Self Assessment Guide Using Cobit 5 Res Spa 0116

User Manual:

Open the PDF directly: View PDF PDF.
Page Count: 24

Guía de Auto-Evaluación:
Usando COBIT® 5
Personal Copy of: Mr. Miguel Expsito
2
Guía de auto-evaluación: usando coBit® 5
ISACA®
Con más de 100,000 asociados en 180 países, ISACA (www.isaca.org) es un líder global proveedor de conocimiento, certificaciones,
comunidad, apoyo y educación en los sistemas de información (SSII), asesoría y seguridad, gobierno empresarial y gestión de TI
y riesgo relacionado con TI y cumplimiento. Fundada en 1969, ISACA, independiente y sin ánimo de lucro, celebra conferencias
internacionales, publica el ISACA® Journal y desarrolla estándares internacionales de control y auditoria de SSII, que ayudan a
sus miembros a asegurar la confianza en, y aportar valor desde, los sistemas de información. También avanza y avala habilidades
y conocimientos de TI mediante los globalmente reconocidos certificados (CISA®) Certified Information Systems Auditor®,
(CISM®) Certified Information Security Manager®, (CGEIT®) Certified in the Governance of Enterprise IT® y (CRISCTM)
Certified in Risk and Information Systems ControlTM.
ISACA actualiza continuamente el COBIT®, el cual ayuda a los profesionales de TI y líderes de las organizaciones a llevar a cabo
sus responsabilidades en la gestión y gobierno de TI, particularmente en las áreas de aseguramiento, seguridad, riesgo y control, y
proporcionar valor al negocio.
Exclusión de responsabilidad
ISACA ha diseñado y creado COBIT® Self-assessment Guide: Using COBIT® 5 (el ‘Trabajo’) principalmente como recurso de
asesoramiento. ISACA no afirma que el uso de cualquier parte del ‘Trabajo’ asegure un resultado exitoso.
El ‘Trabajo’ no debe considerarse inclusive de toda la información, procedimientos y pruebas adecuadas, ni que excluya otro tipo de
información, procedimiento y pruebas que puedan ser razonablemente dirigidas para obtener los mismos resultados. Al determinar la
conveniencia de cualquier información específica, procedimiento o prueba, los asesores deberían aplicar su propio juicio profesional
en relación a las circunstancias específicas presentadas por los sistemas particulares o por el entorno de tecnologías de información.
Copyright / Reserva de Derechos
© 2013 ISACA. Todos los derechos reservados. Para obtener instrucciones de uso, consulte el hipervínculo “http://www.isaca.org/
COBITuse”
Nota de Calidad:
El capítulo de ISACA® Barcelona ha traducido este trabajo desde el documento original en inglés COBIT® Self-assessment Guide:
Using COBIT® 5 con el permiso de ISACA®. El capítulo de ISACA® Barcelona asume toda la responsabilidad por la exactitud y
fidelidad de la traducción.
ISACA
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: info@isaca.org
Página Web: www.isaca.org
Comentarios: www.isaca.org/cobit
Participar en el ISACA Knowledge Center: www.isaca.org/knowledge-center
Sigue a ISACA en Twitter: https://twitter.com/ISACANews
Únete a ISACA en LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficial
Me gusta ISACA en Facebook: www.facebook.com/ISACAHQ
Disclaimer:
ISACA has designed and created COBIT® Self-assessment Guide: Using COBIT® 5 (the ‘Work’) primarily as an assessor guide.
ISACA makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive
of all proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed
to obtaining the same results. In determining the propriety of any specific information, procedure or test, assessors should apply
their own professional judgement to the specific circumstances presented by the particular systems or information technology
environment.
Copyright
© 2013 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
Quality Statement:
This Work is translated into Spanish from the English language version of COBIT® Self-assessment Guide: Using COBIT® 5 by the
ISACA® Barcelona Chapter with the permission of ISACA®. The ISACA® Barcelona Chapter assumes sole responsibility for the
accuracy and faithfulness of the translation.
Guía de Auto-Evaluación: Usando COBIT® 5
ISBN 978-1-60420-383-7
Personal Copy of: Mr. Miguel Expsito
3
AgrAdecimientos
AgrAdecimientos
ISACA desea expresar su reconocimiento a:
Equipo de Desarrollo
Gary Allan Bannister, CGEIT, CGMA, FCMA, Austria
Barry Lewis, CISM, CGEIT, CRISC, CISSP, Cerberus ISC Inc., Canadá
Junta Directiva ISACA
Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Presidente Internacional
Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, UK, Vice Presidente
Juan Luis Carselle, CISA, CGEIT, CRISC, WaJ-Mart, México, Vice Presidente
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Vice Presidente
Ramses Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, 6 Sigma, Quest Software, España, Vice Presidente
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FilA, Queensland Government, Australia, Vice Presidente
JeffSpivey, CRISC, CPP, PSP, Security Risk Management lnc., USA, Vice Presidente
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica Vice Presidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), USA, Expresidente Internacional
Emil D’Angelo, CISA, CISM, Bank ofTokyo-Mitsubishi UFJ Ltd., (retirado), USA, Expresidente Internacional
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapur, Director
Krysten McCabe, CISA, The Home Depot, USA, Director
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Director
Comité Expertos
Marc Vael , Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica Presidente
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb, CGEIT, CRISC, Betfair, UK
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, USA
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, USA
Janlie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, UK
Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP, México
Comité Operativo
Steven A. Babb, CGEIT, CRISC, Betfair, UK, Presidente
Charles Betz, Enterprise Management Associates, USA David Cau, ISO, ITIL, MSP, Prince2, Francia
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Frank J. Cindrich, CGEIT, CIPP, CIPP/G, Deloitte & Touche LLP, USA
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment pie, Austria
Anthony P. Noble, CISA, Viacom, USA
Andre Pitkowski, CGEIT, CRISC, APIT Informática, Brasil
Paras Kesharichand Shah, CISA, CGEIT, CRISC, CA, Australia
Socios y sponsors de ISACA e ITGI (IT Governance lnstitute)
Information Security Forum
Capítulos de Institute of Management Accountants lnc. ISACA
ITGI Francia
ITGI Japón
Universidad Norwich
Socitum Perfornmance Management Group
Solvay Brussels School of Economics and Management
Strategic Technology Management lnstitute (STMI) de la Universidad Nacional de Singapur
Escuela de Negocios de la Universidad of Antwerp
ASI System lntegration
Hewlett-Packard
IBM
Symantec Corp.
Personal Copy of: Mr. Miguel Expsito
4
Guía de auto-evaluación: usando coBit® 5
trAducción
Ignacio Guimarans Rivas, CISA, CISM, CRISC. Banc Sabadell.
Juanjo Martí Manzano, CGEIT. UOC.
Ivan Casacuberta Prat, CISA, CISSP, Deloitte Advisory SL.
Xavier Rubiralta, CISA, CISM, CGEIT, CRISC.
Lluís Tragan
Albert Lladó, MBA, CISA, CISM, CGEIT, CRISC, ISO2700LA, ISO22301LA. Auren.
Xavier Vila. CISA, CISM, CRISC, ISO27001 LA, CIAM, PCI QSA, ASITF.
Isidre Fàbregues, CISA. Pragma Solucions
Ana J. Zuccolotto, CISA.
Rafael Estevan, CISA, CERT-CC
José Manuel Valdés César, CISA, CRISC, ITIL Service Manager. Better Business To Be, S.L.
Miguel Ángel Martínez Ayuso, MBA, CISA, CISM, CGEIT. Tarsys.
Josep Estévez, CISA. FacilTI.
Martin Piqueras Caro, CRISC, PMP. GE Capital.
Enric Güell, CISA
Enrique Gómez Arcusa, CISA.
Jordi Civit Vives, CISA, CSA. Melia Hotels International, S.A.
Jordi Brinquez, CISA, ISO27001LA, Comet Global Consulting.
Personal Copy of: Mr. Miguel Expsito
Índice
5
Índice
1.0 Introducción ......................................................................................................................................................................... 7
1.1 Programa de Evaluación de COBIT ............................................................................................................................... 7
1.2 Propósito de la autoevaluación COBIT ........................................................................................................................... 7
1.3 Preguntas más frecuentes ................................................................................................................................................ 8
2.0 El programa de evaluación de COBIT—Resumen ........................................................................................................... 9
2.1 COBIT 5 Arquitectura .................................................................................................................................................... 9
2.2 El framework de medición ............................................................................................................................................ 10
2.2.1 Niveles de capacitación de los procesos .............................................................................................................. 10
2.2.2 Atributos del proceso ........................................................................................................................................... 10
2.2.3 Indicadores de evaluación .................................................................................................................................... 11
2.2.4 Escala de calicación ........................................................................................................................................... 11
2.2.5 Determinado el nivel de capacidad ...................................................................................................................... 11
3.0 El Proceso de Autoevaluación COBIT ............................................................................................................................ 13
3.1 Paso 1—Decidir sobre los procesos de evaluación del alcance .................................................................................... 13
3.2 Paso 2—Determinar si el proceso seleccionado es de Capacidad Nivel 1 .................................................................... 15
3.3 Paso 3—Determinar el cumplimiento de los niveles de capacidad, del nivel 2 al 5 para los procesos seleccionados ..... 16
3.4 Paso 4—Registro y resumen de los niveles de capacidad ............................................................................................ 16
3.5 Paso 5—Desarrollo de un Plan de Acción de Mejora ................................................................................................... 17
Apéndice A. Resultados del proceso de evaluación ............................................................................................................... 19
Apéndice B. Plantilla de Auto-Evaluación ............................................................................................................................. 21
Apéndice C. Lecturas Adicionales ......................................................................................................................................... 24
Personal Copy of: Mr. Miguel Expsito
6
Guía de auto-evaluación: usando coBit® 5
Página intencionadamente en blanco
Personal Copy of: Mr. Miguel Expsito
1.0 IntroduccIón
7
1.0 introducción
¿Que capacidad tienen tus processos de TI? ¿Satisfacen las necesidades del negocio?
1.1 Programa de Evaluación de COBIT
El programa de evaluación de COBIT está diseñado para proveer a las empresas con una metodología reproducible,
confiable y robusta para evaluar la capacidad de sus procesos de TI. Dichas evaluaciones normalmente se usan como parte
de un programa de mejora de los procesos de una empresa y también se pueden utilizar para informar internamente a la
dirección ejecutiva o la junta directiva de una empresa sobre la capacidad actual de sus procesos de TI frente a un objetivo
de mejora basado en los requerimientos del negocio. Estas evaluaciones se pueden utilizar al iniciar un programa de
mejora de procesos o para evaluar el progreso tras una etapa de mejora de procesos.
El programa de evaluación de COBIT incluye:
COBIT® Process Assessment Model (PAM): Using COBIT® 5:
Basado en COBIT 5 e International Organization for Standardization (ISO)/International Electrotechnical Commission
(IEC) 15504, este modelo es la base para la evaluación de los procesos TI de una empresa a través de COBIT 5.
El proceso de evaluación se basa en evidencias para posibilitar un proceso de evaluación confiable, consistente y
reproducible en el área de gobierno y gestión de TI de la empresa.
El modelo de evaluación facilita evaluaciones internas de las empresas para apoyar la mejora de los procesos.
COBIT® Assessor Guide: Using COBIT® 5—Este producto está pensado para aquellos que quieren realizar una
evaluación de carácter más formal, basada en evidencias.
COBIT® Self-assessment Guide: Using COBIT® 5—Este producto se ha desarrollado para apoyar el desarrollo de
autoevaluaciones más sencillas y menos rigurosas.
COBIT® Assessment Programme Tool Kit: Using COBIT® 5—Estas herramientas facilitan las actividades del proceso
de evaluación e incluyen plantillas de alcance. Las herramientas se apoyan en COBIT® Assessor Guide: Using
COBIT® 5 y COBIT® Self-assessment Guide: Using COBIT® 5 e incluye mapeos a:
Objetivos del negocio
Objetivos de TI
Actualmente, COBIT 5 está analizando un plan de formación sobre evaluación y un programa de certificación para ser
establecidos en el futuro.
Los detalles completos del programa de evaluación de COBIT se resumen en COBIT Process Assessment Model (PAM):
Using COBIT 5 y COBIT Assessor Guide: Using COBIT 5. Una evaluación completa y detallada requiere una evaluación
basada en evidencias de un conjunto seleccionado de procesos TI dirigido por evaluadores capacitados para proporcionar
una evaluación confiable y reproducible. En el capítulo 2 se describe un resumen del modelo.
1.2 Propósito de la autoevaluación COBIT
La guía de autoevaluación se proporciona como una publicación ‘independiente’, que puede ser utilizada por las empresas
para realizar una evaluación menos rigurosa de la capacidad de sus procesos TI. Puede ser un precursor para realizar una
evaluación más rigurosa, basada en evidencias. Está aproximación está basada en el COBIT PAM que se utiliza en el
programa de evaluación de COBIT, pero no necesita requisitos de evidencias para apoyar la autoevaluación, ni requiere el
uso de COBIT PAM. Información suficiente del COBIT PAM y una plantilla completa de autoevaluación se proporcionan
para simplificar el proceso, eliminando la necesidad de hacer referencia a las otras dos publicaciones del programa de
evaluación de COBIT. Sin embargo, se aconseja a los usuarios que consulten el COBIT PAM, la guía del evaluador y el kit
de herramientas.
El Capítulo 3 de esta guía resume como se deben de realizar las autoevaluaciones de los procesos de TI, e incluye un kit
de herramientas con una plantilla específica de autoevaluación, junto con una copia de la plantilla de alcance descrita en el
kit de herramientas.
En el kit de herramientas que acompaña a esta guía también se proporciona una plantilla detallada con todos los atributos
del proceso y el contenido necesario para realizar una autoevaluación y, en el apéndice B, se proporciona un ejemplo.
Personal Copy of: Mr. Miguel Expsito
8
Guía de auto-evaluación: usando coBit® 5
1.3 Preguntas más frecuentes
¿Sabemos dónde se encuentran nuestras fortalezas y debilidades? ¿Por qué realizar una evaluación de procesos
mediante COBIT?
Muchas empresas creen que conocen sus fortalezas y debilidades. Sin embargo, a menudo se pueden sorprender al
encontrar que un determinado proceso no funciona como se espera, porque no es lo suficientemente robusto para hacer
frente a cualquier cambio en la empresa o por otras circunstancias..
Una evaluación estructurada proporciona una comprensión clara y objetiva de las fortalezas y debilidades de los procesos
de TI de una empresa respecto a sus necesidades de negocio. Esto puede utilizarse para determinar dónde y cómo deben
utilizarse los recursos para la mejora del proceso y define una base para medir si las mejoras de los procesos han tenido
éxito.
Mi empresa no ha adoptado COBIT, por tanto ¿cómo puedo usar COBIT para una evaluación?
No se espera que los procesos de una empresa se alineen exactamente con los procesos COBIT o que utilicen la misma
terminología. La terminología COBIT no siempre será de uso general en las empresas. Una fase inicial en cualquier
evaluación puede implicar un mapeo interno de los procesos y de la terminología de los procesos COBIT a evaluar.
Respecto a una autoevaluación, éste sería un proceso relativamente informal.
¿Por qué necesito una evaluación más rigurosa? ¿No es suficiente un proceso de autoevaluación?
Una autoevaluación se basa más en el juicio de la persona o personas que hacen la evaluación. Será
subjetiva y sin requerimientos de evidencias. Como resultado, la evaluación será indicativa de la capacidad del proceso.
La experiencia ha demostrado que este tipo de evaluaciones son a menudo optimistas, mostrando un resultado mejor del
que se mostraría en una evaluación más formal basada en evidencias. Por lo general, no son reproducibles u objetivas.
Para una evaluación reproducible y objetiva, se requiere una evaluación completa utilizando COBIT PAM y la guía del
evaluador (con formación).
Personal Copy of: Mr. Miguel Expsito
2.0 El Programa dE Evaluación dE coBiTrEsumEn
9
Proceso de gestión de la IT empresarial
Evaluar, orientar y supervisar
Procesos para la gestión de TI empresarial.
Alinear, planicar y organizar Supervisar,
evaluar
y valorar
Construir, adquirir e implementar
Entregar, dar servicio y soporte
EDM01 Asegurar el
establecimiento y
mantenimiento del
marco de gobierno
APO01 Gestionar
el Marco de Gestión
de TI
APO08 Gestionar
las relaciones
APO02 Gestionar
la estrategia
APO09 Gestionar
los acuerdos
de servicio
APO03 Gestionar
la arquitectura
empresarial
APO10 Gestionar
los proveedores
APO04 Gestionar
la innovación
APO11 Gestionar
la calidad
APO05 Gestionar
Portafolio
APO12 Gestionar
el riesgo
APO06 Gestionar
el presupuesto
y los costes
APO07 Gestionar
los recursos
humanos
MEA01 Supervisar,
evaluar y valorar
rendimiento
y conformidad
MEA02 Supervisar
evaluar y valorar
el Sistema de control
interno
MEA03 Supervisar,
evaluar y valorar la
conformidad con los
requerimientos externos
APO13 Gestionar
la seguridad
DSS01 Gestionar
las operaciones
DSS02 Gestionar
las peticiones
y los incidents
del servicio
DSS03 Gestionar
los problemas
DSS04 Gestionar
la continuidad
DSS05 Gestionar
los servicios
de seguridad
DSS06 Gestionar
los controles
de los procesos
del negocio
BAI01 Gestionar
los programas
y proyectos
BAI08 Gestionar
el conocimiento
BAI02 Gestiona
Denición de
Requerimientos
BAI09 Gestionar
los activos
BAI03 Gestionar
la identicación
y la construcción
de soluciones
BAI10 Gestionar
la conguración
BAI04 Gestionar
la disponiblidad
y la capacidad
BAI05 Gestionar
la introducción
de los cambios
organizativos
BAI06 Gestionar
los cambios
BAI07 Gestionar
la aceptación
del cambio
y de la transición
EDM02 Asegurar
la entrega
de benecios
EDM03 Asegurar
la optimización
del riesgo
EDM04 Asegurar
la optimización
de los recursos
EDM05 Asegurar
la transparencia
hacia las partes
interesadas
2.0 el progrAmA de evAluAción de coBit—resumen
El modelo de referencia de procesos (PRM) para el programa de evaluación de COBIT es COBIT 5. Esto significa
que COBIT 5 provee definiciones de procesos en un ciclo de vida conjunto con la descripción de la arquitectura
describiendo la relación con los demás procesos. El propósito del proceso y los resultados se derivan de la guía del
catalizador procesos de COBIT 5.
2.1 COBIT 5 Arquitectura
El COBIT 5 PRM es un ciclo de vida del gobierno y gestión de la TI de la organización formado por 37 procesos, como se
muestra en la figura 1.
Figura 1—COBIT 5 Modelo de Referencia de Processos
Fuente: COBIT 5, figura 1
COBIT 5 puede obtenerse como PDF gratuito en www.isaca.org/cobit. El detalle de los procesos de COBIT 5 se puede
encontrar en COBIT 5: Procesos facilitadores, y está disponible en la libraría de ISACA (y como PDF gratuito para los
miembros de ISACA en www.isaca.org/cobit).
Nótese que todos los aspectos de COBIT (cascada de objetivos, principios, los otros seis catalizadores) afectan los procesos
de COBIT en cierto grado, dependiendo del contexto. Así, en general las guías de COBIT deben tenerse presentes al realizar
evaluaciones de procesos de COBIT..
Nótese que no se espera que los procesos de una organización se alineen exactamente con los procesos de COBIT.
Adicionalmente, COBIT anima a las organizaciones a modificar la terminología para adaptarla con lo que la organización
utiliza. El framework debe encajar con la cultura de la organización. En una fase temprana de la evaluación, incluye un
mapeo de los procesos de la organización, con los procesos de COBIT, para ser usado como base de la evaluación.
Personal Copy of: Mr. Miguel Expsito
10
Guía de auto-evaluación: usando coBit® 5
2.2 El framework de medición
El proceso de evaluación establece un nivel de capacitación para cada proceso. Esto significa:
• Niveles de capacitación definidos (de ISO/IEC 15504).
Atributos del proceso utilizado para medir cada proceso (de ISO/IEC 15504).
• Indicadores en los que basar la evaluación para cada atributo del proceso (basado en y alineado con la ISO/IEC
15504).
• Un método de medición estándar (de ISO/IEC 15504).
2.2.1 Niveles de capacitación de los procesos
La capacitación de cada proceso valorado, es expresada con un nivel de capacitación entre el 0 y el 5, como se muestra en
la figura 2. Cada nivel de capacitación de proceso se encuentra alineado con una situación específica.
Figura 2—Niveles de capacitación de procesos
Nivel del
proceso Capacitación
0 (Incompleto) El proceso no se encuentra implementado o falla en conseguir el objetivo del proceso. A este nivel, hay poca o ninguna evidencia de
un proceso sistematizado para la consecución de los objetivos del proceso.
1 (Ejecutado) Un proceso implementado consigue el propósito del proceso.
2 (Gestionado) El proceso ejecutado ahora es implementado de forma gestionada (planificada, monitorizada y ajustada) y los resultados son
adecuadamente establecidos, controlados y mantenidos.
3 (Establecido) El proceso gestionado ahora es implementado utilizando un proceso definido que permite conseguir los resultados del proceso.
4 (Predecible) Un proceso establecido, opera en los límites definidos, para a conseguir los resultados del proceso.
5 (Optimizado) Un proceso predecible, es continuamente mejorado para alcanzar los objetivos del negocio actuales y futuras.
El nivel 0 de la capacitación de un proceso no dispone de atributos. Nivel 0 refleja un proceso no implementado o un
proceso o procesos que falla en el objetivo de conseguir sus resultados.
Como parte del alcance, la organización debe seleccionar qué nivel de capacitación necesita en función de los objetivos de
negocio. La definición del alcance puede también reducir el nivel de evaluación para así reducir la complejidad esfuerzo y
coste necesario de la evaluación
2.2.2 Atributos del proceso
Dentro del COBIT PAM, la medida de la capacitación se basa en los Nuevo atributos de los procesos (predefinidos por
PA) definidos en la ISO/IEC 15504-2, como se muestra en la figura 3. Cada atributo aplica a un proceso de capacitación
específico. Los atributos del proceso son usado para determinar si un proceso ha conseguido una capacitación concreta.
Figua 3—Atributos del proceso
Nivel 5: Optimizado
PA5.1: Innovación en el proceso
PA5.2 Optimización del proceso
PA4.1 Medición del proceso
PA4.2 Control del proceso
PA3.1 Denición del proceso
Desarrollo del proceso
PA1.1: Nivel de ejecución
PA2.2 Gestión de la ejecución
PA2.2 Gestión del producto del trabajo
Nivel 4: Predecible
Nivel 3: Establecido
Nivel 2: Gestionado
9 Atributos
del proceso
6 Niveles
de capacitación
de procesos
Nivel 1: Ejecutado
Nivel 0: Incompleto
Personal Copy of: Mr. Miguel Expsito
2.0 El Programa dE Evaluación dE coBiTrEsumEn
11
2.2.3 Indicadores de evaluación
Los indicadores de evaluación en el PAM de COBIT sirven de base para determinar los atributos de proceso que se han
conseguido:
Nivel de capacidad 1—Los indicadores son específicos para cada proceso y evalúan como se han conseguido los
atributos siguientes: El proceso implementado consigue su propósito.
Niveles de capacidad 2 al 5—La evaluación de la capacidad se basa en indicadores genéricos de rendimiento
del proceso. Éstos se identifican como genéricos porque aplican a todo el proceso de forma transversal, pero son
diferentes en los diferentes niveles de capacidad.
Nota: El nivel 1 versa específicamente sobre el ‘contenido detallado’ de cada uno de los 37 procesos de COBIT 5. Los
niveles del 2 al 5 discuten sobre los ‘atributos genéricos’ para todos los procesos.
En general se da por entendido que cuanto mayor es el nivel de capacidad de proceso conseguido, menor es el riesgo que el
proceso no cumpla con la finalidad prevista. También se da por entendido generalmente que cuanto mayor es la capacidad, más
costoso es el proceso de operación
2.2.4 Escala de calificación
Cada atributo se califica utilizando una escala definida en el estándar ISO/IEC 15504. Estas calificaciones son las
siguientes:
N—No conseguido. Ausencia o poca evidencia de la consecución del atributo definido en el proceso evaluado.
P—Parcialmente conseguido. Se dispone de alguna prueba del enfoque i consecución del atributo definido en el
proceso evaluado. Algunos de los extremos de consecución del atributo pueden ser impredecibles.
L—Ampliamente conseguido. Se observan pruebas de un enfoque sistemático y de un nivel significativo de
consecución del atributo definido en el proceso evaluado. Pueden existir algunas debilidades relacionadas con el
atributo en el proceso evaluado.
F—Totalmente conseguido. Existen pruebas de enfoque sistemático y completo y de un nivel total de consecución del
atributo definido en el proceso evaluado. No se identifican debilidades sensibles relacionadas con el atributo definido
en el proceso evaluado.
Existe la necesidad de garantizar un nivel de interpretación consistente en el momento de decidir la calificación a asignar.
En la tabla de la figura 4 se describen las calificaciones en términos de la escala de calificación original (previamente
definida) y la traducción de estas calificaciones en una escala de porcentajes que permiten mostrar el grado de
consecución.
Figura 4—Niveles de calificación
NNo conseguido 0 a 15% de consecución
PParcialmente conseguido >15% al 50% de consecución
LAmpliamente conseguido >50% al 85% de consecución
FTotalmente conseguido >85% al 100% de consecución
Fuente: Esta figura reproduce la ISO/IEC 15504-2:2003, con el permiso de ISO/IEC en www.iso.org. Los derechos de autor restan en ISO/IEC.
Los evaluadores utilizan estas escalas durante su evaluación con el propósito que sirvan de guía en la determinación del
que a su juicio es el grado de consecución.
2.2.5 Determinado el nivel de capacidad
El nivel de capacidad de un proceso se determina en función de los atributos del nivel del proceso amplia o totalmente
conseguidos y en función de los atributos de los niveles inferiores han sido completamente conseguidos. La tabla figura 5
describe cada nivel y las calificaciones necesarias que se tienen que conseguir.
Personal Copy of: Mr. Miguel Expsito
12
Guía de auto-evaluación: usando coBit® 5
Figura 5—Niveles y calificaciones necesarias
Escala Atributos de proceso Calificación
Nivel Rendimiento del proceso Amplia o completamente
Nivel 2 Rendimiento del proceso
Gestión del rendimiento
Gestión del producto del trabajo
Completamente
Amplia o completamente
Amplia o completamente
Nivel 3 Rendimiento del proceso
Gestión del rendimiento
Gestión del producto del trabajo
Definición del proceso
Despliegue del proceso
Completamente
Completamente
Completamente
Amplia o completamente
Amplia o completamente
Nivel 4 Rendimiento del proceso
Gestión del rendimiento
Gestión del producto del trabajo
Definición del proceso
Despliegue del proceso
Medición del proceso
Control del proceso
Completamente
Completamente
Completamente
Completamente
Completamente
Amplia o completamente
Amplia o completamente
Nivel 5 Rendimiento del proceso
Gestión del rendimiento
Gestión del producto del trabajo
Definición del proceso
Despliegue del proceso
Medición del proceso
Control del proceso
Innovación del proceso
Optimización del proceso
Completamente
Completamente
Completamente
Completamente
Completamente
Completamente
Completamente
Amplia o completamente
Amplia o completamente
Fuente: Esta figura reproduce la ISO/IEC 15504-2, con el permiso de ISO/IEC en www.iso.org. Los derechos de autor restan en ISO/IEC.
Nota: Un proceso puede ser calificado en un nivel por un atributo conseguido amplia o totalmente. Así mismo, el atributo
puede tener que ser completamente conseguido para ser calificado en el siguiente nivel.
Personal Copy of: Mr. Miguel Expsito
3.0 El ProcEso dE AutoEvAluAción coBit
13
3.0 el proceso de AutoevAluAción coBit
El proceso de autoevaluación COBIT, ilustrado en la figura 6, es una aproximación simplificada a la realización de una
valoración no basada en la evidencia, que no requiere un asesor independiente o certificado y la puede realizar los propios
gestores antes de una valoración más formal. Una auto-valoración puede identificar gaps que requieren mejoras como un
avance a una valoración formal; puede realizarse con una inversión relativamente pequeña y asiste a la dirección en ajustar
el nivel objetivo de competencia.
Figura 6–Proceso de Autoevaluación
La auto-valoración se soporta en:
• Tabla resumen de valoración en apéndice A.
Agenda detallada de evaluación (En el apéndice B se aporta un ejemplo de EDMO1. En el Tool-Kit suplementario se
puede encontrar una plantilla más detallada que incluye los 37 procesos de COBIT 5. En la sección 1 se resumen los
resultados y se determina el nivel de competencia, y la sección 2 registra una evaluación respecto a criterios para cada
nivel de capacidad)
3.1 Paso 1—Decidir sobre los procesos de evaluación del alcance
El primer paso en la autoevaluación es decidir qué procesos deben ser evaluados. Utilice la plantilla de alcance en el kit
de herramientas del programa de evaluación de COBIT para ayudar a seleccionar los procesos que deben evaluarse. Esos
procesos seleccionados se deben registrar en la tabla en el apéndice A, como se muestra en la figura 7.
Una autoevaluación puede abordar todos los procesos de COBIT o centrarse en una serie de procesos de interés para la
gestión de la empresa o en los relativos a los objetivos de negocio específicos para TI.
La herramienta de evaluación de alcance en el kit de herramientas proporciona asignaciones relacionadas con los objetivos
de negocio y objetivos de TI. El kit de herramientas se proporciona “en formato jerárquico” con la Guía COBIT Asesor: El
uso de COBIT 5 y la Guía de COBIT Auto evaluación: El uso de COBIT 5.
Paso 2
Determinar el nivel 1
de competencia.
Paso 3
Determinar los niveles
de competencia
de 2 a 5.
Paso 4
Registrar y resumir
los niveles de
competencia.
Paso 5
Establecer el Plan
de Mejora.
Paso 1
Decidir sobre
el alcance.
Personal Copy of: Mr. Miguel Expsito
14
Guía de auto-evaluación: usando coBit® 5
Figura 7—Tabla resumen evaluación
En esta etapa, el nivel de capacidad de proceso objetivo puede ser grabado. Esto establecerá el nivel de capacidad
requerida del proceso. Al establecer los niveles de capacidad de destino, se debe considerar que el impacto en los objetivos
de negocio de la empresa si no se alcanza un nivel determinado de capacidad. La primera consideración es el impacto
en la empresa si el proceso no existe o no funciona con eficacia o eficiencia. La segunda consideración concierne a las
consecuencias adicionales de la operación eficaz y eficiente de los procesos en los diferentes niveles de capacidad, como
se muestra en la figura 8 de la norma ISO / IEC 15504-4.
Figura 8—Consecuencias adicionales del funcionamiento eficaz y eficiente de los procesos
Nivel de
capacidad
Atributo del proceso
donde ocurre el gap Consecuencia potencial
1PA 1.1 Rendimiento de procesos. Faltan productos de trabajo, el proceso no logra resultados.
2PA 2.1 Gestión del rendimiento. Costes o tiempos excesivos; uso ineficiente de los recursos; responsabilidades poco claras.
• Decisiones no controladas; incertidumbre sobre si se cumplirán los objetivos de tiempo y costes.
PA 2.2 Gestión de producto
del trabajo.
La calidad e integridad del producto son impredecibles; versiones no controladas; aumento de los
costos de soporte; problemas de integración; aumento de los costes de trabajo.
3PA 3.1 Definición del proceso. No están definidas, publicadas y disponibles en la organización las mejores prácticas y lecciones
aprendidas de proyectos anteriores.
• Sin bases para la mejora de procesos en toda la organización.
PA 3.2 Implementación
del proceso.
Procesos implementados que no incorporan las mejores prácticas y lecciones aprendidas
identificadas de proyectos anteriores; rendimiento inconsistentes de los procesos en toda la
organización.
• Oportunidades perdidas para entender el proceso e identificar mejoras.
4PA 4.1 Gestión del proceso. No hay una comprensión cuantitativa de cómo se están alcanzando los objetivos de rendimiento
del proceso y los objetivos de negocio definidos.
• No existe una habilidad cuantitativa para prevenir problemas de rendimiento.
PA 4.2 Control del proceso. El proceso no es capaz y/o estable (predecible) dentro de límites definidos.
• Los objetivos de desempeño cuantitativos y objetivos de negocio definidos no se cumplen.
5PA 5.1 Innovación del proceso. Objetivos de mejora de procesos que no están claramente definidos.
• Oportunidades de mejora no claramente identificadas.
PA 5.2 Optimización del proceso. Incapacidad para cambiar el proceso con eficacia para alcanzar los objetivos de mejora
de procesos pertinentes.
• Incapacidad para evaluar la efectividad de los cambios del proceso.
Fuente: Esta figura está reproducida de la norma ISO/IEC 15504-4, con el permiso de ISO/IEC en www.iso.org. El copyright sigue siendo de ISO/IEC.
Nombre del proceso
Nivel competencia del proceso
Para
Evaluar
Nivel
Objetivo 012
FL
34 5
Evaluar, Dirigir y Monitorizar.
Alinear Planicar y Organizar.
EDM01 Asegurar el ajuste del marco de gobernanza
y mantenimiento.
EDM02 Asegurar la entrega de benecios.
EDM03 Asegurar la optimización de riesgos.
EDM04 Asegurar la optimización de recursos.
EDM05 Asegurar la transparencia.
APO01 Gestionar el marco de trabajo de las TIC.
APO02 Gestionar estrategia.
Alinear Plani
car y
O
rganizar.
APO01 Gestionar el marco de trabajo de las TIC
.
APO02 Gestionar estrate
g
ia.
Etapa 1—Decidir y registrar
los procesos a evaluar.
Registrar el nivel
de competencia objetivo.
Personal Copy of: Mr. Miguel Expsito
3.0 El ProcEso dE AutoEvAluAción coBit
15
3.2 Paso 2—Determinar si el proceso seleccionado es de Capacidad Nivel 1
El primer paso en la evaluación de cada proceso es determinar si en realidad se está realizando el proceso y si está
logrando sus resultados. En la hoja de autoevaluación (anexo B) hay una tabla para cada proceso. Los indicadores a nivel
de capacidad 1 son específicos para cada proceso y evalúan si el siguiente atributo se ha logrado: El proceso implementado
logra su propósito.
Como se muestra en la figura 9, en la columna titulada ‘criterios’ hay una lista de los resultados del proceso. Estos son de
COBIT 5 y son diferentes para cada proceso.
Figura 9—Ejemplo de plantilla de evaluación
Al llevar a cabo una evaluación de nivel de capacidad 1 para cualquier proceso, se tiene que decidir el grado en que se
están logrando los resultados para el proceso, como se muestra en la figura 10.
Figura 10—Niveles de calificación
NNo alcanzado de 0 a 15% de logro
PParcialmente alcanzado entre 15% y 50% de logro
LAmpliamente alcanzado entre 0% y 85% de logro
FCompletamente alcanzado entre 85% y 100% de logro
Fuente: Esta figura procede de ISO/IEC 15504-2:2003, con el permiso de ISO/IEC en www.iso.org. Copyright pertence a ISO/IEC.
En el caso de EDM01 en la figura 11, si se están logrando los tres resultados, puede ser una clasificación F para
“Completamente alcanzado”; si se logran sólo dos resultados, puede ser clasificado L para ‘ampliamente alcanzado’; si
se logra sólo un resultado, puede ser clasificado P para “parcialmente logrado”, y si no se logra, puede ser clasificado N
para “no alcanzado”. En algunos casos, algunos de los resultados se están cumpliendo, en cuyo caso se clasificará con los
niveles L (ampliamente) o P (parcialmente) logrado; se requiere aplicar un buen juicio.
Determinar si los
siguiente resultados
son alcanzados.
El proceso no está
implementado, o no
logra alcanzar su
propósito.
En este nivel, hay pocos indicios o ninguno
de haber alcanzado el propósito del proceso.
PA 1.1 El proceso
implementado alcanza
su propósito.
Los siguientes resultados del proceso han
sido alcanzados.
EDM01-O1 Se ha logrado un modelo óptimo
de decisión estratégica para el TI
alineado con el entorno empresarial
interno y externo y los
requerimientos de las partes
interesadas.
EDM01-O2 El sistema de gobernanza para TI
está integrado en la empresa.
EDM01-O2 Se obtiene una garantía de que el
sistema de gobernanza para TI es
operado de manera efectiva.
PA 2.1 Gestión del
desempeño – una
medida del modo en
que se gestiona el
rendimiento del proceso.
Como resultado del pleno logro de este atributo:
a) Se identican objetivos para el rendimiento
del proceso.
b) El rendimiento del proceso es planicado
y monitorizado.
c) El rendimiento del proceso es ajustado
para alcanzar los planes.
d) Se dene, asigna y comunica las
responsabilidades y autoridades para realizar
el proceso.
e) Los recursos e información necesarios para
realizar el proceso son identicados, se
ponen a disposición, se asignan y se utilizan.
f) Las interfases entre las partes involucradas
son gestionadas para asegurar al mismo
tiempo una comunicación efectiva y una
asignación clara de responsabilidades.
Criterio
¿Criterios
logrados?
S/N Comentario
No
alcanzado
(0-15%)
Parcialmente
alcanzado
(15%-50%)
Ampliamente
alcanzado
(50%-85%)
Completamente
alcanzado
(85%-100%)
Paso 2 – Determinar si los resultados del proceso son alcanzados.
EDM01
Nivel 0
Incompleto
Nivel 1
Realizado
Nivel 2
Gestionado
Personal Copy of: Mr. Miguel Expsito
16
Guía de auto-evaluación: usando coBit® 5
3.3 Paso 3—Determinar el cumplimiento de los niveles de capacidad, del nivel
2 al 5 para los procesos seleccionados.
A partir del nivel 2, los criterios de evaluación son genéricos, es decir, los criterios son los mismos para todos y cada
proceso.
Figura 11—Plantilla de Evaluación Detallada Parte 2 (Gestionada)
Una vez más, se debe evaluar si se han cumplido los criterios, dicha decisión debe ser convertida en una clasificación
(figura 10) y después registrada en la plantilla para el proceso.
Esto debe repetirse para cada capacidad o competencia, hasta que el nivel de capacidad pueda ser evaluado como “logrado
en su mayoría” o “completamente alcanzado”.
3.4 Paso 4—Registro y resumen de los niveles de capacidad
El resumen de los resultados de la evaluación debería ser registrado en la sección 1 . El nivel de la capacidad se determina
según el nivel donde ambos indicadores de capacidad son “ampliamente” o “completamente conseguidos”.
En la figura 12, el nivel de capacidad del proceso es 2. Esto debería ser registrado en la tabla de resultados del proceso de
evaluación, tal y como se indica en la figura 13.
Figura 12—Calendario de evaluacion detallada. Sección 1
Nombre del proceso Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
EDM01 PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2
Clasificación por criterio F F L P N
Nivel de capacidad
conseguido
2
Leyenda: N (No Conseguido, 0–15%) P (Parcialmente conseguido, >15%–50%)
L (Ampliamente conseguido, >50%–85%) F (Completamente conseguido, >85–100%)
Evaluar el número
de criterios que se
han cumplido como
base para la calicación.
Determinar si
los resultados
son alcanzados.
GD 2.1 Gestion del
Desempeño—una
medida del modo
en que se gestiona
el rendimiento
del proceso
El proceso se gestiona mediante:
a) Se identican objetivos para el
rendimiento del proceso.
b) El rendimiento del proceso es planeado
y monitorizado.
c) El rendimiento del proceso es ajustado
para alcanzar los planes.
d) Se dene, asigna y comunica las
responsabilidades y autoridades para
realizar el proceso.
e) Los recursos e la información necesarios
para realizar el proceso son identicados,
asignados y utilizados.
GD 2.2 Gestion del
Trabajo—Medida
de hasta que punto
los productos resultados
del proceso son
gestionados
adecuadamente.
Los productos de trabajo (o resultados del
proceso) son denidos y controlados por:
a) Denir los requisitos para los productos
de trabajo.
b) Denir los requisitos para la
documentación y el control de los
productos de trabajo.
c) Los productos de trabajo están
debidamente identicados, documentados
y controlados.
d) Los productos de trabajo se revisan de
acuerdo con las disposiciones
planicadas y se ajustan si es necesario
para cumplir con los requisitos.
Criterio Comentarios
No
alcanzado
(0-15%)
Parcialmente
alcanzado
(15%-50%)
Ampliamente
alcanzado
(50%-85%)
alcanzado
(85%-100%)
Nivel 2
Gestionado
Nivel 2
Gestionado
Personal Copy of: Mr. Miguel Expsito
3.0 El ProcEso dE AutoEvAluAción coBit
17
Figura 13—Tabla resumen de la evaluación
3.5 Paso 5—Desarrollo de un Plan de Acción de Mejora
Deben proporcionarse consideraciones basadas en la autoevaluación para el desarrollo de un plan de acción para la mejora
del proceso.
Una opción podría ser iniciar un plan de acción inicial basado en la autoevaluación. Esto podría dirigirse a las áreas de
mayor importancia para la consecución de los objetivos de negocio y focalizarse en aquellas que presentan diferencias
entre el nivel “actual” y el “deseado” de capacidad del proceso.
Una segunda opción sería emprender una evaluación independiente más formal, basada en el COBIT PAM y en la guía del
asesor. Esta proporcionaría una evaluación más confiable y más foco en las áreas que requieren mejora.
Para más orientación en la mejora de procesos y en la determinación de capacidad del proceso, ver apéndice C. La
referencia recomendada es: ISO, ISO/IEC 15504-4 2004, Guía sobre el uso para la mejora del proceso y la determinación
de la capacidad del proceso, Suiza, 2004.
Process Capability Level
Nombre del proceso
Evaluar, Dirigir y Supervisar
EDM01 Asegurar el establecimiento y
mantenimiento del marco de gobierno.
EDM02 Asegurar la entrega de benecios.
EDM03 Asegurar la optimización
del riesgo.
EDM04 Asegurar la optimización de
los recursos.
EDM05 Asegurar la transparencia hacia
las partes interesadas.
Nivel
actual
Nivel
objetivo 012345
Registrar el nivel de capacidad conseguido.
Personal Copy of: Mr. Miguel Expsito
18
Guía de auto-evaluación: usando coBit® 5
Página intencionadamente en blanco
Personal Copy of: Mr. Miguel Expsito
Appendix A. process Assessment results
19
Apéndice A. resultAdos del proceso de evAluAción
Figura 14—Resultados del Proceso de Evaluación
Nombre de Proceso A Evaluar
Nivel de Capacidad
de Proceso
012345
Evaluar, Dirigir y Monitorizar (EDM)
EDM01 Asegurar configuración y mantenimiento del Marco General de Gobierno
EDM02 Asegurar la Entrega de Beneficios
EDM03 Asegurar la Optimización del Riesgo
EDM04 Asegurar la Optimización de Recursos
EDM05 Asegurar la transparencia de los Implicados
Alinear, Planificar y Organizar (APO)
APO01 Gestionar el Marco de gestión de TI
APO02 Gestionar la Estrategia
APO03 Gestionar la Arquitectura de la empresa para TI
APO04 Gestionar la Innovación
APO05 Gestionar el Portafolio
APO06 Gestionar el Presupuesto y los Costes
APO07 Gestionar los Recursos Humanos
APO08 Gestionar las Relaciones
APO09 Gestionar los contratos de Servicio
APO10 Gestionar los Proveedores
APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
APO13 Gestionar la Seguridad
Construir, Adquirir e Implementar (BAI)
BAI01 Gestionar Programas y Proyectos
BAI02 Gestionar la Definición de Requerimientos
BAI03 Gestionar la Identificación de Soluciones e Implementación
BAI04 Gestionar la Disponibilidad y la Capacidad
BAI05 Gestionar la Habilitación del Cambio Organizacional
BAI06 Gestionar Cambios
BAI07 Gestionar la Aceptación del Cambio y Transición
BAI08 Gestionar el Conocimiento
BAI09 Gestionar los Activos
BAI10 Gestionar la Configuración
Entrega, Servicio y Soporte (DSS)
DSS01 Gestionar Operaciones
DSS02 Gestionar Peticiones de Servicio e Incidentes
DSS03 Gestionar Problemas
DSS04 Gestionar la Continuidad
DSS05 Gestionar los Servicios de Seguridad
DSS06 Gestionar los Controles de los Procesos de Negocio
Monitorear, Evaluar y Analizar (MEA)
MEA01 Monitorear, Evaluar y Analizar el Rendimiento y la Conformidad
MEA02 Monitorear, Evaluar y Analizar loscontroles Internos del Sistema
MEA03 Monitorear, Evaluar y Analizar el Cumplimiento con los Requerimientos Externos
Apéndice A. resultAdos del proceso de evAluAción
Personal Copy of: Mr. Miguel Expsito
Guía de auto-evaluación: usando coBit® 5
20
Página intencionadamente en blanco
Personal Copy of: Mr. Miguel Expsito
Apéndice B. plAntillA de Auto-evAluAción
Ejemplo EDM01 Garantizar el Establecimiento y Mantenimiento del Marco
General de Gobierno
Figura 15 muestra la plantilla resumen para los resultados de la evaluación del ejemplo EDM01.
Figura 15—Resumen del Resultado de la Evaluación
Nombre del Proceso Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2
Clasificación por Criterio
Nivel de Aptitud Conseguido
Clave:
N (No Alcanzado, 0-15%) P (Parcialmente Alcanzado, 15-50%) L (Ampliamente Alcanzado, 50-85%) F (Completamente Alcanzado, 85-100%)
Figura 16 muestra las evaluaciones detalladas para el ejemplo EDM01, usando la función de recopilación de datos del
conjunto de herramientas de soporte de la hoja de cálculo.
Figura 16—Ejemplo Detallado de Evaluaciones para EDM01
EDM01 Garantizar el Establecimiento y Mantenimiento del Marco General de Gobierno
Propósito
Satisfacer el requerimiento de negocio de sostener o extender la estrategia de negocio y los requerimientos de gobierno manteniendo transparencia sobre
los beneficios, costes y riesgo.
EDM01
Evaluar si los Siguientes
Resultados son Alcanzados Criterios
Nivel 0
Incompleto
El proceso no está
implementado o no
consigue su
propósito
En este nivel, hay poca o ninguna evidencia
de cualquier logro de la finalidad del
proceso.
Nivel 1
Realizado
PA 1.1 Desempeño del
Proceso—El proceso
implementado consigue
su propósito.
Los siguientes resultados del proceso están
siendo logrados:
EDM01-01 Se logra un modelo
estratégico óptimo de toma de decisiones
para IT, alineado con el entorno interno y
externo de la empresa y los requisitos de
las partes interesadas.
EDM01-02 El sistema de gobierno para
TI está integrado en la empresa.
EDM01-02 Se obtiene la garantía de
que el sistema de gobernanza de TI está
funcionando eficazmente.
Nivel 2
Gestionado
PA 2.1 Gestión del
Desempeño—Una medida
del alcance con el que se
gestiona el desempeño del
proceso.
Como resultado de la plena consecución de
este atributo:
a. Se identifican los objetivos para el
desempeño del proceso.
b. El desempeño del proceso está
planificado y supervisado.
c. El desempeño del proceso se ajusta
para cumplir con los planes.
d. Las responsabilidades y autoridades para
realizar el proceso están definidas,
asignadas y comunicadas.
e. Los recursos e información necesarios
para realizar el proceso están
identificados, disponibles, asignados
y utilizados.
f. Las interfaces entre las partes
involucradas están gestionadas para
asegurar tanto una efectiva comunicación
como una clara asignación de
responsabilidad
21
Apéndice B. plAntillA de Auto-evAluAción
Am-
pliamente
Alcanzados
(>50%–85%)
¿Criterios
alcanzados?
Y/N Comentario
No
alcanzados
(0–15%)
Parcialmente
Alcanzados
(>15%
–50%)
Comple-
tamente
Alcanzados
(>85%–100%)
Personal Copy of: Mr. Miguel Expsito
22
Guía de auto-evaluación: usando coBit® 5
Figura 16—Ejemplo Detallado de Evaluaciones para EDM01 (cont.)
EDM01 Garantizar el Establecimiento y Mantenimiento del Marco General de Gobierno
Propósito
Satisfacer el requerimiento de negocio de sostener o extender la estrategia de negocio y los requerimientos de gobierno manteniendo transparencia sobre
los beneficios, costes y riesgo.
EDM01
Evaluar si los Siguientes
Resultados son Alcanzados Criterios
Nivel 2
Gestionado
(cont.)
PA 2.2 Gestión del
Resultado del Trabajo—
Una medida del alcance
con el que se gestionan
apropiadamente los
resultados del trabajo
producidos por el proceso.
Los resultados del trabajo
(o del proceso) están
definidos y controlados.
Como resultado de la plena consecución de
este atributo:
a. Los requisitos para los productos de
trabajo del proceso son definidos.
b. Los requisitos para la documentación y
el control de los productos de trabajo son
definidos.
c. Los productos de trabajo están
debidamente identificados,
documentados y controlados.
d. Los productos de trabajo son revisados
de acuerdo con las disposiciones
planificadas y se ajustan si es necesario
para cumplir con los requisitos.
Nivel 3
Consolidado
PA 3.1 Definición de
Proceso—Una medida
del alcance con el que
se mantiene un proceso
estándar para apoyar el
despliegue del proceso
definido.
Como resultado de la plena consecución de
este atributo:
a. Se define un proceso estándar,
incluyendo guías de adaptación
adecuadas, que describe los elementos
fundamentales que deben ser
incorporados en un proceso definido.
b. Se determinan la secuencia e interacción
del proceso estándar con otros procesos.
c. Se identifican las competencias y roles
necesarios para llevar a cabo un proceso,
como parte del proceso estándar.
d. Se identifican la infraestructura
necesaria y el entorno de trabajo para
realizar un proceso, como parte del
proceso estándar.
e. Se determinan los métodos adecuados
para el seguimiento de la eficacia y la
adecuación del proceso.
PA 3.2 Despliegue del
Proceso—Una medida
del alcance con el que
el proceso estándar
es implementado
eficazmente como un
proceso definido para
lograr los resultados del
proceso.
Como resultado de la plena consecución de
este atributo:
a. Se implementa un proceso definido
sobre la base de un proceso estándar
apropiadamente seleccionado y/o a
medida.
b. Se asignan y comunican las funciones,
responsabilidades y autoridades
requeridas para llevar a cabo el proceso.
c. El personal que realiza el proceso
definido es competente en la base a
la apropiada educación, formación y
experiencia.
d. Los recursos requeridos y la información
necesaria para realizar el proceso
definido se hacen disponibles, se
asignan y se utilizan.
e. La infraestructura necesaria y el entorno
de trabajo para realizar el proceso
definido se hacen disponibles, se
gestionan y se mantienen.
f. Los datos apropiados se recogen y
analizan como base para entender el
comportamiento, y para demostrar la
idoneidad y la eficacia del proceso, y para
evaluar donde se puede hacer la mejora
continua del proceso.
Am-
pliamente
Alcanzados
(>50%–85%)
¿Criterios
alcanzados?
Y/N Comentario
No
alcanzados
(0–15%)
Parcialmente
Alcanzados
(>15%
–50%)
Comple-
tamente
Alcanzados
(>85%–100%)
Personal Copy of: Mr. Miguel Expsito
23
Apéndice B. plAntillA de Auto-evAluAción
Figura 16—Ejemplo Detallado de Evaluaciones para EDM01 (cont.)
EDM01 Garantizar el Establecimiento y Mantenimiento del Marco General de Gobierno
Propósito
Satisfacer el requerimiento de negocio de sostener o extender la estrategia de negocio y los requerimientos de gobierno manteniendo transparencia sobre
los beneficios, costes y riesgo.
EDM01
Evaluar si los Siguientes
Resultados son Alcanzados Criterios
Nivel 4
Predecible
PA 4.1 Medición del
Proceso—Una medida
del alcance con el que la
medición de los resultados
se utiliza para asegurar
que el desempeño del
proceso apoya el logro de
los objetivos pertinentes
de desempeño de los
procesos como apoyo a
los objetivos de negocio
definidos.
Como resultado de la plena consecución de
este atributo:
a. Se establecen las necesidades de
información del proceso como apoyo a los
relevantes objetivos de negocio definidos.
b. Los objetivos de medición del proceso se
derivan de las necesidades de información
del proceso.
c. Se establecen los objetivos cuantitativos
de desempeño del proceso como apoyo
de los objetivos de negocio relevantes.
d. Se identifican y definen las medidas y
frecuencia de medición de acuerdo con
los objetivos de medición y los objetivos
cuantitativos de desempeño del proceso.
e. Los resultados de medición se recogen,
analizan y reportan para supervisar el
grado en que se cumplen los objetivos
cuantitativos de desempeño del proceso.
f. Los resultados de medición se utilizan para
describir el desempeño del proceso.
PA 4.2 Control de
Proceso—Una medida
del alcance con que el
proceso es gestionado
cuantitativamente para
producir un proceso
que es estable, capaz y
predecible dentro de los
límites definidos.
Como resultado de la plena consecución de
este atributo:
a. Se determinan y aplican técnicas de
análisis y control cuando sea posible.
b. Se establecen límites de control de
variación para el desempeño normal del
proceso.
c. Los datos de medición se analizan para
determinar causas especiales de variación.
d. Se toman acciones correctivas para hacer
frente a causas especiales de variación.
e. Los límites de control se re-establecen
después de una acción correctiva.
Nivel 5
Optimizado
PA 5.1 Innovación del
Proceso—Una medida
del alcance con el que los
cambios en el proceso son
identificados a partir
de análisis de causas
comunes de variación en
el desempeño, y de las
investigaciones
de enfoques innovadores
hasta la definición e
implementación del
proceso.
Como resultado de la plena consecución de
este atributo:
a. Se definen objetivos de mejora del
proceso para apoyar los objetivos de
negocio relevantes.
b. Se analizan los datos apropiados para
identificar las causas comunes de las
variaciones.
c. Se analizan los datos apropiados para
identificar oportunidades de innovación
y mejores prácticas.
d. Se identifican oportunidades de mejora
derivadas de las tecnologías y conceptos
del proceso.
e. Se establece una estrategia de
implantación para alcanzar los objetivos
de mejora del proceso.
PA 5.2 Optimización del
Proceso—Una medida
del grado con el que los
cambios en la definición,
gestión y desempeño
del proceso producen un
impacto efectivo que logra
en efectivo impacto que
logra relevantes objetivos
de mejora del proceso.
Como resultado de la plena consecución de
este atributo:
a. El impacto de todos los cambios es
evaluado contra los objetivos del proceso
definido y del proceso estándar.
b. La implementación de los cambios es
gestionado para asegurar que cualquier
interrupción del desempeño del proceso
es entendida y se reacciona ante ella.
c. La efectividad del cambio en el proceso
basándose en el desempeño actual se
evalúa contra los requisitos del producto
y los objetivos del proceso definidos para
determinar si los resultados se deben a
causas comunes o especiales..
Am-
pliamente
Alcanzados
(>50%–85%)
¿Criterios
alcanzados?
Y/N Comentario
No
alcanzados
(0–15%)
Parcialmente
Alcanzados
(>15%
–50%)
Comple-
tamente
Alcanzados
(>85%–100%)
Personal Copy of: Mr. Miguel Expsito
24
Guía de auto-evaluación: usando coBit® 5
Apéndice c. lecturAs AdicionAles
• ISACA, COBIT® 5, USA, 2012
• ISACA, COBIT® 5 Implementation, USA, 2012
• ISACA, COBIT® 5: Enabling Processes, USA, 2012
• ISACA, COBIT® Process Assessment Guide (PAM): Using COBIT® 5, USA, 2012
• ISACA, COBIT® Assessor Guide: Using COBIT® 5, USA, 2012
• ISO, ISO/IEC 15504-1 2004 Information technology—Process assessment—Part 1: Concepts and vocabulary,
Switzerland, 2004
• ISO, ISO/IEC 15504-2 2003 Performing an assessment, Switzerland, 2003
• ISO, ISO/IEC 15504-3 2004 Guidance on performing an assessment, Switzerland, 2004
• ISO, ISO/IEC 15504-4 2004 Guidance on use for process improvement and process capability determination,
Switzerland, 2004
• ISO, ISO/IEC 15504-5 2006 Information technology—Process assessment—Part 5: An exemplar Process Assessment
Model, Switzerland, 2006
• ISO, ISO/IEC 15504-7 2008 Assessment of organizational maturity, Switzerland, 2008
Personal Copy of: Mr. Miguel Expsito

Navigation menu