¿Qué es COBIT? Marco de gobierno y gestión de las TI empresariales
COBIT es el marco de trabajo (framework) de referencia para el gobierno y la gestión de las tecnologías de la información (TI) empresariales. A diferencia de otros estándares centrados solo en el departamento técnico, COBIT está dirigido a toda la organización: desde la Junta Directiva hasta la función de auditoría.
Lo promueve ISACA desde su primera versión en 1996, y hoy está disponible la edición COBIT 2019. En su origen, el acrónimo significaba Control Objectives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) y se dirigía a los auditores de TI. La versión actual amplía mucho ese foco: contempla a múltiples partes interesadas —Junta Directiva, Dirección Ejecutiva, Auditoría— y no solo a la función de TI.
Conviene aclarar qué entiende COBIT por «TI empresarial»: toda la tecnología y el procesamiento de información que una empresa utiliza para alcanzar sus objetivos, ocurra donde ocurra dentro de la organización. Es decir, no se limita al departamento de TI.
¿Para qué sirve COBIT?
COBIT sirve para aportar gobierno y gestión a la función de TI, y establece una distinción clara entre ambas disciplinas: abarcan actividades distintas, requieren estructuras organizativas diferentes y persiguen propósitos separados.
El gobierno asegura que:
- Las necesidades, condiciones y opciones de las partes interesadas se evalúan para fijar objetivos empresariales equilibrados y consensuados.
- La dirección se establece mediante la priorización y la toma de decisiones.
- El desempeño y el cumplimiento se monitorizan frente a la dirección y los objetivos acordados.
En la mayoría de las empresas, el gobierno recae en la Junta Directiva o Consejo de Dirección, bajo el liderazgo de su Presidencia.
La gestión, por su parte, consiste en planificar, construir, ejecutar y monitorizar actividades alineadas con la dirección marcada por el órgano de gobierno, para alcanzar los objetivos de la empresa. Suele ser responsabilidad de la dirección ejecutiva, bajo el liderazgo del director general (CEO).
Para crear y sostener un sistema de gobierno, COBIT define una serie de componentes: procesos, estructuras organizativas, políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura. En el modelo, estos elementos se conocen como Catalizadores.
Además, COBIT establece los factores de diseño que cada empresa debería considerar para construir el sistema de gobierno más adecuado a su contexto, agrupando los componentes relevantes dentro de objetivos de gobierno y gestión que se administran según los niveles de capacidad requeridos.
El Modelo de Referencia de Procesos de COBIT
Fig. 1 — Modelo Core de COBIT
Para que la información y la tecnología contribuyan a los objetivos de la empresa, deben alcanzarse una serie de objetivos de gobierno y gestión. Cada objetivo de gobierno se vincula a un proceso de gobierno (fondo oscuro en la figura 1), mientras que cada objetivo de gestión se vincula a un proceso de gestión (fondo azul claro).
Estos objetivos se agrupan en cinco dominios, nombrados con verbos que expresan su propósito y área de actividad:
- Los objetivos de gobierno se agrupan en un único dominio: Evaluar, Dirigir y Monitorizar (EDM). Aquí el órgano de gobierno evalúa las opciones estratégicas, dirige a la alta gerencia hacia las opciones elegidas y monitoriza la consecución de la estrategia.
- Los objetivos de gestión se reparten en cuatro dominios:
- Alinear, Planificar y Organizar (APO): aborda la organización general, la estrategia y las actividades de apoyo a las I&T.
- Construir, Adquirir e Implementar (BAI): cubre la definición, adquisición e implementación de soluciones de TI y su integración en los procesos de negocio.
- Entregar, dar Servicio y Soporte (DSS): se ocupa de la ejecución operativa y el soporte de los servicios de TI, incluida la seguridad.
- Monitorizar, Evaluar y Valorar (MEA): supervisa la conformidad de las TI con los objetivos de desempeño interno, los objetivos de control interno y los requisitos externos.
En total, el marco contempla 40 procesos distribuidos en los 5 dominios. Cada proceso incluye una «caracterización del proceso» con los siguientes componentes:
- Descripción y propósito general del proceso.
- Encadenamiento con metas de negocio y metas de alineamiento (antes denominadas metas de TI).
- Métricas para medir el desempeño de las metas de negocio.
- Métricas para medir el desempeño de las metas de alineamiento.
- Prácticas de gobierno y/o gestión que forman parte del proceso, y para cada una de ellas:
- Métricas para medir su desempeño.
- Actividades a realizar y nivel de capacidad mínimo requerido.
- Documentación relacionada (estándares, marcos, requisitos de cumplimiento).
- Matriz de roles de responsabilidad y rendición de cuentas.
- Entradas y salidas de cada práctica.
- Personas, habilidades y competencias.
- Políticas y procedimientos.
- Elementos culturales clave.
- Servicios, infraestructuras y aplicaciones.
Publicaciones de la familia COBIT 2019
Entre las publicaciones disponibles de la familia de productos COBIT® 2019 destacan:
- Marco de referencia COBIT® 2019: Introducción y metodología. Presenta los conceptos clave del marco.
- Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión. Describe en detalle los 40 objetivos principales, los procesos que incluyen y otros componentes relacionados. Referencia también otros estándares y marcos.
- Guía de diseño COBIT® 2019. Explora los factores de diseño que influyen en el gobierno e incluye un flujo de trabajo para planificar un sistema de gobierno personalizado.
- Guía de implementación COBIT® 2019. Desarrolla una hoja de ruta para la mejora continua del gobierno. Puede usarse junto con la Guía de diseño.
COBIT 2019 hoy: gobierno de IA y nuevas obligaciones regulatorias
Aunque la edición vigente sigue siendo COBIT 2019, su aplicación ha evolucionado para dar respuesta a dos retos que dominan la agenda de gobierno de TI: la inteligencia artificial y la creciente presión regulatoria.
Por un lado, ISACA ha publicado guías sobre cómo emplear COBIT para gobernar sistemas de IA. El white paper «Leveraging COBIT for Effective AI System Governance» detalla cómo el marco ayuda a construir un sistema de gobierno sobre la creación, implementación y mantenimiento responsable de la IA, partiendo siempre del alineamiento estratégico: que sean los objetivos del negocio los que guíen la tecnología, y no al revés.
Por otro lado, en el ámbito de la auditoría, ISACA publicó en febrero de 2026 la 5ª edición del IT Audit Framework (ITAF), que amplía el alcance de la auditoría a la IA y el machine learning, el cloud computing, la automatización, la auditoría ágil y el aseguramiento continuo. Un marco complementario que extiende la vigencia de COBIT a las realidades tecnológicas actuales.
Quizá el papel más interesante de COBIT 2019 a día de hoy es como capa unificadora de cumplimiento. Su modelo de factores de diseño es el mecanismo que muchos equipos de auditoría y riesgo utilizan para alinear el gobierno de TI con obligaciones que se solapan —SOX, ISO 27001:2022, PCI DSS v4.x, DORA o los perfiles de IA de NIST— sin tener que levantar universos de control paralelos. Es decir: una sola arquitectura de control para responder a muchas normativas a la vez.
Cómo te ayudamos en GlobalSuite Solutions
Adoptar COBIT no consiste en aplicar los 40 procesos de golpe, sino en diseñar un sistema de gobierno a la medida de tu organización y hacerlo operativo. Y, como hemos visto, su mayor valor está en servir de capa común para múltiples normativas. En GlobalSuite Solutions te ayudamos a llevar el gobierno y la gestión de tus TI del papel a la práctica, integrándolos con el resto de tu modelo GRC —riesgos, seguridad, cumplimiento y auditoría— desde una única plataforma.
¿Quieres ver cómo funcionaría en tu caso? Solicita una demo y te lo enseñamos.


