Post on 30-Nov-2015
ESCUELA POLITÉCNICA DEL LITORAL
MSIA V
Tema a investigar:
COBIT 5:
Evaluar, Dirigir y Monitorear
Investigación realizada por:
Alberto Balda
Gonzalo Ordoñez
Alex Silva
Angélica Vélez
Contenido
COBIT 5 ................................................................................................................................................ 2
1. Abarcar las necesidades de los interesados ................................................................................ 3
2. Cubrir la empresa de extremo a extremo ................................................................................... 4
3. Aplicar un solo marco integrado ................................................................................................. 5
4. Habilitar un enfoque holístico ..................................................................................................... 6
5. Separar gobierno de administración ............................................................................................... 8
Gobierno: Evaluar, Dirigir y Monitorear ............................................................................................ 10
EDM contiene 5 procesos para el gobierno de TI ..................................................................... 10
EDMO1 - GARANTIZAR DEFINIR Y MANTENER EL MARCO DE GOBIERNO ................................ 12
EDM02 - GARANTIZAR LA ENTREGA DE BENEFICIOS ................................................................ 15
EDM03 - GARANTIZAR OPTIMIZACIÓN DE RIESGOS ................................................................. 15
EDM04 - GARANTIZAR OPTIMIZACIÓN DE LOS RECURSOS ....................................................... 17
EDM05 - GARANTIZAR TRANSPARENCIA CON LAS PARTES INTERESADAS ............................... 17
Conclusiones ..................................................................................................................................... 18
COBIT 5
COBIT 5 ayuda a crear valor óptimo de TI por mantener un equilibrio entre la obtención
de beneficios y la optimización de los niveles de riesgo y el uso de los recursos.
Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de
manera integral para toda la empresa abarcando de principio a fin el negocio y áreas
funcionales, teniendo en cuenta los intereses de las partes interesadas internas y
externas.
Los 5 principios de COBIT y sus facilitadores son de carácter genérico y útil para las
empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público.
Los principios son los siguientes:
• Satisfacer las necesidades de los interesados.
• Cubrir la empresa de extremo a extremo.
• Aplicar un solo marco integrado.
• Habilitar un enfoque holístico.
• Separar gobierno de administración.
1. Abarcar las necesidades de los interesados
Figura 1: Primer principio de Cobit 5: Satisfaciendo las necesidades de los interesados
Los indicadores clave de metas y de proceso, (KGI y KPI, por sus siglas en inglés), que
finalmente traducen las necesidades de los interesados, internos y externos, se
transformaron en una estrategia empresarial llamada “cascada de metas”, que comienza
con las metas de la empresa, continúa con las metas relacionadas de TI, que a su vez
recaen en lo que Cobit llama “habilitadores”, y finalmente se alcanzan al desarrollar las
actividades de las metas.
Este esquema de cascada de metas, basado en mapeos y tablas provistas por Cobit 5,
proporciona una guía orientadora para establecer un vínculo coherente y consistente que
permita traducir las necesidades de todos los interesados del negocio en objetivos
específicos de la empresa, que dan origen a objetivos de TI y a objetivos facilitadores.
2. Cubrir la empresa de extremo a extremo
Figura 2: Segundo principio de Cobit 5: Cubriendo la empresa de extremo a extremo
Considera todas las funciones y procesos dentro de la organización. Cobit 5 no se centra
solo en el gobierno de TI, pues ahora considera la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro.
¿Y cómo lo hace? Gestionando TI como si fuera una empresa, tomando en consideración
los requerimientos para la estrategia, táctica y operación; integrando de esta forma el
gobierno empresarial de TI en el gobierno corporativo.
Integra el gobierno de TI en el gobierno Empresario, de manera fácil, con cualquier
sistema de gobierno, porque está alineado con las últimas versiones de Gobierno.
Cubre todas las funciones y procesos dentro de la empresa, es decir, no solo se enfoca en
la función TI, trata la información y las tecnologías relacionadas como activos que
necesitan ser tratados como cualquier otro en la empresa.
3. Aplicar un solo marco integrado
Figura 3: Tercer principio de COBIT 5: Aplicando un solo marco integrado
Para cumplir con este principio, Cobit incorpora los estándares y marcos más relevantes
de la industria:
� COSO (Committee of Sponsoring Organizations of the Treadway Commission), que
ha sido reconocido como un marco apropiado y exhaustivo para el control interno.
� ISO/IEC 9000, estándar para el control de calidad en procesos empresariales.
� ISO/IEC 31000, estándar de administración de riesgos, principios y directrices, la
cual tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a
gestionar los riesgos empresariales con efectividad.
� ISO-38500, estándar para el gobierno corporativo de TI.
� ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de TI.
� The Open Group Architecture Framework (TOGAF), que proporciona un enfoque
para el diseño, planificación, implementación y gobierno de una arquitectura
empresarial de información.
� La familia ISO-27000, enfocada en el tema de seguridad informática con el
establecimiento de un sistema de gestión de seguridad de la información (SGSI) y
los controles asociados.
La idea de contar con todo lo anterior es que las empresas utilicen Cobit como un marco
integrador de gobierno y administración de TI.
4. Habilitar un enfoque holístico
Figura 4: Posibilitando un enfoque holístico
En esta nueva versión se introducen los habilitadores, que son factores mínimos a cumplir
para que el gobierno y la administración empresarial de TI funcionen de manera correcta
al ayudar a optimizar la información, la inversión en tecnología y su uso para el beneficio
de todos los interesados. Se habla de un enfoque holístico porque los habilitadores
introducidos caen en siete categorías diferentes:
1. Principios, políticas y marcos.
Son las pautas a seguir para traducir el comportamiento deseado en una guía
práctica para la gestión del día a día.
2. Procesos.
Describen de forma estructurada y organizada un conjunto de actividades para
lograr ciertos objetivos y producir un conjunto de salidas en la búsqueda de las
metas de TI.
3. Estructuras organizacionales.
Son las entidades clave de toma de decisiones en una organización.
4. Cultura, ética y comportamiento.
Tanto de los individuos como de la organización (cuestión a menudo subestimada
como factor de éxito en las actividades de gobierno y gestión, principalmente en
lo correspondiente a trabajo en equipo, transferencia de conocimiento, valores,
etcétera).
5. La información.
Se refiere a toda la información producida y utilizada por la empresa. Es necesaria
para mantener funcionando la organización y, en el plano operativo, la
información es el producto clave de la propia empresa, por lo que habrá que
implantar controles para su seguridad.
6. Servicios, infraestructura y aplicaciones.
Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la
empresa servicios y procesamiento de la información.
7. Personas, habilidades y competencias.
Son necesarios para completar con éxito todas las actividades. En este sentido,
Cobit incluye una matriz RACI para todos sus procesos, considerando de manera
genérica una base de perfiles de puestos bastante completa.
5. Separar gobierno de administración
Cobit 5 reconoce que estas dos disciplinas incluyen tipos de actividades y estructuras
organizacionales diferentes, que sirven para diferentes propósitos. El gobierno es
responsabilidad de la junta directiva, mientras que la administración es responsabilidad
de la alta administración, bajo el liderazgo del CEO. Por eso se agregó un dominio
particular enfocado a gobierno y se actualizaron los cuatro que ya tenía para la
administración.
Comenzaremos con la definición de Gobierno que nos brinda COBIT 5, a partir de su
influencia desde la ISO 38500, donde claramente se diferencia el Gobierno de TI de la
Administración TI, tal como se aprecia en el siguiente gráfico con sus definiciones
posteriores.
Figura 5: Quinto principio: División entre Gobierno de TI y Administración de TI.
Gobierno:Evaluar,Dirigiry
Monitorear
Asegura que los objetivos de la empresa son alcanzados evaluando las necesidades de las
partes interesadas, condiciones y alternativas; dirigiendo a través de la priorización y la
toma de decisiones y monitoreando el rendimiento, la conformidad y el progreso contra
la dirección acordada y los objetivos establecidos (EDM).
EDM contiene 5 procesos para el gobierno de TI
COBIT 5 trae un nuevo Dominio específico para el Gobierno de TI, el cual incluye 5
procesos, y dentro de cada proceso, prácticas de evaluar, dirigir y monitoria (EDM) son
definidas como observamos en el siguiente gráfico:
Figura 6: procesos del gobierno de la TI Empresarial
Evaluar, Dirigir y Monitorear (EDM)
PROCESO DESCRIPCION
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de
gobierno
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar optimización de riesgos
EDM04 Asegurar optimización de los recursos
EDM05 Asegurar transparencia con las partes interesadas
Para cada uno de los procesos mencionados en el nuevo Dominio de COBIT 5 referido a
“Evaluar, Dirigir y Monitorear”, se incluyen 3 prácticas de gobierno (con sus inputs,
outputs y actividades), junto con los roles necesarios para un adecuado Gobierno de TI a
través de lo especificado por COBIT 5 en las diversas matrices RACI.
EDMO1 - GARANTIZAR DEFINIR Y MANTENER EL MARCO DE GOBIERNO
Analizar y articular los requerimientos para el gobierno de la empresa de TI, y establecer y
mantener efectivas estructuradas, principios, procesos y prácticas habilitantes con claras
responsabilidades y autoridad para lograr la misión, metas y objetivos de la empresa.
Ejemplos de Metas de TI que soporta este proceso y algunas métricas posibles
relacionadas:
Alineamiento entre TI y la estrategia del Negocio
- Métrica: % de objetivos estratégicos de la empresa que son soportados por
objetivos estratégicos de TI.
Compromiso de Administración Ejecutiva para la toma de decisiones relacionadas con TI.
- Métrica: % de roles de Administración Ejecutiva con responsabilidades claras
para las tomas de decisiones de TI.
Entrega de Servicios de TI en línea con los requerimientos del Negocio
- Métrica: Número de interrupciones en el Negocio causados por incidentes de
TI.
Se obtiene Aseguramiento de que el sistema de Gobierno de TI está funcionando en
forma efectiva.
- Métrica: Frecuencia de revisiones independientes del sistema de Gobierno de
TI.
Matriz RACI de este proceso EDM01 según COBIT 5
Matriz RACI: una de las herramientas que más nos ayudan para definir responsabilidades
en la estructura organizacional de las empresas es lo que corresponde a la matriz RACI,
que en esta versión cuenta con 26 diferentes roles o estructuras (la versión anterior de
COBIT solo proponía 11). Para cada práctica de gobierno o administración, se define
quiénes pueden ser los responsables de ejecutar las prácticas, quién es el responsable
final o auditable, a quién se le debe consultar y, por último, a quién se debe informar.
Debemos recordar que es solo una guía y que depende de la estructura organizacional de
la empresa a la que le estemos realizando el análisis, qué puestos corresponden a qué
perfiles o estructuras.
Figura 7: Matriz RACI proceso EDM01
Prácticas de Gobierno incluidas en este proceso, con sus ejemplos de Input, Outputs y
Actividades:
EDM01.01: Evaluar el sistema de Gobierno de TI
- Input: Tendencias del entorno del Negocio
- Output: Principios y lineamientos de Gobierno Empresarial
- Actividades: Analizar e identificar los factores internos y externos
relacionados con el contexto legal, regulatorio y las tendencias en el
Negocio que podrían influenciar el diseño del sistema de Gobierno de TI.
EMD01.02: Dirigir el sistema de Gobierno de TI
- Input: COBIT 5 no específica inputs específicos para esta práctica de
Gobierno de TI, más allá de lo recibido desde EDM01.01
- Output: Sistema de incentivos para impulsar la adopción del nuevo sistema
del Gobierno de TI en la cultura organizacional
- Actividades: Asignar responsabilidades y autoridades en línea con los
principios diseñados y consensuados para el Gobierno de TI.
EDM01.03: Monitorear el sistema de Gobierno de TI
- Input: Reportes de rendimiento sobre el sistema de Gobierno de TI
- Output: Retroalimentación sobre la efectividad y el rendimiento del
sistema d Gobierno de TI.
- Actividades: Evaluar la efectividad del sistema de Gobierno de TI diseñado
e identificar acciones para rectificar los desvíos detectados.
EDM02 - GARANTIZAR LA ENTREGA DE BENEFICIOS
Optimizar la contribución de valor para el negocio, de los procesos del negocio, servicios y
recursos de TI resultantes de las inversiones habilitadas de TI, en un costo aceptable.
EDM03 - GARANTIZAR OPTIMIZACIÓN DE RIESGOS
Asegurar que son entendidos, articulados y comunicados, del Risk Appetite y Risk
Tolerance de la empresa, y que son identificados y administrados los riesgos sobre el
valor de la empresa relacionados al uso de TI.
Administración de riesgos en COBIT 5
Todas las actividades de la empresa tienen una exposición de riesgos asociados derivados
de las amenazas ambientales que aprovechan las vulnerabilidades habilitador.
Figura 8: EDM3 y AP012 en la optimización y administración de riesgos.
- EDM03 Garantizar optimización del riesgo asegura que el enfoque de riesgo de los
terceros interesado este enfocado a cómo serán tratados los riesgos que enfrenta
la empresa, mientras que APO12 que se encuentra en la Administración de Cobit
nos habla sobre la Gestión de Riesgo, se trata de proporcionar a las empresas la
gestión de riesgos (ERM) las disposiciones que aseguren que la dirección dada por
los terceros interesados es seguida por la empresa.
- Todos los demás procesos incluye prácticas y actividades que son diseñadas para
tratar el riesgo relacionado (evitar, reducir / mitigar / controlar/ compartir /
transferir / aceptar).
EDM04 - GARANTIZAR OPTIMIZACIÓN DE LOS RECURSOS
Asegurar que están disponibles adecuadas y suficientes capacidades (personas, proceso y
tecnología) relacionados con TI para soportar efectivamente los objetivos de la empresa
en un óptimo costo.
EDM05 - GARANTIZAR TRANSPARENCIA CON LAS PARTES INTERESADAS
Asegurar que son transparentes la medición y reporte del desempeño y la conformidad
de la empresa de TI, con los involucrados claves aprobando las metas y métricas y las
acciones de remediación necesarias.
Conclusiones
Cobit 5.0 es la mayor evolución estratégica de Cobit y representa el único marco de
trabajo globalmente aceptado para el gobierno de TI que proporciona una serie de
herramientas para que la gerencia pueda conectar los requerimientos de control con los
aspectos técnicos, riesgos del negocio y apoyar a las organizaciones a alcanzar objetivos
estratégicos.
Cobit 5 permite el desarrollo de las políticas y buenas prácticas para el control de la
tecnología en toda la organización.
Para implementar Cobit 5.0 es recomendable establecer un proyecto basado en fases,
estableciendo los objetivos empresariales.
Cobit 5 está desarrollada para ayudar a organizaciones de todos los tamaños y de
cualquier sector a obtener el valor óptimo de las tecnologías de información, tratando de
satisfacer las necesidades de los interesados internos y externos mediante la creación de
valor para la empresa a través de TI.
Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de información, a
diferencia de su antecesor, enfocado principalmente al gobierno de TI.
A partir de la influencia con la ISO 38500, se diferencia el Gobierno de la Gestión. Siendo
el gobierno el que asegura que los objetivos de la empresa son alcanzados evaluando las
necesidades, condiciones y alternativas; dirigiendo a través de la priorización y la toma de
decisiones y monitoreando la performance, el cumplimiento y el progreso contra la
dirección acordada y los objetivos establecidos (EDM), por otro lado la Gestión se encarga
de planificar, construir, ejecutar y monitorear actividades alineadas con la dirección
establecida por el cuerpo de gobierno para alcanzar los objetivos empresariales (PBRM).
El Gobierno de TI con COBIT 5 tiene 5 procesos, el primer proceso EDM01 que fija las
“reglas de juego” para el Gobierno de TI, el EDM02, EDM03 y EDM04 responden a cada
uno de los Objetivos del Gobierno Empresarial y el EDM05 busca garantizar la
transparencia las partes interesadas.