Curso

Sistemas de Informacin Hospitalarios

Principios de COBIT 5
(Control Objectives for Information and related Technology)

Aplicacin a Sistemas de Informacin Hospitalarios

Docente: Ing. Luis Osorio S. (MBA)

Principios de COBIT 5 (Control Objectives for

Information and related Technology)

ITGI: IT Governance Institute (www.itgi.org) entidad de investigacin

independiente que provee gua para la comunidad de negocios internacional
en temas relacionados a la gobernanza de activos TI.
ISACA es una asociacin profesional internacional que se ocupa de IT
Governance. Es un miembro afiliado de IFAC (Federacin Internacional de
Contadores) . Anteriormente conocida como Asociacin de Sistemas
de Informacin de Auditora y Control Association , ISACA ahora va
por su sigla solamente, para reflejar la amplia gama de profesionales de
gobierno de TI que sirve.
ITGI fue establecido por ISACA en 1998 para ayudar a asegurar que las
inversiones TI entreguen valor y sus riesgos sean mitigados a travs del
alineamiento con los objetivos de la empresa, los recursos TI sean
adecuadamente localizados y el desempeo de las TI es medido.
ITGI desarroll CobiT y Val IT.

Informacin

Informacin es un recurso clave para todas las empresas.

La informacin es creada, usada, retenida, abierta y
destruida.
La Tecnologa juega un rol clave en estas acciones.
La Tecnologa esta siendo cada da mas y mas importante
en todos los aspectos de la vida diaria y los negocios.

Qu beneficios otorga a las empresas la informacin y

tecnologa?

Beneficios a la empresa
La empresa y sus ejecutivos hacen esfuerzos para:
Mantener la calidad de la informacin para soportar las
decisiones de negocios.
Generar business value de las inversiones en TI, alcanzar
los objetivos estratgicos y lograr beneficios de negocios a
travs de un efectivo e innovador uso de las TI.
Alcanzar excelencia operacional a travs de una confiable y
eficiente aplicacin de la tecnologa.
Mantener riesgos relacionados a TI a un nivel aceptable.
Optimizar el costo de los servicios y tecnologa TI.
Cmo pueden estos beneficios ser alcanzados para crear
valor para stakeholders?
2012 4
ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Stakeholder Value

Entregar valor a stakeholders requiere buena gestin y

governance de los activos TI.
Equipos directivos empresariales, gerentes y ejecutivos
deben abordar las TI como cualquier otra parte
significativa del negocio.
Requerimientos legales, regulatorios y de cumplimiento
contractual externos relacionados al uso de la informacin
y tecnologa de la empresa estn aumentando,
amenazando el valor si se genera brecha.
COBIT 5 provee un completo patrn que asiste a las
empresas a lograr sus metas y generar valor a travs
de una efectiva governance y gestin de la TI de la
empresa.

El Marco COBIT 5

Establecido en trminos simples, COBIT 5 ayuda a las

empresas a crear un valor optimo de las TI manteniendo un
balance entre lograr beneficios y optimizar niveles de riesgos
y uso de recursos.
COBIT 5 permite que la informacin y tecnologas
relacionadas sean gestionadas de una manera holstica para la
empresa completa, tomando el negocio y areas funcionales de
principio a fin, considerando los intereses de temas
relacionados a TI de stakeholders internos y externos,.
Los principios y habilitantes de COBIT 5 son genricos y
tiles para empresas de todos los tamaos, ya sean
comerciales, sin fine de lucro o gubernamentales.

Principios de COBIT 5

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

Habilitantes de COBIT 5

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

Governance and Management

Governance asegura que se alcancen los objetivos de la

empresa evaluando las necesidades de stakeholders,
condiciones y opciones; establecer direccin a travs de la
priorizacin y toma de decisiones; y monitoreo del
desempeo, cumplimiento y progreso contra direccin y
objetivos acordados (EDM: Evaluation, Direction,
Monitoring).

Management planea, construye, ejecuta y monitorea

actividades en alineamiento con la direccin establecida por la
governance para alcanzar los objetivos empresariales
(PBRM: Planning, Building, Running, Monitoring).

Governance Management

Governance:

EDM
Management: PBRM

En Resumen
COBIT 5 rene los cinco principios que
permiten a la empresa construir una efectiva
governance y gestionar marcos basados en un
conjunto holstico de siete habilitantes que
optimizan la inversin en informacin y
tecnologa y utiliza para el beneficio de los
stakeholders.

2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

11

COBIT 5

COBIT 5: Ahora un completo Marco de Negocios

Evolution of scope

Governance of Enterprise IT
IT Governance
Val IT 2.0

Management

(2008)

Control
Risk IT
(2009)

Audit
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1 COBIT 5

2005/7

2012

A business framework from ISACA, at www.isaca.org/cobit

2012 ISACA All rights reserved.

13

COBIT 5 Framework
COBIT 5:
Contiene resumen ejecutivo y una completa descripcin
de los componentes del marco COBIT 5:
Los cinco principios COBIT 5.
Los siete habilitantes COBIT 5. Adems
Una introduccin a las guas de implementacin
provistas por ISACA ISACA (COBIT 5
Implementation)
Una introduccin al Programa de Estimacin COBIT
(no especfico a COBIT 5) y los procesos de ISACA
para COBIT
14

Familia de productos COBIT 5

Source: COBIT 5, figure 11. 2012 ISACA All rights reserved.

15

Los cinco principios COBIT 5

Los cinco principios COBIT 5:
1. Reunir las necesidades de Stakeholder
2. Cubrir la empresa de punta a punta
3. Aplicar un marco nico e integrado
4. Habilitar una aproximacin holstica
5. Separar Governance del Management

2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

16

Principio 1: Cumplir las necesidades de los

Stakeholders

Principio 1: Reunir las necesidades de los Stakeholders

Debera ser obvio. Despus de todo, se supone que la TI rene y entrega lo que la gente necesita.
Pregntese: sucede esto tan eficientemente como debiera? Ms importante pueden ser mejorados estos
procesos?

1. Reunir las necesidades de los Stakeholder

Principio 1. Reunir las necesidades de los Stakeholder
La empresa existe para crear valor para sus stakeholder.

18

Source: COBIT 5, figure 3. 2012 ISACA All rights reserved.

1. Reunir las necesidades de stakeholders

(cont.)

Principio 1. Reunir las necesidades de Stakeholder:

La empresa tiene muchos stakeholders, y creacin de puede
tener muchos significados diferentesy a veces conflictivos
para cada uno de ellos.
Governance trata acerca de negociar y decidir entre los
diferentes intereses de los stakeholders.
El sistema de Governance debera considerar todos los
stakeholders cuando se toman decisiones de beneficios,
recursos y anlisis de riesgos.
Para cada decisin, lo siguiente puede y debera ser
preguntado:
quien recibe el beneficio?
quien corre el riesgo?
que recursos se requieren?
19

1. Reunir las necesidades de Stakeholder

Principio 1. Reunir las
necesidades de Stakeholder:
Las necesidades de los
Stakeholder necesitan ser
transformadas en estrategias
accionables en la empresa.
Los objetivos cascada de
COBIT 5 trasladan las
necesidades de Stakeholders en
metas especficas, accionables y
adaptadas dentro del contexto de
la empresa, metas relacionadas a
TI y metas habilitantes.
20

Source: COBIT 5, figure 4. 2012 ISACA All rights reserved.

(cont.)

1. Reunir las necesidades de Stakeholder

(cont.)

Principio 1. Reunir las necesidades de Stakeholder:

Beneficios de metas cascada de COBIT 5:
Permite la definicin de prioridades de implementacin,
mejoramiento y aseguramiento del Governance de TI
empresarial basada en objetivos estratgicos de la empresa y
riesgos relacionados.
En la prctica, las metas cascada:
Definen metas y objetivos relevantes y metas tangibles a
diversos niveles de responsabilidad.
Filtra la base de conocimiento de COBIT 5, basada en metas
empresariales para extraer guas relevantes para la inclusin
en implementaciones especficas o proyectos de mejora o
aseguramiento.
Identifica y comunica claramente cmo los habilitantes son
importantes para alcanzar metas empresariales.
21

1. Reunir las necesidades de Stakeholder

(cont.)

22

1. Reunir las necesidades de Stakeholder

(cont.)

23

Principio 2: Cubrir el Hospital de

Punta a Punta

Principio 2: Cubrir la empresa de punta a punta

No es secreto que el lado negocio y la TI necesitan adecuar bien. Dado que esto nunca ocurre, TI no
siempre ha sido capaz de cubrir la empresa de punta a punta. Como puntos de COBIT 5. es muy
importante ir adelante.

2. Cubriendo el hospital de punta a punta

Principio 2. Cubriendo la empresa de punta a punta:
COBIT 5 direcciona el Governance y la gestin de informacin
y tecnologas relacionadas desde una perspectiva de empresa de
punta a punta.
Esto significa que COBIT 5:
Integra la Governance de TI empresarial en Governance de
empresa, es decir, el sistema de Governance para TI
propuesto por COBIT 5 se integra en cualquier sistema de
Governance porque COBIT 5 alinea con las ltimas vistas
de Governance.
Cubre todas las funciones y procesos dentro de la empresa;
COBIT 5 no se enfoca solamente en la funcin TI, sino
tambin trata informacin y tecnologas relacionadas como
activos que necesitan ser tratados como cualquier otro activo
en la empresa.
25

2. Cubriendo el hospital de punta a punta

(cont.)

Principio 2. Cubriendo el hospital de punta a punta

Componentes
clave de un sistema
de Governance

Source: COBIT 5, figure 8. 2012 ISACA All rights reserved.

26

Source: COBIT 5, figure 9. 2012 ISACA All rights reserved.

Principio 3: Aplicar un Framework Singular

Integrado

3. Aplicar un Framework Singular e

Integrado
Principio 3. Aplicar un Framework Singular e
Integrado:
COBIT 5 alinea con los ltimos estndares relevantes y
frameworks utilizados por las empresas:
Empresarial: COSO, COSO ERM, ISO/IEC 9000,
ISO/IEC 31000
Relacionados a TI: ISO/IEC 38500, ITIL, ISO/IEC
27000 series, TOGAF, PMBOK/PRINCE2, CMMI
Etc.
Esto permite que la empresa utilice COBIT 5 como un
framework integrador para Governance y Management.
28

Principio 4: Habilitando una aproximacin

Holstica

4. Habilitando una aproximacin holstica

Principio 4. Habilitando una aproximacin holstica
Los habilitantes COBIT 5 son:
Factores que, individual y colectivamente, influyen
acerca de si algo trabajar en el caso de COBIT,
Governance y Management sobre la TI empresarial.
Manejados por las metas cascada, es decir, metas TI de
alto nivel definen lo que los diferentes habilitadores
deberan lograr.
Descrito por el framework COBIT 5 en siete categoras

30

4. Habilitando una aproximacin holstica

(cont.)

Principio 4. Habilitando una aproximacin holstica (habilitantes)

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

31

4. Habilitando una aproximacin holstica

(cont.)

Principio 4. Habilitando una aproximacin holstica :

1.

2.
3.
4.

5.

6.

7.

32

ProcesosDescriben un conjunto de practicas y actividades organizado para alcanzar

ciertos objetivos y producir un conjunto de salidas en soporte de alcanzar todas las metas
relacionadas a TI
Estructuras Organizacionales Son las entidades que toman las decisiones clave en
una organizacin.
Cultura, tica y comportamientoDe los individuos y las organizaciones; muy a
menudo subestimado como clave de xito en actividades de Governance y Management.
Principios, polticas y frameworksSon los vehculos para trasladar el
comportamiento deseado en guas prcticas para la gestin del da a da
InformacinLa Informacin es requerida para mantener la organizacin funcionando y
bien gobernada, pero adems a nivel operacional, la informacin es muy a menudo el
producto clave de la empresa en s.
Servicios, infraestructuras y aplicacionesIncluye la infraestructura, tecnologa y
aplicaciones que proveen a la empresa la tecnologa de informacin, su procesamiento y
servicios.
Personas, habilidades y competenciasSon relacionados a las personas y requeridos
para una exitosa ejecucin de todas las actividades y para tomar decisiones correctas y
adecuadas acciones correctivas.

4. Habilitando una aproximacin holstica

(cont).

Principio 4. Habilitando una aproximacin holstica :

33

Governance y management sistmico a travs de habilitantes

interconectadosPara alcanzar los principales objetivos de la
empresa, debe siempre considerar un set interconectado de
habilitadores. Cada habilitador debe:
Necesita la entrada de otro habilitador para ser completamente
efectivo, por ejemplo, procesos necesitan informacin,
estructuras organizacionales necesitan habilidades y
comportamiento.
Entregar salidas para el beneficio de otros habilitantes, por
ejemplo, procesos entregan informacin, habilidades y
comportamiento hacen procesos eficientes.
Esto es un principio CLAVE emanado del trabajo de desarrollo de
ISACA alrededor del Business Model for Information Security
(BMIS).

4. Habilitando una aproximacin holstica

(cont).

Principio 4. Habilitando una aproximacin Holstica

Dimensiones de Habilitante COBIT 5:

Todos los habilitantes tienen un set de dimensiones comunes. Este set de

dimensiones comunes:
Provee una forma comn, simple y estructurada de trabajar con los habilitantes.
Permite a una entidad manejar sus complejas interacciones.
Facilita salidas exitosas de los habilitantes.

34

Source: COBIT 5, figure 13. 2012 ISACA All rights reserved.

Principio 5: Separando Governance del

Management

5. Separando Governance del Management

Principio 5. Separando Governance del Management:
El framework COBIT 5 hace una clara distincin del Governance
respecto del management.
Estas dos disciplinas:
Abarcan diferentes tipos de actividades.
Requiere diferentes estructuras organizacionales.
Sirve a diferentes propsitos
GovernanceEn la mayora de las empresas, la Governance es
responsabilidad del board de directores bajo el liderazgo del
chairman.
ManagementEn la mayora de las empresas, management es la
responsabilidad de la gerencia ejecutiva, bajo el liderazgo del CEO
(Gerente General).
36

5. Separando Governance del Management

(cont.)

Principio 5. Separando Governance del Management:

Governance asegura que las necesidades, condiciones y
opciones de los Stakeholders, son evaluadas para determinar
los objetivos empresariales a ser alcanzados; establecer
direccin a travs de la priorizacin y toma de decisiones; y
monitoreo de desempeo y cumplimiento contra direccin y
objetivos acordados (EDM: Evaluate, Direct, Monitor).
Management planifica, construye, ejecuta y monitorea
actividades alineadas con la direccin establecida por la
Governance para alcanzar los objetivos empresariales
(PBRM: Plan, Build, Run,Monitor).
2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

37

5. Separando Governance del Management

(cont.)

Principio 5. Separando Governance del Management:

COBIT 5 no es prescriptivo, pero aboga para que las organizaciones implementen
procesos de Governance y Management de manera que las reas clave sean
cubiertas como muestra la figura:

Source: COBIT 5, figure 15. 2012 ISACA All rights reserved.

38

5. Separando Governance del Management

(cont.)

Principio 5. Separando Governance del Management :

El framework COBIT 5 describe siete categoras de habilitantes
(Principio 4). Procesos son una categora.
Una empresa puede organizar sus procesos como sea necesario
para cumplir sus objetivos de governance y management.
Empresas de menor tamao pueden tener menor cantidad de
procesos; empresas ms grandes y mas complejas pueden tener
muchos procesos, todos para cubrir los mismos objetivos.
COBIT 5 incluye un modelo de referencia de procesos (process
reference model (PRM)), que define y describe en detalle un
numero de procesos de governance y de management. Los
detalles de este modelo habilitante especfico puede ser
encontrado en el volumen COBIT 5: Enabling Processes.
39

COBIT 5: Enabling Processes

Procesos Habilitantes

COBIT 5: Procesos habilitantes

COBIT 5: Enabling Processes complementa COBIT 5 y contiene

una gua de referencia detallada a los procesos que son definidos
en el modelo de referencia de procesos de COBIT 5:
En el captulo 2, las metas cascada de COBIT 5 es recapitulado
y complementado con un conjunto de mtricas ejemplo para
los objetivos de la empresa y las metas relacionadas a TI.
En Captulo 3, el modelo de procesos de COBIT 5 es explicado
y sus componentes definidos.
El captulo 4 muestra el diagrama de este modelo de procesos.
El captulo 5 contiene la informacin detallada de procesos
para los 37 procesos COBIT del modelo de referencia.

41

COBIT 5: Procesos Habilitantes

42

Source: COBIT 5, figure 29. 2012 ISACA All rights reserved.

(cont.)

COBIT 5: Procesos habilitantes (Cont.)

COBIT 5: Procesos habilitantes:
El modelo de referencia de procesos COBIT 5 subdivide las
prcticas y actividades relacionadas a TI de la empresa en dos
reas principalesgovernance y management con el
management adems dividido en dominios de procesos:
El dominio de GOVERNANCE contiene 5 procesos de
Governance; dentro de cada proceso son definidas las
prcticas de evaluacin, direccin y monitoreo (EDM).
Los 4 dominios de MANAGEMENT estn en lnea con las
areas de responsabilidad de planificacin, construccin,
ejecucin y monitoreo (PBRM).

43

COBIT 5: Procesos Habilitantes (cont.)

44
Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Ejemplo ( Pgina 43 Enabling Processes guide.

Proceso EDM04. Ensure Resource Optimization)

COBIT 5 Implementation
Implementacin

COBIT 5 Implementation
El mejoramiento de la governance de la TI de la empresa (GEIT)
es ampliamente reconocido por el top management como una
parte esencial de la governance de la empresa.
Informacin y las tecnologas de informacin estn
crecientemente siendo parte esencial de cada aspecto de los
negocios y la vida pblica.
La necesidad de manejar mas valor de las inversiones en TI y
gestionar un creciente arreglo de riesgos relacionados a TI nunca
ha sido mas grande.
Creciente regulacin y legislacin sobre uso de informacin en los
negocios tambin despierta la necesidad de un ambiente TI bien
gobernado y bien gestionado.
47

COBIT 5 Implementation (cont.)

ISACA ha desarrollado el framework COBIT 5 para ayudar a las
empresas a implementar habilitadores de governance. De hecho,
implementar buenas GEIT es casi imposible sin comprometer un
efectivo framework de governance. Mejores prcticas y
standards tambin estn disponibles en COBIT 5.
Frameworks, mejores prcticas y standards son tiles slo si
ellos son adoptados y adaptados efectivamente. Hay desafos y
temas que necesitan ser cubiertos si la GEIT ser implementada
exitosamente.
COBIT 5: Implementation provee una gua de como hacer
esto.

48

COBIT 5 Implementation (cont.)

COBIT 5: Implementation cubre los siguientes temas:
Posicionar GEIT dentro de la empresa
Dar los primeros pasos hacia el mejoramiento de la GEIT
Implementar desafos y factores de xito
Habilitar cambios organizacionales y de comportamiento
relacionados a GEIT.
Implementar mejoramiento continuo que incluya
habilitadores de cambio y gestin de programas.
Usando COBIT 5 y sus componentes
49

COBIT 5 Implementation (cont.)

50
Source: COBIT 5, figure 17. 2012 ISACA All rights reserved.

COBIT 5 Implementation (cont.)

51
Source: COBIT 5, figure 17. 2012 ISACA All rights reserved.

COBIT 5 Implementation
Fase 1

52
Source: COBIT 5, figure 17. 2012 ISACA All rights reserved.

COBIT 5
Future Supporting Products
Prximos productos de soporte

COBIT 5 Product Family

Source: COBIT 5, figure 11. 2012 ISACA All rights reserved.

54

Estadsticas de Soporte

Seguridad Mvil

Brechas

Desconeccin de la TI del negocio

Overrun de Proyecto

Donde est el ROI?

COBIT 5 Prximos productos de soporte

Future supporting products:
Professional Guides:
COBIT 5 for Information Security
COBIT 5 for Assurance
COBIT 5 for Risk
Enabler Guides:
COBIT 5: Enabling Information
COBIT Online Replacement
COBIT Assessment Programme:
Process Assessment Model (PAM): Using COBIT 5
Assessor Guide: Using COBIT 5
Self-assessment Guide: Using COBIT 5

63

Resumen y Conclusiones