Beruflich Dokumente
Kultur Dokumente
COBIT
Directrices Gerenciales
Julio de 2000
3ra Edicin
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnologa de informacin con autoridad, actualizados,
de carcter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE 1
ARGENTINA LIECHTENSTEIN
ARUBA LITUANIA
AUSTRALIA
AUSTRIA
INFORMATION SYSTEMS AUDIT AND LUXEMBURGO
MALASIA
BAHAMAS
BAHRAIN
CONTROL ASSOCIATION MALTA
MALAWI
BANGLEDESH MXICO
BARBADOS Una sola Fuente Internacional para los Controles PASES BAJOS
BLGICA NUEVA GUINEA
BERMUDA de la Tecnologa de Informacin NUEVA ZELANDA
BOLIVIA NIGERIA
BOSTSWANA Information Systems Audit and Control su programa de educacin profesional NORUEGA
BRASIL Association es una organizacin global OMN
ofrece conferencias tcnicas y
BRUENI PAKISTN
lder de profesionales que representa a administrativas en cinco continentes,
CANAD PANAM
CHILE individuos en ms de 100 pases y as como seminarios en todo el mundo PER
CHINA comprende todos los niveles de la para ayudar a los profesionistas de FILIPINAS
COLOMBIA tecnologa de informacin Direccin todas partes a recibir educacin POLONIA
COSTA RICA PORTUGAL
ejecutiva, gerencia media y practicantes. contina de alta calidad.
CROATA QATAR
CURAZAO La Asociacin est nicamente posesionada su rea de publicidad tcnica
RUSIA
CYPRUS para cubrir el papel de generador central proporciona materiales de desarrollo SAIPAN
REPBLICA CHECA que armoniza los estndares de las profesional y referencias con el fin de ARABIA SAUDITA
DINAMARCA prcticas de control de TI a nivel mundial. aumentar su distinguida seleccin de ESCOCIA
REPBLICA SEYCHELLES
DOMINICANA Sus alianzas estratgicas con otros grupos programas y servicios.
SINGAPUR
ECUADOR dentro del mbito profesional financiero, REP. ESLOVACA
EGIPTO contable, de auditora y de TI aseguran a La Information Systems Audit and Control ESLOVENIA
ESTONIA los dueos del proceso del negocio un nivel Association se cre en 1969 para cubrir las SUDFRICA
ISLAS FAEROE ESPAA
sin paralelo de integracin y compromiso. necesidades nicas, diversas y de alta
FINLANDIA SRI LANKA
tecnologa en el naciente campo de la TI.
FRANCIA
ALEMANIA
Programas y Servicios de En una industria donde el progreso se mide
ST. KITTS
ST. LUCIA
GHANA la Asociacin en nanosegundos, ISACA se ha movido gil SUECIA
GRECIA Los Programas y Servicios de la Asociacin y velozmente para satisfacer las necesidades SUIZA
GUAM SIRIA
han ganado prestigio al establecer los de la comunidad de negocios
GUATEMALA TAIWAN
niveles ms altos de excelencia en internacionales y de la profesin de
HONDURAS TANZANIA
HONG KONG certificacin, estndares, educacin controles de la TI. TASMANIA
HUNGRA profesional y publicidad tcnica. TAILANDIA
ISLANDIA su programa de certificacin (el Para ms Informacin TRINIDAD & TOBAGO
INDIA Para recibir informacin adicional, puede TURQUA
Auditor de Sistemas de Informacin
INDONESIA UGANDA
Certificado) es la nica designacin llamar al (+1.847.253.1545), enviar un
IRLANDA EMIRATOS ARAB UNIDOS
ISRAEL global en toda la comunidad de e-mail a (research@isaca.org) o visitar los
REINO UNIDO
ITALIA control y auditora de la TI. siguentes sitios web: ESTADOS UNIDOS
IVORY COAST URUGUAY
JAMAICA sus actividades estndar establecen la
VENEZUELA
base de calidad mediante la cual otras www.itgovernance.org
JAPN VIETNAM
JORDN actividades de control y auditora de TI www.isaca.org GALES
KENYA se miden. YEMEN
COREA ZAMBIA
KUWAIT ZIMBABWE
LATVIA
LEBANON
DIRECTRICES GERENCIALES
Lmite de Responsabilidad
Reconocimientos.........................................................4 La Information Systems Audit and Control AssociationISACA- y el IT
Governance Institute ITGI- (los propietarios) han creado esta
Resumen Ejecutivo ..................................................5-9 publicacin titulada COBIT: Objetivos de Control para la Informacin y
las Tecnologas Relacionadas (el trabajo) principalmente como un
recurso educativo para los profesionales dedicados a las actividades de
Marco Referencial control. Los Propietarios declaran que no responden o garantizan que el
Modelo de Madurez .......................................10-15 uso que se le de al Trabajo asegurar un resultado exitoso. No deber
Factores Crticos de Exito ..............................15-18 considerarse que el Trabajo incluye toda la informacin, los
procedimientos o las pruebas apropiadas o excluye otra informacin,
EntreIndicadores Clave de procedimientos y pruebas que estn razonablemente dirigidas a la
Objectivos/Logros/Resultados......................18-22 obtencin de los mismos resultados. Para determinar la conveniencia de
Indicadores Clave de Desempeo ..................22-23 cualquier informacin, procedimiento o prueba especfica, los expertos en
Conclusin...........................................................24 control debern aplicar su propio juicio profesional a las circunstancias
especficas presentadas por los sistemas o por el ambiente de tecnologa de
informacin en particular.
Directrices Gerenciales
Planeacin y Organizacin.............................27-61 Esta edicin de COBIT fue traducida al idioma espaol por Gustavo
Adolfo Sols Montes, Lucio Augusto Molina Focazzio, Johann Tello
Adquisicin e Implementacion.......................63-85 Meryk y Roco Torres Surez, (los traductores). Los traductores asumen
Entrega y Soporte .........................................87-137 la responsabilidad exclusiva por la actualizacin y por la fidelidad de la
Monitorea ...................................................139-154 traduccin. La Information Systems Audit and Control Association
(ISACA) y el IT Governance Institute (ITGI) declaran que no responden
por la actualizacin, totalidad, o por la calidad de la traduccin. En ningn
Apndice I evento ISACA/ITGI ser responsable ante un individuo u organizacin
por los daos causados en relacin con la edicin del lenguaje, cualquier
Cmo Usar ................................................155-157 actualizacin, modificacin, localizacin o traduccin.
IT GOVERNANCE INSTITUTE 3
DIRECTRICES GERENCIALES
RECONOCIMIENTOS
COMIT DE DIRECCIN DE COBIT INVESTIGACIN Y DESARROLLO
Eric Guldentops, S.W.I.F.T. sc, Blgica RESPALDADO Y PATROCINADO POR
John Lainhart, PricewaterhouseCoopers, USA
Eddy Schuermans, PricewaterhouseCoopers, Blgica
John Beveridge, Auditora del Estado, Massachusetts, USA
Michael Donahue, PricewaterhouseCoopers, USA
Gary Hardy, Arthur Andersen, Reino Unido
Ronald Saull, Great-West and Investors Group, Canada
Mark Stanley, Sun America Inc., USA
PANEL DE EXPERTOS
William Malik, Gartner Group, USA
Jayant Ahuja, PricewaterhouseCoopers, USA
Floris Ampe, PricewaterhouseCoopers, Blgica
Mauro Eidi Villola Assano, BBA Creditanstalt, Brasil
Gary Austin, Contadura General de EEUU, USA
Efrim J. Boritz, Ph.D,, Universidad de Waterloo, Canad
Paul Bull, KPMG, USA
Peter De koninck, S.W.I.F.T. sc, USA
Ken Devansky, PricewaterhouseCoopers, USA
John Dubiel, Gartner Group, USA
Chris Frost, PricewaterhouseCoopers, Reino Unido
Nils Kandelin, Universidad George Mason, USA
Werner Lippuner, Ernst & Young, USA
Stuart Macgregor, South African Breweries, Sudfrica
Mario Micallef, National Australia Bank, Australia
Pratparai Oak, Fidelity Investments, USA AGRADECIMIENTO ESPECIAL al Captulo del
Daniel F. Ramos, SAFE Consulting Group, Argentina rea de la Capital Nacional por sus contribuciones a
Deborah Reddish, PricewaterhouseCoopers, USA los Lineamientos de Administracin de COBIT.
Robert J. Reimer, PricewaterhouseCoopers, Canad
Gregory Robertson, Northrop Grumman, USA AGRADECIMIENTO ESPECIAL a los miembros
Susana Sharp, Cmara De Representantes, USA. de la Junta de la Asociacin de Control y Auditora
Craig Silverthorne, Cmara de Representantes, USA de Sistemas de Informacin y a los administradores
Gustavo a. Sols, Grupo Cynthus, Mxico de la Fundacin de Auditora y Control de Sistemas
William Spernow, Gartner Group, USA de Informacin, encabezada por el Presidente
Mike Taylor, Ciudad de Dallas, USA Internacional Paul Williams, por su constante y
Elia Fernndez Torres, Grupo Cynthus, Mxico firme apoyo de COBIT.
Wim Van Grembergen Ph.D., UFSIA, Blgica
Winifred Whelan, PricewaterhouseCoopers, USA
Marc Wise, PricewaterhouseCoopers, USA
Roberta J. Witty, Gartner Group, USA
4 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
RESUMEN EJECUTIVO
Cmo hacemos para colocar la Tecnologa de Informacin bajo control de modo que brinde la
informacin que necesita la organizacin? Cmo manejamos los riesgos y aseguramos la
infraestructura de la que somos tan dependientes? Como con muchos problemas que enfrenta la
administracin, estas amplias preguntas estratgicas generan las siguientes preguntas tradicionales a las
que responderemos:
Cul es el aspecto / problema?
Cul es la solucin?
De qu est constituido?
Funcionar?
Cmo lo hago?
Una forma de resolver estos problemas ha sido suministrada por el Marco Referencial de COBIT.
COBIT significa Objetivos de Control para Informacin y Tecnologa Relacionada, y es estndar abierto
para el control de la tecnologa de Informacin, desarrollada y promovida por el Instituto de Gobierno
de TI. Este marco identifica 34 procesos de tecnologa de la Informacin (TI, siglas de los trminos en
ingls), un enfoque de alto nivel para controlar esos 34 procesos as como 318 objetivos de control
detallados y directrices de auditoria para evaluar los 34 proceso de TI. Provee un estndar generalmente
aplicable y aceptada para buenas prcticas de seguridad y control de TI para soportar las necesidades de
la administracin para determinar y monitorear el nivel apropiado de seguridad y control de TI para sus
organizaciones.
Dentro del gobierno de la empresa, el gobierno de TI se est volviendo cada vez ms prominente para el
logro de los objetivos de la organizacin agregando valor mientras balancea el riesgo frente rendimiento
sobre la TI y sus procesos. El gobierno de TI es integral para el xito del gobierno de la empresa
asegurando mejoramientos eficientes y efectivos mesurables en los procesos relacionados de la
empresa.
IT GOVERNANCE INSTITUTE 5
DIRECTRICES GERENCIALES
El gobierno de TI suministra la estructura que vincula los procesos de TI, los recursos de TI y la
informacin para las estrategias y los objetivos de la empresa. Adicionalmente, el gobierno de TI
integra e institucionaliza buenas (o las mejores) prcticas para planificar y organizar, adquirir e
implementar, entregar y respaldar, y monitorear el desempeo de TI para asegurar que la informacin y
la tecnologa relacionada de la empresa respalden sus objetivos de negocios. El gobierno de TI permite
as que la empresa saque todo el provecho de su informacin, maximizando de este modo los beneficios,
capitalizando las oportunidades y ganando ventaja competitiva.
Preguntas de la Administracin
Cmo hacen los administradores responsables para DASHBOARDS
mantener la nave en su curso? (Tableros de Instrumentos)
Cmo se logran resultados que sean satisfactorios para el SCORECARDS
mayor segmento posible de nuestros inversionistas? (Tarjetas de Puntuacin)
Cmo adaptar oportunamente la organizacin a las BENCHMARKING
tendencias y desarrollos en el entorno de la empresa? (Referencias)
Pero los tableros de instrumentos necesitan indicadores, las tarjetas de puntuacin necesitan medidas y el
benchmarking necesita una escala de comparacin. Suministrar estos para el manejo de la informacin
ha sido un objetivo primario en el desarrollo de las Directrices Gerenciales de COBIT.
Una necesidad bsica para toda organizacin es entender la situacin de sus propios sistemas de TI y
decidir qu seguridad y control se les debe suministrar. Ningn aspecto de este problemaentender el
nivel de control requerido y decidir sobre el mismoes directo. Obtener una visin objetiva del propio
nivel de una organizacin no es fcil. Qu se debe medir y cmo? Adems de la necesidad de medir
dnde se encuentra una organizacin, est la importancia del constante mejoramiento en las reas de
seguridad y control de TI, y la necesidad de un conjunto de herramientas de administracin para
monitorear esta mejora. Decidir cul es el nivel correcto es igualmente difcil. A los gerentes generales
de las organizaciones corporativas y pblicas se les pide con frecuencia que consideren un caso de
negocio para que el gasto mejore el control y la seguridad de la infraestructura de informacin. Aunque
pocos argumentaran que esto no es bueno, todos deben ocasionalmente preguntarse:
La respuesta la brindan las Directrices Gerenciales de COBIT, que son genricas y que estn orientadas a
la accin con el fin de resolver los tipos siguientes de preocupaciones de la administracin:
6 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Una respuesta a estos requerimientos de determinacin y monitoreo del nivel apropiado de seguridad y
control de TI es la definicin especfica de:
Las Directrices Gerenciales son consistentes con y se basan en el Marco Referencial de COBIT, los
Objetivos de Control y las Directrices de Auditora de COBIT existentes. Adems, para ayudar a enfocar
la administracin del desempeo. Se usaron los principios del Balanced Bussines Scorecard1. stos
sirvieron para definir los Indicadores Clave de Objetivos para identificar y mediar los resultados de los
procesos y los Indicadores Clave de Desempeo para determinar cmo se estaban desempeando los
procesos midiendo los habilitadores del proceso. En nuestro entorno dominado por los servicios de
informacin, TI se ha convertido en el principal posibilitador del negocio. De ah que la relacin entre
los objetivos del negocio y sus medidas de TI con sus objetivos y medidas, es muy importante y puede
ser descrita como sigue:
Objetivos Posibilitadores
Medida Medida
(resultado) (desempeo)
En trminos sencillos, estas medidas asistirn a la administracin para monitorear su organizacin
de TI respondiendo a las preguntas siguientes:
IT GOVERNANCE INSTITUTE 7
DIRECTRICES GERENCIALES
0 1 2 3 4 5
LEYENDA PARA LOS SMBOLOS USADOS LEYENDA PARA LAS CLASIFICACIONES USADAS
The Balanced Business ScorecardMediciones que impulsan el Desempeo, Robert S. Kaplan y David P.
Norton, Harvarc Business Review, Enero-Febrero de 1992.
Capability Maturity ModelSM para Software, Versin 1.1. Reporte Tcnico CMU/SEI-93-TR-024, Instituto de
Ingeniera de Software, Carnegie Mellon University, Pittsburg, PA, Febrero de 1993. a
8 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
LOS FACTORES CRTICOS DE XITO (CSF) definen los aspectos o acciones ms importantes
para que la administracin logre el control sobre y dentro de sus proceso de TI. Ellos deben ser
directrices de implementacin orientados hacia la administracin y deben identificar las cosas ms
importantes para hacer, estratgicamente, tcnicamente, organizacionalmente o procedimentalmente.
LOS INDICADORES CLAVES DE OBJETIVOS (KGI) definen las medidas que indican a la
administracindespus del hechosi un proceso de TI ha satisfecho sus requerimientos de negocio,
usualmente expresado en trminos de criterios de informacin:
LOS INDICADORES CLAVE DEL DESEMPEO (KPI) definen medidas para determinar que
tambin se est desempeando el proceso de TI para permitir que se alcance el objetivo; son indicadores
gua de que un objetivo probablemente se alcanzar o no; y son buenos indicadores de capacidades,
prcticas y habilidades.
En estas Directrices Gerenciales, los Factores Crticos de xito, los Indicadores Clave de Objetivo y los
Indicadores Clave de Desempeo son breves y concentrados, complementando la orientacin de control
de alto nivel suministrada por el Marco referencial de COBIT (ver Apndice II) que expresa que TI
posibilita el negocio entregando la informacin que necesita el negocio.
En resumen, este desarrollo se ha concentrado en la definicin tanto de los lineamientos orientados hacia
la accin como en los lineamientos genricos para la administracin, requeridos para mantener el control
sobre la informacin de la empresa y sobre los procesos relacionados y la tecnologa:
En una era de creciente negocio electrnico y dependencia de la tecnologa, las organizaciones tendrn
que alcanzar de manera fehaciente crecientes niveles de seguridad y de control. Toda organizacin debe
entender su propio desempeo y debe medir su progreso. Utilizando Benchmarking y midiendo el
progreso en comparacin con sus semejantes y la estrategia de empresa es una forma de alcanzar un nivel
competitivo de seguridad y control de TI. Las Directrices Gerenciales de COBIT proporcionan a la
administracin una gua pragmtica por medio de estos modelos de madurez, factores prcticos y crticos
de xito y medidas sugeridas de desempeo, para responder a la pregunta constante:
IT GOVERNANCE INSTITUTE 9
DIRECTRICES GERENCIALES
MARCO REFERENCIAL
1. MODELOS DE MADUREZ
A los gerentes generales de las organizaciones corporativas y pblicas se les pide frecuentemente que
consideren un caso de negocio para los gastos de recursos para controlar la infraestructura de
informacin. Mientras pocos argumentaran que esto no es bueno, todos se deben preguntar:
Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas:
Qu estn haciendo los dems, y cmo estamos nosotros situados en relacin a ellos?
Basados en estas comparaciones externas, podra decirse que nosotros estamos tomando
precauciones razonablespara salvaguardar nuestros activos de informacin?
Usualmente ha sido difcil dar respuestas sensatas a estas preguntas, porque no se ha contado con las
herramientas requeridas para hacer las evaluaciones necesarias.
El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI (ver Apndice II).
Para cada proceso hay una expresin de control de alto nivel y entre 3 y 30 objetivos detallados de
control. El propietario del proceso debe ser capaz de determinar el nivel de cumplimiento de los
objetivos de control ya sea como una rpida auto evaluacin o como una referencia en conjunto con una
revisin independiente. Cualquiera de estas evaluaciones que la administracin pueda desear poner en
contexto comparando con la industria y con el entorno en que ellas se encuentran o en comparacin con
dnde estn evolucionando los estndares y las reglamentaciones internacionales (por ejemplo, las
futuras expectativas que surgen). Para que los resultados se puedan utilizar fcilmente en los reportes de
la administracin, donde ellos sern presentados como un medio para respaldar el caso de negocio para
planes futuros, es necesario suministrar un mtodo grfico de presentacin.
10 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un
mtodo de asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta
optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering
Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las
escalas no deben estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y
sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones
que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con los niveles
desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear:
0 1 2 3 4 5
LEYENDA PARA LOS SMBOLOS USADOS LEYENDA PARA LAS CLASIFICACIONES USADAS
Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas, basada en una
clasificacin de 0 hasta 5. La escala est asociada con las descripciones del modelo genrico
cualitativo de madurez que van desde Inexistente hasta Optimizada de la forma siguiente:
IT GOVERNANCE INSTITUTE 11
DIRECTRICES GERENCIALES
0 Inexistente. Total falta de un proceso reconocible. La organizacin ni siquiera ha reconocido que hay un
problema que resolver.
1 Inicial. Hay evidencia de que la organizacin ha reconocido que los problemas existen y que necesitan ser re
sueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay mtodos ad hoc que tienden a ser
aplicados en forma individual o caso por caso. El mtodo general de la administracin es desorganizado.
2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos
similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos
estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de
las personas y por lo tanto es probable que haya errores.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor prctica, basados en los resultados
de mejoramiento continuo y diseo de la madurez con otras organizaciones. TI se usa en una forma
integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte con rapidez.
COBIT es un marco de referencia general dirigido a la administracin de TI y como tal estas escalas
necesitan ser prcticas para aplicar y razonablemente fciles de entender. Sin embargo, los tpicos de
riesgo y de control apropiado en los procesos de administracin de TI son inherentemente subjetivos e
imprecisos y no necesitan el enfoque menos automatizado que se encuentra en los modelos de madurez
para la ingeniera de software.
El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn los procesos de administracin.
El grado de desarrollo que deben tener depende de las necesidades del negocio, como se menciona aqu
anteriormente. Las escalas son slo ejemplos prcticos para un proceso dado de administracin que muestra
esquemas tpicos para cada nivel de madurez. Los Criterios de Informacin contenidos en el Marco
Referencial de COBIT (ver Apndice II) ayudan a asegurarse de que estamos enfocados en los aspectos
correctos de la administracin cuando describimos la prctica real. Por ejemplo, la planificacin y
organizacin estn enfocadas en los objetivos de efectividad y eficiencia de administracin, mientras que
asegurar la seguridad de los sistemas se enfocar en el manejo de la confidencialidad y la integridad.
12 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los administradores dnde
existen deficiencias en la administracin de TI y a fijarse objetivos para donde necesitan estar
comparando las prcticas de control de su organizacin con los ejemplos de la mejor prctica. El nivel
correcto de madurez estar influenciado por los objetivos de negocio y el entorno operativo de la
empresa. Especficamente, el nivel de madurez de control depender de la dependencia de TI que tenga
la empresa, de la sofisticacin de la tecnologa y, lo que es ms importante, del valor de su informacin.
Un punto estratgico de referencia para que una organizacin mejore la seguridad y el control podra
consistir tambin en mirar las normas internacionales que surgen y las mejores prcticas de su clase. Las
prcticas actuales que surgen pueden llegar a ser el nivel esperado de desempeo de maana y es por lo
tanto til para planificar dnde quiere una organizacin estar en el tiempo.
Los Modelos de Madurez se construyen a partir del modelo genrico cualitativo (ver arriba) a los que se
agregan las prcticas y los principios de los dominios siguientes de forma creciente a travs de todos los
niveles:
La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos los niveles para los
distintos tpicos. Junto con el modelo cualitativo, constituye un modelo genrico de madurez aplicable a
la mayora de los procesos de TI.
IT GOVERNANCE INSTITUTE 13
DIRECTRICES GERENCIALES
Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en los diferentes
niveles de madurez
Son una escala que se presta para la comparacin pragmtica
Son una escala en la que la diferencia puede hacerse mensurable de manera sencilla
Son reconocibles como un perfil de la empresa relativo al gobierno de TI, la seguridad y el
control
Ayudan a fijar posiciones de Como est y Como debe estar en relacin con el gobierno de
TI, la madurez de la seguridad y el control
Se prestan para hacer anlisis de los vacos/gap para determinar lo que es necesario hacer para
alcanzar un nivel determinado
14 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Evitan, donde es posible, niveles discretos que crean umbrales que son difciles de cruzar
Aplican cada vez ms factores crticos de xito
No son especficos de la industria ni son siempre aplicables, el tipo de negocio define lo que
es apropiado.
Los Factores Crticos de xito proveen administracin con orientacin para implementar el control
sobre TI y sus procesos. Ellos son las cosas ms importantes que se deben hacer que contribuyen a
que el proceso de TI alcance sus metas. Son actividades que pueden ser un proceso estratgico,
tcnico, organizacional, de procesos o de una naturaleza procedimental. Usualmente tratan con
capacidades y destrezas y tienen que ser cortos, enfocados y orientados a la accin, apoyando los
recursos que sean de importancia primordial en el proceso en consideracin.
La orientacin se puede obtener a partir del Modelo de Control estndar que aparece a continuacin.
Sigue los principios que todos conocemos cuando se fija la temperatura de la habitacin (estndar)
para el sistema de calefaccin (proceso) que verificar (comparar) constantemente la temperatura
ambiente de la habitacin (informacin de control) y sealar (actuar) el sistema de calefaccin
para que provea ms calor. Este modelo y sus principios identifican un nmero de Factores Crticos
de xito que usualmente se aplican a todos los procesos que ellos tratan con lo que es la norma,
quin la fija, quin controla o necesita actuar, etc.:
ACTUAR
Normas
Estndares Comparar Procesar
Objetivos
CONTROLAR
INFORMACIN
IT GOVERNANCE INSTITUTE 15
DIRECTRICES GERENCIALES
Se debe sealar tambin que estos principios de control son necesarios a distintos niveles, por ejemplo, a
nivel estratgico, tctico y administrativo. Hay usualmente cuatro tipos de actividades a cada nivel que
lgicamente se siguen entre s: planificar, hacer, verificar y corregir. Se deben considerar los
mecanismos de retroalimentacin y de control entre los niveles. Por ejemplo, hacer en el nivel
estratgico alimenta a planificar en el tctico, o verificar en el nivel administrativo est consolidado
con verificar en el nivel tctico, etc.
Corregir
Se puede obtener ms orientacin para desarrollar factores crticos de xito examinando los objetivos y
monitoreando las directrices del Marco de Gobierno de TI. El gobierno de TI es responsabilidad de los
ejecutivos y de los accionistas. Es un sistema de control que asegura que los objetivos del negocio se
alcancen. Esto consiste por lo general en dirigir los esfuerzos de la organizacin despus de revisar su
desempeo reportado y compararlo con algunas normas sencillas que piden:
En cuanto al modelo estndar de control, ste ocurrir por lo general en niveles diferentes, con los jefes
de grupo que se reportan a sus gerentes y que reciben indicaciones de stos, con los gerentes que se
reportan al ejecutivo y ste a la Junta Directiva. Tambin, los reportes que indican desviacin de los
objetivos incluirn ya por lo general recomendaciones para que la accin sea aprobada.
La ilustracin que sigue presenta de manera conceptual la interaccin de los objetivos y las actividades
de TI desde una perspectiva de gobierno de TI. Las actividades de TI estn descritas aqu con las
actividades genricas de administracin de planificar, hacer, verificar y corregir. Con el advenimiento
del Marco de Control de COBIT (ver Apndice II), la manera emergente de representar tecnologa de
informacin es usar los cuatro dominios de COBIT de Planeacin y Organizacin; Adquisicin e
Implementacin; Entrega y Soporte; y Monitoreo.
16 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
A partir del modelo estndar de control y a partir del Marco de Gobernabilidad de TI, se pueden deducir
un nmero de Factores Crticos de xito que se aplican a la mayora de los procesos de TI:
1. Se aplican a TI en general
Los procesos de TI estn definidos y alineados con la estrategia de TI y los objetivos del
negocio
Se conocen los clientes del proceso y sus expectativas
Los procesos son escalables y sus recursos manejados y apalancados apropiadamente
Existen los requerimientos de calidad del personal (capacitacin, transferencia de
informacin, moral, etc.) y disponibilidad de habilidades (reclutar, retener, re-entrenar).
El desempeo de TI se mide en trminos financieros, en relacin con la satisfaccin del
cliente, la efectividad del proceso y capacidad futura. La administracin de TI se
recompensa con base a estas medidas.
Se aplica un esfuerzo continuo de mejoramiento de la calidad.
Todos los interesados en el proceso /usuarios, administracin, etc.) estn conscientes de los
riesgos, de la importancia de TI y de las oportunidades que puede ofrecer, y proveen un
compromiso y apoyo firme.
Las metas y los objetivos son comunicados en todas las disciplinas y son entendidos; se sabe
cmo los procesos implementan y monitorean los objetivos, y quien es responsable del
desempeo del proceso.
Las personas estn orientadas hacia el cumplimiento de los objetivos y tienen la informacin correcta sobre los
clientes, sobre los procesos internos y sobre las consecuencias de sus decisiones.
IT GOVERNANCE INSTITUTE 17
DIRECTRICES GERENCIALES
3. Se aplican al gobierno de TI
Un Indicador Clave de Objetivo, que representa la meta del proceso, es una medida de lo que tiene que
lograrse. Es un indicador medible del proceso que alcanza sus metas, definidas a menudo como un
objetivo a alcanzar.
En comparacin, un Indicador Clave de Desempeo, que ser tratado en la prxima seccin, es una medida de
qu tan bien se est desempeando el proceso. Esta relacin est ilustrada mejor a continuacin mediante
un concepto del Balanced Business Scorecards, que tambin busca medidas de resultado de la meta y medidas
de desempeo relativas a los posibilitadores que harn posible que se logre la meta. Y en este contexto
necesitamos recordar que TI es un posibilitador importante del negocio.
18 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Objetivos Posibilitadores
KGI KPI
(medida del resultado/logro) (medida del desempeo)
TI, como uno de los principales posibilitadores del negocio, tendr su propio scorecard. Como un
posibilitador, sus medidas sera los indicadores de desempeo, por ejemplo, qu tan bien se est
desempeando el posibilitador para que pueda dar una indicacin de que la meta del negocio ser
alcanzada. Tambin se debe sealar que las medidas del desempeo relativas al negocio se convierten en
medidas de la meta para TI, es decir, que los Balanced Business scorecard estn en cascada (ver el
Apndice III).
Pero, cmo estn relacionadas metas y medidas del negocio y de TI? El Marco de COBIT expresa los
objetivos para TI en trminos de los criterios de informacin que el negocio necesita para alcanzar los
objetivos del negocio, que sern por lo general expresados en trminos de:
La meta de TI se puede expresar como entrega de la informacin que el negocio necesita en conformidad
con estos criterios. Estos criterios de informacin se brindan en las Directrices Gerenciales con una
indicacin de si ellos tienen importancia primaria o secundaria para el proceso en revisin. En la
prctica, el perfil de criterios de informacin de una empresa sera ms especfico.
IT GOVERNANCE INSTITUTE 19
DIRECTRICES GERENCIALES
1
0.9
0.8
PERFIL 0.7
0.6
de Criterios 0.5
de Informa- 0.4
0.3
cin 0.2
0.1
0
E E C I D C C
F F O N I U O
E E N
T S M N
C C F
T I I E P P F
I E D G O L I
V N E R N I A
I N I I M B
C C
D I I D B I I
A A A A I E L
D L D L N I
I I T D
D D O A
A
D A D
D
El grado de importancia de cada uno de los criterios de informacin citados aqu anteriormente es una
funcin del negocio y del entorno en que opera la empresa. El dibujo que antecede es slo un ejemplo.
Cada organizacin tendr que decidir el grado de importancia que tiene para su negocio cada uno de los
criterios de informacin. Como tal, el perfil expresa tambin la posicin de la empresa respecto al
riesgo. Se debe sealar, sin embargo, que la importancia de los criterios de informacin puede tambin
cambiar para cada proceso en que posiblemente se apliquen objetivos diferentes. Sin embargo, la meta
para la organizacin de TI es entregar la informacin que el negocio necesita para alcanzar sus objetivos,
de acuerdo con el perfil de criterios de informacin.
La importancia relativa de los criterios de informacin implica que es posible que sea necesario extraer
una seleccin de las extensas listas de las mejores prcticas que provee COBIT: las Consideraciones en el
Marco de COBIT (ver el Apndice II); los Objetivos de Control; o incluso los Factores Crticos de xito
de estas Directrices Gerenciales.
Para entender mejor el objetivo y los indicadores de desempeo, hemos tambin mirado las cuatro
dimensiones del Balanced Business scorecard:
FinancieroCmo nos miran los accionistas? (es decir, entrega frente a presupuesto)
De ClienteCmo nos ven los clientes? (por ejemplo,, satisfaccin del cliente, entrega a
tiempo, valor del servicio)
Proceso internoCmo nos miramos a nosotros mismos? (es decir, orientacin y calidad del
proceso)
Aprendizaje /innovacinPodemos continuar mejorando y creando valores? (es decir,
conocimiento del empleado y de la infraestructura tcnica)
Los Indicadores Clave de Objetivo para TI son impulsados por el negocio y por lo general proveen las
medidas que se necesitan para soportar las dimensiones financieras y de cliente del Balanced Business
scorecard de la Empresa, que est descrito en el diagrama siguiente. Los Indicadores Clave de
20 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Desempeo, como veremos en la prxima seccin, se enfocan en las otras dos dimensiones Balanced
Business scorecard: los procesos internos y la innovacin. Los resultados financieros y la satisfaccin
del cliente son tpicamente medidas con base en la meta del negocio que est siendo alcanzada y
medida a posteriori. Por otra parte, la excelencia del proceso y la capacidad de aprender y de innovar
son indicadores de qu tan bien se est desempeando una organizacin y da una indicacin de la
probabilidad de lograr el xito a priori.
Los Indicadores Clave de Objetivo son indicadores de PASADO, ya que ellos slo pueden ser medidos
a posteriori, en oposicin a los Indicadores Clave de Desempeo, que son indicadores de FUTURO que
dan una indicacin del xito a priori. Tambin pueden ser expresados negativamente, es decir, en
trminos del impacto de no alcanzar la meta. La seccin de Justificacin del Riesgo de las directrices de
Auditora de COBIT da ejemplos para cada uno de los 34 Procesos de TI de qu puede salir mal si el
proceso de TI no es debidamente controlado.
Los Indicadores Clave de Objetivo no deben ser vagos, sino medibles como un nmero o un porcentaje.
Estas medidas deben mostrar que la informacin y la tecnologa estn contribuyendo con la misin y la
estrategia de la organizacin. Debido a que las metas y los objetivos son especficos de la empresa y de
su entorno, muchos Indicadores Clave de Objetivo han sido expresados con una direccin, por ejemplo,
mayor disponibilidad, menor costo. En la prctica, la administracin tendr que fijar objetivos
especficos que se necesitan alcanzar, tomando en cuenta los desempeos anteriores y las metas futuras.
Para ilustrar los puntos citados aqu anteriormente, se enumera a continuacin un conjunto de
Indicadores Clave de Objetivo genricos que por lo general se aplican a todos los procesos de TI.
Lograr el rendimiento sobre la inversin o las ganancias de valor del negocio que se tena como
meta
Mayor manejo del desempeo
Riesgos reducidos de TI
Mejoramientos de la productividad
Cadenas integradas de suministros
Procesos estandarizados
Incremento de la entrega del servicio (ventas)
Llegar a nuevos clientes y satisfacer los clientes existentes
Creacin de nuevos canales de entrega de servicios
Disponibilidad de ancho de banda, poder de cmputo y mecanismos de entrega de TI que se
ajustan al negocio, y a la disponibilidad o no de sus recursos
IT GOVERNANCE INSTITUTE 21
DIRECTRICES GERENCIALES
Una representacin de la meta del proceso, es decir, una medida de qu, o un objetivo a lograr
La descripcin del resultado del proceso y por lo tanto indicadores de PASADO, es decir,
medibles despus del hecho, o a posteriori
Indicadores inmediatos de la terminacin exitosa del proceso o indicadores indirectos del valor
que el proceso entreg al negocio
Posiblemente descripciones de una medida del impacto de no alcanzar la meta del proceso
Enfocado en el cliente y en las dimensiones financieras del Balanced Business scorecard
Orientados hacia TI pero impulsados por el negocio
Expresados en trminos precisos, medibles donde sea posible
Enfocados en los criterios de informacin que hayan sido identificados como de mayor
importancia para este proceso.
Los Indicadores Clave de Desempeo son medidas que dicen a la administracin que un proceso de TI
est satisfaciendo los requerimientos de su negocio monitoreando el desempeo de los posibilitadores de
ese proceso de TI. Basndose en los principios del Balanced Business scorecard, la relacin entre los
Indicadores Clave del Desempeo y los Indicadores Clave de Objetivo es la siguiente:
1
0.9
0.8
0.7
METAS 0.6 POSIBILITADORES
0.5
0.4
0.3
0.2
0.1
0
E E C I D C C
F F O N I U O
E I N T S M N
C C F E P F
T P
I I G L I
I E D O
R I A
KGI I
V
C
N
N
E I I
N
M B KPI
D D B I I
(medida del resultado) D
A A
I
I
C
D
A I
N
E
I
L (Medida del Desempeo)
A L
L I T D
I D O A
D A D
A D
D
Los Indicadores Clave del Desempeo son cortos, enfocados e indicadores medibles del desempeo de
los factores posibilitadores de los procesos de TI, que indican en qu medida el proceso posibilita que se
alcance el objetivo. Mientras que los Indicadores Clave de Objetivo se enfocan en qu, los Indicadores
Clave de Desempeo se ocupan de cmo. Ellos son a menudo una medida de un Factor Crtico de
xito y, cuando se les monitorea y se acta sobre ellos, identificarn oportunidades para el mejoramiento
del proceso. Estos mejoramientos deben influir de manera positiva en el resultado y como tales, los
Indicadores Clave de Desempeo tienen una relacin causaefecto con los Indicadores Clave de
Objetivo del proceso.
22 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
En algunos casos, se sugieren medidas compuestas para los Indicadores Clave de Desempeo y, en pocos
casos tambin para los Indicadores Clave de Objetivo. Un ejemplo podra ser una medida de lo
adecuado de la organizacin de TI que rastrea, como un nmero, el enfoque del negocio, la moral y la
satisfaccin del trabajo del personal de TI. O, por ejemplo, el ndice de calidad de un plan monitoreando
como un nmero su oportunidad, integridad y enfoque estructurado.
Mientras que los Indicadores Clave de Objetivo son impulsados por el negocio, los Indicadores Clave de
Desempeo estn orientados hacia el proceso y a menudo expresarn cmo los procesos y la
organizacin respaldan y administran los recursos que se necesitan. Similar a los Indicadores Clave de
Objetivo, a menudo se expresan como un nmero o un porcentaje. Una prueba cida buena de un
Indicador Clave de Desempeo es ver si ste predice realmente el xito o el fracaso del objetivo del
proceso y si ayuda o no en la administracin en el mejoramiento del proceso.
1. Se aplican a TI en general
3. Se aplican al gobierno de TI
Comparaciones Benchmark
Nmero de reportes de incumplimiento
IT GOVERNANCE INSTITUTE 23
DIRECTRICES GERENCIALES
5. CONCLUSIN
Para colocar la Tecnologa de Informacin bajo control de modo que TI est en concordancia con el
negocio y que lo posibilite entregando la informacin que necesita la organizacin, se ha suministrado en
estas Directrices Gerenciales un nmero de herramientas de administracin. La relacin entre los
Factores Crticos de xito, los Modelos de Madurez, los Indicadores Clave de Desempeo y los
Indicadores Clave de Objetivo se pueden expresar as:
Los CSFs son las cosas ms importantes que hay que hacer en base a las elecciones hechas en el
Modelo de Madurez, mientras se monitorea en todos los KPIs si es probable que uno alcance los
objetivos fijados por las KGIs.
Sin embargo, es necesario enfatizar que estos lineamientos siguen siendo genricos, aplicables en general
y no brindan medidas especficas de la industria. Las organizaciones necesitarn en muchos casos
adaptar este conjunto general de indicaciones a su propio entorno.
Ese es el propsito principal de los Directrices Gerenciales, desarrolladas con la ayuda de expertos de
todo el mundo en el campo del gobierno de TI, la administracin del desempeo, y la seguridad y control
de la informacin. Ellos proveen un conjunto de herramientas para ayudar a la administracin a
responder a la pregunta:
Cul es el nivel correcto de control para mi TI que soporte los objetivos de mi empresa?
24 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Las pginas siguientes proveen Directrices Gerenciales detallados para cada uno de los 34 procesos de
COBIT y el Apndice I provee orientacin de cmo leerlos.
IT GOVERNANCE INSTITUTE 25
DIRECTRICES GERENCIALES
26 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
PLANEACIN Y ORGANIZACIN
IT GOVERNANCE INSTITUTE 27
DIRECTRICES GERENCIALES
El Control sobre el proceso de TI de Definir un Plan Estratgico de TI con el objetivo del negocio de
lograr un equilibrio ptimo de oportunidades de tecnologa de la informacin y de los requerimientos de
TI del negocio as como tambin asegurar su cumplimiento posterior
El proceso de planeacin provee un esquema de prioridades para los objetivos del negocio y
cuantifica, donde es posible, los requerimientos del negocio
La intervencin y el soporte de la administracin se posibilitan mediante una metodologa
documentada para el desarrollo de la estrategia de TI, el soporte de los datos validados y un
proceso estructurado de toma de decisiones
El plan estratgico de TI establece claramente una posicin de riesgo, mediante metodologas o
estndares de vanguardia, comprobados en la prctica, innovadores, y el balance requerido entre
tiempo de mercadear, costo de propiedad y calidad de servicio.
Todos los supuestos del plan estratgico han sido puestos a prueba y comprobados
Los procesos, servicios y funciones que se necesitan para el resultado estn definidos, pero son
flexibles y se pueden cambiar, con un proceso transparente de control de cambio
Un tercero ha llevado a cabo una verificacin de la realidad de la estrategia para aumentar la
objetividad y esta revisin se repite con la frecuencia apropiada
La planificacin estratgica de TI se traduce en mapas alternativos y estrategias de migracin
28 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 29
DIRECTRICES GERENCIALES
El control sobre el proceso de TI de Definir un Plan Estratgico de TI con el objetivo del negocio de
alcanzar un balance ptimo de oportunidades de tecnologa de la informacin y requerimientos de TI
del negocio as como tambin asegurando su posterior cumplimiento
3 Proceso Definido Una poltica define cundo y cmo realizar la planeacin estratgica de TI. La
planeacin estratgica de TI sigue un mtodo estructurado que est documentado y que es
conocido por todos los miembros del personal. El proceso de planeacin de TI es razonablemente
adecuado y asegura que la planeacin apropiada probablemente se realice. Sin embargo, se da
discrecin a los administradores individuales respecto a la implementacin del proceso y no hay
procedimientos para examinar el proceso regularmente. La estrategia general de TI incluye una
definicin consistente de riesgos que la organizacin est dispuesta a correr como un innovador o
seguidor. Las estrategias financiera, tcnica y de recursos humanos de TI impulsan cada vez ms
la adquisicin de nuevos productos y tecnologas.
30 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 31
DIRECTRICES GERENCIALES
El control sobre el proceso de TI Definir la Arquitectura de Informacin con el objetivo del negocio
de optimizar la organizacin de los sistemas de informacin
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por medio de Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan los Recursos especficos de TI y
se mide por medio de Indicadores Clave de Desempeo
32 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Control sobre el proceso de TI Definir la Arquitectura de Informacin con el objetivo del negocio de
optimizar la organizacin de los sistemas de informacin.
IT GOVERNANCE INSTITUTE 33
DIRECTRICES GERENCIALES
34 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Control sobre el proceso de TI Determinar la Direccin Tecnolgica con el objetivo del negocio de
aprovechar la tecnologa disponible y emergente para impulsar y hacer posible la estrategia del
negocio.
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos
y se mide por medio de los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que apalancan los Recursos de TI especficos y se
mide por medio de los Indicadores Clave de Desempeo
Los reportes de tecnologa del negocio son distribuidos a las unidades del negocio
Los cambios de tecnologa son monitoreados proactivamente en busca de amenazas y de oportunidades, con
responsabilidades claramente asignadas y con un proceso definido que usa recursos probados y confiables.
Los resultados de monitoreo son evaluados a nivel de gerencia general y las acciones son acordadas e
integradas en el nivel de infraestructura de TI, al tiempo que se mantiene la concordancia con el plan
estratgico de TI.
Est establecida una facilidad de investigacin, determinacin de prototipo y prueba que se dedica a demostrar
el valor de negocio y a identificar limitaciones y oportunidades, en vez de la idoneidad tecnolgica.
La planificacin de la infraestructura de la tecnologa se traduce en planes para la adquisicin de tecnologa,
capacitacin y reclutamiento de personal, con consideracin de las polticas y normas de uso de la tecnologa
Existen planes de desarrollo histrico y estrategias de migracin para sacar a la organizacin desde el estado
actual hasta el estado futuro de infraestructura de TI
La orientacin y los supuestos de planificacin de la tecnologa son reevaluados de manera independiente en
momentos apropiados
El plan de infraestructura de TI es evaluado regularmente para los aspectos de contingencia
Un intercambio abierto sobre los desarrollos de la tecnologa y buenas relaciones con los vendedores y con
terceros promueve las funciones de vigilancia y el establecimiento de Benchmarking de la industria
IT GOVERNANCE INSTITUTE 35
DIRECTRICES GERENCIALES
El nmero de soluciones de tecnologa que no estn alineadas con la estrategia del negocio
Porcentaje de proyectos no planeados que no se ajustan a la tecnologa
Nmero de tecnologas y plataformas no compatibles
Disminucin del nmero de plataformas de tecnologa para mantener
Esfuerzo menor de despliegue de aplicaciones y de tiempo para mercadear
Mayor interoperabilidad entre sistemas y aplicaciones
36 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 37
DIRECTRICES GERENCIALES
5 Optimizado. Existe una funcin de investigacin para revisar las tecnologas emergentes y que
evolucionan y se llevan a cabo Benchmarks de la organizacin en contraposicin con las normas
de la industria. La organizacin se gua por las normas y desarrollos internacionales de la
industria, en lugar de estar impulsada por los vendedores de tecnologa. El impacto potencial del
cambio tecnolgico sobre el negocio es revisado a nivel de la gerencia general y las decisiones de
actuar reflejan la contribucin de las influencias humanas y tecnolgicas sobre las soluciones de
informacin. Hay aprobacin ejecutiva formal de las orientaciones tecnolgicas nuevas y de las
cambiadas. La participacin en los organismos que establecen normas de la industria y grupos de
usuarios de vendedores est formalizada. La entidad tiene un plan slido de infraestructura de la
tecnologa que refleja los requerimientos del negocio, responsable y puede ser modificada para
reflejar cambios en el entorno del negocio. Est establecido un proceso constante y ejecutado de
mejoras. Se usan extensamente las mejores prcticas de la industria para determinar la orientacin
tcnica.
38 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
El control sobre el proceso de TI de Definir la Organizacin y las Relaciones de TI con el objetivo del
negocio de entregar los servicios correctos de TI
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin y se mide
por medio de Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que apalancan los Recursos de TI especficos y se
mide por medio de Indicadores Clave de Desempeo.
IT GOVERNANCE INSTITUTE 39
DIRECTRICES GERENCIALES
40 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 41
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por medio de Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que apalancan Recursos de TI especficos y se mide
por medio de Indicadores Clave de Desempeo
42 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Porcentaje de las inversiones de TI que alcanzan o exceden los beneficios esperados, basado en el retorno de
la inversin y en la satisfaccin del usuario
Los gastos reales de TI como un porcentaje de los gastos totales de la organizacin vs. el objetivo
Los gastos reales de TI como un porcentaje de ingresos vs. el objetivo
Porcentaje logrado de los presupuestos de TI del dueo del negocio
Ausencia de demoras del proyecto ocasionadas por retrasos en las decisiones de inversin o en la no
disponibilidad de financiamiento
IT GOVERNANCE INSTITUTE 43
DIRECTRICES GERENCIALES
44 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos
y se mide por medio de Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que apalancan Recursos de TI especficos y se mide
por medio de Indicadores Clave de Desempeo
IT GOVERNANCE INSTITUTE 45
DIRECTRICES GERENCIALES
Porcentaje de planes y polticas de TI que abarcan la misin, visin, objetivos, valores y cdigo de
conductque son desarrollados y documentados
Porcentaje de los planes y polticas de TI que son comunicados a todos los interesados
Porcentaje de la organizacin que ha sido entrenada en polticas y procedimientos
Medidas de mejoramiento del conocimiento del usuario basado en encuestas regulares
Nmero de polticas y procedimientos que se ocupan del control de la informacin
46 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
1 Inicial /Ad Hoc. La administracin es reactiva para resolver los requerimientos del entorno de
control de la informacin. Las polticas, procedimientos y estndares se desarrollan y se
comunican ad-hoc, en la medida que se necesitan, impulsados primariamente por los problemas.
Los procesos de desarrollo, comunicacin y cumplimiento son informales e inconsistentes.
2 Repetible pero Intuitivo. La administracin tiene una comprensin implcita de las necesidades y
requerimientos de un entorno efectivo de control de informacin. Sin embargo, las prcticas son
informales y no se documentan de manera consistente. La administracin ha comunicado la
necesidad de polticas, procedimientos y estndares de control, pero el desarrollo es dejado a la
discrecin de los administradores y reas de negocio individuales. Las polticas y otros
documentos de respaldo se desarrollan basados en las necesidades individuales y no hay marco
general de desarrollo. La calidad es reconocida como una filosofa deseable a ser seguida, pero las
prcticas son dejadas a la discrecin de los administradores individuales. El entrenamiento se
lleva a cabo de manera individual y en la medida que se necesita.
IT GOVERNANCE INSTITUTE 47
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por medio de Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que apalancan Recursos especficos de TI y se mide
por medio de Indicadores Clave de Desempeo
1
Pensionar: Vet. (retiro por cumplimiento de la edad)
48 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Tiempo transcurrido entre los cambios en el plan estratgico de TI y el plan de administracin de recursos
humanos de TI
Porcentaje del personal de TI con planes completados de desarrollo profesional
Porcentaje del personal de TI con revisiones de desempeo documentadas y validadas
Porcentaje de tiempo de entrenamiento por persona
Porcentaje de personal crtico con entrenamiento cruzado y personal asignado como reemplazo en caso de
ausencia del titular
Nmero de proyectos demorados o cancelados debido a la falta de recursos de personal de TI
Porcentaje del presupuesto de recursos humanos asignado al desarrollo y mantenimiento del plan de
administracin de recursos humanos de TI
Porcentaje de posiciones de personal de TI con descripciones documentadas del puesto de trabajo y
calificaciones de contratacin
IT GOVERNANCE INSTITUTE 49
DIRECTRICES GERENCIALES
50 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin y se mide por
medio de Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que apalancan Recursos de TI especficos y se mide
por medio de Indicadores Clave de Desempeo
IT GOVERNANCE INSTITUTE 51
DIRECTRICES GERENCIALES
52 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Hay funciones y responsabilidades claramente definidas para la propiedad de la administracin del riesgo y la
obligacin de reportar a la administracin
Est establecida una poltica para definir los lmites de riesgo y la tolerancia de riesgo
La evaluacin del riesgo se efecta observando las vulnerabilidades, amenazas y el valor de la informacin
Se mantiene informacin estructura de riesgos, alimentada por medio del reporte de incidentes
Existen responsabilidades y procedimientos para definir, acordar y financiar mejoras en la administracin del
riesgo
El foco de la evaluacin es primariamente en las amenazas reales y menos en las tericas
Las sesiones de lluvia de ideas2 y de anlisis de la causa que lo origina que conduce a la identificacin y
mitigacin del riesgo se realizan de forma rutinaria
Un tercero lleva a cabo una verificacin de realidad de la estrategia para aumentar la objetividad y la misma es
repetida a intervalos apropiados
2
Tormenta de Ideas: Brainstorming
IT GOVERNANCE INSTITUTE 53
DIRECTRICES GERENCIALES
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones
de la administracin en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la
complejidad, aumentando la objetividad e identificando factores de decisin importantes.
0 Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio no ocurre. La
organizacin no considera los impactos del negocio asociados con vulnerabilidades de la seguridad
y con inseguridades de proyectos de desarrollo. Es improbable que la administracin de riesgos
sea identificada dentro del plan de un proyecto o sea asignada a administradores especficos
involucrados en el proyecto. La administracin de TI no especifica responsabilidad para la
administracin del riesgo en las descripciones de los puestos de trabajo u otro medio informal.
Riesgos especficos relacionados con TI como la seguridad, disponibilidad e integridad son
considerados ocasionalmente por proyecto.
1 Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades y obligaciones legales y
contractuales, pero considera los riesgos de TI de manera ad hoc, sin seguir procesos o polticas
definidas. Tienen lugar evaluaciones informales del riesgo de proyecto a medida que lo determina
cada proyecto. No es probable que las evaluaciones de riesgo sean identificadas especficamente
dentro del plan de un proyecto o a ser asignado a administradores especficos involucrados en el
proyecto. La administracin de TI no especifica responsabilidad por la administracin del riesgo
en las descripciones de puestos de trabajo u otro medio informal. Los riesgos especficos
relacionados con TI como son la seguridad, disponibilidad e integridad son ocasionalmente
considerados por proyecto. Los riesgos relacionados con TI que afectan las operaciones cotidianas
se discuten con poca frecuencia en las reuniones de la administracin. Cuando se han considerado
los riesgos, la mitigacin es inconsistente.
2 Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI son importantes y
que es necesario considerarlos. Existe algn enfoque de evaluacin de riesgos, pero el proceso es
todava inmaduro y est en desarrollo. La evaluacin es usualmente a un nivel elevado y
tpicamente se aplica slo a los proyectos importantes. La evaluacin de las operaciones en curso
depende principalmente de los administradores de TI que lo presentan como un punto de la
agenda, lo cual a menudo slo ocurre cuando surgen problemas. La administracin de TI
generalmente no tiene definidos procedimientos o descripciones de puestos de trabajo que se
encarguen de la administracin del riesgo.
54 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
3 Proceso Definido La poltica de manejo del riesgo a nivel de toda una organizacin define
cundo y cmo llevar a cabo evaluaciones de riesgo. La evaluacin del riesgo sigue un proceso
definido que est documentado y disponible para todo el persona a travs de entrenamiento. Las
decisiones de seguir el proceso y recibir entrenamiento se dejan a la discrecin de las personas. La
metodologa es convincente y saludable, y asegura que los riesgos clave del negocio
probablemente sean identificados. Las decisiones de seguir el proceso se dejan a los
administradores individuales de TI y no hay procedimiento para asegurar que todos los proyectos
estn cubiertos o que la operacin en curso es examinada en busca de riesgos de manera regular.
5 Optimizado La evaluacin de los riesgos se ha desarrollado hasta una etapa en que un proceso
estructurado, en toda la organizacin, es ejecutado, seguido y bien administrado. La tormenta de
ideas y el anlisis de la causa que origin el riesgo, que involucra a personas expertas, se aplican
en toda la organizacin. La captura, anlisis y reporte de datos de administracin de riesgos estn
altamente automatizados. El asesoramiento se obtiene de los jefes en el terreno y la organizacin
de TI participa en grupos colegas para intercambiar experiencias. La administracin del riesgo
est verdaderamente integrada en todas las operaciones y negocios de TI, es bien aceptada e
involucra extensamente a los usuarios de servicios de TI.
IT GOVERNANCE INSTITUTE 55
DIRECTRICES GERENCIALES
56 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
1 Inicial /Ad Hoc La organizacin est en general conciente de la necesidad de que los proyectos
sean estructurados y est conciente de los riesgos de los proyectos administrados deficientemente.
El uso de tcnicas y mtodos de administracin de proyectos dentro de TI es una decisin que se
deja a los administradores individuales de TI. Los proyectos son en general definidos de manera
deficiente y no incorporan objetivos de negocio y tcnicos de la organizacin o de los interesados
del negocio. Hay una falta general de dedicacin de la administracin y la propiedad de proyectos y
las decisiones crticas se hacen sin la administracin de usuarios o la contribucin del cliente. Hay
poca o ninguna participacin en la definicin de proyectos de TI. No hay una organizacin clara
dentro de los proyectos de TI y las funciones y responsabilidades no estn definidas. Los
cronogramas e hitos de los proyectos estn pobremente definidos. El tiempo y los gastos del
personal del proyecto no son rastreados y comparados con los presupuestos.
IT GOVERNANCE INSTITUTE 57
DIRECTRICES GERENCIALES
58 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Control sobre el proceso de TI Administrar Calidad con el objetivo del negocio de satisfacer los
requerimientos de clientes de TI
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin y se mide por
medio de Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que apalancan Recursos de TI especficos y se mide
por medio de Indicadores Clave de Desempeo
IT GOVERNANCE INSTITUTE 59
DIRECTRICES GERENCIALES
Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de satisfacer los
requerimientos de TI del cliente.
60 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 61
DIRECTRICES GERENCIALES
62 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
ADQUISICIN E IMPLEMENTACIN
IT GOVERNANCE INSTITUTE 63
DIRECTRICES GERENCIALES
El Control sobre el proceso de TI de Identificar Soluciones Automatizadas con el objetivo del negocio
de asegurar un enfoque efectivo y eficiente para satisfacer los requerimientos del usuario
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
64 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 65
DIRECTRICES GERENCIALES
1 Inicial /Ad hoc Hay una conciencia de la necesidad de definir requerimientos y de identificar
soluciones tecnolgicas. Sin embargo, los mtodos son inconsistentes y no estn basados en una
metodologa especfica de adquisicin e implementacin. Los grupos individuales tienden a
reunirse para discutir necesidades de manera informal y los requerimientos por lo general no
estn documentados. Las soluciones son identificadas por personas basadas en una conciencia
limitada del mercado, o en respuesta a ofertas de vendedores. Hay poco o ningn anlisis
estructurado o investigacin de la tecnologa disponible.
66 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 67
DIRECTRICES GERENCIALES
El Control sobre el proceso de TI de Adquirir y Mantener Software de Aplicacin con el objetivo del
negocio de proveer funciones automatizadas que soporten efectivamente el proceso del negocio
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por la definicin de declaraciones especficas de requerimientos funcionales y
operativos, y una implementacin por fase con productos claros
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
68 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Nmero de aplicaciones entregadas a tiempo, cumpliendo con las especificaciones y en lnea con la
arquitectura de TI
Nmero de aplicaciones sin problemas de integracin durante la implementacin
Costo de mantenimiento por aplicacin por debajo del nivel fijado
Nmero de problemas de produccin, por aplicacin, que causa visible reduccin de tiempo o degradacin del
servicio
Nmero de soluciones no consistentes con la estrategia aprobada y vigente de TI
Proporcin (ratio) reducida de mantenimientos relacionados con nuevos desarrollos
Proporcin del costo real de mantenimiento por aplicacin en comparacin con el promedio del portafolio de
aplicaciones
Tiempo promedio para entregar funcionalidad, sobre la base de medidas tales como puntos o mdulos de
funcin
Nmero de solicitudes de cambio relacionados consoftware maligno, errores crticos y nuevas
especificaciones funcionales
Nmero de problemas de produccin o mal funcionamiento por aplicacin y por cambios generados por el
mantenimiento
Nmero de desviaciones de los procedimientos estndar, tales como aplicaciones no documentadas, diseo no
aprobado y prueba reducida para cumplir con las fechas tope
Nmero de mdulos devueltos o nivel de reprocesamiento requerido despus de la prueba de aceptacin
Demora para analizar y resolver problemas
Nmero o porcentaje de software de aplicacin documentado de manera efectiva despus de mantenimiento
IT GOVERNANCE INSTITUTE 69
DIRECTRICES GERENCIALES
1 Inicial /Ad hoc Hay una conciencia de que se requiere un proceso para adquirir y mantener
aplicaciones Los mtodos, sin embargo, varan de un proyecto a otro sin consistencia alguna y
tpicamente en aislamiento de los dems proyectos. Es probable que la organizacin haya adquirido
una variedad de soluciones individuales y que ahora est padeciendo de problemas e ineficiencias de
productos de software existente en la organizacin, incluyendo el mantenimiento y el soporte. Los
usuarios del negocio no pueden sacar mucho provecho de las inversiones de TI.
2 Repetible pero Intuitiva Hay procesos similares para adquirir y mantener aplicaciones, pero stos
estn basados en la experiencia dentro de la funcin de TI, no en un proceso documentado. La tasa
de xito con las aplicaciones depende en gran medida de las habilidades internas y de los niveles de
experiencia dentro de TI. El mantenimiento es usualmente problemtico y sufre cuando se han
perdido conocimientos internos de la organizacin.
4 Administrado y Medido Hay una metodologa formal, clara y bien entendida de adquisicin e
implementacin de sistemas y la poltica que incluye un diseo formal y un proceso de
especificacin, criterios para la adquisicin de software de aplicacin, un proceso para probar y
requerimientos para la documentacin, asegurando que todas las aplicaciones se adquieran y se
mantengan en forma consistente. Existen mecanismos formales de aprobacin para asegurar que se
sigan todos los pasos y que se autoricen las excepciones. Los mtodos han evolucionado de modo
que estn bien adecuados a la organizacin y es probable que sean usados positivamente por todo el
personal, y aplicables a la mayora de los requerimientos de aplicacin.
70 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y se
mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide por medio
de los Indicadores Clave de Desempeo.
IT GOVERNANCE INSTITUTE 71
DIRECTRICES GERENCIALES
72 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
1 Inicial /Ad hoc Se hacen cambios a la infraestructura para cada nueva aplicacin sin un plan
general. A pesar de que hay conciencia de que la infraestructura de TI es importante, no hay un
mtodo general consistente.
2 Repetible pero Intuitiva Hay consistencia entre los mtodos tcticos, cuando se adquiere y se
mantiene la infraestructura de TI; sin embargo, no se basa en una estrategia definida y no
considera las necesidades de las aplicaciones del negocio que debe ser soportado.
3 Proceso Definido Surge un proceso claro, definido y generalmente entendido para administrar la
infraestructura de TI. Soporta las necesidades de aplicacin crticas del negocio y est alineado
con la estrategia de TI y del negocio. Sin embargo, no es posible determinar si el proceso se aplica
de manera consistente y por lo tanto es improbable que la infraestructura soporte plenamente las
necesidades de las aplicaciones del negocio. El outsourcing de la totalidad o de parte de la
infraestructura de TI ocurre generalmente como reaccin a problemas o a oportunidades
especficas.
IT GOVERNANCE INSTITUTE 73
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
74 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Nmero de aplicaciones donde los procedimientos de TI estn integrados de manera impecable en los procesos
del negocio
El nmero de soluciones tcnicas que no estn documentadas de manera adecuada, incluyendo falta de
manuales de usuario, manuales de operaciones y materiales de entrenamiento
Medicin compuesta del nivel de satisfaccin con material de entrenamiento, documentacin de usuario y
operacional
Costo reducido de producir y mantener documentacin de usuario, procedimientos operacionales y materiales
de entrenamiento
Niveles de suficiencia de los usuarios del sistema basados en el porcentaje de disponibilidad usada.
Nivel de asistencia de los usuarios y de los operadores a los entrenamientos para cada aplicacin
Exactitud de solicitudes de cambio e integridad de la documentacin de usuario, procedimientos de TI y
materiales de entrenamiento
Demora entre cambios y actualizaciones de entrenamiento, procedimientos y materiales de documentacin
ndice de encuestas de satisfaccin con respecto al material de entrenamiento, procedimientos de usuario y
procedimientos de operaciones
Reduccin en el nmero de llamadas de entrenamiento manejadas por el Help Desk
Nmero de incidentes causados por documentacin deficiente
Nmero de aplicaciones con entrenamiento adecuado proporcionado a los usuarios
IT GOVERNANCE INSTITUTE 75
DIRECTRICES GERENCIALES
1 Inicial /Ad hoc La organizacin est conciente de que se necesita un proceso que resuelva la
documentacin. La documentacin se produce ocasionalmente, pero est dispersa en la
organizacin, es inconsistente y slo est disponible para grupos limitados. Gran parte de la
documentacin y de los procedimientos son obsoletos, y prcticamente no hay integracin de
procedimientos en todos los diferentes sistemas y unidades de negocio. Los materiales de
entrenamiento tienden a ser esquemas que se usan una sola vez con calidad variable, usualmente
de naturaleza genrica y a menudo suministrados por terceros, sin ser adaptados a la organizacin.
3 Proceso Definido Hay un marco claramente definido, aceptado y entendido para la documentacin
del usuario, los manuales de operaciones y los materiales de entrenamiento. Los procedimientos
son almacenados y mantenidos en una biblioteca formal y pueden ser accesados por cualquiera que
necesite conocerlos. Se hacen correcciones de manera reactiva. Se cuenta con procedimientos
fuera de lnea y stos pueden ser accesados y mantenidos en caso de desastre. Existe un proceso
que especifica actualizaciones de procedimiento y materiales de entrenamiento son un producto
explcito de un proyecto de cambio. A pesar de la existencia de enfoques definidos, el contenido
real vara porque no hay control para hacer cumplir las normas. Los usuarios estn formalmente
involucrados en el proceso Se usan cada vez ms herramientas automatizadas en la generacin y
distribucin de procedimientos.
76 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 77
DIRECTRICES GERENCIALES
El Control sobre el proceso de TI de Instalar y Acreditar Sistemas con el objetivo del negocio de
verificar y confirmar que la solucin es adecuada para el propsito que se pretende
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
78 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 79
DIRECTRICES GERENCIALES
1 Inicial /Ad hoc Hay conciencia de la necesidad de verificar y confirmar que las soluciones
implementadas sirven para el propsito que se pretende. La prueba se realiza para algunos
proyectos, pero la iniciativa para probar es dejada a los equipos individuales de proyecto y los
enfoques emprendidos varan. La acreditacin formal y la conclusin es rara o no existe en
absoluto.
2 Repetible pero Intuitiva Hay alguna consistencia entre la prueba y los enfoques de acreditacin,
pero la misma no se basa en ninguna metodologa. Los equipos de desarrollo individual
normalmente deciden el mtodo de prueba y hay por lo general una ausencia de prueba de
integracin. Hay un proceso informal de aprobacin, no necesariamente basado en criterios
estandarizados. La acreditacin y conclusin formal se aplica de manera consistente.
3 Proceso Definido Est establecida una metodologa formal relativa a instalacin, migracin, conversin
y aceptacin. Sin embargo, la administracin no tiene la capacidad de determinar el cumplimiento. Los
procesos de instalacin y acreditacin de TI estn integrados en el ciclo de vida el sistema y estn
automatizados en cierta medida. El entrenamiento, prueba y transicin al estado de produccin y a la
acreditacin es probable que varen del proceso definido, sobre la base de las decisiones individuales.
La calidad de los sistemas que entran en produccin es inconsistente, con nuevos sistemas que a
menudo generan un nivel significativos de problemas posteriores a la implementacin.
4 Administrado y Medido Los procedimientos son formalizados y desarrollados para que estn bien
organizados y para que sean prcticos con entornos de prueba definidos y con los procedimientos de
acreditacin. En la prctica, todos los grandes cambios a los sistemas siguen este mtodo formalizado.
La evaluacin de la satisfaccin de los requerimientos de usuario est estandarizada y se puede medir,
produciendo mtricas que pueden ser revisadas y analizadas efectivamente por la administracin. La
calidad de los sistemas que entran a la produccin es satisfactoria para la administracin, con niveles
razonables de problemas posteriores a la implementacin. La automatizacin del proceso es ad hoc y
depende del proyecto. Ni las evaluaciones posteriores a la implementacin ni las constantes revisiones
de calidad se emplean de manera consistente, a pesar de que la administracin puede estar satisfecha
con el nivel actual de eficiencia. El sistema de pruebas refleja adecuadamente el entorno real. La
prueba de estrs para los sistemas nuevos y la prueba de regresin para los sistemas existentes se aplica
para los proyectos mayores.
5 Optimizado Los procesos de instalacin y acreditacin han sido refinados hasta un nivel de
mejores prcticas, basados en los resultados de constante mejoramiento y refinamiento. Los
procesos de TI de instalacin y acreditacin estn totalmente integrados en el ciclo de vida del
sistema y automatizados cuando es conveniente, facilitando el ms eficiente entrenamiento, prueba
y transicin al estatus de produccin de nuevos sistemas. Los entornos de prueba bien
desarrollados, registros de problemas y procesos de resolucin de fallas aseguran una transicin
eficiente y efectiva al entorno de produccin. La acreditacin tiene lugar por lo general con
reprocesamiento limitado y los problemas posteriores a la implementacin estn por lo general
limitados a correcciones menores.
80 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 81
DIRECTRICES GERENCIALES
El Control sobre el proceso de TI de Administrar Cambios con el objetivo del negocio de minimizar la
probabilidad de interrupcin, alteraciones no autorizadas y errores
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Las polticas de cambio son claras y conocidas y son implementadas rigurosa y sistemticamente
La administracin de cambios est fuertemente integrada con administracin de liberacin o puesta en
produccin y forma parte integral de la administracin de configuraciones
Hay un proceso rpido y eficiente de planeacin, aprobacin e iniciacin que abarca la identificacin, la
categorizacin y la evaluacin del impacto y la priorizacin de cambios
Se cuenta con herramientas automatizadas de proceso para soportar la definicin del flujo de trabajo
(workflow) planes de trabajo pro forma, plantillas de aprobacin, prueba, configuracin y distribucin
Se aplican procedimientos oportunos y claros de pruebas de aceptacin antes de efectuar el cambio
Est establecido un sistema para rastrear y dar seguimiento a cambios individuales, as como tambin para
parmetros de proceso de cambio
Est definido un proceso formal para entregar desde desarrollo hasta operaciones
Los cambios toman en cuenta el impacto sobre los requerimientos de capacidad y desempeo
Se cuenta con documentacin completa y actualizada de aplicacin y configuracin
Est establecido un proceso para administrar la coordinacin entre los cambios, reconociendo
interdependencias
Est implementado un proceso independiente para verificar el xito o fracaso del cambio
Hay segregacin de tareas entre desarrollo y produccin
82 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 83
DIRECTRICES GERENCIALES
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar
la probabilidad de interrupcin, alteraciones no autorizadas y errores
1 Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero no hay
un proceso consistente para seguimiento. Las prcticas varan y es probable que ocurran cambios
no autorizados. Hay documentacin insuficiente o inexistente de cambios, y la documentacin de
configuracin est incompleta y no es confiable. Es probable que ocurran errores junto con
interrupciones en el entorno de produccin causados por una administracin deficiente del cambio.
3 Proceso Definido Est establecido un proceso formal de administracin de cambios, que incluye
procedimientos de categorizacin, priorizacin, emergencia, autorizacin y administracin de
cambios, pero no se impone su cumplimiento. El proceso definido no siempre es visto como
adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y los procesos son desviados.
Es probable que ocurran errores y los cambios no autorizados ocurrirn ocasionalmente. El anlisis
de impacto a los cambios de TI sobre las operaciones del negocio se estn volviendo formales para
soportar la ejecucin de los planes para nuevas aplicaciones y tecnologas.
84 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
IT GOVERNANCE INSTITUTE 85
DIRECTRICES GERENCIALES
86 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
ENTREGA Y SOPORTE
(ENTREGA DE SERVICIOS Y SOPORTE)
IT GOVERNANCE INSTITUTE 87
DIRECTRICES GERENCIALES
El Control sobre el proceso de TI de Definir y Administrar Niveles de Servicio con el objetivo del
negocio de establecer un entendimiento comn del nivel de servicio requerido
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por el establecimiento de acuerdos de nivel de servicio que formalizan los criterios
de desempeo contra los cuales se medir la cantidad y la calidad del servicio que ser medido
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Los niveles de servicio estn expresados en trminos de negocio de usuario final, donde sea posible
El anlisis del origen de la causa se realiza cuando ocurren violaciones de los niveles de servicio
Se cuenta con habilidades y herramientas para proveer informacin til y oportuna del nivel de servicio
La confiabilidad de los procesos crticos de negocio en TI est definida y amparada por acuerdos de nivel de
servicio
Las obligaciones de rendir cuenta y las responsabilidades de la administracin de TI estn vinculadas con
niveles de servicio
La organizacin de TI puede identificar fuentes de variacin de costos
Se proveen explicaciones detalladas y consistentes para variaciones de costo
Se cuenta con un sistema de rastreo y seguimiento de cambios individuales
88 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
La conclusin por parte de unidades estratgicas de negocio de que los niveles de servicio estn alineados
con objetivos clave del negocio
La satisfaccin de cliente de que el nivel de servicio llena las expectativas
La proporcin real entre el costo real y el presupuestado est en lnea con los niveles de servicio
El porcentaje de todos los procesos crticos de negocio se basa en que TI est cubierta por acuerdos de nivel
de servicio
El porcentaje de los acuerdos de nivel de servicio revisado en el intervalo acordado o a continuacin de un
cambio importante
Se provee informacin sobre el monitoreo de los niveles de servicio proporcionados por los niveles de
servicio de los socios de negocios
Porcentaje de servicios de TI que cumplen los acuerdos de nivel de servicio
IT GOVERNANCE INSTITUTE 89
DIRECTRICES GERENCIALES
90 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
IT GOVERNANCE INSTITUTE 91
DIRECTRICES GERENCIALES
92 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
El control sobre el proceso de TI Administrar Servicios de Terceros de TI con el objetivo del negocio
de asegurar que los roles y las responsabilidades de terceros estn claramente definidos, se cumplan y
continen satisfaciendo los requerimientos.
IT GOVERNANCE INSTITUTE 93
DIRECTRICES GERENCIALES
94 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por la recoleccin de datos, anlisis y reporte sobre el desempeo de los recursos,
el dimensionamiento de la aplicacin y la demanda de carga de trabajo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Las implicaciones de desempeo y capacidad de los requerimientos de servicio de TI para todos los
procesos crticos del negocio son claramente entendidas
Los requerimientos de desempeo estn incluidos en todos los proyectos de desarrollo y mantenimiento
de TI
Los aspectos de capacidad y desempeo son tratados en todas las etapas apropiadas en la adquisicin de
sistemas y en la metodologa de implementacin.
La infraestructura de tecnologa es revisada regularmente para aprovechar las proporciones de costo /
desempeo y posibilitar la adquisicin de recursos que proveen la capacidad mxima de desempeo al
precio ms bajo
Se cuenta con habilidades y herramientas para analizar la capacidad actual y la pronosticada
Se pone a disposicin capacidad actual y proyectada e informacin de uso a los usuarios y a la
administracin de TI en una forma comprensible y utilizable
IT GOVERNANCE INSTITUTE 95
DIRECTRICES GERENCIALES
Nmero de procesos de negocio final que estn sufriendo interrupciones o cortes causados por la capacidad
y desempeo inadecuados de TI
Nmero de procesos de negocio crticos no cubiertos por un plan definido de disponibilidad de servicio
Porcentaje de recursos crticos de TI con capacidad adecuada y capacidad de desempeo, tomando en cuenta
las cargas pico
96 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
5 Optimizado Los planes de desempeo y capacidad estn totalmente sincronizados con los
pronsticos de negocio y con los planes operativos y los objetivos. La infraestructura de TI est
sujeta a revisiones regulares para asegurar que se logre la capacidad ptima al menor costo
posible. Los adelantos en la tecnologa estn monitoreados de cerca para aprovechar el
desempeo mejorado de los productos. El sistema para medir el desempeo de TI ha sido
afinado para concentrarse en las reas clave y estn traducidas en KGIs (indicadores clave de
objetivo), KPIs (indicadores clave de desempeo) y CFSs (factores crticos de xito) para todos
los procesos crticos de negocio. Las herramientas para monitorear los recursos crticos de TI
han sido estandarizados, donde es posible, en todas las plataformas y vinculados a un solo
sistema de administracin de incidentes en toda la organizacin. Las herramientas de monitoreo
pueden cada vez ms detectar y corregir automticamente los problemas de desempeo, por
ejemplo, asignar ms espacio de almacenamiento o redirigir el trfico de red. Se detectan las
tendencias que muestran problemas inminentes de desempeo causados por mayores volmenes
de negocio, posibilitando la planificacin y la prevencin de incidentes inesperados. Los
usuarios esperan una disponibilidad de 24 horas al da, 7 das a la semana, 365 das al ao.
98 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
El Control sobre el proceso de TI de Asegurar el Servicio Continuo con el objetivo del negocio para
asegurar que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en
el negocio en el caso de una interrupcin importante
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado teniendo un plan operativo y probado de continuidad de TI que est en lnea con el
plan general de continuidad del negocio y con sus requerimientos de negocio relacionados
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
IT GOVERNANCE INSTITUTE 99
DIRECTRICES GERENCIALES
El control sobre el proceso de TI Asegurar el Servicio Continuo de TI con el objetivo del negocio de
asegurar que los servicios de TI estn disponibles como se requiere y asegurar un impacto mnimo en el
servicio en el caso de una interrupcin mayor
1 Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, con autoridad
limitada. La administracin se est volviendo conciente de los riesgos relacionados con el
servicio continuo y de la necesidad de ste. El enfoque es sobre la funcin de TI, en vez de
ser sobre la funcin de negocio. Los usuarios estn implementando formas de evadirlo. La
respuesta a las interrupciones mayores es reactiva e improvisada. Los cortes planeados
estn programados para que satisfagan las necesidades de TI, en vez de para adaptarse a los
requerimientos del negocio.
2 Repetible pero Intuitiva La responsabilidad del servicio continuo est asignada. Los
enfoques del servicio continuo son fragmentados. El reporte sobre la disponibilidad del
sistema es incompleto y no toma en cuenta el impacto sobre el negocio. No hay planes
documentados de usuario o de continuidad, a pesar de que hay dedicacin a la
disponibilidad de servicio continuo y que se conocen sus principios rectores. Existe un
inventario razonablemente confiable de sistemas crticos y componentes. Est surgiendo la
estandarizacin de prcticas de servicio continuo y el monitoreo del proceso, pero el xito
se basa en las personas.
5 Optimizado Los procesos integrados de servicio continuo son proactivos, se ajustas solos, son
automatizados y auto analticos y toman en cuenta puntos de referencia y las mejores prcticas
externas. Los planes de servicio continuo y los planes de continuidad del negocio estn
integrados, alineados y son mantenidos de manera rutinaria. La compra de las necesidades de
servicio continuo est asegurada por los vendedores y los principales proveedores. Se lleva a
cabo la comprobacin global y los resultados de las pruebas son utilizados como parte del
proceso de mantenimiento. La efectividad del costo del servicio continuo est optimizada a
travs de la innovacin y de la integracin. La recopilacin y el anlisis de datos se usa para
identificar oportunidades de mejoramiento. Las prcticas de redundancia y la planeacin del
servicio continuo estn totalmente alineadas. La administracin no permite puntos nicos de
falla y provee soporte para su solucin. Las prcticas de escalamiento son entendidas y
cumplidas plenamente.
El Control sobre el proceso de TI de Garantizar la Seguridad de los Sistemas con el objetivo del
negocio de salvaguardar informacin contra el uso, revelacin o modificacin no autorizada, dao o
prdida
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por controles de acceso lgico que aseguran que el acceso a los sistemas, datos y
programas est restringido a los usuarios autorizados
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Est desarrollado un plan general de seguridad, el cual cubre la creacin de conciencia, establece polticas y
normas claras, identifica una implementacin con eficiencia de costos y sostenible, y define procesos de
monitoreo y ejecucin
Hay conciencia de que un buen plan de seguridad necesita tiempo para evolucionar
La funcin de seguridad corporativa se reporta a la gerencia general y es responsable de ejecutar el plan de
seguridad
La administracin y el personal tienen un entendimiento comn de los requerimientos de seguridad, las
vulnerabilidades y las amenazas a la misma y entienden y aceptan sus propias responsabilidades de
seguridad
La evaluacin por terceros de la poltica y arquitectura de la seguridad se lleva a cabo peridicamente
Est definido un programa de permiso de construccin, el cual identifica las lneas base de seguridad que
tienen que ser cumplidas
Est establecido un programa de licencia de conduccin para los que desarrollan, implementan y usan
sistemas, haciendo cumplir la certificacin de seguridad del personal
La funcin de seguridad tiene el medio y la capacidad para detectar, registrar, analizar la importancia,
reportar y actuar sobre los incidentes de seguridad cuando stos ocurren, al tiempo que minimizan la
probabilidad de que ocurran aplicando pruebas de intrusin y monitoreo activo
Un proceso y sistema centralizado de administracin de usuario provee un medio para identificar y asignar
autorizaciones a los usuarios en una forma estndar y sencilla de usar
Se cuenta con un proceso para autenticar los usuarios a un costo razonable sencillo de implementar y fcil
Reduccin del nmero de llamadas de servicio relacionadas con la seguridad, requerimientos de cambio o
correcciones
Cantidad de tiempo improductivo causado por incidentes de seguridad
Reduccin del tiempo de atencin de las solicitudes atendidas por la administracin de seguridad
Nmero de sistemas sujetos a un proceso de deteccin de intrusos
Nmero de sistemas con capacidades de monitoreo activo
Reduccin del tiempo para investigar los incidentes de seguridad
Demora entre la deteccin, reporte y accin sobre los incidentes de seguridad
Nmero de das de entrenamiento de conocimientos de la seguridad de TI
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el objetivo del
negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no autorizada, dao o
prdida
El Control sobre el proceso de TI de Identificar y Asignar Costos con el objetivo del negocio de
asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por un sistema de contabilidad de costos que asegura que los costos sean
registrados, calculados y asignados al nivel requerido de detalle y a la oferta apropiada de
servicio
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Los usuarios finales, los propietarios del proceso de negocio y la organizacin de TI comparten un
entendimiento comn de los requerimientos de determinacin y asignacin de costos
Los costos directos e indirectos son identificados, captados, reportados y analizados a su debido tiempo y en
forma automatizada
Los costos son cargados en base a la utilizacin y son registrados en principios de cargo que son
formalmente aceptados y redeterminados regularmente
El reporte de costos es usado por todas las partes para revisar el desempeo del presupuesto, identificar las
oportunidades de optimizacin de costos y ejecutar Benchmark del desempeo contra fuentes confiables
Hay una vinculacin directa entre el costo del servicio y los acuerdos de nivel de servicio
Los resultados de asignacin y optimizacin de costos se usan para verificar la realizacin de ganancias y
son retroalimentados en el siguiente ciclo de presupuesto.
El control sobre el proceso de TI Identificar y Asignar Costos de TI con el objetivo del negocio de
asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
0 Inexistente. Hay una ausencia total de un proceso reconocible para identificar y asignar
costos en relacin con los servicios de informacin que se proveen. La organizacin ni
siquiera ha reconocido que hay un problema que resolver respecto a contabilidad de costos y
no hay comunicacin sobre el tema.
1 Inicial /Ad hoc Hay un entendimiento general de los costos generales de los servicios de
informacin, pero no hay un desglose de costos por usuario, departamento, grupos de
usuarios, funciones de servicio, proyectos o productos. No hay virtualmente ningn
monitoreo de costos, y slo se reporta a la administracin el costo agregado. No est
establecido un proceso de cargo por devolucin o un sistema para facturar a los usuarios por
los costos incurridos en prestar servicios de informacin.
5 Optimizado Los costos de los servicios prestados estn identificados, captados, resumidos
y reportados a la administracin, a los propietarios y a los usuarios del proceso de negocio.
Los costos estn identificados como rubros cobrables y soportan un sistema de cargo por
devolucin que factura apropiadamente a los usuarios por los servicios prestados, en base a
la utilizacin. Los detalles de costo soportan acuerdos de nivel de servicio. Hay un
monitoreo y avaluacin fuertes de los costos de servicios, donde las variaciones de los
importes de presupuesto estn identificados y las discrepancias son detalladas y se toman las
medidas apropiadas sobre lo mismo. Las cifras de costo obtenidas se usan para verificar la
utilizacin de los beneficios y se usan en el proceso de presupuestacin de la organizacin..
El reporte de costos de servicios de informacin provee una advertencia anticipada de los
requerimientos cambiantes del negocio a travs de sistemas inteligentes de reporte. Se
utiliza un modelo de costo variable, derivado de los volmenes procesados para cada
servicio prestado. La administracin de costos ha sido refinada hasta un nivel de las
mejores prcticas, basado en el resultado de mejoramiento constante y tomando como patrn
de madurez a otras organizaciones. Los expertos externos son respaldados y se utilizan
Benchmarks para orientacin de administracin de costos.
El Control sobre el proceso de TI de Educar y Entrenar a los Usuarios con el objetivo del negocio de
asegurar que los usuarios estn haciendo uso efectivo de la tecnologa y que estn concientes de los
riesgos y responsabilidades involucradas.
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Est establecido un completo programa de educacin y entrenamiento, enfocado sobre las necesidades
individuales y corporativas
Los programas de educacin y entrenamiento estn soportados por presupuestos, recursos, instalaciones e
instructores
El entrenamiento y la educacin son componentes crticos en la carrera profesional del empleado
Los empleados y los administradores identifican y documentan las necesidades de entrenamiento
El entrenamiento que se necesita es provisto a su debido tiempo
Hay soporte de la alta gerencia para asegurar que los empleados realicen sus tareas en una forma tica y
segura
Los empleados reciben entrenamiento de prcticas de seguridad de sistemas para proteger contra los daos
provenientes de fallas que afecten la disponibilidad, la confidencialidad y la integridad
La poltica corporativa requiere que todos los empleados reciban un programa bsico de entrenamiento que
abarque conductas ticas, prcticas de seguridad de sistemas y uso permitido de los Recursos de TI
Hay aceptacin de la administracin que los costos de entrenamiento son inversiones para bajar los costos
totales de propiedad de tecnologa
Medicin del mejoramiento en la optimizacin por los empleados de los recursos de TI para maximizar el
valor del negocio
Medicin del mejoramiento en la conciencia del empleado de los requerimientos ticos de conducta,
principios de seguridad de sistemas y desempeo de las funciones en una forma tica y segura
Medicin del mejoramiento en las prcticas de seguridad para protegerse contra los daos provenientes de
fallas que afectan la disponibilidad, confidencialidad e integridad
Nmero de llamadas al help desk para solicitar entrenamiento o para responder preguntas
Mayor satisfaccin del usuario con el desenvolvimiento de nuevas tecnologas
Control sobre el proceso de TI Educar y Entrenar a los Usuarios con el objetivo del negocio de
asegurar que los usuarios estn haciendo uso efectivo de la tecnologa y que estn concientes de los
riesgos y responsabilidades involucradas
1 Inicial /Ad hoc Hay evidencia de que la organizacin ha reconocido la necesidad de un programa
de entrenamiento y educacin, pero no hay procesos estandarizados. En la ausencia de un
programa organizado, los empleados han estado identificando y asistiendo a cursos de
entrenamiento por su cuenta. Algunos de estos cursos de entrenamiento han resuelto los
problemas de conducta tica, conciencia de la seguridad de los sistemas y prcticas de seguridad.
El enfoque general de la administracin carece de cohesin y slo hay comunicacin espordica e
inconsistente sobre los problemas y los mtodos para resolver el entrenamiento y la educacin.
El Control sobre el proceso de TI de Asistir y Asesorar a los Clientes con el objetivo del negocio de
asegurar que cualquier problema que experimente el usuario sea resuelto de manera apropiada.
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por una facilidad de Help Desk que provee soporte y asesoramiento de primera
lnea
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Las preguntas que se hacen con frecuencia son actualizadas y fcilmente accesibles
Personal de soporte calificado y orientado hacia el cliente resuelve problemas en estrecha cooperacin con
el personal de administracin de problemas
Todas las preguntas de los usuarios son registradas consistentemente y exhaustivamente por el Help Desk
Las preguntas de los usuarios que no pueden ser resueltas oportunamente son escaladas apropiadamente
Las preguntas de los usuarios son resueltas oportunamente
Se monitorea la resolucin de preguntas de usuarios
Las preguntas de usuarios que no pueden ser resueltas oportunamente son investigadas y se toman medidas
sobre las mismas
La administracin monitorea las tendencias para identificar las causas originarias en una forma proactiva y
da seguimiento con anlisis y con el desarrollo de soluciones comprobadas
Las polticas y programas corporativos estn definidos para entrenar a los usuarios en el uso de tecnologa y
en las prcticas de seguridad
Hay conciencia en la administracin del costo de los servicios de soporte y del tiempo improductivo de
usuario y de la necesidad de emprender accin sobre los problemas de causa-origen
Los costos de soporte son cargados al negocio usando herramientas sencillas y polticas claras
Control sobre el proceso de TI Asistir y Asesorar a los Clientes con el objetivo del negocio de asegurar
que cualquier problema que experimente el usuario sea resuelto apropiadamente
0 Inexistente. No hay soporte para resolver las preguntas y los problemas de los usuarios.
Hay una total carencia de una funcin de Help Desk. La organizacin no ha reconocido que
hay un problema que debe ser resuelto.
3 Proceso Definido Se reconoce y se acepta la necesidad de una funcin de Help Desk. Los
procedimientos han sido estandarizados y documentados y se est llevando a cabo
entrenamiento informal. Sin embargo, se deja a la persona obtener entrenamiento y seguir
las normas. Se desarrollan las Preguntas que se Hace Con Frecuencia (FAQs) y los
lineamientos de usuario, pero las personas deben encontrarlos y pueden no seguirlos. Las
preguntas y los problemas se rastrean manualmente y se monitorean de manera individual,
pero no existe un sistema formal de reporte. El escalamiento de problemas est apenas
emergiendo. La respuesta a tiempo a las preguntas y a los problemas no se mide y los
problemas pueden seguir sin ser resueltos.
4 Administrado y Medible Hay total entendimiento de los beneficios de Help Desk a todos
los niveles de la organizacin y la funcin ha sido establecida en unidades apropiadas de
negocio. Las herramientas y tcnicas son automatizadas con una base centralizada de
conocimientos de problemas y soluciones. El personal del Help Desk interacta
estrechamente con el personal de administracin de problemas. Las responsabilidades son
claras y se monitorea la efectividad. Los procedimientos para comunicacin, escalamiento,
y resolucin de problemas estn establecidos y son comunicados. El personal del Help
Desk est entrenado y los procesos son mejorados a travs del uso de software especfico de
tarea. Las causas que originan los problemas son identificadas y las tendencias son
reportadas, dando como resultado la correccin oportuna de los problemas. Los procesos
estn bajo mejoramiento y hacen cumplir la mejor prctica interna.
El Control sobre el proceso de TI de Administrar la Configuracin con el objetivo del negocio de dar
cuenta de todos los componentes de TI, prevenir las alteraciones no autorizadas, verificar la existencia
fsica y proveer una base para una administracin sensata de cambios.
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por controles que identifican y registran todos los activos de TI y su ubicacin
fsica, y un programa de verificacin regular que confirme su existencia
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Los propietarios estn establecidos para todos los elementos de configuracin y son responsables de
mantener el inventario y de controlar el cambio
La informacin de configuracin es mantenida y accesible, basada en inventarios actualizados y en un
convenio comprensivo de nomenclatura
Est establecida una estructura apropiada de biblioteca de software, que resuelve las necesidades de
entornos de desarrollo, prueba y produccin
Existe una poltica de administracin de la divulgacin y un sistema para hacerla cumplir
Las funciones de mantenimiento de registros y de custodia fsica se mantienen separadas
Hay integracin con los procesos de suministro administracin de cambios
Los catlogos de vendedor y la configuracin estn alineados
Existen lneas base de configuracin, que identifican los componentes estndar mnimos y los
requerimientos de integracin, los criterios de consistencia y de integracin
Se dispone de un mecanismo automtico de deteccin y verificacin de la configuracin
Est implementado un proceso automtico de distribucin y actualizacin
Hay cero tolerancia para el software ilegal
Porcentaje de componentes de configuracin para los que los datos se mantienen y actualizan
automticamente
Frecuencia de las verificaciones fsicas
Frecuencia de anlisis de excepciones, resolviendo la redundancia, la obsolescencia y la correccin de la
configuracin
Demora entre la modificacin de la configuracin y la actualizacin de los registros
Nmero de versiones liberadas
Porcentaje de cambios reactivos
El Control sobre el proceso de TI de Administrar los Problemas y los Incidentes con el objetivo del
negocio de asegurar que los problemas y los incidentes sean resueltos, y que se investigue la causa para
prevenir cualquier recurrencia
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por un sistema de administracin de problemas que registra y procesa todos los
incidentes
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Se mide la reduccin del impacto de los problemas y de los incidentes sobre los Recursos de TI
Se mide la reduccin en el tiempo transcurrido desde el reporte inicial de sntomas hasta la resolucin de
problemas
Se mide la reduccin en los problemas e incidentes no resueltos
Un aumento medido en el nmero de problemas evitados por medio de reparaciones preventivas
Se reduce el tiempo entre la identificacin y el escalamiento de los problemas e incidentes de alto riesgo
Tiempo transcurrido desde el reconocimiento inicial de los sntomas hasta la entrada en el sistema de
administracin de problemas
Tiempo transcurrido entre el registro del problema y la resolucin o escalamiento
Tiempo transcurrido entre la evaluacin y la aplicacin de los parches del vendedor
Porcentaje de problemas reportados que tienen enfoques de resolucin ya conocidos
Frecuencia de reuniones de coordinacin con personal de administracin de cambios y de administracin de
disponibilidad
Frecuencia de reporte de anlisis de problemas de componentes
Reduccin del nmero de problemas no controlados a travs de la administracin formal de problemas
El Control sobre el proceso de TI de Administrar los Datos con el objetivo del negocio de asegurar que
los datos sigan siendo completos, precisos y vlidos durante su ingreso, actualizacin y
almacenamiento.
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por una combinacin efectiva de controles generales y de aplicacin sobre las
operaciones de TI
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Los requerimientos de ingreso de datos estn claramente establecidos, se les hacen valer y se les soporta por
medio de tcnicas automatizadas en todos los niveles, incluyendo bases de datos e interfaces de archivos
Las responsabilidades de los requerimientos de propiedad e integridad de los datos estn claramente
establecidas y aceptadas en toda la organizacin
La exactitud y los estndares de los datos estn claramente comunicados e incorporados en los procesos de
entrenamiento y de desarrollo de personal
Las normas de ingreso y de correccin de datos se hacen cumplir en el punto de ingreso
Las normas de integridad del ingreso, procesamiento y salida de los datos son formalizadas y ejecutadas
Los datos son mantenidos en suspenso hasta ser corregidos
Se usan mtodos efectivos de deteccin para hacer que se cumplan las normas de exactitud y de integridad
de datos
La traduccin efectiva de datos en todas las plataformas est implementada sin prdida de integridad o
confiabilidad para satisfacer las exigencias cambiantes del negocio
Hay una menor confiabilidad en los procesos de ingreso manual y redigitacin de datos
Las soluciones eficientes y flexibles promueven el uso efectivo de datos
Los datos son archivados y protegidos y estn disponibles cuando se necesitan para ser recuperados
1 Inicial /Ad hoc La organizacin reconoce una necesidad de datos exactos. Algunos mtodos son
desarrollados a nivel individual para prevenir y detectar el ingreso, procesamiento y errores en la salida de
los datos. El proceso de identificacin y correccin de errores depende de las actividades manuales de la
persona, y las reglas y requerimientos no son transmitidos a medida que se llevan a cabo movimientos y
cambios de personal. La administracin asume que los datos son exactos porque una computadora est
involucrada en el proceso. La integridad y seguridad de los datos no son requerimientos de
administracin y, si existe la seguridad, sta est administrada por la funcin de servicios de informacin.
El Control sobre el proceso de TI de Administrar Instalaciones con el objetivo del negocio de proveer
un entorno fsico adecuado que proteja el equipo de TI y la gente contra riesgos naturales y provocados
por el hombre
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por la instalacin de controles ambientales y fsicos adecuados que sean revisados
regularmente en busca de su funcionamiento apropiado
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Estn definidas estrategias y normas para todas las instalaciones, que abarcan la seleccin del sitio, la
construccin, custodia, seguridad de personal, sistemas mecnico y elctrico, proteccin contra incendio,
rayo e inundacin
La estrategia y las normas de las Instalaciones estn alineadas con los objetivos de disponibilidad de los
servicios de TI y con las polticas de seguridad de informacin, y estn integradas con la planeacin de
continuidad del negocio y con la administracin de crisis
Las Instalaciones son monitoreadas regularmente usando sistemas automatizados con tolerancias claras y
logs de auditora, CCTV (Circuito Cerrado de Televisin ) y sistemas de deteccin de intrusos donde es
necesario, as como tambin a travs de inspecciones fsicas y auditoras
Hay un cumplimiento estricto de los programas de mantenimiento preventivo y estricta disciplina en el
mantenimiento de las Instalaciones
El acceso fsico es rigurosamente monitoreado y se basa en principios de necesidad de ser y de
zonificacin, con autorizacin de identificacin y procedimientos de excepcin donde se necesita.
Hay buenas relaciones e intercambio de informacin con las fuerzas de la ley, las brigadas de incendios y
otras autoridades locales.
Hay claros, concisos y actualizados procedimientos de deteccin, inspeccin y escalamiento soportados por
un programa de entrenamiento
Una reduccin en el nmero de incidentes de seguridad fsica instalaciones , incluyendo robo, daos,
revelacin, cortes de energa, salud, y problemas de seguridad
Una reduccin en la cantidad de tiempo improductivo debido a cortes de energa en las instalaciones
Un cumplimiento medido de las leyes y reglamentaciones aplicables
Una adherencia medida a los requerimientos de polticas de seguro
Un mejoramiento medido en la proporcin costo /riesgo
5 Optimizado Hay un plan a largo plazo para las Instalaciones que se requiere que soporten
el entorno de computacin de la organizacin. Las normas estn definidas para todas las
Instalaciones, abarcando la seleccin del sitio, la construccin, custodia, seguridad de
personal, sistemas mecnico y elctrico, proteccin contra incendio, rayo e inundacin.
Todas las Instalaciones son inventariadas y clasificadas en conformidad con el proceso de
administracin de riesgos de la organizacin en progreso. El acceso est estrictamente
controlado y se basa en la necesidad para el trabajo, es monitoreado constantemente y los
visitantes son escoltados en todo momento. El entorno es monitoreado y controlado por
medio de equipo especializado y las salas de equipos se vuelven automatizadas. Los
programas de mantenimiento preventivo hacen cumplir estrictamente los programas y se
aplican pruebas regulares a los equipos sensitivos. La estrategia y normas de las
Instalaciones estn en correspondencia con los objetivos de disponibilidad de servicios de TI
y estn integradas con la planeacin de la continuidad del negocio y con la administracin
de crisis. La administracin revisa y optimiza las Instalaciones constantemente,
capitalizando sobre las oportunidades de mejorar la contribucin del negocio.
El Control sobre el proceso de TI de Administrar las Operaciones con el objetivo del negocio de
asegurar que las funciones importantes de soporte de TI se realicen regularmente y en la forma debida
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Las instrucciones de las operaciones estn bien definidas, en conformidad con las normas acordadas, y con
disposicin de puntos claramente eliminados y puntos de reinicio
Hay un alto grado de estandarizacin de las operaciones
Hay una estrecha coordinacin con procesos relacionados, incluyendo funciones de administracin de
problemas y de cambios, y administracin de la disponibilidad y de la continuidad
Hay un alto grado de automatizacin de las tareas de operaciones
Los procesos operativos son reestructurados para que funcionen efectivamente con herramientas
automatizadas
La racionalizacin y la estandarizacin de las herramientas de administracin de sistemas est implementada
El manejo de entradas y salidas est hasta donde es posible, confinado a los usuarios
Los cambios en la programacin de trabajos estn estrictamente controlados
Hay procedimientos estrictos de aceptacin para nuevos cronogramas de trabajo, incluyendo documentacin
entregada
Estn establecidos esquemas de mantenimiento preventivo
Los acuerdos de soporte de servicio con los vendedores estn definidos y se hacen cumplir
Estn establecidos procedimientos claros y concisos de deteccin, inspeccin y escalamiento
mantenimiento y servicio estn establecidos con los vendedores. Hay total concordancia
con los procesos de administracin de problemas y de disponibilidad, soportados por un
anlisis de las causas de errores y fallas.
MONITOREO
M1 Monitoreo
Monitorear los Procesos
El Control sobre el proceso de TI de Monitorear los Procesos con el objetivo del negocio de asegurar el
logro de los objetivos de desempeo fijados para los procesos de TI.
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
M1 Modelo de Madurez
Control sobre el proceso de TI de Monitorear los Procesos con el objetivo del negocio de asegurar el
logro de los objetivos de desempeo fijados para los procesos de TI
2 Repetible pero intuitivo Se han identificado las medidas bsicas a ser monitoreadas. Se ha
definido la recoleccin y estudio de mtodos y tcnicas, pero no se han adoptado los
procesos en toda la organizacin. Las funciones de planificacin y administracin son
creadas para determinar los procesos de monitoreo, pero las decisiones se toman en base a la
experiencia de las personas clave. Se escogen y se implementan herramientas limitadas para
recoger informacin, pero no se pueden usar en toda su capacidad debido a una falta de
experiencia en su funcionalidad. La funcin de servicios de informacin es administrada
como un centro de costo, sin determinar su contribucin a las entidades de la organizacin
que generan ingresos.
4 Administrado y Medible La administracin ha definido las tolerancias bajo las cuales los
procesos deben operar. La determinacin de la lnea base de los resultados de monitoreo
est siendo estandarizada y normalizada. Hay integracin de mtrica en todo los proyectos
y procesos de TI. Los sistemas de reporte a la administracin de la funcin de servicios de
informacin estn formalizados y total mente automatizados.
M2 Monitoreo
Determinar lo Adecuado del Control Interno
El Control sobre el proceso de TI de Determinar lo Adecuado del Control Interno con el objetivo del
negocio de asegurar el logro de los objetivos de control interno fijados para los procesos de TI
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
ndice de satisfaccin de la alta gerencia y de conformidad con el reporte sobre monitoreo de control interno
Menos probabilidad de incidentes de control interno
Reportes positivos de calificacin y certificacin externa
Nmero de iniciativas de mejoramiento del control
Ausencia de casos de incumplimiento regulatorios o legal
Menos nmero de incidentes de seguridad y de defectos de calidad
M2 Modelo de Madurez
Control sobre el proceso de TI de Determinar lo Adecuado del Control Interno con el objetivo del
negocio de asegurar el logro de los objetivos de control interno fijados para los procesos de TI
1 Inicial /Ad hoc La organizacin tiene una falta de compromiso de administracin para la
seguridad operativa regular y el aseguramiento de control interno. Se aplica ad hoc la
experiencia individual en determinar la adecuacin de control interno. La administracin de
TI no ha asignado formalmente responsabilidad de monitorear la efectividad de los controles
internos. Las evaluaciones de control interno de TI son realizadas como parte de auditoras
financieras tradicionales, con metodologas y conjuntos de habilidades que no reflejan las
necesidades de la funciones de servicios de informacin.
2 Repetible pero intuitivo La organizacin usa reportes informales de control para iniciar
iniciativas de accin correctiva. Los procesos de planificacin y administracin estn
definidos, pero la evaluacin depende de los conjuntos de habilidades de las personas clave.
La organizacin tiene una mayor conciencia del monitoreo de control interno. La
administracin ha comenzado a establecer mtricas bsicas. La administracin de servicios
de informacin realiza regularmente monitoreo sobre la efectividad de los controles crticos
internos. Los controles sobre la seguridad son monitoreados y los resultados son revisados
regularmente. Las metodologas y herramientas especficas para el entorno de TI estn
comenzando a usarse, pero no consistentemente. El personal calificado de TI est
participando de manera rutinaria en las evaluaciones de control interno. Los factores de
riesgo especficos del entorno de TI estn siendo definidos.
proceso y las polticas de mitigacin estn definidas para toda la funcin de servicios de
informacin. Est establecida una funcin formal de control interno de TI, con
profesionales especializados y certificados que utilizan un marco formal de control aprobado
por la alta gerencia. Se est formalizando Benchmarking contra los estndares de la
industria y el desarrollo de las mejores prcticas.
M3 Monitoreo
Obtener Aseguramiento Independiente
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
Incremento de nmero de opiniones aceptadas sobre el sistema general de control interno para todos los
dominios acordados
Mayor nmero de certificaciones de calidad o acreditaciones para todos los dominios acordados
Mayor nmero de segundas opiniones reportadas a los interesados para las decisiones importantes de TI
como por ejemplo, salir en vivo, negociaciones de contrato, empresas colectivas (Joint Ventures), y
adquisiciones importantes
Porcentaje de recomendaciones cerradas a tiempo en relacin con las revisiones independientes de control
interno, certificaciones de calidad o acreditaciones y segundas opiniones
Menor nmero de decisiones importantes que fracasaron o que fueron revertidas
ndice de confianza de los interesados
M3 Modelo de Madurez
Control sobre el proceso de TI de Obtener Aseguramiento Independiente con el objetivo del negocio
de aumentar la confianza entre la organizacin, los clientes y los terceros proveedores
1 Inicial /Ad hoc La organizacin administra los procesos de TI de manera independiente. Estn
establecidos procesos de certificacin y de Aseguramiento en manera excepcional. La
certificacin y el Aseguramiento son impulsados por casos tales como los cambios regulatorios o
requerimiento o la demanda de clientes. El proceso de Aseguramiento es llevado a cabo de
manera reactiva por equipos especiales o por especialistas tcnicos que no tienen habilidades
especficas de aseguramiento.
3 Proceso Definido La organizacin ha definido e institucionalizado los procesos para las actividades
de Aseguramiento de TI y los criterios para usar recursos internos y externos en base al nivel de
experiencia, sensibilidad e independencia requeridos. Los procesos de Aseguramiento incluyen
requerimientos legales y regulatorios, necesidades de certificacin, efectividad organizacional
general e identificacin de las mejores prcticas. Se han desarrollado requerimientos de
Aseguramiento para los procesos de TI. La administracin lleva a cabo revisiones participativas de
todas las actividades de aseguramiento. La administracin que no hace parte de la funcin de
servicios de informacin lleva a cabo revisiones proactivas que involucran aseguramiento y
certificacin. Una base de conocimientos de las mejores prcticas de aseguramiento y de
certificaciones ha sido desarrollada. Los procesos claves de TI han sido certificados.
M4 Monitoreo
Proveer Auditora Independiente
El Control sobre el proceso de TI de Proveer Auditora Independiente con el objetivo del negocio de
aumentar los niveles de confianza y aprovechar el asesoramiento de la mejor prctica
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo
Es posibilitado por auditoras independientes llevadas a cabo regularmente
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
M4 Modelo de Madurez
Control sobre el proceso de TI de Proveer Auditora Independiente con el objetivo del negocio de
aumentar los niveles de confianza y aprovechar el asesoramiento de la mejor prctica
1 Inicial /Ad hoc Existe una Funcin informal de auditora de TI que realiza diferentes
revisiones cada cierto tiempo. No hay un plan general para proveer auditoras
independientes ni coordinacin entre las revisiones. La planeacin, administracin y reporte
de auditora independiente se basa en la experiencia individual. La calidad de planeacin y
entrega de los servicios de auditora es en general deficiente, con resultados variables y
participacin muy limitada de la administracin.
Cada Directriz Gerencial provee un nmero de elementos de cada uno de los 34 procesos de COBIT:
Identificacin de proceso
Declaracin del objetivo para el proceso
Declaracin de habilitacin (cmo mantener el proceso bajo control para determinar si ste logra
sus objetivos)
Recursos de TI, con una indicacin de relevancia para este proceso
Criterios de informacin, con una indicacin de importancia relativa (P = de importancia
primordial, S = de importancia secundaria, o en blanco = menos importante, no necesariamente
para no ser tenido en cuenta)
Factores Crticos de xito
Indicadores Clave de Objetivo
Indicadores Clave de Desempeo
Estos elementos estn estructurados como se describe en la grfica siguiente. La relacin se basa en los
principios del Balanced Business Scorecard, que vincula los objetivos con sus medidas de resultado
(KGI) a los habilitadores con sus medidas de desempeo (KPI). Los habilitadores son hechos de manera
especfica y pragmtica con un nmero de factores crticos de xito y utilizan recursos de TI especficos.
1
0.9
Adicionalmente, se puede obtener orientacin de Las directrices Gerenciales Genricas (ver Apndice
IV) y de las Directrices de Gobernabilidad de TI (ver Apndice V). Ambos darn una indicacin rpida
de los requerimientos de alto nivel para mantener manejable un proceso de TI.
Finalmente, es necesario sealar que estas directrices no proponen que sea necesario aplicar en todos los
casos todas las prcticas resueltas a travs de CSFs y KPIs. Es necesario que se efecte una seleccin
apropiada. Los Modelos de Madurez (ver la siguiente seccin de este Apndice) suministrados con cada
directriz de proceso pueden ayudar a hacer dicha seleccin. Sin embargo, en los negocios con
requerimientos de alta fiabilidad para TI y donde la supervivencia depende de la disponibilidad de
informacin, la aplicacin casi global de las directrices lineamientos, a los niveles 3 o 4 de madurez,
constituiran una buena prctica.
0 1 2 3 4 5
LEYENDA PARA LOS SMBOLOS USADOS LEYENDA PARA LAS CLASIFICACIONES USADAS
Para cada tpico de evaluacin la organizacin debe usar la escala de medida de seis puntos de 0 a 5,
para definir su posicin estimada. Esto puede luego ser comparado con facilidad y grficamente con los
tres puntos de referencia (desempeo, normas internacionales y la mejor prctica, que se busca obtener).
Una organizacin que hace una auto evaluacin necesita sencillamente considerar cada tpico de
evaluacin por vez, leyendo las descripciones de la escala de seis puntos y determinando cual de estas
seis posiciones describe mejor la actual situacin de la organizacin. Cuanto ms importante es el
proceso para la organizacin, ms alto debe uno estar en la escala. Por ejemplo, en un entorno comercial
relativamente estable, la madurez incremental de los 13 procesos de TI en el dominio de Entrega y
Soporte es lo que diferencia a las organizaciones exitosas de las dems. Por otra parte, en un entorno
comercial altamente dinmico, el xito organizacional, si no la supervivencia, depende mucho de la
madurez de los dominios de Planeacin y Organizacin y de Adquisicin e Implementacin.
Cada punto de Benchmark es estrictamente incremental y todas las condiciones de la descripcin deben
ser satisfechas para calificar para la clasificacin en ese nivel. Se debe sealar tambin que hay una
diferencia entre medir la capacidad y medir el desempeo. Por ejemplo, adquirir la capacidad y las
habilidades para ciertas prcticas de seguridad o de control es una decisin que necesita hacerse y darle
seguimiento, pero la aplicacin consistente de la capacidad, una vez que ha sido adquirida, tambin
necesita ser medida.
La organizacin necesita tambin considerar cul de las seis descripciones describe mejor adnde
quisiera ir como resultado de su estrategia de TI, con especial nfasis en el grado de dependencia y valor
de informacin para alcanzar sus requerimientos de negocio. Los Benchmarks externos pueden ser muy
tiles para conformar una opinin sobre qu nivel realista de seguridad y de control requiere la
organizacin en relacin con su entorno y con sus objetivos estratgicos.
2.2 Anlisis de Brechas
En muchos casos los dos marcadores de auto evaluacin (dnde se est y dnde se quiere estar) estarn
separados por una brecha en el cuadro, su tamao da una impresin visual de cunto trabajo es necesario
hacer para cerrar la brecha y de ese modo lograr el objetivo estratgico. Sin embargo, esta brecha
tambin necesita ser descrita con ms detalle para facilitar el uso de los resultados del anlisis de la
brecha para planificar una serie de proyectos que emprender la organizacin en pos de sus objetivos
estratgicos de seguridad y control de TI.
El proceso de anlisis de la brecha compilar una lista de todas las acciones que se necesitan para cerrar
las brechas entre los marcadores del estado actual y su correspondientes marcadores de objetivo
estratgico. Esta lista de brechas debe entonces ser usada para planear una lista de proyectos que
ejecutar acciones que servirn para cerrar cada una de estas brechas. Probablemente habr mapeos de
muchos a muchos entre brechas y proyectos (ver diagrama a continuacin).
2.3 Clasificacin de Proyecto
Para facilitar la planificacin y la comunicacin, los proyectos pueden ser clasificados segn el tipo:
Iniciativas estratgicas, proyectos tcticos, mejoramientos organizacionales o desarrollos de procesos.
Cada proyecto es luego marcado con una etiqueta secuencial nica, por ejemplo: S1, T3, O2, P5, como
en el diagrama que aparece a continuacin.
2.4 Priorizacin de Proyectos
El objetivo de priorizar proyectos es identificar los proyectos donde se pueden lograr beneficios rpidos.
Los mejores candidatos para beneficios rpidos son usualmente aquellos en que las brechas son
pequeas, donde el costo de cerrar la brecha es bajo, donde el riesgo de fracaso del proyecto es bajo y
donde el impacto sobre las ganancias del negocio ser el mayor.
Los proyectos deben por lo tanto ser evaluados en funcin del impacto y del costo /riesgo, en una escala
de 0 a 10, para cada una de estas variables. Los proyectos pueden ser impresos en un cuadro que se
convierte en una herramienta de soporte de decisiones de la administracin, mostrando los impactos
relativos y los costos /riesgos. Los proyectos que son de alto impacto y de bajo costo /riesgo son buenos
candidatos para ser seleccionados como ganancias rpidas.
En los ltimos aos, se ha vuelto cada vez ms evidente para los reguladores, legisladores, usuarios y
proveedores de servicios que hay una necesidad de marco de referencia para seguridad y control en TI.
Crticamente importante para el xito y la supervivencia de una organizacin es la administracin
efectiva de la Tecnologa de Informacin (IT, siglas de los trminos en ingls). En esta sociedad de
informacin global donde la informacin viaja a travs del ciberespacio sin las limitaciones de tiempo,
distancia y velocidad esto surge de manera crtica de:
La dependencia cada vez mayor de la informacin y de los sistemas que entregan esta
informacin;
Las vulnerabilidades cada vez mayores y un amplio espectro de amenazas, tales como las cyber
amenazas y la guerra por la informacin;
La escala y el costo de las inversiones actuales y futuras en la informacin y en los sistemas de
informacin; y
El potencial para que las tecnologas cambien dramticamente las prcticas de las organizaciones
y de los negocios, creen nuevas oportunidades y reduzcan costos.
Hay una necesidad cada vez mayor de que los usuarios de los servicios de TI se aseguren, por medio de
acreditacin y de servicios de auditora de TI suministrados por personas internas o por terceros, de que
existe la seguridad y el control adecuados. Actualmente, sin embargo, la implementacin de buenos
controles de TI en los sistemas de informacin, ya sean comerciales, sin fines de lucro o
gubernamentales, est dificultada por la confusin. La confusin surge de los diferentes mtodos de
evaluacin como por ejemplo las evaluaciones ITSEC, TCSEC. ISO 9000, las evaluaciones COSO de
control interno que estn surgiendo, etc. Como resultado, los usuarios necesitan que se establezca, como
primera medida, una base general.
Con frecuencia, los AUDITORES han tomado la delantera en tales esfuerzos de estandarizacin
internacional porque estn constantemente confrontados con la necesidad de soportar su opinin en el
control interno a la administracin. Sin un marco, esta es una tarea difcil. Esto ha sido ilustrado por
varios estudios recientes sobre cmo los auditores juzgan las situaciones complejas de seguridad y
control en TI estudios que se llevaron a cabo casi simultneamente en diferencies partes del mundo.
Adems, los auditores son llamados cada vez ms por la administracin para consultar y asesorar
proactivamente sobre asuntos relacionados con la seguridad y el control de TI.
La competencia global est aqu. Las organizaciones estn reestructurando para operaciones modernas y
simultneamente aprovechar los adelantos en TI para mejorar su posicin competitiva. La reingeniera
del negocio, right-sizing, outsourcing, empowerment, organizaciones aplanadas y procesamiento
distribuido son todos ellos cambios que impactan la forma en que operan el negocio y las organizaciones
gubernamentales. Estos cambios estn teniendo, y continuarn teniendo, profundas implicaciones para la
administracin y las estructuras de control operativo dentro de las organizaciones en todo el mundo.
El nfasis en obtener ventaja competitiva y eficiencia en costos implica una confianza cada vez mayor en
la tecnologa como un componente importante en la estrategia de la mayora de las organizaciones.
Automatizar las funciones organizacionales es, por su misma naturaleza, dictar la incorporacin de
mecanismos de control ms poderosos en las computadoras y en las redes, tanto basados en el hardware
como en el software. Adicionalmente, las caractersticas estructurales fundamentales de estos controles
estn evolucionando a la misma tasa y en la misma manera de salto de rana en que estn
evolucionando las tecnologas subyacentes de computacin y de red.
Dentro del marco de cambio acelerado, si los administradores, los especialistas en sistemas de
informacin y los auditores van en efecto a poder efectivamente cumplir sus roles, sus habilidades deben
evolucionar tan rpidamente como la tecnologa y el entorno. Uno debe entender la tecnologa de
controles involucrada y su naturaleza cambiante si uno va a emitir juicios razonables y prudentes para
evaluar las prcticas de control encontradas en las organizaciones tpicas del negocio o del gobierno.
RESPUESTA A LA NECESIDAD
En vista de estos cambios en progreso, el desarrollo de este marco para objetivos de control para TI,
junto con la investigacin aplicada y continua en los controles de TI basada en este marco, son pilares
para el progreso efectivo en el terreno de la informacin y de los controles de tecnologas relacionadas.
Por otra parte, hemos sido testigos del desarrollo y la publicacin de modelos generales de control de
negocios como COSO (Commitee of Sponsoring Organizations of the Treadway Commission) Control
Interno-Marco Integrado, 1992) en los EEUU, Cadbury, CoCo en Canada y King en Sudfrica. Por otra
parte, un nmero importante de modelos ms especficos de control estn en existencia en el nivel de TI.
Buenos ejemplos de esta ltima categora son el Cdigo de Conducta de Seguridad del DTI
(Departament of Trade and Industry, Reino Unido), Lineamientos de Control de Tecnologa de
Informacin de CICA (Canadian Institute of Chartered Accountants, Canad), y el Manual de Seguridad
de NIST (National Institute of Stadards and Technology, EEUU).
Sin embargo, estos modelos especficos de control no proveen un modelo comprensivo y utilizable de
control sobre TI en apoyo de los procesos de negocios. El propsito de COBIT es salvar esta brecha
suministrando una fundacin que est estrechamente vinculada con los objetivos de negocio mientras se
estn concentrando en TI.
(El ms estrechamente relacionado con COBIT es la publicacin reciente sobre Principles and Criteria for
Systems Reliability, de AICPA/ CICA SysTrust. SysTrust es una emisin autoritativa tanto del
Comit Ejecutivo de Servicios de Aseguramiento en los Estados Unidos y la Junta de Desarrollo de
Servicios de Aseguramiento en Canad, basados en parte en los Objetivos de Control de COBIT.
SysTrust est diseado para aumentar la comodidad de la administracin, los clientes, y los socios de
negocios con los sistemas que soportan un negocio o una actividad en particular. El servicio SysTrust
implica que el contador pblico provee un servicio de aseguramiento en el cual l o ella evalan y
prueban si un sistema es confiable cuando se le mide frente a cuatro principios esenciales:
disponibilidad, seguridad, integridad y sostenibilidad).
Un enfoque en los requerimientos de control del negocio en TI y la aplicacin de los modelos de control
que surgen y las normas internacionales relacionadas, los Objetivos de Control evolucionados a partir de
una herramienta de auditor para COBIT, a una herramienta de administracin. Adems, el desarrollo de
Directrices Gerenciales ha llevado a COBIT al siguiente nivel proveyendo administracin con
Indicadores Clave de Objetivo (KGIs), Indicadores Clave de Desempeo (KPIs), Factores Crticos de
xito (CSFs), y Modelos de Madurez de modo que pueda tener acceso a su entorno de TI y hacer
elecciones para la implementacin de control y mejoramientos de control sobre la informacin y
tecnologa relacionada de la organizacin. COBIT es entonces la herramienta de avanzada de
gobernabilidad de TI que ayuda a la administracin a comprender y administra los riesgos asociados con
TI.
De ese modo, el principal objetivo del proyecto COBIT es el desarrollo de polticas claras y de buenas
prcticas para la seguridad y el control en TI, para ser aprobado por las organizaciones comerciales,
gubernamentales y profesionales, en todo el mundo. Es el objetivo del proyecto desarrollar estos
objetivos de control en forma primaria desde los objetivos del negocio y la perspectiva de las
necesidades. (Esto cumple con la perspectiva de COSO, que es antes que nada un marco de
administracin para los controles internos). Posteriormente, se desarrollaron objetivos de control a partir
de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de
medidas de control interno, eficiencia y efectividad, etc.).
COBIT est diseado para ser usado por tres audiencias diferentes:
USUARIOS para obtener aseguramiento sobre la seguridad y los controles de los servicios de TI
suministrados por personas internas o por terceros.
AUDITORES para soportar sus opiniones y/o proveer asesoramiento a la administracin sobre los
controles internos.
Aparte de responder a las necesidades de la audiencia inmediata de la alta gerencia, los auditores y
profesionales de la seguridad y del control, COBIT puede ser usado dentro de las empresas por el
propietario del proceso de negocio en su responsabilidad de controlar los aspectos de informacin del
proceso y por los responsables de TI en la empresa.
COBIT est dirigida a alcanzar los objetivos del negocio. Los Objetivos de Control tienen una
vinculacin clara y distinta con los objetivos del negocio para apoyar el uso significativo fuera de la
comunidad de auditora. Los Objetivos de Control estn definidos en una forma orientada hacia el
proceso siguiendo el principio de reingeniera del negocio. En los dominios y procesos identificados, un
objetivos de control de alto nivel es identificado y se provee un criterio racional para documentar la
relacin con los objetivos del negocio. Adems, se proveen consideraciones y directrices para definir e
implementar el Objetivo de Control de TI.
La clasificacin de los dominios donde se aplican los objetivos de control de alto nivel (dominios y
procesos), una indicacin de los requerimientos del negocio para informacin en ese dominio, as como
tambin los recursos de TI impactados primariamente por el objetivo de control, constituyen juntos el
Marco Referencial de COBIT. El Marco Referencial se basa en las actividades de investigacin que han
identificado 34 objetivos de control de alto nivel y 318 objetivos de control detallado. El Marco
Referencia fue expuesto a la industria y a la profesin de auditora de TI para dar una oportunidad de
revisar, cuestionar y comentar. Las opiniones obtenidas han sido debidamente incorporadas.
DEFINICIONES
Para los fines de este proyecto, se proveen las definiciones siguientes. Control est adaptado del
Reporte COSO [Control InternoMarco Integrado, Committee of Sponsoring Organizations of the
Treadway Commission, 1992] y Objetivo de Control de TI est adaptado del Reporte SAC [Systems
Auditability and Control Report, El Instituto de la Fundacin de Investigaciones de Auditores Internos,
1991 y 1994].
Para satisfacer los objetivos del negocio, la informacin necesita conformarse a ciertos criterios a los que
COBIT hace referencia como requerimientos de informacin del negocio. Para establecer la lista de
requerimientos, COBIT combina los principios integrados en los modelos de referencia existentes y
conocidos.
Requisitos de Calidad
Calidad Costo
Entrega
Confidencialidad
Requisitos de Integridad
Seguridad Disponibilidad
La calidad ha sido retenida primariamente por su efecto negativo (ninguna falta, confiabilidad, etc.)
que es tambin captado en gran medida por el criterio de integridad. Los aspectos positivos pero
menos tangibles de Calidad (estilo, atraccin, apariencia y sensacin, desempeo ms all de las
expectativas, etc.) no estuvieron por una vez, siendo considerados desde un punto de vista de los
objetivos de control de TI. La premisa es que la primera prioridad debe dirigirse a administrar
debidamente los riesgos en oposicin a las oportunidades. El aspecto de utilidad de la Calidad est
cubierto por el criterio de efectividad. El aspecto entrega de Calidad fue considerado como una
superposicin con el aspecto de Disponibilidad de los requerimientos de Seguridad y tambin en
cierta medida con la Efectividad y la Eficiencia. Finalmente, Tambin se considera el Costo cubierto
por la Eficiencia.
Para los Requerimientos Fiduciarios, COBIT no trat de reinventar la ruedase usaron las
definiciones de COSO para la efectividad y la eficiencia de las operaciones, la confiabilidad de la
informacin y el cumplimiento de las leyes y reglamentaciones. Sin embargo, la confiabilidad de la
Informacin fue expandida para incluir toda la informacinno slo la informacin financiera.
Trata con la informacin que es relevante y pertinente para el proceso del negocio as como
Efectividad tambin que est siendo entregada en una forma oportuna, correcta, consistente y utilizable.
Se relaciona con la informacin que est disponible cuando lo requiere el proceso del
Disponibilidad negocio ahora y en el futuro. Tambin se ocupa de la salvaguarda de los recursos
necesarios y las capacidades asociadas.
Se refiere a cumplir con las leyes, reglamentaciones y arreglos contractuales a los que est
Cumplimiento sujeto el proceso del negocio; es decir, criterios de negocio impuestos externamente.
Los recursos de TI identificados en COBIT pueden ser explicados /definidos como sigue:
Son objetos en el mas amplio sentido (por ejemplo externos e internos) estructurados y no
Datos
estructurados , grficas, sonidos, etc.
Sistemas de
Aplicacin Se entienden como la suma de procedimientos manuales y programados
Instalaciones Son todos los recursos para alojar y soportar sistemas de informacin
Son objetos
Datoso el capital
El dinero no fueenconsiderado
su sentido ms amplio
como un (es decir,de
recurso externo e interno),
TI para estructurados
clasificacin de los yobjetivos
no estructu-
de
rados, grficas, sonidos, etc.
control porque puede considerarse como la inversin en cualquiera de los recursos citados aqu
anteriormente. Tambin se debe sealar que el Marco Referencial no se refiere especficamente a la
documentacin de todos los aspectos materiales relativos a un proceso de TI en particular. Como un
asunto de buena prctica, la documentacin es considerada esencial para el buen control, y por lo tanto la
falta de documentacin ocasionara revisin y anlisis adicional para compensar los controles en
cualquier rea especfica bajo revisin.
Para asegurar que los requerimientos de informacin del negocio sean satisfechos, es necesario que se
definan, implementen y monitoreen adecuadas medidas de control sobre estos recursos. Cmo entonces
pueden las organizaciones satisfacerse ellas mismas de que la informacin que obtienen muestra las
caractersticas que ellas necesitan? Es aqu donde se requiere un marco sensato de los Objetivos de
Control de TI. El siguiente diagrama ilustra este concepto
El Marco Referencial de COBIT est constituido por Objetivos de Control de alto nivel y una
estructura general para su clasificacin. La teora subyacente para la clasificacin es que hay, en
esencia, tres niveles de esfuerzos de TI cuando se considera la administracin de los recursos de TI.
Comenzando de abajo, estn las actividades y tareas que se necesitan para lograr un resultado
medible. Las actividades tienen un concepto de ciclo de vida mientras que las tareas son ms
discretas. El concepto de ciclo de vida tiene requerimientos tpicos de control diferentes de las
actividades discretas. Los procesos son luego definidos una capa hacia arriba como una serie de
actividades o tareas conjuntas con frenos (de control) naturales. En el nivel ms alto, los procesos
estn agrupados naturalmente en dominios. Su agrupamiento natural es a menudo confirmado como
dominios de responsabilidad en una estructura organizacional y est acorde con el ciclo de
administracin o ciclo de vida aplicable a los procesos de TI.
De ese modo, el marco conceptual puede ser enfocado desde tres puntos de ventaja: (1) Criterios de
Informacin, (2) Recursos de TI y (3) Procesos de TI. Por ejemplo, los administradores pueden
querer mirar con un inters en la Calidad, Fiduciario o de Seguridad (incluido en el Marco
Referencial como siete criterios especficos de informacin). Un administrador de TI, por otra parte,
puede querer considerar los recursos de TI para los que est obligado a rendir cuentas. Los
propietarios del proceso, los especialistas de TI y los usuarios pueden tener un inters especfico en
procesos o actividades /tareas particulares. Los auditores pueden querer enfocar el Marco Referencial
desde un punto de vista de cobertura de control. Estos tres puntos de ventaja estn descritos en el
Cubo de COBIT.
Con lo que antecede como marco, los dominios estn identificados usando el vocabulario que la
administracin usara en las actividades cotidianas de la organizacino en la jerga de auditora. De
ese modo, estn identificados cuatro dominios amplios: planeacin y organizacin, adquisicin e
implementacin, entrega y soporte, y monitoreo.
Las definiciones para los cuatro dominios identificados para la clasificacin de alto nivel son:
A este dominio le concierne la entrega efectiva de los servicios requeridos, que van
desde las operaciones tradicionales pasando por los aspectos de seguridad y
Entrega y Soporte continuidad hasta el entrenamiento. Para prestar servicios, se deben establecer los
procesos de soporte necesarios. Este dominio incluye el procesamiento efectivo de
datos mediante los sistemas de aplicacin, clasificados a menudo bajo los controles de
Todos los procesos de TI necesitan ser evaluados regularmente a travs del tiempo por
su calidad y el cumplimiento con los requerimientos de control. Este dominio resuelve
Monitoreo as la supervisin del proceso de control de la administracin y el aseguramiento
independiente suministrada por la auditora interna y externa u obtenida de fuentes
alternativas.
Se debe sealar que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin.
Por ejemplo, algunos de estos procesos sern aplicados a nivel de la empresa, otros a nivel de funcin de
los servicios de informacin, otros al nivel del propietario del proceso del negocio, etc.
Tambin se debe sealar que el criterio de efectividad de los procesos que planean o brindan soluciones
para los requerimientos del negocio abarcarn a veces los criterios de disponibilidad, integridad y
confidencialidaden la prctica, ellos se han convertido en requerimientos del negocio. Por ejemplo, el
proceso de identificar soluciones tiene que ser efectivo en proveer los requisitos de Disponibilidad,
Integridad y Confidencialidad.
Es claro que todas las medidas de control no necesariamente satisfarn los diferentes requerimientos de
informacin del negocio en el mismo grado.
Primario es el grado en el que el objetivo definido de control impacta directamente el criterio
de informacin considerado.
Secundario es el grado en el que el objetivo definido de control satisface solamente en un menor
grado o indirectamente el criterio de informacin considerado.
En blanco podra ser aplicable; sin embargo, los requerimientos son satisfechos de manera ms
apropiada por otros criterios en este proceso y/ o por otro proceso.
De manera similar, no todas las medidas de control impactarn necesariamente los diferentes recursos de
TI en la misma medida. Por lo tanto, el Marco Referencial de COBIT indica especficamente la
aplicabilidad de los recursos de TI que son manejados especficamente por el proceso en consideracin
(no los que slo participan en el proceso). Esta clasificacin se hace dentro del Marco Referencial de
COBIT basado en el mismo proceso riguroso de entrada proveniente de los investigadores, los expertos y
los revisores, usando las estrictas definiciones indicadas anteriormente aqu.
El Marco Referencial de COBIT ha sido limitado a objetivos de control de alto nivel en la forma de una
necesidad del negocio dentro de un proceso particular de TI, cuyo logro es posibilitado por una sentencia
de control, para la cual se deben tomar en consideracin los controles potencialmente aplicables.
El Control de
Los Objetivos de Control han sido organizados por proceso /actividad, para facilitar los enfoques
combinados o globales, como la instalacin /implementacin de un proceso, las responsabilidad de
administracin global para un proceso y el uso de los recursos de TI por un proceso.
Los Objetivos de Control tambin han sido suministrados con referencias a los dominios de TI, los
recursos de TI y a los criterios de informacin del negocio. Esto permite mirar los requerimientos de
control de TI desde tres puntos de vista, como lo ilustr anteriormente aqu el Cubo de COBIT (ver
pgina 162). Cada objetivo de control de alto nivel indica a qu dominio pertenece, qu criterios de
informacin son los ms importantes y los que les siguen en importancia para el proceso que abarca y
qu recursos necesitan la atencin especial de la administracin.
Los Objetivos de Control han sido definidos en una forma genrica, es decir, que no dependen de la
plataforma tcnica, a pesar que aceptan el hecho de que es probable que los entornos especiales de
tecnologa necesiten una cobertura separada para los objetivos de control.
En resumen, para proveer la informacin que necesita la organizacin para alcanzar sus objetivos, el
gobierno de TI debe ser ejercido por la organizacin para asegurar que los recursos de TI sean
administrados por un conjunto de procesos de TI agrupados naturalmente. El diagrama siguiente
ilustra este concepto.
Integridad E E C I D C C
Disponibilidad E
F F O N I U O
Cumplimiento Medida C C
I
F
N
E
T
P
S
P
M
F
N Medida
T I I
Confiabilidad (Resultado) V
I
N
E
E
D R
G
N
O
I
L
A
I
(Desempeo)
I I I M B
C N
D I C D B I I
A A A I E L
D I
A D L N I
L I T D
I D O A
D A D
A D
D
Todos estos criterios no tendrn la misma importancia. Su importancia depende del negocio de la
empresa y del proceso especfico que uno mira. La importancia relativa de los criterios (expresada como
un mini cuadro en la grfica que aparece aqu anteriormente) expresan la expectativa del negocio y son
por lo tanto el objetivo de TI, que de ese modo posibilita el negocio. Estos principios de medir los
resultados y los desempeos son inherentes al Balanced Business Scorecard y han sido usados para
desarrollar las Directrices Gerenciales.
Las medidas de desempeo de los posibilitadores se convierten en el objetivo de TI, los cuales a su vez
tendrn un nmero de posibilitadores. Estos podran ser los dominios de COBIT. Aqu nuevamente las
medidas pueden ser escalonadas, y la medida de desempeo del dominio convertirse en un objetivo para
el proceso.
Objetivos Posibilitadores
Medida Medida
(resultado) (desempeo)
Objetivos Posibilitadores
Medida Medida
(resultado) (desempeo)
PO Plan Estratgico
Scorecard de TI
Objetivos Posibilitadores
Medida Medida
(resultado) (desempeo)
Otra forma de mirar esto es comenzando desde el Balanced Business Scorecard y sus 4 dimensiones y
luego considerar que TI posibilita el negocio, monitoreado por un Balanced Business Scorecard de
TI. La entrega de los objetivos estratgicos de TI es tpicamente hecha por dos dominios diferentes
de responsabilidad en la empresa, que lleva a un anotador de desarrollo y a un anotador de
operaciones.
Ahora podemos fcilmente mapear los 4 dominios de TI que ha identificado el Marco Referencial de
COBIT en estos anotadores . Planeacin y Organizacin (PO) dando las medidas del Balanced
Business Scorecard estratgico para TI, Adquisicin e Implementacin (AI) suministrando lo mismo
para el anotador de desarrollo, mientras que Entrega y Soporte (DS) suministra el anotador operativo.
Por encima de estos dominios est el dominio de Monitoreo (MO) que provee a travs de la
supervisin y mensurabilidad de la administracin, por medio de auditora y a travs de
aseguramiento la gobernabilidad general de TI de la empresa.
MO
Anotador de Desarro-
llo Balanceado de TI
REQUERIMIENTOS Financiero AI
PO Clientes
Balanced Business
Scorecard Procesos
Balanced Business
Financiero Scorecard de TI Aprendizaje
Clientes Financiero
DS
Procesos Clientes
Aprendizaje Procesos
Anotador Operativo
Balanceado de TI
Aprendizaje
INFORMACIN
Financiero
Clientes
Procesos
Aprendizaje
APNDICE IV
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos
y se mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan los Recursos de TI especficos y se
mide por medio de los Indicadores Clave de Desempeo.
El desempeo de TI se mide en trminos financieros, en relacin con la satisfaccin del cliente, para la
efectividad del proceso y para capacidad futura, y su administracin de TI es compensada en base a estas
medidas
Los procesos estn alineados con la estrategia de TI y con los objetivos del negocio; se pueden escalar y sus
recursos son manejados y respaldados de manera apropiada
Todos los que participan en el proceso estn enfocados al objetivo y tienen la informacin apropiada sobre
los clientes, los procesos internos y las consecuencias de sus decisiones
Una cultura de negocio est establecida, estimulando la cooperacin entre departamentos y el trabajo en
equipo, as como tambin un constante mejoramiento del proceso
Las prcticas de control son aplicadas para aumentar la transparencia, reducir la complejidad, promover el
aprendizaje, proveer la flexibilidad y permitir escalabilidad
Las metas y objetivos son comunicados en todas las disciplinas y son comprendidos
Se sabe cmo implementar y monitorear los objetivos de proceso y quin debe dar cuenta del desempeo del
proceso
Se aplica un proceso continuo de mejoramiento de calidad
Hay claridad en quines son los clientes del proceso
Existe la calidad requerida de personal (entrenamiento, transferencia de informacin, moral, etc.) y
disponibilidad de habilidades (reclutar, retener, re-entrenar)
* Muchos de los elementos de esta gua pueden adems aplicarse en las Directrices Gerenciales del Gobierno de TI en el apndice V
1 Inicial /Ad hoc Hay evidencia de que la organizacin ha reconocido que los problemas
existen y que necesitan ser resueltos. No hay, sin embargo, ningn proceso estandarizado,
pero hay en cambio enfoques ad hoc aplicados de manera individual y caso por caso. El
enfoque de la administracin es catico y slo hay comunicacin espordica e inconsistente
sobre los problemas y los mtodos que se necesitan para resolverlos.
2 Repetible pero intuitivo Hay un conocimiento global de los problemas. Los procesos se
han desarrollado hasta el grado que se siguen procedimientos similares aunque informales e
intuitivos por parte de diferentes personas que emprenden la misma tarea, por los cuales
estn surgiendo herramientas comunes. De ah que, estos procesos se pueden repetir y
algunos de ellos comienzan a ser monitoreados. No hay un entrenamiento formal y la
comunicacin sobre los procedimientos y las responsabilidades estndar se deja a la
persona. Hay una elevada confianza en los conocimientos de las personas y los errores son,
por lo tanto, probables. Sin embargo, hay comunicacin consistente sobre los problemas
generales y sobre la necesidad de resolverlos.
4 Administrado y Medible Hay pleno entendimiento de los problemas en todos los niveles,
soportado por entrenamiento formal. Las responsabilidades son claras y la propiedad de
procesos est establecida. Es posible monitorear y medir el cumplimiento con los
procedimientos y la mtrica del proceso y emprender accin donde el proceso parece no estar
funcionando de manera efectiva o eficiente. Se emprende accin en muchos, pero no en todos,
los casos. La mtrica de desempeo est an dominada por las medidas financieras y operativas
tradicionales, pero gradualmente se estn implementando nuevos criterios. Los procesos son
mejorados ocasionalmente y se hacen cumplir las mejores prcticas internas. Se est
estandarizando el anlisis de las causas que originan los problemas. Se est comenzando a
considerar el mejoramiento constante. Las prcticas de control se estn volviendo cada vez ms
transparentes, flexibles y escalables. Hay un uso limitado, primariamente tctico de la
tecnologa, basado en las tcnicas maduras y en herramientas estndar impuestas. La estrategia
de TI se est volviendo cada vez ms acorde con la estrategia de la empresa. Hay participacin
de todos los expertos de dominio interno requeridos.
178 IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
APNDICE V
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y se
mide por los Indicadores Clave de Objetivo
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide por medio
de los Indicadores Clave de Desempeo.
El gobierno sobre la tecnologa de informacin y sus procesos con el objetivo del negocio de agregar
valor, mientras balancea el riesgo con el rendimiento
1 Inicial /Ad hoc Hay evidencia de que la organizacin ha reconocido que los problemas de
gobernabilidad de TI existen y que necesitan ser resueltos. No hay, sin embargo, ningn
proceso estandarizado, pero hay en cambio enfoques ad hoc aplicados de manera individual
y caso por caso. El enfoque de la administracin es catico y slo hay comunicacin
espordica e inconsistente sobre los problemas y los mtodos que se necesitan para
resolverlos. Puede haber algn reconocimiento de captar el valor de TI en el desempeo de
los procesos relacionados de la empresa orientados hacia el resultado. No hay un proceso
estndar de evaluacin. El monitoreo de TI slo es implementado de manera reactiva frente
a un incidente que ha causado alguna prdida o dificultad a la organizacin.
Business Scorecard de TI estn siendo adoptadas por la organizacin. Es, sin embargo
dejado a la discrecin de las personas el obtener entrenamiento, seguir las normas y
aplicarlas. El anlisis de las causas que originan los problemas es aplicado slo de manera
ocasional. La mayora de los procesos son monitoreados comparndolos con algunas
mtricas (de lnea de base), pero cualquier desviacin, a pesar de que se toman medidas para
corregirla por medio de la iniciativa personal, sera improbable que fuera detectada por la
administracin. Sin embargo, la obligacin de rendir cuentas a nivel general del desempeo
clave del proceso es claro y la administracin es compensada en base a medidas clave de
desempeo.
Nos interesa conocer su reaccin frente a COBIT: Objetivos de Control para Informacin y Tecnologa
relacionada. Por favor registre sus comentarios a continuacin.
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
Nombre
Compaa
Direccin
Ciudad Estado /Provincia
Pas ZIP /Cdigo Postal
Nmero de Fax
Direccin de correo electrnico
Gracias!