cobit5 introducción

Consultoría Empresarial

Un Marco de Referencia de Negocio para el Gobierno y la Gestión de las TI de la Empresa

Octubre de 2013

Asegúrate que el Language

(default) corresponda al idioma

en el que deseas trabajar la

presentación.

Si deseas cambiarlo a otro

idioma, sigue los siguientes

pasos:

► Click en un text box dentro

del slide

► Escoge el idioma que

vayas a utilizar, click en

Default, luego en OK

Presentado por

Fernando De los Ríos

Consultor

COBIT 5 – INTRODUCCIÓN Página 2 ©FDCE [email protected] www.fdce.net

Información!!

► La información es un recurso clave para todas

las empresas.

► La información se crea, utiliza, retiene,

distribuye y destruye.

► La tecnología juega un papel clave en estas

acciones.

► La tecnología se está volviendo omnipresente

en todos los aspectos de los negocios y la vida

personal.

¿Qué beneficios traen la información y

la tecnología a las empresas?


Beneficios para la Empresa

Las empresas y sus ejecutivos se esfuerzan por:

► Mantener información de calidad para soportar las decisiones del

negocio.

► Generar valor al negocio de las inversiones en tecnologías de

información (TI), p/ej., conseguir los beneficios estratégicos y

concretar los beneficios de negocio mediante el uso innovador de TI.

► Lograr la eficiencia operacional mediante la aplicación confiable y

eficiente de la tecnología.

► Mantener el riesgo de TI en un nivel aceptable.

► Optimizar el costo de los servicios de TI y de la tecnología.

¿Cómo se pueden conseguir estos beneficios para

generar valor para los accionistas?


Valor para los Accionistas

► Para entregar valor a los accionistas se requiere de un

adecuado gobierno y gestión de los activos de información y

de tecnología.

► Los directorios, ejecutivos y gestores deben abordar las TI

como cualquier otra parte importante del negocio.

► Los requerimientos de cumplimiento legales, regulatorios y

contractuales relacionados con el uso de la información y la

tecnología están en aumento, lo que representa una amenaza

al valor si no se cumplen.

► COBIT 5 proporciona un marco de referencia

completo que ayuda a las empresas a lograr

sus objetivos y entregar valor mediante un

Gobierno y Gestión de TI empresarial efectivos.


El Marco de Referencia COBIT 5

► Dicho de una manera sencilla, COBIT 5 ayuda a las empresas a

generar un valor óptimo de TI mediante un balance entre el logro de

beneficios y la optimización de los niveles de riesgo y el uso de

recursos.

► COBIT 5 permite que la información y la tecnología relacionada se

gobiernen y gestionen de manera holística en toda la empresa, de

extremo a extremo del negocio y en las diferentes áreas de

responsabilidad funcional, considerando los intereses relacionados

con TI de las partes interesadas externas e internas.

► Los principios y catalizadores de

COBIT 5 son genéricos y útiles para

empresas de cualquier tamaño,

sean éstas comerciales,

organizaciones sin fines de lucro o

del sector público.


Un Marco de Referencia de Negocio Completo

Un marco de referencia de ISACA, en www.isaca.org/cobit

Gobierno de Gobierno de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Gestión

COBIT3

Control

COBIT2

Auditoría

COBIT1

2005/7 2000 1998

Evo

lució

n d

el A

lca

nce

1996 2012

Val IT 2.0 (2008)

Risk IT (2009)

© 2012 ISACA® Todos los derechos reservados.

http://www.isaca.org/cobit


Familia de Productos COBIT 5

Source: COBIT® 5, figure 1. © 2012 ISACA® All rights reserved.


Principios de COBIT 5



Principio 1: Satisfacer las Necesidades de las Partes Interesadas

Las empresas existen para crear valor a sus accionistas.

Necesidades de las

Partes Interesadas

Conllevan

Realización

de Beneficios

Optimización

del Riesgo

Optimización

de Recursos

Objetivo de Gobierno: Creación de Valor



► Las empresas tienen varias partes interesadas, y “crear valor” tiene

significados diferentes – y a veces en conflicto – para cada una de

ellas.

► El Gobierno se refiere a la negociación y decisión de los intereses de

valor de las diferentes partes interesadas.

► El sistema de Gobierno debe tener en cuenta los intereses de todas

las partes al momento de tomar decisiones referidas a beneficios,

recursos y evaluación de riesgos.

► Al momento de tomar una decisión, se pueden y deben hacer las

siguientes preguntas:

► ¿Quién se beneficia?

► ¿Quién asume el riesgo?

► ¿Qué recursos se requieren?

► ¿Quién se perjudica?



► ¿Cómo se consigue valor mediante el uso de TIC?¿Está el usuario final satisfecho con la

calidad de servicio de TIC?

► ¿Cómo se gestiona el rendimiento de TIC?

► ¿Cómo se puede explotar mejor la tecnología para conseguir nuevas oportunidades

estratégicas?

► ¿Cómo puedo construir y estructurar mejor mi departamento de TIC?

► ¿Cuánto dependo de mis proveedores externos?¿Qué tan bien están siendo

gestionados los acuerdos de tercerización de TIC? ¿Cómo puedo verificarlos sobre

proveedores externos?

► ¿Cuáles son los requisitos de control para la información?

► ¿He contemplado todos los riesgos relacionados con TIC?

► ¿Estoy ejecutando una operación de TIC eficiente y robusta?

► ¿Cómo se controla el coste de TIC?¿Cómo se usan los recursos de TIC en la manera

más efectiva y eficiente?¿Cuáles son las opciones de aprovisionamiento más efectivas y

eficientes?

► ¿Tengo suficiente personal para TIC?¿Cómo puedo desarrollar y mantener sus

habilidades y cómo gestiono su rendimiento?



► ¿Cómo consigo confianza sobre TIC?

► ¿Está bien asegurada la información que se está procesando?

► ¿Cómo se puede mejorar la capacidad de respuesta del negocio mediante un entorno de

TIC más flexible?

► ¿Fracasan los proyectos de TIC en proporcionar lo que habían prometido? Si es así, ¿por

qué permanece la TIC en el camino de ejecutar la estrategia de negocio?

► ¿Cuán crítica es la TIC para la sostenibilidad de la empresa?¿Qué pasaría si la TIC no

estuviera disponible?

► ¿Qué procesos de negocio críticos dependen de TIC y cuáles son los requerimientos de

los procesos del negocio?

► ¿Son suficientes los recursos y la infraestructura de TIC disponibles para conseguir los

objetivos estratégicos de la empresa requeridos?

► ¿Cuánto se tarda en la toma de decisiones importantes de TIC?

► ¿Son transparentes el esfuerzo y las inversiones totales en TIC?

► ¿Respalda TIC a la empresa en el cumplimiento de la normativa y los niveles de

servicio?¿Cómo puedo saber si se cumple con todas las normas aplicables?



► Las necesidades de las partes

interesadas se deben transformar

en una estrategia empresarial

práctica.

► La Cascada de Metas de COBIT 5

traduce las necesidades de las

partes interesadas en objetivos

específicos, prácticos y

personalizados dentro del contexto

de los objetivos de TIC

relacionados con el negocio y

objetivos de catalizadores.

13


Motivadores de las Partes Interesadas

(Entorno, evolución de la tecnología, …)

Objetivos de la Empresa

Objetivos de las TIC

Objetivos de los Catalizadores

Realización

de Beneficios

Optimización

del Riesgo

Optimización

de Recursos

Necesidades de las Partes Interesadas

Influencia

En cascada a

En cascada a

En cascada a



Financieros

► Valor de las inversiones de negocio para las partes interesadas

► Cartera de productos y servicios competitivos

► Riesgos de negocio gestionados

► Cumplimiento de leyes y regulaciones externas

► Transparencia financiera

Relacionados con el Cliente

► Cultura de servicio orientado al cliente

► Continuidad y disponibilidad del servicio de negocio

► Respuestas ágiles a entornos de negocio cambiantes

► Toma de decisiones estratégicas basadas en información

► Optimización de costos de entrega de servicio




Internos

► Optimización de la funcionalidad de los procesos de negocio

► Optimización de costos de los procesos de negocio

► Programas de cambio de negocio gestionados

► Productividad operacional y de los colaboradores

► Cumplimiento de políticas internas

Relacionados con el Aprendizaje y Conocimiento

► Personas preparadas y motivadas

► Cultura de innovación de productos y negocios



Beneficios de la Cascada de Metas de COBIT 5:

► En la práctica, la Cascada de Metas:

► Define objetivos y metas relevantes y tangibles en varios niveles de

responsabilidad.

► Filtra la base de conocimientos de COBIT 5, basado en objetivos

empresariales para obtener las guías relevantes para su inclusión en

proyectos específicos de implementación, mejoramiento o aseguramiento.

► Identifica claramente y comunica cómo los catalizadores (a veces de

manera muy operativa) son importantes para lograr los objetivos

empresariales.


► Permite la definición de prioridades

para la implementación, mejora y

aseguramiento del Gobierno

Empresarial de TI basado en objetivos

(estratégicos) de la empresa y su

riesgo relacionado.

Necesidades de las

Partes Interesadas

Objetivos de la

Empresa

Objetivos

Relacionados con TI

Procesos

Catalizadores


Objetivos Relacionados con las TIC

Financieros

► Alineamiento de las TIC con la estrategia del negocio

► Cumplimiento y soporte de las TIC para el cumplimiento del negocio con las

leyes y regulaciones externas

► Compromiso de la plana ejecutiva para tomar decisiones relacionadas con las

TIC

► Gestión de riesgos relacionados con las TIC

► Beneficios conseguidos por inversiones y portafolio de servicios habilitados

por las TIC

► Transparencia de costos, beneficios y riesgos de las TIC

Relacionados con el Cliente

► Provisión de servicios de TIC en línea con los requerimientos del negocio

► Uso adecuado de aplicaciones, información y soluciones de tecnología



Objetivos Relacionados con las TIC

Internos

► Agilidad de las TIC

► Seguridad de información y de infraestructura de procesamiento y aplicaciones

► Optimización de activos, recursos y capacidades de TIC

► Habilitación y soporte de procesos de negocio mediante la integración de

aplicaciones y tecnología con los procesos de negocio

► Entrega de programas a tiempo, en presupuesto, y cumpliendo los

requerimientos y estándares de calidad

► Disponibilidad de información útil y confiable

► Cumplimiento de las TIC con las políticas internas

Aprendizaje y Conocimiento

► Personal de las TIC y del negocio competente y motivado

► Conocimiento, expertise e iniciativas para la innovación del negocio



Principio 2: Cubrir la Empresa de Extremo a Extremo

► COBIT 5 aborda el Gobierno y Gestión de la Información y

Tecnología Relacionada desde una perspectiva que cubre

la empresa de extremo a extremo.

► Esto significa que COBIT 5:

► Integra el Gobierno de TI en el gobierno de la empresa, es decir, el

Sistema de Gobierno de TI empresarial propuesto por COBIT se

integra perfectamente en cualquier sistema de gobierno porque

COBIT 5 se alinea con las visiones más recientes de gobierno.

► Cubre todas las funciones y procesos dentro de la empresa;

COBIT 5 no solo se enfoca en la función de TI, sino que trata la

información y tecnologías relacionadas como activos que

necesitan gestionarse como cualquier otro activo por todos en la

empresa.


Principio 2: Cubrir la Empresa de Extremo a Extremo

Componentes

Clave de un

Sistema de

Gobierno




Principio 3: Aplicar un Marco de Referencia Único Integrado

► COBIT 5 se alinea con los últimos estándares y marcos de

referencia usados en el mundo empresarial:

► Empresas: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000.

► Relacionados con TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series,

TOGAF, PMBOK/PRINCE2, CMMI .

► Esto permite que la empresa use COBIT 5 como el marco

de referencia integrador general de gobierno y gestión.

► ISACA planea una capacidad para

facilitar al usuario de COBIT el mapeo

de prácticas y actividades de

referencias de terceros.


Principio 4: Hacer Posible un Enfoque Holístico

Los catalizadores de COBIT 5 son:

► Factores que, individual y colectivamente, tienen

influencia en que algo funcione – en el caso de COBIT, el

Gobierno y Gestión de la TI empresarial.

► Manejados por la Cascada de Metas, es decir, los

objetivos relacionados con TI de alto nivel definen aquello

que los diferentes catalizadores deben lograr.

► Descritos en el marco de referencia COBIT 5 en siete

categorías.



Recursos

2. Procesos 3. Estructura

Organizacional

4. Cultura, Ética

y

Comportamiento

1. Principios, Políticas y Marcos de Referencia

5. Información 6. Servicios,

Infraestructura y

Aplicaciones

7. Personas,

Habilidades y

Competencias




1. Los Procesos describen un conjunto organizado de prácticas y actividades para

alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas

generales relacionadas con TI.

2. Las Estructuras Organizativas son las entidades de toma de decisiones clave en una

organización.

3. La Cultura, Ética y Comportamiento de los individuos y de la empresa son muy a

menudo subestimados como factor de éxito en las actividades de Gobierno y Gestión.

4. Los Principios, Políticas y Marcos de Referencia son el vehículo para traducir el

comportamiento deseado en guías prácticas para la gestión del día a día.

5. La Información impregna toda la organización e incluye toda la información producida y

utilizada por la empresa. La información es necesaria para mantener la organización

funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo

el producto clave de la empresa en sí misma.

6. Los Servicios, Infraestructuras y Aplicaciones incluyen la infraestructura, tecnología

y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento

de la información.

7. Las Personas, Habilidades y Competencias están relacionadas con las personas y

son necesarias para poder completar de manera satisfactoria todas las actividades y

para la correcta toma de decisiones y de acciones correctivas.



► Gobierno y Gestión Sistémicos mediante catalizadores

interconectados: para conseguir los objetivos principales de la

empresa, siempre se debe considerar un conjunto interconectado de

catalizadores, esto es, que cada catalizador:

► Necesita el input de otros catalizadores para ser completamente efectivo,

p/ej., los procesos necesitan información, las estructuras organizacionales

necesitan competencias y comportamiento.

► Entrega una salida para beneficiar a otros catalizadores, p/ej., los

procesos entregan información, las competencias y comportamientos

hacen que los procesos sean eficientes.

► Este es un principio CLAVE surgido del

trabajo desarrollado por ISACA alrededor

del Modelo de Negocio para Seguridad

de Información (BMIS).



Dimensiones de los catalizadores de COBIT 5:

Todos los catalizadores tienen un conjunto de dimensiones comunes.

Este conjunto de dimensiones comunes:

►Provee una forma común,

simple y estructurada de

tratar con los

catalizadores.

►Permite a una entidad

gestionar sus

interacciones complejas.

►Facilita salidas exitosas

de los catalizadores.


Principio 5: Separar el Gobierno de la Gestión

► El marco de referencia COBIT 5 establece una clara

diferencia entre el Gobierno y la Gestión.

► Estas dos disciplinas:

► Abarcan diferentes tipos de actividades .

► Requieren diferentes estructuras organizacionales.

► Sirven para diferentes propósitos.

► Gobierno—En la mayoría de empresas, el Gobierno es

responsabilidad del directorio bajo el liderazgo del

Presidente del Directorio.

► Gestión—En la mayoría de empresas, la Gestión es

responsabilidad de la plana ejecutiva bajo el liderazgo del

Gerente General.



► El Gobierno asegura que se evalúan las necesidades,

condiciones y opciones de las partes interesadas para

determinar que se alcanzan las metas corporativas

equilibradas y acordadas; estableciendo la dirección a

través de la proiorización y la toma de decisiones; y

midiendo el rendimiento y el cumplimiento respecto a la

dirección y metas acordadas.

► La Gestión planifica, construye,

ejecuta y controla actividades

alineadas con la dirección

establecida por el cuerpo de

gobierno para alcanzar las metas

empresariales.



COBIT 5 no es normativo, pero aboga porque las organizaciones implementen

procesos de gobierno y gestión de manera que se cubran las áreas clave, como

se muestra en el gráfico.



► El marco de referencia COBIT 5 describe siete categorías de

catalizadores (4° Principio). Los procesos son una categoría.

► Una empresa puede organizar sus procesos como mejor le

acomode, en tanto se cubran todos los objetivos necesarios de

gobierno y gestión. Las empresas más chicas pueden tener

menos procesos; las empresas más grandes y complejas

pueden tener muchos procesos, todos para cubrir los mismos

objetivos.

► COBIT 5 incluye un modelo de procesos de referencia

(PRM), que define y describe en detalle un número de procesos

de gobierno y gestión. Los detalles de este catalizador en

específico están contenidos en el manual COBIT 5: Procesos

Catalizadores.


Procesos Catalizadores

► El manual COBIT 5: Procesos Catalizadores complementa al

manual de COBIT 5 y contiene una guía de referencia detallada

de los procesos definidos en el modelo de referencia de

procesos de COBIT 5.

► Se recapitula y complementa la cascada de metas de COBIT 5 con un

conjunto de métricas de ejemplo para los objetivos empresariales y los

objetivos relacionados con las TI.

► Se explica el modelo de procesos de COBIT 5 y se definen sus

componentes.

► Se muestra un diagrama de este modelo de

referencia de procesos.

► Contiene la información detallada de los 37

procesos de COBIT 5 contenidos en el

modelo de referencia.



► El modelo de referencia de procesos COBIT 5 subdivide

las prácticas relacionadas con TI y las actividades de la

empresa en dos áreas principales – Gobierno y Gestión –

y a su vez la Gestión la divide en dominios de procesos:

► El dominio de GOBIERNO contiene cinco procesos de gobierno;

cada uno de estos procesos considera la Evaluación, Dirección y

Monitoreo (EDM).

► Los cuatro dominios de

la GESTIÓN están

alineadas con las áreas

de responsabilidad de

Planear, Construir,

Operar, y Evaluar

(PBRM).




Procesos de Gobierno de TI Empresarial

Evaluar, Dirigir y Monitorear

Procesos de Gestión de TI Empresarial

Alinear, Planear y Organizar

APO01

Gestionar el

Marco de

Gestión de TI

APO02

Gestionar la

Estrategia

APO03

Administrar la

Arquitectura

Empresarial

APO06

Gestionar los

Costos y el

Presupuesto

APO04

Gestionar la

Innovación

APO05

Gestionar la

Cartera

APO07

Gestionar los

Recursos

Humanos

APO08

Gestionar

las

Relaciones

APO09

Gestionar los

Acuerdos de

Servicios

APO10

Gestionar a los

Proveedores

APO11

Gestionar la

Calidad

APO12

Gestionar

el Riesgo

APO13

Gestionar la

Seguridad

Construir, Adquirir e Implementar

BAI01

Gestionar

Programas y

Proyectos

BAI02 Gestionar la

Definición de

Requerimientos

BAI03 Gestionar la

Identificación y

Construcción de

Soluciones

BAI06

Gestionar los

Cambios

BAI04 Gestionar la

Disponibilidad y

Capacidad

BAI05 Gestionar la

Habilitación del

Cambio

Organizacional

BAI07 Gestionar la

Aceptación y

Transición de los

Cambios

BAI08

Gestionar el

Conocimiento

BAI09

Gestionar los

Activos

BAI10

Gestionar la

Configuración

Operación, Servicio y Soporte

DSS01

Gestionar las

Operaciones

DSS02 Gestionar los

Requerimientos de

Servicio e Incidentes

DSS03

Gestionar los

Problemas

DSS06 Gestionar los

Controles de los

Procesos de Negocio

DSS04

Gestionar la

Continuidad

DSS05 Gestionar los

Servicios de Seguridad

Monitorear, Medir y

Evaluar

MEA01 Monitorear, Medir

y Evaluar el Rendimiento

y la Conformidad

MEA02 Monitorear,

Medir y Evaluar el

Sistema de Control

Interno

MEA03 Monitorear, Medir y

Evaluar el Cumplimiento de

los Requerimientos

Externos

EDM01 Asegurar el

Establecimiento y

Mantenimiento del

Marco de Gobierno

EDM02 Asegurar

la Optimización

del Valor

EDM03 Asegurar

la Optimización

del Riesgo

EDM04 Asegurar

la Optimización

de los Recursos

EDM05 Asegurar

la Transparencia

a los

Stakeholders



Marcos de Referencia Catalizadores


Implementación

► La mejora del Gobierno Empresarial de TI (GEIT) es

reconocida ampliamente como una parte esencial del Gobierno

Empresarial.

► La información y la omnipresencia de la tecnología de la

información forman cada vez más parte de todos los aspectos

de los negocios y de la vida pública.

► Nunca ha sido mayor la necesidad de impulsar un mayor valor

de las inversiones de TI y administrar cada vez mayores

riesgos relacionados con TI.

► El aumento de la regulación y la legislación sobre el uso

comercial de la información también está impulsando una

mayor concientización de la importancia de un entorno de TI

bien gobernado y gestionado.


Implementación

► ISACA ha desarrollado el marco de referencia COBIT 5 para

ayudar a las empresas a implementar los catalizadores para el

buen Gobierno Corporativo. En efecto, la implementación de un

buen GEIT es casi imposible sin la participación de un marco

de gobierno eficaz. También se dispone de las mejores

prácticas y estándares para apoyar a COBIT 5.

► Los marcos de referencia, las mejores prácticas y los

estándares son útiles solo si se adoptan y se adaptan

efizcazmente. Hay retos que se tienen que superar y asuntos

que deben ser abordados si se quiere implementar el GEIT de

manera exitosa.

► El manual “COBIT 5: Implementación” proporciona

información sobre cómo hacer esto.


Implementación

► El manual “COBIT 5: Implementación” abarca los

siguientes temas:

► Posicionamiento del GEIT en la empresa.

► Los primeros pasos para mejorar el GEIT.

► Desafíos de la implementación y factores de éxito.

► Habilitación del cambio organizacional y de comportamiento

relacionados con el GEIT.

► Implementación de la mejora continua, que incluye la habilitación

del cambio y la gestión del programa.

► Usando COBIT 5 y sus componentes.


Implementación

Gestión del programa

(anillo exterior)

Habilitación del cambio

(anillo intermedio)

Ciclo de vida de mejora continua

(anillo interior)


En Resumen…

COBIT 5 integra los cinco principios que

permiten a la empresa construir un marco de

referencia de Gobierno y Gestión efectivos

basado en un conjunto holístico de siete

Catalizadores que optimizan la inversión y el

uso de la Información y la Tecnología para

beneficio de las Partes Interesadas.

cobit5 introducción

Business