Una de las directivas en COBIT es la distinción hecha entre gobierno y gestión. En línea con este principio, se espera que todas las empresas implementen varios procesos de gobierno y varios procesos de gestión para proporcionar un gobierno y una gestión del entorno IT exhaustivos.
Al considerar los procesos para gobierno y gestión en el contexto de la empresa, la diferencia entre los tipos de procesos se encuentra en los objetivos:
• Procesos de Gobierno. Los procesos de gobierno tratan de los objetivos de gobierno de las partes interesadas –entrega de valor, optimización del riesgo y de recursos – e incluye prácticas y actividades orientadas a evaluar opciones estratégicas, proporcionando la dirección de TI y supervisando la salida (Evaluar, orientar y supervisar [EDM] – en línea con los conceptos del estándar ISO/IEC 38500).
• Procesos de Gestión. En línea con la definición de gestión, las prácticas y actividades de los procesos de gestión cubren las áreas de responsabilidad de PBRM de TI de la empresa y tienen que proporcionar cobertura de TI extremo a extremo.
El modelo de referencia de procesos de COBIT 5 subdivide los procesos de gobierno y de gestión de TI de la empresa en dos principales áreas de actividad – gobierno y gestión – divididas en dominios de procesos:
• Gobierno. Este dominio contiene cinco procesos de gobierno; dentro de cada proceso, se han definido las prácticas EDM.
• Gestión. Estos cuatro dominios están en línea con las áreas de responsabilidad de PBRM (una evolución de los dominios COBIT 4.1), que proporcionan cobertura de TI extremo a extremo. Cada dominio contiene varios procesos, como en COBIT 4.1 y versiones anteriores.
A continuación se describe cada dominio y sus procesos:
Dominio de gobierno.
Evaluar, Orientar y Supervisar (EDM): Asegura
que los objetivos de la empresa sean
logrados, evaluando las necesidades de los interesados .
Procesos:
-EDM01. Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno: Analizar y articular los requerimientos para el gobierno de las TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadoras, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.
-EDM02. Asegurar la entrega de beneficios: Optimizar la contribución al valor del negocio desde los procesos de negocios, los de servicios TI y activos de las TI resultado de la inversión hecha por TI a unos costos aceptables.
-EDM03. Asegurar la optimización del riesgo: Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.
-EDM04. Asegurar la optimización de recursos: Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.
-EDM05. Asegurar la transparencia hacia las partes interesadas: Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de las TI de la empresa son transparentes, con aprobación por las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.
Dominios de gestión.
Alinear, Planear y Organizar (APO): Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es importante mencionar que la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas; y finalmente, la implementación de una estructura organizacional y tecnológica apropiada.
Este dominio proporciona la dirección para la entrega de soluciones y la entrega de servicios.
Procesos:
APO01. Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.
Propósito del Proceso. Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias.
APO02. Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.
Propósito del Proceso. Alinear los planes estratégicos de TI con los objetivos del negocio. Comunicar claramente los objetivos y las cuentas asociadas para que sean comprendidos por todos, con la identificación de las opciones estratégicas de TI, estructurados e integrados con los planes de negocio.
APO03. Gestionar la Arquitectura Empresarial: Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Define los requisitos para la taxonomía, las normas, las directrices, los procedimientos, as plantillas y las herramientas y proporcionar un vínculo para estos componentes.
Propósito del Proceso. Representar a los diferentes módulos que componen la empresa y sus interrelaciones, así como los principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar, sensible y eficiente de los objetivos operativos y estratégicos.
APO04. Gestionar la Innovación: Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa.
Objetivo del proceso. Lograr ventaja competitiva, innovación empresarial y eficacia y eficiencia operativa mejorada mediante la explotación de los desarrollos tecnológicos para la explotación de la información.
APO05. Gestionar el Portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de programas y servicios o al cambio en las prioridades corporativas.
Propósito del Proceso. Optimizar el rendimiento del portafolio global de programas en respuesta al rendimiento de programas y servicios y a las cambiantes prioridades y demandas corporativas.
APO06 Gestionar el Presupuesto y los Costes: Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa.
Propósito del Proceso. Fomentar la colaboración entre TI y las partes interesadas de la empresa para catalizar el uso eficaz y eficiente de los recursos relacionados con las TI y brindar transparencia y responsabilidad sobre el coste y valor de negocio de soluciones y servicios. Permitir a la empresa tomar decisiones informadas con respecto a la utilización de soluciones y servicios de TI.
APO07. Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.
Propósito del Proceso. Optimizar las capacidades de recursos humanos para cumplir los objetivos de la empresa.
AP008. Gestionar las relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.
Propósito del Proceso. Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso efectivo de los recursos.
AP009. Gestionar los acuerdos de servicio: Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.
Propósito del Proceso. Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de la empresa.
APO10. Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Propósito del Proceso. Minimizar el riesgo de proveedores que no rindan y asegurar precios competitivos.
APO11. Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.
Propósito del Proceso. Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la organización y que satisfagan las necesidades de las partes interesadas.
APO12 Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa. Propósito del Proceso. Integrar la gestión de riesgos empresariales relacionados
APO13. Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Propósito. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la empresa.
Dominio
Construir, Adquirir e Implementar (BAI): La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen soluciones que satisfagan las necesidades del negocio, que sean entregados en tiempo y dentro del presupuesto, que los nuevos sistemas una vez implementados trabajen adecuadamente y que los cambios no afecten las operaciones actuales del negocio. Con el fin de cumplir una estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, como también implementadas e integradas en los procesos del negocio.
Proporciona soluciones y las desarrolla para convertirlas en servicios.
Procesos:
BAI01. Gestión de Programas y Proyectos: Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
Propósito del Proceso. Alcanzar los beneficios de negocio y reducir el riesgo de retrasos y costes inesperados y el deterioro del valor, mediante la mejora de las comunicaciones y la involucración de usuarios finales.
BAI02. Gestionar la Definición de Requisitos: Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
Propósito del Proceso. Crear soluciones viables y óptimas que cumplan con las necesidades de la organización mientras minimizan el riesgo.
BAI03. Gestionar la Identificación y Construcción de Soluciones: Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.
Propósito del Proceso. Establecer soluciones puntuales y rentables capaces de soportar la estrategia de negocio y objetivos operacionales.
BAI04. Gestionar la Disponibilidad y la Capacidad: Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio.
Propósito del Proceso. Mantener la disponibilidad del servicio, la gestión eficiente de recursos y la optimización del rendimiento de los sistemas mediante la predicción del rendimiento futuro y de los requerimientos de capacidad.
BAI05. Gestionar la Facilitación del Cambio Organizativo: Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de TI.
Propósito del Proceso. Preparar y comprometer a las partes interesadas para el cambio en el negocio y reducir el riesgo de fracaso.
BAI06. Gestionar los Cambios: Gestiona todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.
Propósito del Proceso. Posibilitar una entrega de los cambios rápida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se aplica el cambio.
BAI07. Gestionar la Aceptación del Cambio y la Transición: Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.
Propósito del Proceso. Implementar soluciones de forma segura y en línea con las expectativas y resultados acordados.
BAI08. Gestionar el Conocimiento: Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de conocimiento.
Propósito del Proceso. Proporcionar el conocimiento necesario para dar soporte a todo el personal en sus actividades laborales, para la toma de decisiones.
BAI09. Gestionar los Activos: Gestionar los activos de TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento, que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para le negocio y que el software instalado cumple con los acuerdos de licencia.
Propósito del Proceso. Contabilización de todos los activos de TI y optimización del valor proporcionado por estos activos.
BAI10. Gestionar la Configuración: Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarios para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.
Propósito del Proceso. Proporcionar suficiente información sobre los activos del servicio para que el servicio pueda gestionarse con eficacia, evaluar el impacto de los cambios y hacer frente a los incidentes del servicio.
Dominio
Entregar, Dar Servicio y Soporte (DSS): Involucra la entrega en sí de los servicios requeridos, incluyendo la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte a los usuarios del servicio, la administración de los datos y de las instalaciones operativas.
El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del negocio, la optimización de costos, asegurar que la fuerza de trabajo utilice los sistemas de modo productivo y seguro, implantar de forma correcta la confidencialidad, la integridad y la disponibilidad.
Procesos:
DSS01. Gestionar Operaciones: Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.
Propósito del Proceso. Entregar los resultados del servicio operativo de TI, según lo planificado.
DSS02. Gestionar Peticiones e Incidentes de Servicio: Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
Propósito del Proceso. Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuario e incidentes.
DSS03. Gestionar Problemas: Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora.
Propósito del Proceso. Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y mejorar la comodidad y satisfacción del cliente reduciendo el número de problemas operativos.
DSS04. Gestionar la Continuidad: Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.
Propósito del Proceso. Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un nivel aceptable para la empresa ante el evento de una interrupción significativa.
DSS05. Gestionar Servicios de Seguridad: Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.
Propósito del Proceso. Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en la información.
DSS06. Gestionar Controles de Proceso de Negocio: Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para el control de la información.
Propósito del proceso. Mantener la integridad de la información y la seguridad de los activos de información manejados en los procesos de negocio dentro de la empresa o externalizados.
Dominio
Supervisar, Evaluar y Valorar (MEA): La totalidad de los procesos de TI deben de ser evaluados regularmente en el tiempo, para conocer su calidad y cumplimiento de los requerimientos de control. Este dominio incluye la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
Con esto se obtendrá de manera oportuna la detección de problemas por medio de la medición del desempeño, se garantiza que los controles internos sean efectivos y eficientes, la vinculación del desempeño de TI con las metas del negocio así como la medición y reporte de riesgos, además del control, cumplimiento y desempeño.
Procesos:
MEA01. Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad: Recolectar, validar y evaluar métricas y objetivos de negocio, de TI y de procesos. Supervisar que los procesos se están realizando acorde al rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada.
Propósito del Proceso. Proporcionar transparencia de rendimiento y conformidad y conducción hacia la obtención de los objetivos.
MEA02. Supervisar, Evaluar y Valorar el Sistema de Control Interno: Facilitar a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento.
Propósito del Proceso. Ofrecer transparencia a las partes interesadas claves respecto de la adecuación del sistema de control interno para generar confianza en las operaciones, en el logro de los objetivos de la compañía y un entendimiento adecuado del riesgo residual.
MEA03. Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos: Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de TI en el cumplimiento de la empresa general.
Propósito del Proceso. Asegurar que la empresa cumple con todos los requisitos externos que le sean aplicables.
