COBIT 4.1 se compone de 4 dominios, 34 procesos y 220 objetivos de control para una adecuada alineación de los objetivo con el propósito del negocio.
DOMINIO 1: PLANEAR Y ORGANIZAR
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:
• ¿Están alineadas las estrategias de TI y del negocio?
• ¿La empresa está alcanzando un uso óptimo de sus recursos?
• ¿Entienden todas las personas dentro de la organización los objetivos de TI?
• ¿Se entienden y administran los riesgos de TI?
• ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
DOMINIO 2: ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:
• ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
• ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?
• ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
• ¿Los cambios no afectarán a las operaciones actuales del negocio?
DOMINIO 3: ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia:
• ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
• ¿Están optimizados los costos de TI?
• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?
• ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
DOMINIO 4: MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia:
• ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde?
• ¿La Gerencia garantiza que los controles internos son efectivos y eficientes?
• ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
• ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver figura 22 para la lista completa). Mientras la mayoría de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuales son sus actividades clave y entregables principales, y quién es el responsable de ellas.
Bitacora 