimientos fueron normados,documentados y comunicados a través de entrenamiento.Es obligatorio el seguir estos procesos; sin embargo es improbable que desvíos sean detectados. Los procedimientos por sí solos no son sofisticados, sino que son una mejora de las prácticas existentes.

Nivel 3: proceso Establecido – Elproceso Gestionado (nivel 2) es implementado utilizando un proceso definido capaz de alcanzar los resultados del proceso.

Nivel 2: proceso Gestionado – Elproceso Ejecutado, nivel 1, es implementado de forma gestionada (planificado, monitoreado y ajustado) y sus productos del trabajo son adecuadamente establecidos, controlados y mantenidos.

2. Repetible, pero intuitivo: los procesos se desarrollan hasta el estado en que procedimientos semejantes son adoptados por diferentes personas que realizan el mismo trabajo. No hay entrenamiento formal o

Nivel 1: proceso Ejecutado – El proceso implementado permite alcanzar el fin del proceso.Nova: es probable que algunos procesos clasificados como Modelo de Madurez Nivel 1 seanclasificados como nivel 0 en la

Vista de instanciaConocimiento individual.

121

comunicación de estándares de procedimientos. La responsabilidad recae a criterio del individuo. Existe un alto grado de confianza en el conocimiento de las personas y, por lo tanto, pueden existir errores.

ISO/IEC 15504, si los resultados del proceso no fueran alcanzados

1. Inicial o de hecho: existen evidencias de que la organizaciónhaya reconocido la existencia de problemas que deberían ser tratados. No hay procesos normalizados sino que hay enfoques de hecho, que tienden a ser aplicados individualmente o en base a cada caso. El enfoque general de la gestión es desorganizado.

Nivel 1: proceso Ejecutado – El proceso implementado permite alcanzar el fin del proceso.Nota: es probable que algunos procesos clasificados como Modelo de Madurez Nivel 1 seanclasificados como nivel 0 en la ISO/IEC 15504, si los resultados del proceso no fueran alcanzados

0. Inexistente: total falta de procesos reconocibles. La organización no reconoce que existe un problema a ser tratado.

Nivel 0: proceso incompleto – No han sido implementados procesos o no cumplen su finalidad.

Tabla 15: Comparativo entre los Modelos de Madurez y de Capacidad

La anterior tabla demuestra que, comparando los instrumentos de medición de los modelos COBIT 4.1 y COBIT 5 y, principalmente, las modificaciones implementadas en el modelo COBIT 5, se observa que:

Es difícil comparar entre los resultados de la evaluación en los modelos COBIT 4.1 y

COBIT 5, a pesar de las aparentes semejanzas (número de escalas y términos para describirlas);

Las puntuaciones en la evaluación usando COBIT 5 son inferiores a las de COBIT 4.1;

Contenido simplificado a través de la eliminación de duplicación, especialmente en COBIT

4.1, que tenía la duplicación de objetivos de control y las actividades RACI;

Mayor confiabilidad y repetibilidad de actividades y evaluaciones de capacidad de procesos,

reduciendo diferencias y divergencias entre las partes interesadas sobre los resultados obtenidos (basado en evidencias);

Aumento de la usabilidad de la evaluación de la capacidad del proceso, debido a un mayor

rigor del proceso de evaluación;

Conformidad con una norma de evaluación de proceso generalmente aceptada y, por tanto,

122

con un fuerte apoyo del mercado.

En el modelo de madurez de COBIT 4.1, un proceso podría alcanzar el nivel 1 o 2 sin cumplir plenamente todos los objetivos del proceso; en el nivel de capacidad de COBIT 5, esto resultará en una puntuación más baja, de 0 o 1.

Las escalas de capacidad de COBIT 4.1 y COBIT 5 descritas en las anteriores tablas pueden ser utilizadas para realizar una relación aproximada entre los dos modelos.

Basándonos en la anterior tabla, las organizaciones que utilizan el enfoque de atributos del modelo de madurez de COBIT 4.1 pueden reutilizar los datos actuales de su evaluación y reclasificarlos según las evaluaciones de atributos de COBIT 5.

La nomenclatura y el significado de los niveles de capacidad definidos para la ISO7IEC 15504 son distintos de los actuales niveles de madurez de los procesos de COBIT 4.1. En la ISO7IEC 15504, los niveles de capacidad son definidos por un conjunto de nueve atributos de procesos. Estos atributos abarcan algunos fundamentos cubiertos por los actuales atributos de madurez y/o controlesde procesos de COBIT 4.1, pero sólo en cierta medida.

Para COBIT 5, no hay un modelo de madurez específico por proceso detallado, porque el enfoque de evaluación de capacidad basada en la ISO/IEC 15504 no presupone esta sistemática.

Los atributos de madurez de COBIT 4.1 y los atributos de capacidad de proceso de COBIT 5 no son idénticos.

Considerando los cambios entre los modelos de COBIT 4.1 y COBIT 5, consulte el apéndice X, “Análisis comparativo entre los modelos de evaluación de procesos de COBIT 4.1 y COBIT 5” del modelo COBIT 5, en www.isaca.org/cobit, que presenta un material complementario que le permitirá profundizar los conocimientos sobre los cambios en los modelos.

Evaluación de Capacidad de Proceso en la práctica

El enfoque de COBIT 5 define las informaciones requeridas en el “modelo de referencia de proceso”, que será utilizado como referencia para la evaluación.

En esta etapa, la evaluación de la capacidad del proceso debe contemplar:

Descripción del proceso y del objetivo;

Prácticas básicas de gobernanza o gestión, de acuerdo al proceso de COBIT 5;

Productos del trabajo equivalentes a las entradas y salidas de COBIT 5.

En COBIT 5, el modelo de evaluación provee una escala de medición para cada atributo de capacidad y orientación sobre cómo aplicarle; entonces, para cada proceso, una evaluación puede ser realizada para cada uno de los nueve atributos de capacidad.

123



Relacione las principales diferencias entre una evaluación de capacidad de proceso basado en COBIT 5 y una evaluación de madurez basada en COBIT 4.1. Utilice las figuras de este capítulo como referencia para esta pregunta. Consulte, en caso de requerirle, el apéndice X “Análisis comparativo entre los modelos de evaluación de procesos de COBIT 4.1 y COBIT 5” del modelo COBIT 5, en www.isaca.org/cobit, para realizar esta actividad.

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

Los beneficios del modelo de capacidad de procesos de COBIT 5, comparados con los modelos de madurez de COBIT 4.1 incluyen:

Mayor énfasis en el proceso que está siendo realizado, para confirmar que se están

alcanzando, efectivamente, sus objetivos y los resultados esperados;

Simplificación del contenido, eliminando duplicidad de análisis, porque la evaluación del

modelo de madurez de COBIT 4.1 exigía otros componentes (modelo de madurez genérico, modelo de madurez del proceso, objetivos de control y objetivos de control detallados);

Mayor confiabilidad y receptividad de las actividades y análisis de evaluación de la

capacidad del proceso, reduciendo diferencias y malos entendidos entre los participantes en relación a los resultados de la evaluación;

Mayos uso de los resultados de la evaluación de capacidad del proceso, en vista de que el

nuevo modelo establece una base para realizar evaluaciones más rigurosas y formales, tanto para fines internos como externas;

Conformidad con una norma de evaluación de procesos generalmente aceptada y, por tanto,

con un fuerte apoyo a la evaluación del procesos en el mercado.

Correspondencia entre los Niveles y los Atributos de Madurez y Capacidad

COBIT 4.1Nivel de Madurez

ISO/IEC 15504Nivel de Capacidad

Descripción de los atributos

5 Optimizado 5 Optimizado PA5.1 Innovación del procesoPA5.2 Optimización del proceso

4 Administrado y medible 4 Predecible PA4.1 Medición del procesoPA4.2 Control del proceso

3 Definido 3 Establecido PA3.1 Definición del procesoPA3.2 Implantación del proceso

124


2 Repetible 2 Gestionado PA2.1 Gestión de ejecuciónPA2.2 Gestión de los productos del trabajo

1 Inicial/Ad hoc 1 Ejecutado PA1.1 Ejecución del proceso

0 Inexistente 0 Incompleto

Tabla 16: Niveles y Atributos de Madurez y de Capacidad

Descripción de los Atributos de los Procesos PA1.1, PA2.1 y PA2.2

Atributo Descripción

PA1.1 Ejecución del proceso El atributo de desempeño del proceso es una medida de cuánto se alcanza la finalidad del proceso. Como resultado de la realización plena de este atributo, el proceso alcanza sus resultados definidos.

PA2.1 Gestión de Ejecución Una medida de cuánto la ejecución del proceso es gestionada. Como resultado de alcanzar totalmente este atributo:

Los objetivos de desempeño del proceso son identificados. El desempeño del proceso es planificado y monitoreado. El desempeño del proceso está ajustado para cumplir los

planes. Responsabilidades y autorizaciones para la ejecución del

proceso son definidas, atribuidas y comunicadas. Los recursos y las informaciones necesarias para la

ejecución del proceso son identificados, puestos a disposición, asignados y utilizados.

Las interfaces entre las partes involucradas son gestionadas para asegurar una comunicación efectiva y una asignación clara de responsabilidades.

PA2.2 Gestión de los Productosdel Trabajo

Una medida de cuánto los productos del trabajo producidos por el proceso son adecuadamente gestionados. Como resultado de la ejecución completa del atributo:

Los requisitos para los productos de trabajo del proceso son definidos.

Los productos del trabajo estarán debidamente identificados, documentados y controlados.

Los productos del trabajo son revisados de acuerdo con lasdisposiciones previstas, y ajustados de ser necesarios, paracumplir con los requisitos.

Tabla 17: Atributos PA 1.1, PA 2.1 y PA 2.2

Evaluación de Capacidad del ProcesoLa norma ISO/IEC 15504 establece que las evaluaciones de capacidad del proceso pueden ser realizadas con diversos fines y con diversos grados de rigor, pudiendo ser de carácter interno, con

125

enfoque en comparaciones entre las áreas de la empresa y/o mejoras en el proceso interno; o externas, con enfoque en la evaluación, reporte y certificación formal.

Los objetivos de la evaluación de procesos basados en la ISO/IEC 15504:

Permitir al órgano de gobernanza y de administración evaluar el desempeño de capacidad de

procesos;

Permitir verificaciones de integridad “del estado actual” y “del estado deseado” a alto nivel,

a fin de apoyar a la toma de decisiones por el órgano de gobernanza y por la administración en relación a la mejoría de los procesos;

Proporcionar análisis de fallas e informaciones para planificar mejoras, a fin de apoyar la

definición de proyectos de mejoras;

Ofrecer al órgano de gobernanza y administración clasificaciones para las evaluaciones, a

fin de medir y monitorear las capacidades actuales.

La evaluación diferencia entre la capacidad de evaluación nivel 1 y los niveles más altos. De hecho,de acuerdo a lo descrito, la capacidad de proceso nivel 1 describe si un proceso alcanza los objetivos deseados y es, por tanto, un nivel muy importante a ser alcanzado – es fundamental para permitir que los niveles de capacidad más altos sean alcanzados.

Paso a paso de la Evaluación de Capacidad de Procesos

Para evaluar si un proceso alcanza sus objetivos, o sea, la capacidad nivel 1, podemos adoptar los siguientes pasos:

1. Análisis de los resultados del proceso de acuerdo a su descripción detallada y utilice la escala de clasificación ISO/IEC 15504 para atribuir una clasificación al grado de realizaciónde cada objetivo. La escala está formada por los siguientes parámetros:

Nivel Por ciento de cumplimiento Descripción

N (No cumplido) 0 a 15% Existe poca o ninguna evidenciadel cumplimiento del atributo para el proceso

P (Parcialmente cumplido) 15 a 50% Existe alguna evidencia de un enfoque para realizar el atributo y algún cumplimiento del atributo. Algunos aspectos de l cumplimiento pueden ser imprevisibles.

L (Ampliamente cumplido) 50 a 85% Existen evidencias de un enfoque sistemático para alcanzar el atributo y un alcancesignificativo del atributo. Algunas debilidades

126

relacionadas a este atributo pueden existir en el proceso de evaluación.

F (Completamente cumplido) 85 al 100% Existen evidencias de un enfoque completo y sistemático para cumplir con el atributo y el cumplimiento completo del atributo. No existen deficienciassignificativas en relación con este atributo

Tabla 18: Parámetros para evaluación de capacidad

2. A continuación, las prácticas del proceso (gobernanza o gestión) deben ser evaluadas utilizando la misma escala de evaluación, que expresa en qué medida las prácticas básicas fueron aplicadas.

3. Con el objetivo de afinar la evaluación, los productos del trabajo también deben ser tenidos en consideración, para determinar en qué medida un atributo de evaluación específico fue alcanzado.

La definición de los niveles de capacidad deseados es de criterio de cada empresa. Muchas empresas desearán ver todos sus procesos alcanzados, como mínimo a nivel 1. ¿Por qué? Si este nivel no fuera alcanzado, se evidenciarán los motivos en función del enfoque explicado anteriormente y debería definirse un plan de mejoras.

Si el resultado del proceso no fuera alcanzado de forma consistente, el proceso no alcanzará su objetivo y tendrá que ser mejorado.

La evaluación de las prácticas del proceso revelará cuáles prácticas están faltando o fallando, permitiendo que la se adopte una implementación y/o mejora de estas; de forma que los resultados del proceso puedan ser alcanzados.

Programa de Evaluación de Capacidad de COBITLa ISO/IEC 15504-4 identifica el proceso de evaluación como una actividad que puede ser realizada como parte de una iniciativa de mejoras de procesos o como parte de un enfoque de determinación de capacidad del proceso.

El objetivo de la determinación de la capacidad del proceso es identificar los puntos fuertes, los puntos débiles y los riesgos del proceso. Además, un proceso de evaluación de capacidad provee una metodología repetible, comprensible, lógica, confiable y robusta para evaluar la capacidad de los procesos de TI.

El programa de Evaluación de COBIT permite a una empresa obtener una evaluación independientey certificada, alineada con la norma internacional ISO/IEC 15504. El programa de Evaluación de COBIT comprende:

127

Evaluaciones formales efectuadas por evaluadores acreditados;

Autoevaluaciones (menos rigurosas) para el análisis de lagunas internas y planificación de la

mejoría del proceso.


¿Un determinado proceso posee cerca del 40% de cumplimiento de los resultados esperados. Qué significa este porcentaje en términos de evaluación de capacidad definida por COBIT 5?

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________

128

Fundamentos de COBIT 5

Versión ESR-Ecuador

Escuela Superior de Redes, ESR, Ecuador

Se publicó en el mes de Noviembre del 2016,

Publicado por CEDIA,

La Condamine 12-109

Cuenca, Azuay

Ecuador

+593 7 405 1000

[email protected]

129

mailto:[email protected]

Fundamentos de COBIT 5 · COBIT 5 Guías habilitadoras ... ayudado por el material didáctico,...

Documents

Transcript of Fundamentos de COBIT 5 · COBIT 5 Guías habilitadoras ... ayudado por el material didáctico,...