COBIT

COBIT

Control Objectives for Information and related Technology

(Objetivos de Control para la Información y Tecnología Relacionada).

Es una guía de mejores prácticas presentada como framework, dirigida al control y supervisión de tecnología de la información (TI).

Las buenas prácticas concentradas en el marco de referencia COBIT, permiten que los negocios se alinien con la tecnología de la información para así alcanzar los mejores resultados.

Además el Marco de Referencia provee y presenta actividades para el Gobierno de TI en una estructura manejable y lógica.

Las buenas prácticas de COBIT reúnen el consenso de expertos, quienes ayudarán a optimizar la inversión en TI y proporcionarán un mecanismo de medición que permitirá juzgar cuando las actividades van por el camino equivocado.

La misión de COBIT es el investigar, desarrollar, publicar y promover un conjunto de objetivos de control generalmente aceptados, autorizados y actualizados por ISACA para ser utilizados en el día a día por la gerencia del negocio, los profesionales de TI y de la seguridad. En la figura siguiente podemos ver que se definen también procesos, metas y métricas para el control. 

La información y la tecnología que la soporta representan los activos más valiosos de muchas empresas, aunque con frecuencia son poco entendidos

Antecedentes 

Año	Suceso
1996	V1 /se centraliza en la auditoria TI
1998	V2 /Se centra en el Control. Su cambio principal fue la adición de las guías de gestión.
2000	V3/ Se centra en la administración
2005	V4/ Se centra en el Gobierno de TI, considerando el VAL IT (2008) y el Riesgo IT (2009
2007	V5/ Proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar valor mediante un gobierno y una administración efectiva de TI

Primera versión (COBIT 1) 1996

Esta versión se centra en la Auditoria de TI. Esta incluía la colección y análisis de fuentes internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos y Australia. Fue vendida en 98 países de todo el mundo.

Expectativas sobre el COBIT 1:

•   Alta Gerencia: Utilizar los procesos de COBIT para lograr un lenguaje común entre el negocio y TI y asignar responsabilidades claras.

•     Gerencias Usuarias: Utilizar los objetivos de control COBIT para determinar las necesidades que serán cubiertas por los Acuerdos de Niveles de Servicio.

Segunda Versión (COBIT 2) 1998

 Se centra en el Control. Su cambio principal fue la adición de las guías de gestión.

Desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de herramientas, como;

• Documentos de referencia fundamentales.
• Nuevos y revisados objetivos de control de alto nivel.
• Intensificando las líneas maestras de auditoría.
• Nuevas herramientas de implementación.
• Un CD-ROM con los contenidos de la segunda edición

Expectativas del COBIT 2

•         Auditoria Interna: Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar.

•         Gerente de TI: Utilizar los objetivos de control para:

• Estructurar los procesos
• Establecer objetivos de los procesos y Medir el desempeño
• Generar políticas y procedimientos.

Tercera versión (COBIT 3) 2000

Se centra en la Administración.

• Procesos del COBIT 3:
• Definir y administrar los niveles de servicio
• Administrar los servicios de terceros
• Administrar el desempeño y la capacidad
• Garantizar la continuidad del Servicio
• Garantizar la seguridad de los sistemas
• Identificar y asignar costos
• Educar y entrenar a los usuarios
• Administrar a la mesa de servicio y los incidentes
• Administrar la contrafigura
• Administrar los problemas
• Administrar los datos
• Administrar el ambiente físico
• Administrar las operaciones

Cuarta versión (COBIT 4) 2005/7

Se centra en el Gobierno de TI, considerando el VAL IT (2008) y el Riesgo IT (2009). Mayo de 2007, se liberó la versión 4.1. Está conformado por 34 Objetivos de Control de alto nivel, todos diseñados para cada uno de los Procesos de TI

Los objetivos están agrupados en cuatro grandes secciones mejor conocidos como dominios, estos se equiparán a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear.

Planificación y Organización, proporciona la dirección para la entrega de soluciones y la entrega de servicios.

Adquisición e Implementación, proporciona soluciones y las desarrolla para convertirlas en servicios.

 Entrega de servicios, recibe soluciones y las hace utilizables para los usuarios finales.

Soporte y Monitorización, monitorea todos los procesos para asegurar que se sigue con la dirección establecida.

Quinta versión 5 (COBIT 5) 2012

Proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar valor mediante un gobierno y una administración efectiva de TI de la Organización y también profundiza sobre el riesgo y cómo minimizarlo.

En esta edición se consolida e integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT.

Este nuevo marco de referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la Información y el Marco de Referencia para el Aseguramiento de la Tecnología de la Información.

COBIT 5 ayuda a empresas de todos los tamaños a:

• Optimizar los servicios el coste de las TI y la tecnología
• Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
• Gestión de nuevas tecnologías de información

COBIT se basa en 5 principios claves, para el gobierno y la gestión de las TI empresariales.

• Satisfacer las Necesidades de las Partes Interesadas.
• Cubrir la Empresa Extremo-a-Extremo.
• Aplicar un Marco de Referencia único integrado.
• Hacer Posible un Enfoque Holístico.
• Separar el Gobierno de la Gestión.

Institución que lo publico

Asociación de Auditoría y Control de Sistemas de Información. ISACA (Information Systems Audit and Control Association).

Fundada en 1967, es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

Fases o etapas

Subdivide las actividades y prácticas de la Organización relacionadas con las Tecnologías de la Información en dos áreas principales, 5 dominios que dentro de ellos hay  y 37 actividades:

1. Evaluar, Dirigir y monitorizar (EDM) -

La evaluación, orientación y supervisión es parte de la responsabilidad de los gerentes de la compañía quienes son los invitados a tomar acciones sobre este dominio perteneciente al Gobierno de IT y que cuenta con cinco procesos mediante los cuales se encarga de asegurar el establecimiento y mantenimiento de un marco de gobernanza, haciendo que los beneficios  se concreten, a través de la optimización de riesgos y recursos manteniendo la transparencia hacia los interesados, es decir hacia la alta gerencia de la compañía.

2. Alinear, Planificar y Organizar (APO) -

El dominio APO, pertenece al grupo de dominios de gestión, conformado por 13 procesos que tienen como finalidad encargarse de gestionar el marco de gestión de TI, la estrategia, la arquitectura empresarial, la innovación, el portafolio, el presupuesto y los costes, los recursos humanos, las relaciones, acuerdos de servicio, proveedores, calidad, riesgo y la seguridad.

3. Construir, Adquirir e Implementar (BAI) -

El dominio de gestión BAI, representado por 10 procesos, es el encargado de diseñar e implementar las soluciones que indique el dominio APO, con un enfoque en gestionar programas y proyectos, definir los requisitos, identificar y construir soluciones, gestionar la disponibilidad y capacidad, introducir el  cambio organizativo, gestionar cambios, aceptar los cambios y la transición, gestionar también el conocimiento, los activos y la configuración.

4. Entregar, dar servicio y  Soporte (DSS) -

Es importante lograr que la Tecnología acompañe de manera activa  a los procesos de negocio, por lo que el dominio DSS cuenta con 6 procesos que  permiten que la compañía alcance excelentes resultados y es oportuno explotar las facilidades que proporciona la TI, con la finalidad de ejecutar acciones que permiten optimizar los recursos logrando ahorros importantes a través de la ejecución de procesos enfocados a las  buenas prácticas como gestión de operaciones, incidentes y requerimientos, problemas, continuidad, servicios de seguridad y controles de procesos de negocio.

5. Monitorizar, Evaluar y Valorar (MEA) -

Dentro del dominio de gestión MEA, se encuentran 3 procesos que se encargan del rendimiento y conformidad, el sistema de control interno y la conformidad con los requerimientos externos, los mismos que son vitales en el giro del negocio de la compañía, debido a que por medio de las mediciones y el control permanente se garantiza la eficiencia operativa y permite encontrar oportunidades de mejora a los procesos que maneja el área de TI.  

Procesos de negocio a los que apoya COBIT

Subdivide las actividades y prácticas de la Organización relacionadas con las Tecnologías de la Información en dos áreas principales, 5 dominios que dentro de ellos hay  y 37 actividades:

Gobierno Corporativo de TI.

• Evaluar, Dirigir y monitorizar (EDM) - 5 actividades

Gestión de TI Corporativa.

• Alinear, Planificar y Organizar (APO) - 13 actividades
• Construir, Adquirir e Implementar (BAI) - 10 actividades
• Entregar, dar servicio y  Soporte (DSS) - 6 actividades
• Supervisar, Evaluar y Valorar (MEA) - 3 actividades

Procesos de Gobierno

Permite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidos.

Procesos de Gestión o Administración

Utilización prudente de medios (recursos, personas, procesos, practicas) para lograr un fin específico.

- Evaluar, Dirigir y monitorizar (EDM) -

• EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia.

Analiza y articula los requerimientos para el gobierno de TI de la empresa, pone en marcha  y mantiene efectivas las estructuras, procesos, práctica, facilitadores con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y los objetivos de la empresa.

• EDM02  Asegurar la entrega de beneficios.

Optimizar la contribución  al valor del   negocio   desde los procesos de negocios de los servicios y activos de TI, resultado de la inversión hecha por TI a unos costos aceptables.

• EDM03 Asegurar la optimización del riesgo.

Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.

• EDM04  Asegurar la optimizan de los recursos

Asegurar   el  establecimiento y el mantenimiento  del  marco  de   referencia.   Analiza y articula los requerimientos para el gobierno de TI  de la  empresa.  Pone   en   marcha y mantiene efectiva las estructuras, procesos  y   prácticas. Facilitadores; con   calidad de las responsables y la autoridad para alcanzar la misión, las metas y los objetivos del negocio.

• EDM05 Asegurar la transparencia hacia las partes interesadas.

Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de las TI de la empresa son transparentes, con aprobación por las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.

- Alinear, Planificar y Organizar (APO) 

• APO01. Gestionar el marco de gestión de las TI.

Aclarar y mantener el gobierno de la misión y la visión corporativa de las TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de las TI en la empresa, para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.

• APO02. Gestionar la estrategia.

Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.

• APO03. Gestionar la arquitectura empresarial.

Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de las TI, mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo.

• APO04. Gestionar la innovación.

Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio.

• APO05. Gestionar el portafolio.

Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación.

• APO06 Gestionar el presupuesto y los costes.

Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de las TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa.

• APO07 Gestionar los Recursos Humanos. 

Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.

• AP008 Gestionar las relaciones. 

Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos, apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.

• AP009 Gestionar los acuerdos de servicio.

Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.

• APO10 Gestionar los Proveedores.

Administrar todos los servicios de las TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.   Analiza los servicios de proveedores, en cuanto a sus servicios, monitorizar o hacer  reingenieria

• APO11 Gestionar la calidad.

Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.

• APO12 Gestionar el riesgo.

 Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.

• APO13 Gestionar la seguridad. 

Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Define los requisitos antes de comenzar el proyecto.

- Construir, Adquirir e Implementar (BAI) -

• BAI01 Gestión de programas y proyectos. 

Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.

• BAI02 Gestionar la definición de requisitos. 

Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes interesadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas.

• BAI03 Gestionar la identificación y construcción de soluciones. 

Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.

• BAI04 Gestionar la disponibilidad y la capacidad.

Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados.

• BAI05 Gestionar la facilitación del cambio organizativo. 

Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de las TI.

• BAI06 Gestionar los cambios. 

Gestionar todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.

• BAI07 Gestionar la aceptación del cambio y la transición.

Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.

• BAI08 Gestionar el conocimiento. 

Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de conocimiento.

• BAI09 Gestionar los activos.

Gestionar los activos de las TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento (acorde a los objetivos), que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia.

• BAI10 Gestionar la configuración

Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarias para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.

- Entregar, dar servicio y  Soporte (DSS) -

• DSS01 Gestionar operaciones.

Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de las TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.

• DSS02 Gestionar peticiones e incidentes de servicio. 

Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.

• DSS03 Gestionar problemas.

Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora. 

• DSS04 Gestionar la continuidad.

Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.

• DSS05 -Gestionar servicios de seguridad. 

Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.

• DSS06 -Gestionar controles de procesos de negocio.

Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para el control de la información. Identificar los requisitos de control de la información y gestionar y operar los controles adecuados para asegurar que la información y su procesamiento satisfacen estos requerimientos.

- Supervisar, Evaluar y Valorar (MEA) -

• MEA01 -Supervisar, evaluar y valorar el rendimiento y la conformidad.

Recolectar, validar y evaluar métricas y objetivos de negocio, de las TI y de procesos. Supervisar que los procesos se están realizando según el rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada.

• MEA02 -Supervisar, evaluar y valorar el sistema de control interno.

Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento

• MEA03. Supervisar, evaluar y valorar la conformidad con los requerimientos externos. 

Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de las TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de las TI en el cumplimiento de la empresa general.  

Ventajas y desventajas

Ventajas

•  Los usuarios se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar para gobernar los procesos.
• A interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de auditoria.

Desventajas

•  Los estándares no cubren todos los temas en detalles.
• No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, continuidad, etc.).
• Evolución Gestión aceptado internacionalmente que se adopta por las empresas y se contemple en el día a día por los gerentes de negocio.
•  Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y monitorear y Evaluar.

Ventajas y Desventajas dentro de las Organizaciones

Ventajas en las organizaciones

• La toma de decisiones para niveles gerenciales es más eficaz.
• Ayuda la dirección en la definición de un plan de TI estratégico.
• La definición de la arquitectura de la información.
• La adquisición del hardware necesario TI.
• El software para ejecutar una estrategia TI.
• La aseguración del servicio continuo.
• La supervisión del funcionamiento del sistema TI.

Desventajas en las organizaciones

• Se requiere de un esfuerzo de la organización, para adoptar los estándares.
• Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
• Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.
• A veces proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización.

Tendencias

Ofrece unas buenas prácticas y herramientas para el seguimiento y la gestión de las actividades de TI. También ayuda a los ejecutivos a comprender y gestionar las inversiones en TI durante todo su ciclo de vida y evaluar si los servicios de TI y las nuevas iniciativas están cumpliendo con las exigencias corporativas y si generaran los beneficios.

Explicación personal 

Las tecnologías de información apuntan sus esfuerzos en actividades operativas rutinarias que apoyan la continuidad del negocio, limitando la optimización de personas, procesos y tecnología. 

Las empresas direccionan sus objetivos a obtener rentabilidad.  Esto conduce a atender y ejecutar las actividades propias de su giro de negocio, descuidando las actividades complementarias que son importantes como definir y documentar sus procesos.

COBIT no es simplemente para TI, tampoco es destinado únicamente a los grandes negocios, es para todo tipo de empresa sean pequeñas o medianas y sin estricciones de giro de negocio.

La orientación al negocio es el tema principal de COBIT. Está diseñado no sólo para ser utilizado por usuarios y auditores, sino que, lo más importante, está diseñado para ser utilizado por los propietarios de los procesos de negocio como una guía clara y entendible.

Las  empresas pueden establecer los procesos con base a sus necesidades y oportunidades, con el enfoque principal en  generar valor, definiendo e implementando procesos de gobierno separados de los procesos de gestión.