You are on page 1of 35

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINSITARTIVAS


CONTABILIDAD Y AUDITORIA
CA10-5

AUDITORIA DE SISTEMAS INFORMÁTICOS II

RESUMEN GENERAL DEL SÍLABO

GRUPO N° 4

DR. MARCO ANTONIO QUINTANILLA ROMERO

INTEGRANTES:

ANAGO JONATHAN
ENRIQUEZ ALEXANDRA
GUTIERREZ LENIN
GUALLO FRANCISCA
PARCO JENNY
SINCHE BYRON
TROYA PABLO
VIVEROS CINDY

QUITO, 17 DE OCTUBRE DEL 2017


2017- 2018
1

CONTENIDO
..............................................................................................................................................................................................

Contenido .......................................................................................................................................................... 1
UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TIC DE LA EMPRESA ............................... 3
Misión ISACA................................................................................................................................................... 3
Visión ISACA.................................................................................................................................................... 3
Administración de la Información ................................................................................................................... 4
Visión General de COBIT 5 .............................................................................................................................. 5
Objetivo General............................................................................................................................................. 5
Objetivos específicos ...................................................................................................................................... 5
PRINCIPIO 1: SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS ..................................................... 6
Cascada de Metas de COBIT 5......................................................................................................................... 7
PRINCIPIO 2: CUBRIR LA EMPRESA EXTREMO A EXTREMO ................................................................................ 7
Enfoque de Gobierno...................................................................................................................................... 8
Catalizadores de Gobierno .............................................................................................................................. 8
Alcance de Gobierno....................................................................................................................................... 8
Roles, Actividades y Relaciones ....................................................................................................................... 8
PRINCIPIO 3: APLICAR UN MARCO DE REFERENCIA ÚNICO INTEGRADO ........................................................... 9
Marco Integrador de COBIT 5 ......................................................................................................................... 9
PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO .................................................................................. 10
Enfoque Holístico.......................................................................................................................................... 10
Dimensiones de los Catalizadores de COBIT 5 ............................................................................................... 11
Las cuatro dimensiones comunes de los catalizadores son: .......................................................................... 11
PRINCIPIO 5: SEPARAR EL GOBIERNO DE LA GESTIÓN ..................................................................................... 11
Gobierno....................................................................................................................................................... 11
Es necesario identificar los tipos de gobiernos que existen ........................................................................... 12
Ejemplo de un Modelo de Gobierno ............................................................................................................. 12
Gestión ......................................................................................................................................................... 12
Interacciones entre Gobierno y Gestión........................................................................................................ 13
Modelo de Referencia de Procesos de COBIT 5............................................................................................. 14
El proceso administrativo.............................................................................................................................. 15
GUÍA DE IMPLANTACIÓN INTRODUCCIÓN ...................................................................................................... 16
CONSIDERANDO EL CONTEXTO EMPRESARIAL ................................................................................................ 17
Enfoques:...................................................................................................................................................... 17
Una implementación con éxito depende de los siguientes factores ............................................................. 18
CREANDO EL ENTORNO APROPIADO ............................................................................................................... 19
2

RECONOCIENDO LAS PUNTOS DÉBILES Y SUS EVENTOS DESENCADENANTES................................................. 20


FACILITANDO EL CAMBIO ................................................................................................................................ 21
UN ENFOQUE DE CICLO DE VIDA ..................................................................................................................... 22
Modelo de Capacidad de los Procesos COBIT 5 ............................................................................................... 23
Dimensión de procesos ................................................................................................................................. 25
MODELOS DE MADUREZ COBIT 4 VS COBIT 5 .................................................................................................. 25
MODELO DE MADUREZ COBIT 4.1 ................................................................................................................ 25
MODELOS DE MADUREZ DE CAPACIDAD DE PROCESOS Y EVALUACIONES COBIT 5 ...................................... 27
Diferencias del modelo ................................................................................................................................. 27
DIFERENCIA ENTRE LOS ATRIBUTOS DE MADUREZ Y LOS ATRIBUTOS DE PROCESOS COBIT 4 VS COBIT 5 ..... 27
DIFERENCIAS COBIT 5 VS COBIT 4 ................................................................................................................. 30
EVALUACIÓN DE CAPACIDADES EN COBIT 5 .................................................................................................... 30
Elementos de la evaluación de procesos ....................................................................................................... 31
CONCLUSIÓN ................................................................................................................................................... 33
RECOMENDACIÓN ........................................................................................................................................... 33
BIBLIOGRAFÍA................................................................................................................................................... 34
NETGRAFICA .................................................................................................................................................... 34
3

UN MARCO DE NEGOCIO PARA EL GOBIERNO Y


LA GESTIÓN DE LAS TIC DE LA EMPRESA

Misión ISACA
Contribuir a la calidad y excelencia de la gestión de los SI / TIC en España así como fomentar la
calidad y excelencia de la profesión.

Visión ISACA
 Ser el referente en la Auditoría, Seguridad y Control de los SI / TIC en la Sociedad y ante las
Autoridades.
 Generar un beneficio mantenido de servicios a nuestros asociados.
 Fomentar la formación continuada de los miembros de la Asociación.
 Promover la participación activa de los asociados.

COBIT 5 Contiene el marco para el gobierno y la gestión de las TI de la empresa, ayuda a las
empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de
beneficios y la optimización de los niveles de riesgo y el uso de recursos.

El marco COBIT 5 se construye sobre cinco principios básicos, que quedan cubiertos en detalle e
incluyen una guía exhaustiva sobre los catalizadores para el gobierno y la gestión de las TI de la
empresa.

Fuente: COBIT 5 Un marco de negocio para el gobierno y la gestión de las


TIC de la empresa
4

Administración de la Información
COBIT 5 de ISACA es el único marco de negocios para la administración y la gestión de la
información y la tecnología en la empresa. Ofrece principios, prácticas, herramientas analíticas y
modelos aceptados mundialmente diseñados para ayudar a los líderes de negocios y de TI a
maximizar la confianza y el valor de la información y de los activos de tecnología de su empresa.

Los productos COBIT se han organizado en tres niveles diseñados para dar soporte a lo siguiente:

El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de los
accionistas, las condiciones y opciones; establecer la dirección a través de la priorización y la toma
de decisiones; y monitorear el desempeño, el cumplimiento y el progreso versus la dirección y
objetivos acordados.
Por su parte la gestión se ocupa de planificar, construir, ejecutar y monitorear las actividades
alineadas con la dirección establecida por el organismo de gobierno para el logro de los objetivos
empresariales.

Fuente: COBIT 5 Un marco de negocio para el gobierno y la gestión de


las TIC de la empresa
5

La publicación COBIT 5 contiene el marco COBIT 5 para el gobierno y la gestión de las TI de la


empresa. La publicación es parte de la familia de productos de COBIT 5:

Fuente: COBIT 5 Un marco de negocio para el gobierno y la gestión de las TIC


de la empresa

Visión General de COBIT 5


 Considerar la dependencia creciente del éxito de la empresa en compañías externas y
grupos de TI tales como contratistas externos, proveedores, consultores, clientes,
proveedores de servicios en la nube y otros servicios y en un conjunto variado de medios .
 Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los
aspectos que llevan a la gestión y el gobierno eficaz de las TI de la empresa.

Objetivo General
Permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en
una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información
así como su uso en beneficio de las partes interesadas.

Objetivos específicos
6

PRINCIPIO 1: SATISFACER LAS NECESIDADES DE


LAS PARTES INTERESADAS

Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre
la realización de beneficios y la optimización de los riesgos y el uso de recursos.

COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creación de
valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una
empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de
metas, traduciendo metas corporativas de alto nivel en otras metas más manejables, específicas,
relacionadas con TI y mapeándolas con procesos y prácticas específicos.
7

Cascada de Metas de COBIT 5


Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas
específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas
relacionadas con la TI y de las metas habilitadoras. Las necesidades de las partes interesadas están
influenciadas por los cambios de estrategia, un negocio y entorno regulatorio cambiantes y las
nuevas tecnologías.

Permite definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la
TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados. Definen los
objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad.

Identifican y comunican qué importancia tienen los habilitadores (algunas veces muy
operacionales) para lograr las metas corporativas.

PRINCIPIO 2: CUBRIR LA EMPRESA EXTREMO A


EXTREMO
La metodología de COBIT 5 contempla el gobierno y la gestión de la información y la tecnología
relacionada desde una perspectiva extremo a extremo y para toda la empresa. Por lo tanto:

 Integra el gobierno de la empresa TI en el gobierno corporativo. Es decir, el sistema de


gobierno para la empresa TI propuesto por COBIT 5 se integra sin problemas en cualquier
sistema de gobierno.

 Cubre todas las funciones y procesos necesarios para gobernar y gestionar la información
corporativa y las tecnologías relacionadas donde quiera que esa información pueda ser
procesada.

COBIT 5 proporciona una visión integral y sistémica del gobierno y la gestión de la empresa TI,
basada en varios catalizadores. Los catalizadores son para toda la empresa y extremo a extremo,
es decir, incluyendo todo y a todos, internos y externos, que sean relevantes para el gobierno y la
gestión de la información de la empresa y TI relacionada.

La información es una de las categorías de catalizadores de COBIT. Se define los catalizadores


permite a cada grupo de interés definir requisitos exhaustivos y completos para la información y
el ciclo de vida de procesamiento de la información.
8

Enfoque de Gobierno
El enfoque de gobierno extremo a extremo que es la base de COBIT 5 está representado en la
siguiente figura, mostrando los componentes clave de un sistema de gobierno.

Catalizadores de Gobierno
Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales como marcos
de referencia, principios, estructuras, procesos y prácticas, a través de los que o hacia los que las
acciones son dirigidas y los objetivos pueden ser alcanzados.

Alcance de Gobierno
El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible,
etc. Es decir, es posible definir diferentes vistas de la empresa a la que se aplica el gobierno, y es
esencial definir bien este alcance del sistema de gobierno.

Roles, Actividades y Relaciones


Un último elemento son los roles, actividades y relaciones de gobierno. Definen quién está
involucrado en el gobierno, como se involucran, lo que hacen y cómo interactúan, dentro del
alcance de cualquier sistema de gobierno.
9

PRINCIPIO 3: APLICAR UN MARCO DE


REFERENCIA ÚNICO INTEGRADO

COBIT 5 es un marco de referencia único e integrado ya que:

 Se alinea con otros estándares y marcos de referencia relevantes y, por tanto, permite a la
empresa usar COBIT 5 como el marco integrador general de gestión y gobierno.
 Es completo en cuanto a la cobertura de la empresa, proporcionando una base para
integrar de manera efectiva otros marcos, estándares y prácticas utilizadas.
 Proporciona una arquitectura simple para estructurar los materiales de guía y producir un
conjunto consistente.
 Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA.
ISACA ha investigado las áreas clave del gobierno corporativo durante muchos años y ha
desarrollado estándares.

Marco Integrador de COBIT 5


Se puede observar como COBIT 5 logra su papel de marco integrado y alineado
10

PRINCIPIO 4: HACER POSIBLE UN ENFOQUE


HOLÍSTICO
Enfoque Holístico
Se refiere a la capacidad del auditor de buscar una cosmovisión de la organización a la cual le está
practicando una auditoria, ya que organización y entorno funcionan en una suerte de relación
activa, multidireccional y vital, en la que el entorno influye y es influido por las decisiones de la
organización. (NORKA, s.f.)

Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo funcionará
en este caso, el gobierno y la gestión de la empresa TI, impulsados por las metas en cascada, es
decir las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes
habilitadores.

Los habilitadores están descritos por el marco de COBIT 5 en siete categorías.

Principios, políticas y •Son el vehículo para traducir el comportamiento deseado


marcos de referencia: en guías prácticas para la gestión del día a día.

•Describen un conjunto organizado de prácticas y


actividades para alcanzar ciertos objetivos y producir un
Procesos: conjunto de resultados que soporten las metas generales
relacionadas con TI.

•Son las entidades de toma de decisiones clave en una


Estructuras organizativas: organización.

Cultura, ética y •Son a menudo subestimados como factor de éxito en


comportamiento: las actividades de gobierno y gestión.

•Impregna toda la organización e incluye toda la


Producida y utilizada por la empresa, esta es necesaria
Información: para mantener la organización funcionando, a nivel
operativo, la información es el producto clave de la
empresa.

Servicios, infraestructuras •Incluyen la infraestructura, tecnología y aplicaciones


que proporcionan a la empresa, servicios y tecnologías
y aplicaciones: de procesamiento de la información.

•Están relacionadas con las personas y son necesarias


Personas, habilidades y para poder completar de manera satisfactoria todas las
competencias: actividades y para la toma de decisiones y de acciones
correctivas.
11

Dimensiones de los Catalizadores de COBIT 5

Todos los catalizadores tienen un conjunto de dimensiones comunes que permite a una entidad
manejar sus complejas interacciones y facilita resultados exitosos.

Las cuatro dimensiones comunes de los catalizadores son:

 Grupos de interés
 Metas
 Ciclo de vida
 Buenas prácticas

PRINCIPIO 5: SEPARAR EL GOBIERNO DE LA


GESTIÓN

El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión; estos dos métodos
abarcan diferentes tipos de actividades y necesidades de acuerdo a los requerimientos de la
organización, las mismas que tiene diferentes estructuras de acuerdo a los niveles
organizacionales y que serán utilizadas para diversos propósitos.

La posición de COBIT 5 sobre esta fundamental distinción entre gobierno y gestión es:

Gobierno

El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes
interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas;
estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a la dirección y metas acordadas.

En la mayoría de las empresas, el gobierno es responsabilidad del consejo de administración bajo


la dirección de su presidente.
12

Es necesario identificar los tipos de gobiernos que existen

 Gobierno Corporativo
 Gobierno de Proyectos
 Gobierno de Tecnologías de Información
 Gobierno Ambiental
 Gobierno Económico y Financiero

Cada uno de estos tipos de organización enlistados tiene una o más fuentes de orientación, cada
uno con los objetivos similares pero con frecuencia varían los términos, las técnicas y
metodologías para su realización y aplicación.

Estos enfoques se basan normalmente en facilitadores de diversos tipos por ejemplo: los
principios, las políticas, los modelos arcos, estructuras organizacionales.

Ejemplo de un Modelo de Gobierno

Gestión
La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección
establecida por el cuerpo de gobierno para alcanzar las metas empresariales, la descripción de
13

este proceso es continuamente identificar, evaluar y reducir los riesgos relacionados con TI dentro
de los niveles de tolerancia establecidos por la dirección ejecutiva de la empresa CEO.

El objetivo de este proceso es integrar la gestión de riesgos empresariales relacionados con TI con
el ERM en general y equilibrar los costos y beneficios de la gestión de riesgos de la empresa.

Dado el papel de gobierno evaluar, orientar y vigilar – se requiere un conjunto de interacciones


entre gobierno y gestión para obtener un sistema de gobierno eficiente y eficaz.

Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas
de gobierno y gestión queden cubiertas. COBIT 5 proporciona un modelo de referencia común
entendible para las operaciones de TI y los responsables de negocio. Es un modelo completo e
integral, pero no constituye el único modelo de procesos posible. Cada empresa debe definir su
propio conjunto de procesos, teniendo en cuenta su situación particular.

La incorporación de un modelo operacional y un lenguaje común para todas las partes de la


empresa involucradas es uno de los pasos más importantes y críticos hacia el buen gobierno.

Interacciones entre Gobierno y Gestión

De acuerdo a los mencionado por (ISACA, 2012), “Partiendo de las definiciones entre gobierno y
gestión, está claro que comprenden diferentes tipos de actividades, con diferentes
responsabilidades; sin embargo, dado el papel de gobierno – evaluar, orientar y vigilar se requiere
14

un conjunto de interacciones entre gobierno y gestión para obtener un sistema de gobierno


eficiente y eficaz.” Estas interacciones, empleando una estructura de catalizadores.

Modelo de Referencia de Procesos de COBIT 5

COBIT 5 no es prescriptivo, pero sí defiende que las empresas implementen procesos de gobierno
y de gestión de manera que las áreas fundamentales estén cubiertas en las áreas Clave de
Gobierno y Gestión de COBIT 5. Una empresa puede organizar sus procesos como crea
conveniente, siempre y cuando las metas de gobierno y gestión queden cubiertas. Empresas más
pequeñas pueden tener pocos procesos; empresas más grandes y complejas pueden tener
numerosos procesos, pero todos con el ánimo de cubrir las mismas metas. COBIT 5 incluye un
modelo de referencia de procesos que define y describe en detalle varios procesos de gobierno y
de gestión.
Dicho modelo representa todos los procesos que normalmente encontramos en una empresa
relacionados con las actividades de TI, proporciona un modelo de referencia común entendible
para las operaciones de TI y los responsables de negocio. El modelo de proceso propuesto es un
modelo completo e integral, pero no constituye el único modelo de procesos posible. Cada
empresa debe definir su propio conjunto de procesos, teniendo en cuenta su situación particular.
La incorporación de un modelo operacional y un lenguaje común para todas las partes de la
15

empresa involucradas en las actividades de TI, es uno de los pasos más importantes y críticos
hacia el buen gobierno. Adicionalmente proporciona un marco para medir y vigilar el rendimiento
de TI, proporcionar garantía de TI, comunicarse con los proveedores de servicio e integrar las
mejores prácticas de gestión.

El proceso administrativo

Según el autor (Henry, 1879) “Un proceso es el conjunto de pasos o etapas para llevar a cabo una
actividad, y en el proceso administrativo se distinguen fases o etapas sucesivas a través de las
cuáles se efectúa la administración, mismas que se interrelacionan y forman un proceso integral.
Tales etapas son: planificación, organización, dirección y control”

Cada dominio contiene un número de procesos. A pesar de que, según hemos descrito antes, la
mayoría de los procesos requieren de actividades de “planificación”, “implementación”,
“ejecución” y “supervisión”, bien en el propio proceso, o bien en la cuestión específica a resolver
(como por ejemplo: calidad, seguridad), están situados en dominios de acuerdo con el área más
relevante de actividad cuando se considera la TI a un nivel empresarial. El modelo de referencia de
procesos de COBIT 5 es el sucesor del modelo de procesos de COBIT 4.1 e integra también los
modelos de procesos de Risk IT y Val IT. La figura 16 muestra el conjunto completo de los 37
procesos de gobierno y gestión de COBIT 5. Los detalles de todos los procesos, de acuerdo con el
modelo de proceso anteriormente descrito, están recogidos en la guía COBIT 5: Procesos
Catalizadores.
16

GUÍA DE IMPLANTACIÓN INTRODUCCIÓN

El óptimo provecho de COBIT se da si solo es adoptado de manera eficaz y adaptándose al


entorno único de cada empresa, resolviendo los desafíos específicos, incluyendo la gestión de
cambios de cultura y de comportamiento.

El empleo de un marco como COBIT 5 busca la implementación y mejora continua, aportando una
serie de beneficios que logren los objetivos de las TI, varios ejemplos:

 Realizar un caso de negocio para la implementación y mejora del gobierno y gestión de


TI.
 Reconocer los típicos puntos débiles y eventos desencadenantes
 Crear el entrono apropiado para la implementación
 Identificar carencias y guiar en el desarrollo de elementos facilitadores como políticas,
procesos, principios, estructuras organizativas, roles y responsabilidades.
17

CONSIDERANDO EL CONTEXTO EMPRESARIAL


El gobierno y la gestión de la TI empresarial no suceden de manera aislada, es decir, la integración
de la aplicación de las actividades dentro de una empresa requiere un enfoque sistémico para el
eficaz logro de los objetivos empresariales de sus grupos de interés.

Enfoques:

 Ética y cultura: Se estudia por los actos humanos las cuales se realizan por libertad y
voluntad absoluta y la cultura es un sistema de creencias de cada individuo.
 Leyes aplicables, regulaciones y políticas: Lineamientos a las cuales están sujetas las
personas.
 Misión.- razón de ser de la empresa, su esencia misma, el motivo de para qué existe en el
mundo.
 Visión.- situación futura que desea alcanzar la organización
 Valores.- cultura empresarial que consideramos irrompibles
 Políticas.- actividad orientada en forma ideológica a la toma de decisiones de un grupo
para alcanzar ciertos objetivos.
 Prácticas de gobierno.- conjunto de principios y normas que regulan el diseño, integración
y funcionamiento de los órganos de gobierno de la empresa.
 Plan de negocio y perspectivas estratégicas
 El plan de negocios: presenta un análisis del mercado y establece el plan de acción que
seguirá para alcanzar el conjunto de objetivos que se ha propuesto.
 Modelo operativo y nivel de madurez
 Modelo operativo.- describe el funcionamiento de una organización y define las
capacidades de negocio requeridas para ejecutar la estrategia de forma eficiente
 Nivel de madurez.- consiste en desarrollar un método de asignación de puntos para que
una organización pueda calificarse desde Inexistente hasta Optimizada (de 0 a 5).
 Estilo de gestión
Conjunto de normas y procedimientos que se ejercen para la consecución de los objetivos y
propósitos definidos por la organización.
 Umbral de riesgo
18

Define “hasta donde nos preocupan los riesgos”, es decir, para que riesgos debemos preparar
ya una estrategia de respuesta (o incluso de contingencia) y cuales simplemente quiero
“vigilar”
 Capacidades y recursos disponibles
Recursos y Capacidades entiende a la empresa como un ente heterogéneo, compuesto por un
conjunto idiosincrásico y ordenado de recursos y capacidades necesarios para competir en un
mercado concreto.
 Prácticas de la industria
Esto implica un profundo cambio en la cultura y en la práctica comercial, a veces llamada
"segunda revolución industrial", que considera a los productos y procesos industriales como
parte de un ecosistema industrial mayor, formando un sistema casi cerrado de flujo de
materiales.
Es igualmente importante aprovechar y desarrollar los catalizadores de gobierno empresarial
existentes.
Cada empresa tendrá un enfoque distinto tanto para el gobierno como para la gestión de la TI
empresarial, de tal manera que debemos lograr un completo conocimiento y entendimiento
del COBIT, para poder implementarlo, adaptarlo de acuerdo a las características y necesidades
de la empresa, es decir ajustarse a requisitos específicos de cada organización.

Una implementación con éxito depende de los siguientes factores


 La dirección debe gestionar la orientación y las directrices para iniciar con el proceso,
así como generar compromiso y brindar apoyo para toda la organización.
 Es indispensable apoyar los procesos de gobierno y gestión para comprender el
negocio y las metas de TI.
 La comunicación debe ser efectiva dentro de la organización para lograr el
entendimiento, captación de información y habilitación de cambios necesarios.
 COBIT debe ser personalizado para adoptar y adaptar al entorno único de cada
organización.
 Direccionarse a resultados inmediatos y mejoras más beneficiosas y rápidas de
implementar.
19

CREANDO EL ENTORNO APROPIADO

Es importante para las iniciativas de implementación que se apoyen en COBIT que sean
correctamente gobernadas y adecuadamente gestionadas. La mayoría de las iniciativas relacionadas
con TI fracasan a menudo por una dirección, soporte y supervisión inadecuados por las distintas
partes interesadas necesarias, y la implementación de herramientas de gobierno o gestión de TI que
se apoyan en COBIT no es diferente.

Los catalizadores que aprovecha COBIT deberían proporcionar una solución considerando
necesidades y problemas reales de negocio en lugar de ser un fin en sí mismos. Los requerimientos
basados en aspectos sensibles y factores actuales deberían ser identificados por la dirección como
áreas que tienen que ser consideradas. Las comprobaciones de alto nivel, los diagnósticos y las
valoraciones basadas en COBIT son excelentes herramientas para concienciar, crear consenso y
generar compromiso para actuar.

Desde el inicio se debe solicitar el compromiso e interiorización de las partes interesadas más
relevantes. Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser
claramente expresados en términos de negocio y resumidos en un resumen de caso de negocio.

Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos adecuados para
apoyar el programa.

Los roles y responsabilidades esenciales del programa deberían ser definidos y asignados. Hay que
tener cuidado de cara al exterior en mantener el compromiso de todas las partes interesadas
afectadas.

Se deberían establecer y mantener las estructuras y procesos apropiados para supervisar y orientar.
Estas estructuras y procesos deberían también asegurar la alineación con los enfoques de gobierno
corporativo y de gestión del riesgo.

Tanto las partes interesadas clave como el consejo y los ejecutivos deberían proporcionar apoyo
visible y compromiso para establecer el ejemplo de la cúpula empresarial y garantizar el
compromiso con el programa a todos los niveles.
20

RECONOCIENDO LAS PUNTOS DÉBILES Y SUS


EVENTOS DESENCADENANTES

Hay un número de factores que pueden indicar una necesidad de mejora del gobierno y gestión de
la TI empresarial.

Usando los puntos débiles y sus eventos desencadenantes como punto de lanzamiento de las
iniciativas de implementación el caso de negocio para la mejora del gobierno o gestión de la TI
empresarial puede relacionarse con situaciones prácticas y cotidianas que hayamos experimentado.
Esto mejorará la aceptación y creará la sensación de urgencia en la empresa de que es necesario el
lanzamiento de la implementación. Adicionalmente, se podrán identificar los beneficios (quick
wins) y se puede mostrar valor añadido en aquellas áreas que son las más visibles y reconocibles en
la empresa. Esto proporciona una plataforma para introducir otros cambios y puede ayudar a
extender el compromiso en la alta dirección y soportar más cambios estructurales.

Ejemplos de algunos de las típicas áreas sensibles para los que el nuevo o revisado gobierno o
gestión de TI puede ser una solución (o parte de ella), tal y como se identifica en COBIT 5
Implementación, son:

 Frustración a nivel de negocio con iniciativas fallidas, incrementando los costes de TI y la


percepción de bajo valor de negocio.

 Incidentes significativos relativos al riesgo de TI, como pérdida de datos y fallos en


proyectos.
 Problemas en la externalización de la entrega del servicio, como por ejemplo el fallo
sistemático al mantener los
 niveles de servicio acordados.
 Incapacidad de cumplir con requerimientos regulatorios o contractuales.
 Limitación por TI de las capacidades de innovación de la compañía y la agilidad de
negocio.
 Hallazgos periódicos de auditoría en relación al bajo rendimiento de TI o notificación de
problemas de calidad de servicio de TI.
 Gastos de TI ocultos o malintencionados.
 Duplicación o superposición entre iniciativas, o despilfarro de recursos, como la
cancelación prematura de un proyecto.
21

 Insuficientes recursos de TI, personal con habilidades inadecuadas, agotado o


insatisfecho.
 Fallos en los cambios de TI a la hora de alcanzar las necesidades de negocio y
entregados tarde o con sobre coste.
 Miembros del consejo, altos directivos y ejecutivos de alto nivel que son reticentes en
implicarse con las TI o una ausencia de patrocinadores de las TI comprometidos y
satisfechos.
 Modelos operativos de TI complejos.

Además de estas áreas sensibles, otros eventos en el entorno interno y externo de la empresa
pueden señalar o poner el foco en el gobierno y gestión de TI. Algunos ejemplos del capítulo 3 de
la publicación COBIT 5 Implementación son:

 Fusiones, adquisiciones o desinversiones.


 Un movimiento en el mercado, la economía o en una posición competitiva
 Un cambio en el modelo operativo de negocio o en el modelo de dotación de recursos. •
Nuevos requerimientos regulatorios y legales.
 Un cambio tecnológico significativo o un nuevo paradigma.
 Un proyecto de ámbito corporativo.
 Un nuevo CEO, CFO, CIO, etc.
 Auditorías externas o revisiones de consultores. • Una nueva estrategia o prioridad de
negocio.

FACILITANDO EL CAMBIO

Una implementación con éxito depende de implementar cambio apropiado del modo adecuado.
En muchas empresas, hay un importante enfoque en el primer aspecto:

 Gobierno
 gestión de TI

Son esenciales pero no lo suficiente énfasis en gestionar los aspectos humano, culturales y de
comportamiento del cambio y motivar a los interesados en involucrarse con el mismo. A demás
conseguir la óptima conciencia en la implementación del programa mediante un plan de
comunicación que define lo que será comunicando. De qué manera, Por quien a lo largo de las
distintas fases del programa.
22

La mejora sostenible se puede conseguir mediante la adquisición del compromiso de las partes
interesadas o cuando sea necesario, mediante la exigencia del cumplimiento, en otras palabras
debe superarse las barreras humanas, el comportamiento y la cultura de modo que haya un
interés común en adoptar apropiadamente el cambio, infundiendo el deseo de adoptarlo y
asegurando la capacidad de adopción.

UN ENFOQUE DE CICLO DE VIDA

La implementación del ciclo de vida proporciona a las empresas una manera de usar COBIT para
solucionar la complejidad y los desafíos que normalmente aparecen durante las
implementaciones.

Los tres componentes interrelacionados del ciclo de vida son:

 Ciclo de vida de Mejora continua – Este no es un proyecto único2.


 Habilitación del cambio – Abordar los aspectos culturales y de comportamiento
 Gestión del programa

Se debe crear un entorno apropiado para asegurar el éxito de la implementación o de la iniciativa


de mejora.
23

Lafase 1 comienza con el reconocimiento y aceptación de la necesidad de una iniciativa de


implementación o mejora. Identifica los puntos débiles actuales y desencadena y crea el ánimo de
cambio a un nivel de dirección ejecutiva.

La fase 2 se concentra en definir el alcance de la iniciativa de implementación o mejora


empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI
asociados, y considerando cómo los escenarios de riesgos podrían destacar los procesos clave en
los que focalizarse. Los diagnósticos de alto nivel también pueden ser útiles para delimitar y
entender áreas de alta prioridad en las que hacer foco. Se lleva a cabo una evaluación del estado
actual y se identifican los problemas y deficiencias mediante la ejecución de un proceso de
revisión de capacidad.

la fase 3 se establece un objetivo de mejora, seguido de un análisis más detallado aprovechando


las directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones
pueden ser beneficios inmediatos (quick wins) y otras actividades pueden ser más desafiantes y
de largo plazo. La prioridad deberían ser aquellas iniciativas que son más fáciles de conseguir y
aquellas que podrían proporcionar los mayores beneficios.

la fase 4 planifica soluciones practicas mediante la deinicion de proyectos apoyados por casos de
negocio justificados, a demas se desarrolla un plan de cambio para la implementacion.

la fase 5 se pueden definir las mediciones y establecer la supervision empleando las metas y
metricas de cobit para asegurar que se consigue y mantiene la alineacion con el negocio y que el
rendimiento puede ser medido.

la fase 6 se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la


supervision de la consecucion de los beneficios esperados.

la fase 7 se revisa el éxito global de la iniciativa, se identiican requisitos adicionales para el


gobierno o la gestion de la TI empresarial y se refuerza la necesidad de mojorar continua.

Modelo de Capacidad de los Procesos COBIT 5


Estos modelos se utilizan para medir la madurez actual o en el estado en que se encuentran los
procesos relacionados con la TI de una empresa, para definir un estado de madurez requerido y
para determinar la brecha entre ellos y la forma de mejorar el proceso para alcanzar el nivel de
madures deseado.
24

Incorpora el Modelo de Referencia de Proceso COBIT 5 e ISO/IEC 15504, el cual supone


determinar una calificación de capacidades para un proceso. Lo que comprende:

 Niveles de capacidades definidos:

No implementado o no
0 (Incompleto) cumple su proposito.
Evidencia escasa o nula.
Niveles de Capacidades de

Implementado y cumple su
1 (Realizado)
proposito.

Gestion: Planificacion,
2 (Gestionado)
Procesos

supervision y ajuste.

Implementacion a traves de
3 (Establecido) un proceso definido para el
alcance de resultados.

Dentro del limite definido


4 (Predecible) para el logro de resultados del
proceso.

Mejora continua para cumplir


5 (Optimizacion)
las metas del negocio.

 Atributos para calificar cada proceso

Nivel 0: Incompleto

Nivel 1: Realizado
PA 1.1. Realizacion del proceso.

Nivel 2: Gestionado
2.1 Gestión de desempeño. 2.1 Gestión del producto de trabajo

Nivel 3: Establecido
3.1 Definicion del proceso 3.2 Implementacion del proceso

Nivel 4: Predecible
4.1 Medicion del proceso 4.2 Control del proceso

Nivel 5: Optimizacion
5.1 Innovacion del proceso 5.2 Optimizacion del proceso

ISO/IEC 15504
25

Proporciona una base para realizar evaluaciones de la capacidad de los procesos de software y
permite reflejar los resultados obtenidos sobre una escala común.

Evalúa el sistema de calidad respecto a procesos de producción de software, gestión de


operaciones, mantenimiento de productos o soporte técnico; lo cual mide el cumplimiento de
calidad en 5 niveles, es una norma de mejora continua que una vez identificado el nivel brinda las
directrices para alcanzar el siguiente nivel.

Dimensión de procesos

Cliente-
Proveedor
Procesos
Primarios
Ingenieria

Procesos de
CATEGORIAS Soporte
Soporte

Gestion
Procesos
Organizativos
Organizacion

MODELOS DE MADUREZ COBIT 4 VS COBIT 5

El nivel de madurez del proceso se entiende como un conjunto de prácticas, preestablecidas por el
modelo, que se deben garantizar por la Organización en su conjunto. En términos del modelo son
las áreas de proceso que se consideran en cada nivel de madurez y que van evolucionando.

MODELO DE MADUREZ COBIT 4.1


26

NIVELES DESCRIPCIÓN
0
No existente o No existe ningún control, existe un alto riesgo de incidentes de control
Inexistente
Se reconoce algo de la necesidad del control interno. El enfoque hacia los
1 requerimientos de riesgo es desorganizado, sin comunicación o supervisión.
Inicial / ad hoc No se identifican las deficiencias. Los empleados no están conscientes de sus
responsabilidades
Existen controles, pero no están documentados. Existen muchas debilidades
2 de control y no se resuelven de forma apropiada; el impacto puede ser severo.
Repetible pero Las medidas de la gerencia para resolver problemas de control no son
intuitivo consistentes ni tienen prioridades. Los empleados pueden no estar conscientes
de sus responsabilidades
Existen controles y están documentados de forma adecuada. Se evalúa la
efectividad operativa de forma periódica. Sin embargo, el proceso de
3
evaluación no está documentado. Aunque la gerencia puede manejar la
Proceso
mayoría de los problemas de control de forma predecible, algunas debilidades
definido
de control persisten y los impactos pueden ser severos. Los empleados están
conscientes de sus responsabilidades de control.
Existe un ambiente efectivo de control interno y de administración de riesgos.
4 La evaluación formal y documentada de los controles ocurre de forma
Administrado y periódica. Muchos controles están automatizados y se realizan de forma
medible periódica. Es probable que la gerencia detecte la mayoría de los problemas de
control. Hay un seguimiento de las debilidades de control identificadas.
5 Un programa organizado de riesgo y control proporciona la solución continua y
Optimizado efectiva a problemas de control y riesgo. El control interno y la administración
27

de riesgos se integran a las prácticas empresariales, apoyadas con una


supervisión. La evaluación del control es continua y se basa en
autoevaluaciones de causas raíz. Los empleados se involucran de forma
proactiva en las mejoras de control.

MODELOS DE MADUREZ DE CAPACIDAD DE PROCESOS Y EVALUACIONES COBIT 5

 COBIT 5 será apoyado por un nuevo enfoque de evaluación basado en la norma ISO / IEC
15504.
 El COBIT 4.1 no se consideran compatibles con el enfoque de la norma ISO / IEC 15504,
debido a sus atributos y escalas de medición.
 El Programa de Evaluación de COBIT es compatible con Las evaluaciones formales de los
evaluadores acreditados, en un futuro permitirá a una empresa obtener una evaluación
independiente y certificados alineados con la norma ISO.

Diferencias del modelo

 Este nuevo modelo es más exigente porque debe cumplir los 9 atributos definidos para
cada proceso, como requisito para acreditar dicho grado de madurez.
 Este nuevo modelo no es comparable y no puede ser mezclada con el modelo de COBIT
4.1.

DIFERENCIA ENTRE LOS ATRIBUTOS DE MADUREZ


Y LOS ATRIBUTOS DE PROCESOS COBIT 4 VS
COBIT 5
28

ATRIBUTOS DE MADUREZ ATRIBUTOS DE PROCESOS

NIVEL 5 El proceso predecible es mejorado de forma


continua, para cumplir con las metas
OPTIMIZADO empresariales.

NIVEL 4 El proceso establecido ahora se ejecuta dentro


de los límites definidos para alcanzar sus
PREDECIBLE resultados del proceso.

NIVEL 3 El proceso gestionado ahora esta implementado


usando un proceso definido que es capaz de
ESTABLECIDO alcanzar sus resultados del proceso

NIVEL 2 El proceso ejecuta esta implementado de forma


gestionada y los resultados de su ejecución estan
GESTIONADO establecidos, controlados y mantenidos
apropiadamente.

NIVEL 1
EJECUTADO
El proceso implementado alcanza su propósito

NIVEL 0 El proceso no está implementado o no alcanza


INCOMPLETO su propósito, en este nivel, hay muy poca o
ninguna evidencia de algún logro sistemático
del próposito del proceso.
29

ATRIBUTOS DE MADUREZ ATRIBUTOS DE PROCESOS

NIVEL 5 Los procesos se han refinado hasta un nivel de


mejor practica, se basan en los resultados de
OPTIMIZADO mejoras continuas

Es posible monitorear y medir el cumplimiento


NIVEL 4 de los procedimientos y tomar medidas cuando
ADMINISTRADO los procesos no esten trabajando de forma
efectiva

NIVEL 3 Los procedimientos se han estandarizado y


documentado y difundido a traves de
DEFINIDO entrenamiento.

NIVEL 2 Se ha desarrollado los procesos hasta el punto


en que se siguen procedimientos similares en
REPETIBLE diferentes areas que realizan la misma tarea, no
hay entrenamiento.

NIVEL 1
Existe evidencia de que la empresa ha
INICIAL
reconocido que los problemas existen y
reuieren ser resueltos,

NIVEL 0
NO EXISTE Carencia completa de cualquier proceso
reconocible.
30

DIFERENCIAS COBIT 5 VS COBIT 4

 En el nivel de madurez del COBIT 5 se dan grandes diferencias con el COBIT 4 debido a que
en el nivel 0 del COBIT 5 trata de un nivel o proceso que no alcanza su propósito
sistemático a diferencia del COBIT 4 que en su nivel 0 carece de procesos que puedan ser
reconocidos
 En el COBIT 5 en el nivel 1 se da un proceso ya ejecutado que alcanza ciertos propósitos
que a diferencia del COBIT 4 en su nivel 1 recién se realiza un reconocimiento de
problemas en ciertos procesos.
 COBIT 5 en el nivel 2 los procesos ya se encuentran gestionando debidamente controlados
y mantenidos a diferencia del COBIT 4 en su nivel 2 sus procesos son repetibles es decir
son iguales en distintas áreas y no existe ningún tipo de control.
 COBIT 5 en el nivel 3 sus procesos ya se encuentran implementados junto con un proceso
definido que permiten cumplir con sus propósitos, en cambio COBIT 4 nivel 3 apenas
comienza el proceso en el que se definen los procesos y a la vez comienzan a ser
controlados.
 COBIT 5 en el nivel 4 sus procesos ya se encuentran establecidos y definidos que permiten
cumplir con sus propósitos, en cambio COBIT 4 en el nivel 4 el proceso está siendo
administrado para que pueda cumplir con sus procedimientos.
 COBIT 5 en el nivel 5 existe un proceso optimizado en el cual ya se cumple con las metas
empresariales, en cambio COBIT 4 nivel 5 existe un nivel de optimización en el que el
proceso ha mejorado y se puede hablar de resultados de mejora continua.

EVALUACIÓN DE CAPACIDADES EN COBIT 5

La evaluación de procesos nos permite:

 Un sistema único de medición aplicable a todos los procesos de la empresa.


 Medirnos con otras entidades externas bajo estándares internacionales.
 Diagnosticar el nivel de capacidad de cada proceso y lo que se debe hacer para alcanza
el nivel deseado.
31

Elementos de la evaluación de procesos

Evaluación del
Proceso

Determinación
Mejora del de la
proceso capacidad del
Proceso
32

Así se describe como se puede llevar a cabo una evaluación a alto nivel con el modelo de
capacidad de los procesos de COBIT 5 para alcanzar esos objetivos.

Evaluar si el proceso alcanza sus objetivos o, en otras palabras, alcanza el nivel de capacidad
puede hacerse por:

 Revisión de los resultados del proceso tal y como se describen para cada proceso en
sus descripciones detalladas, y usando las escalas y ratios de la ISO/IEC 15504 para
asignar un ratio para el grado en el que cada objetivo es alcanzado. Esta escala consiste
en los siguientes ratios.
 N (No alcanzado) —Hay muy poca o ninguna evidencia de que se alcanza el atributo
definido en el proceso de evaluación. (0 al 15 por ciento de logro).
 P (Parcialmente alcanzado) —Hay alguna evidencia de aproximación a, y algún logro
del atributo definido en el proceso evaluado. Algunos aspectos del logro del atributo
pueden ser impredecibles. (15 a 30 por ciento de logro).
 L (Ampliamente alcanzado) —Hay evidencias de un enfoque sistemático y de un logro
significativo del atributo definido en el proceso evaluado. Pueden encontrarse algunas
debilidades relacionadas con el atributo en el proceso evaluado. (50 a 85 por ciento de
logro).
 F (Completamente alcanzado) —Existe evidencia de un completo y sistemático enfoque
y un logro completo del atributo definido en el proceso evaluado. No existen
debilidades significativas relacionadas con el atributo en el proceso evaluado. (85 a 100
por ciento de logro)
33

CONCLUSIÓN

 COBIT 5 es un módelo que contiene principios, catalizadores y varias técnicas que facilitan
la identificación de faltas en la ejecución de la Auditoría de Sistemas y las correcciones que
se deben implementar separando el gobierno de la gestión.

 COBIT 5 es un conjunto de buenas prácticas, como se le quiera denominar, sin entrar en


temas de semánticas, que ayuda de forma muy significativa a que una organización
gobierne y dirija adecuadamente las tecnologías de los sistemas de información, como
parte de su proceso de negocio.

 En el gobierno de las tecnologías de los sistemas de información el factor conductor y que


siempre debe tenerse en cuenta es el riesgo del negocio. Entendiéndose de esta manera
que las necesidades del negocio son prioritarias.

 El desarrollo e implantación de un modelo como COBIT no es una tarea en solitario del


área de TI, es de la Dirección, desde su más alto nivel el que deben involucrarse. Sin este
apoyo no se podrán obtener los recursos necesarios para poder realizar sus actividades
que realiza día a día.

RECOMENDACIÓN
 Aplicar la metodología que ofrece COBIT 5 en la ejecución de Auditoría de Sistemas debido
a que es un método actualizado y ofrece soluciones.

 Todas las organizaciones están en la capacidad de adoptar esta metodología tanto en


instituciones que proporcionan productos o brindan servicios a los clientes y consumidores
por lo cual es fundamental implementar esta metodología de Cobit 5 ya que es un pilar
muy importante y hacer referencia a principios como cubrir la empresa extremo a extremo
sin descartar ningún departamento haciendo una funcionalidad sistema de las
organizaciones.
34

BIBLIOGRAFÍA

Quintanilla, M.; Crespo, G., (2017) Fundamentos para Objetivos de Control en las TIC, Ecuador,
Editorial MQR®

http://www.isaca.org/chapters7/Madrid/AboutourChapter/Pages/Vision.aspx

ISACA. (2012). COBIT 5 - Framework. Rolling Meadows,USA: ISACA

ISACA. (2012). COBIT 5 - Framework. Rolling Meadows,USA: ISACA

ISACA. (2012). COBIT 5 - Framework. Rolling Meadows,USA: ISACA

NETGRAFICA

http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

https://repositorio.espe.edu.ec/bitstream/21000/12111/2/T-ESPE-053368-D.pdf

https://www.academia.edu/5559516/COBIT-5_res_spa_1212

You might also like