COBIT_ACIS_20050509

Views:
 
Category: Education
     
 

Presentation Description

No description available.

Comments

Presentation Transcript

COBIT: Herramienta de IT Governance: 

COBIT: Herramienta de IT Governance Fernando Ferrer Olivares, CISA Presidente ISACA - Colombia Socio fundador Estéganos International Group

Agenda: 

Agenda IT Governance COBIT

Qué es Governance?: 

Qué es Governance? Gobierno – Adecuada Dirección Capacidad – Logros Responsabilidad – Diligencia Conocimiento Calidad - necesidad de control Medición – suministro de información Alineamiento Recursos apoyando el cumplimiento de objetivos

Niveles de Governance: 

Niveles de Governance Corporate Governance Enterprise Governance IT Governance Informaction Security Governance

Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE: 

La forma en que la organización está alcanzando efectividad, eficiencia ética, valores, estándares éticos A nivel de compañía Tratamiento de accionistas minoritarios Independencia de la Junta Divulgación de información Mejores prácticas de negocio A nivel país Ambiente regulatorio y legal – exigencias legales Impulso a la inversión Si un país no tiene reputación de aplicar buenas prácticas de gobierno corporativo, el capital se irá. Si los inversionistas no están contentos con el nivel de confidencialidad, el capital se irá. Sí un país opta por estándares contables y de reporte laxos, el capital se irá Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE

Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE: 

Qué se puede hacer? No existe una única fórmula pero existen guías internacionales … • Establecimiento de objetivos estratégicos y valores corporativos; • Líneas claras de responsabilidad y contabilización; • Miembros de las juntas calificados e independientes; • Apropiado seguimiento por la alta gerencia; • Uso efectivo de auditores internos y externos; • Compensación consistente con valores éticos, objetivos, etc.; • Gobierno corporativo conducido en una forma transparente Liderando por ejemplo ... • Cumplimiento de requerimientos de gobierno corporativo y administración de riesgos • Alta calidad de la información divulgada • Adherir a requerimietos de auditoría externa efectivos • Mantener un riguroso marco de contabilización • Colocar procedimientos adecuados y efectivos Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE

Corporate Governance Organización Cooperativa para el Desarrollo Económico - OCDE: 

“... ayuda a afirmar que las corporaciones utilizan su capital de manera eficaz, toman en cuenta los intereses de sus participantes al igual que el de sus juntas de administración para asegurar que ellas operan para el beneficio de la comunidad procurando la confianza de los inversionistas y atraer capitales estables y a largo plazo...” Corporate Governance Organización Cooperativa para el Desarrollo Económico - OCDE

Corporate Governance IT Governance Roundtable - Sponsored by the IT Governance Institute - 27 March 2000; Oslo, Norway: 

Son las reglas y procesos a través de los cuales las oportunidades y riesgos de negocio son reconocidos y administrados para asegurar un aumento sostenido del valor para todos sus interesados” Es el sistema mediante el cual las empresas y organizaciones establecen sus objetivos, alinean en consecuencia sus procesos y aseguran el cumplimiento de dichos objetivos institucionales Corporate Governance IT Governance Roundtable - Sponsored by the IT Governance Institute - 27 March 2000; Oslo, Norway

IT Governance ISACA – Information Systems Control and Audit Association: 

Uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos del negocio IT Governance ISACA – Information Systems Control and Audit Association

IT / Governance: 

IT / Governance “Es el proceso de administración que asegura la obtención de los beneficios esperados de la tecnología de información (TI) de manera controlada para acrecentar el éxito sostenido de una empresa a largo plazo” IT Governance Roundtable Sponsored by the IT Governance Institute 27 March 2000; Oslo, Norway

Ideas fundamentales: 

Ideas fundamentales Es un proceso Asegura la obtención de los beneficios esperados de la tecnología de la información (TI) De manera controlada Para acrecentar el éxito sostenido de una empresa a largo plazo

IT Governance: 

IT Governance Por qué IT Governance Debida diligencia Criticidad Importancia estratégica Qué deben hacer? Junta Gerencia Auditores Framework del IT Governance Definición Framework Ciclo de vida Actividades

Porqué IT Governance: 

Porqué IT Governance Debida diligencia Las empresas deben ser igualmente inquisitivas sobre ellas mismas en temas como Infraestructura y funciones productivas Habilidades, cultura y ambiente operativo Capacidades, riesgos, conocimiento de procesos e información del cliente Niveles de servicio Criticidad para el negocio Grandes inversiones y riesgos Dependencia creciente en información Creación de oportunidades y reducción de costos Impacto en la reputación y el valor de las empresas Importancia estratégica

IT Governance como elemento estratégico de la empresa: 

IT Governance como elemento estratégico de la empresa Corporate Governance IT Governance Direcciona y establece

Porqué IT Governance: 

Porqué IT Governance Pero si TI es crítica y estratégica porqué: No hay interés en conocer el comportamiento de TI (logro de objetivos, capacidad de aprender y adaptarse, administración de riesgos, aprovechamiento de oportunidades) No “aseguramos” que TI satisfaga las expectativas (entrega de valor al negocio, rápida, segura, calidad, eficiencia, productividad, efectividad, hacer más con menos)

IT Governance: 

IT Governance Por qué IT Governance Debida diligencia Criticidad Importancia estratégica Qué deben hacer? Junta Gerencia Auditores Framework del IT Governance Definición Framework Ciclo de vida Actividades

Rol de la Junta: 

Rol de la Junta Orientar TI a dar valor a los interesados Adoptar un framework de IT Governance Realizar las preguntas correctas Enfocarse en El alineamiento de TI con el negocio Entregar valor Administrar riesgos Medir resultados

Rol de la Gerencia: 

Rol de la Gerencia Alinear la estrategia de TI con los objetivos de negocio Aterrizar en la organización las estrategias y objetivos Definir estructuras organizacionales que faciliten la implementación de la estrategia Adoptar un framework de riesgo, control y gobierno Proveer la infraestructura de TI que facilite la creación y el compartir información del negocio Asignar responsables de la gestión de riesgos en la organización Enfocarse en los procesos importantes de TI y en su apoyo a las competencias del negocio Medir el desempeño (Balance Scorecard)

Rol de la Auditoria: 

Rol de la Auditoria Obtener un entendimiento de IT Governance Apoyar a la Junta y a la Gerencia en sus roles Recomendar la adopción de un framework de control y gobierno de TI Definir estructuras organizacionales en sus áreas que faciliten una implementación estratégica de ese framework Medir su propio desempeño (Balance Scorecard)

IT Governance: 

IT Governance Por qué IT Governance Debida diligencia Criticidad Importancia estratégica Qué deben hacer? Junta Gerencia Auditores Framework del IT Governance Definición Framework Ciclo de vida Actividades

IT Governance como elemento estratégico de la empresa: 

IT Governance como elemento estratégico de la empresa Corporate Governance IT Governance Direcciona y establece Actividades de la empresa Actividades de IT Requieren información de

Actividades de TI: 

Actividades de TI Plantación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo Sobre Recursos (Datos, SW, Tecnología, Gente, Instalaciones) Buscando efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento, confiabilidad

Preocupaciones: 

Preocupaciones El negocio no trata TI como un socio o la alta dirección no presta atención a TI Medición del desempeño - Solo unos pocos son capaces de medir el valor que TI retorna El 85% del valor de mercado de una empresa reside en bienes intangibles – la parte más grande es información No alineamiento estratégico - Solo 4 de cada 10 compañías han integrado sus planes de negocio y de TI en alguna forma Encuestas del Brookings Institute, Standish Group y Acadys 2001

Medición de procesos: 

Medición de procesos Key Success Factors (KSF) Factores críticos de éxito (clave) Aspectos que son indispensables para el adecuado funcionamiento de un proceso Key Performance Indicators (KPI) Mide el funcionamiento de un proceso Key Goal Indicators (KGI) Mide el impacto o consecuencia de un proceso en el contexto de una empresa Balance Scorcard

Slide 25: 

“TI ha estado corriendo por un largo tiempo desatendiendo en los últimos 30 años el negocio” J. Welch 1997

Requerimiento: 

Requerimiento Desarrollar un framework para la Junta Directiva y la Alta Gerencia que permita atender sus expectativas y riesgos de TI

IT / Governance y COBIT: 

IT / Governance y COBIT “Riesgos, controles, auditoria y aseguramiento de TI están evolucionando en COBIT hacía el más amplio concepto de IT Governance; una parte integral de Enterprise Governance” IT está teniendo un impacto creciente en el funcionamiento de las empresas y en el logro de los objetivos que ellas definen. Governance está orientado a asegurar que las empresas cumplan sus objetivos, en dirigir a la gerencia en ese sentido, en enseñarle buenas prácticas de planeación y organización en respuesta a la dirección recibida, y en proveer gobierno al siguiente nivel en la empresa.

Definición de Cobit: 

Definición de Cobit C ontrol OB jectives for I nformation and Related T echnology Governance, Control and Audit for Information and Related Technology

Un estándar de Aplicación Mundial: 

Governance, Control and Audit for Information and Related Technology OBI TM C T Un estándar de Aplicación Mundial

IT Governance Institute: 

Reconocida como líder mundial en el gobierno, control y evaluación de TI. IT Governance Institute  ¿Quiénes están detrás de CobiT? Information systems audit and control association 

Algo de historia de ISACA: 

Algo de historia de ISACA Fundada en 1969, como EDP Auditors Association (35 años) Más de 30,000 miembros en más de 100 países Más de 170 capítulos alrededor del mundo

Objetivos y Beneficios: 

Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI. Consolidar y armonizar estándares originados y desarrollados en diferentes países. Concientizar a la comunidad sobre importancia del control y la auditoria de TI. Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. Reiterar sobre la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa. Objetivos y Beneficios

Antecedentes: 

Antecedentes COBIT Integra y concilia normas existentes como: COSO (Committe Of Sponsoring Org. of the Treadway Commission) OECD (Organizarion for Economic Cooperation and Development) ISO (International Standars Organization) NIST ( National Institute of Standars and Technology) DTI (Departament of Trade and Industry of the U.K) ITSEC (Information Technology Security Evaluation Criteria - Europa) TCSEC (Trusted Computer Evaluación Criteria - Orange Book- E.U) IIA SAC (Institute of Internal Auditors - Systems Auditability and Control ) IS Auditing Standars Japón Incluye los Objetivos de Control emitidos por ISACA (EDPAA)

Antecedentes: 

Antecedentes En 1992, comenzó la actualización de los objetivos de control de ISACA En 1996, ISACA publicó para los profesionales de TI un marco de prácticas control de la TI generalmente aplicables y aceptadas

Antecedentes: 

Antecedentes En 1998 fue actualizado y se publicó una segunda versión a la que se le incorporó las “Herramientas de implantación” y CD. En 1999 se publicaron los “Objetivos de Control para redes” En septiembre del 2000 se publicó la 3ra. Edición

Antecedentes: 

Antecedentes CobiT 1996/1998/2000/2003 SAS 55 - 1988 Definición de Objetivos de Control de T I Definición de Control Interno SAC 1991/1994 Conceptos de Control Interno COSO 1992 Conceptos de Control Interno Contribuciones al concepto de Control Interno SAS 78 - 1995 enmienda CobiT On Line / CobiT Quick Start

Misión: 

Misión Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnología de información, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios.

Usuarios: 

Usuarios La Gerencia : apoyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible Los Usuarios Finales : obtienen una garantía sobre el control y seguridad de los productos que adquieren interna y externamente Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI : para identificar los controles que requieren en sus áreas. Organismos estatales de control: para saber que es lo mínimo que pueden exigir.

Características: 

Características C OBI T Negocio Empresa TI Objetivos De Control

Características: 

Características Orientado al negocio Alineado con estándares y regulaciones “de facto” Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)

Características: 

Características REGLA DE ORO DE COBIT Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos , agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.

Principios: 

Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI

Requerimientos de la Información del Negocio : 

Requerimientos de la Información del Negocio Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Confidencialidad. Integridad. Disponibilidad. CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

Requerimientos de la información del negocio: 

Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez , en concordancia con los valores y expectativas del negocio. Integridad Requerimientos de la información del negocio

Requerimientos de la información del negocio: 

Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia , para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad Requerimientos de la información del negocio

Slide 47: 

Recursos de TI Datos: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano : Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

Recursos: 

Recursos Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11) Sistema de comunicaciones (8),(11) Seguridad de la información Seguridad física (1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administración de librerías (7) Editores en línea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrónico de datos Equipo central ========================= Operación del sistema (1),(2),(6),(7),(8),(9)

Slide 49: 

Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Objetivos del Negocio Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento inndependiente 4. Proveer una auditoría independiente 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad 1.Definición del nivel de servicio 2.Admistración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Admistración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones

Slide 50: 

Procesos de TI - Los 3 Niveles Dominios Agrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional Procesos Conjuntos de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.

Slide 51: 

Planeación y Organización ( Planning and Organization) Adquisición e implementación (Acquisition and Implementation) Prestación de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring) Dominios de TI

Slide 52: 

Planeación y Organización Abarca aspectos estratégicos y tácticos Se vincula con la identificación de la forma en que la tecnología de información puede contribuir la manera más adecuada con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Dominios de TI

Slide 53: 

Procesos de TI Planeac i ón y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de la Función TI Administrar la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplimiento d requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad

Slide 54: 

Adquisición e Implementación Identificación, desarrollo o adquisición de soluciones de TI. Implantación e integración en el proceso de negocio. Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. Dominios de TI

Slide 55: 

Procesos de TI Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Certificación de sistemas Administración de Cambios

Slide 56: 

Prestación de Servicios y Soporte Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación. Procesos de soporte necesarios. Procesamiento real de los datos por los sistemas de aplicación. Dominios de TI

Slide 57: 

Procesos de TI Prestación de Servicio y Soporte Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

Slide 58: 

Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Seguimiento de la gerencia sobre los procesos de control de la organización. Garantía independiente provista por la auditoría interna y externa u obtenida de fuentes alternas. Dominios de TI

Slide 59: 

Procesos de TI Monitoreo / Seguimiento Seguimiento de los procesos Evaluación de lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente

Procesos: 

Procesos Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Planeac i ón y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad

Procesos: 

Procesos Servicios y Soporte Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

Objetivos de Control: 

Objetivos de Control “Una declaración de resultado deseado o propósito a ser alcanzado por medio de la implementación de procedimientos de control en una actividad Particular de TI” 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos) 2.3 Contratos con Terceros Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deberá asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no - revelación) sean identificados, declarados explícitamente y acordados, que éstos concuerden con los estándares de negocios universales y estén en línea con los requerimientos legales y regulatorios, incluyendo obligaciones.

Como Producto: 

Como Producto Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guías de Auditoría Guías de Administración Herramientas de implementación CD-ROM 2a Edición disponible en español

Resumen Ejecutivo: 

Resumen Ejecutivo Documento dirigido a la alta gerencia Presenta los antecedentes y la estructura básica de COBIT. Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.

Marco de Referencia: 

Marco de Referencia Incluye la introducción contenida en el resumen ejecutivo Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.

Objetivos de Control: 

Objetivos de Control Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

Guías de Auditoría: 

Guías de Auditoría Se hace una presentación del proceso de auditoría generalmente aceptado (relevamiento de información, evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos). Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.

Guías de Administración: 

Guías de Administración Se enfoca de manera similar a los otros productos Integra los principios del Balanced Business Scorecard. Para ayudar a determinar cuales son los adecuados niveles de seguridad y control, integra los conceptos de: Modelo de madurez CMM (prácticas de Control) Factores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI. Indicadores claves de logro en los procesos de TI Indicadores claves de Desempeño de los procesos de TI

Modelo de Madurez: 

Modelo de Madurez El Modelo de Madurez es una forma de medir el grado de desarrollo de los procesos de la organización. Este modelo define perfiles de organizaciones, en relación a los progresos en el gobierno de TI de cada una de ellas. Atiende aspectos tales como : el grado de formalidad con que se cumplen los procesos el reconocimiento de que existen problemas las posibilidades de entrenamiento y capacitación el grado de automatización de los procesos el nivel de avance de la organización en materia de administración del conocimiento relativo a buenas prácticas en TI.

Modelo de Madurez: 

Modelo de Madurez El abordaje del Modelo de Madurez para el control de los procesos de TI, consiste en el desarrollo de un método de puntuación mediante el cual una organización puede autoevaluar su realidad respecto de los procesos COBIT de TI en una escala que va desde no-existente hasta optimizada (de 0 a 5). Este enfoque está basado en el Modelo de Madurez del desarrollo de software, CMM-SW del SEI-Software Engineering Institute de Carnie de Mellon University

Modelo de Madurez: 

Modelo de Madurez Los niveles que pueden ser evaluados en este modelo son: El nivel actual de la organización – donde está posicionada hoy en día El nivel actual de la industria – el nivel con el cual compararse El nivel actual de las guías estándares internacionales – más referencias de comparación La estrategia de mejora de la organización – donde la organización quiere estar posicionada

Modelo de Madurez: 

Modelo de Madurez

Modelo de Madurez: 

Modelo de Madurez La escala de evaluación es la siguiente: 0 Inexistente Hay una absoluta carencia de procesos reconocibles. La organización no ha reconocido que haya una necesidad de acciones en ese sentido. 1 Inicial/Ad Hoc Hay evidencia de que la organización ha reconocido que existen problemas y necesitan ser tratados. No hay procesos estandarizados sino que por el contrario hay acercamientos puntuales que tienden a ser aplicados sólo por un individuo o a un caso concreto. La aproximación global de la gerencia al tema no es planificada ni proactiva.

Modelo de Madurez: 

Modelo de Madurez 2 Repetitivo pero intuitivo Los procesos se encuentran en una etapa en la cual diversos grupos que emprenden la misma tarea siguen procedimientos similares. No hay ningún entrenamiento formal o comunicación estándar de procedimientos La responsabilidad descansa en los individuos. Hay un alto grado de confianza en el conocimiento de los individuos y por lo tanto los errores son probables.

Modelo de Madurez: 

Modelo de Madurez 3 Definido Los procedimientos están estandarizados y se han documentado. Se han comunicado mediante el entrenamiento. Los individuos deciden seguir o no estos procesos. Es difícil que las desviaciones sean detectadas. Los procedimientos en si mismos, no son sofisticados sino que son la formalización de prácticas existentes.

Modelo de Madurez: 

Modelo de Madurez 4 Gerenciado y Medible Es posible vigilar y medir el cumplimiento de los procedimientos y tomar acciones en los casos en los que los procesos resultan no trabajar con eficacia. Los procesos están bajo mejora constante y proporcionan buenas prácticas aplicables. La automatización y las herramientas se utilizan en una manera limitada o de modo parcial.

Modelo de Madurez: 

Modelo de Madurez 5 Optimizado Los procesos de TI se han refinado al nivel de la mejor práctica, basándose los resultados en la mejora continua y las iniciativas en materia de madurez que toma como modelo a otras organizaciones. La tecnología se utiliza como un camino integrado para automatizar el proceso de trabajo, proporcionando calidad y eficacia a las herramientas para mejorar, haciendo que la empresa se adapte rápidamente a los cambios.

El modelo CMM del SEI: 

El modelo CMM del SEI Definido . Existencia de métodos, técnicas, estándares, estructuras de organización, capacitación, etc... Administrado. Existencia de medidas, parámetros y criterios de análisis e interpretación de dichas medidas Medido. Capacidad real de obtener datos sobre el desempeño del proceso en forma histórica Controlado. Capacidad de comparar el comportamiento real del proceso contra las estimaciones y pronósticos determinados y poder aplicar medidas que corrijan cualquier posible desviación Efectivo. Capacidad del proceso de generar productos de acuerdo con los requerimientos y expectativas de los usuarios finales de dichos productos La madurez de un proceso se determina en función de qué tan bien es:

Factores Críticos de Éxito (CSFs): 

Factores Críticos de Éxito (CSFs) Un Factor Crítico de Éxito es algo que debe ocurrir (o que no debe ocurrir), para conseguir un objetivo de la organización. Es crítico, si su cumplimiento es absolutamente necesario para el logro de esos objetivos. Es una técnica que permite asignar recursos a áreas claves. Además: Proveen a la Dirección de una adecuada guía para la implementación del control de TI.

Factores Críticos de Éxito (CSFs): 

Factores Críticos de Éxito (CSFs) Definen las cosas más importantes a ser efectuadas que contribuyen a que los procesos de TI alcancen sus objetivos. Existen actividades que pueden ser de tipo estratégico, técnico, organizacionales o de procedimiento. Deben ser concretos y orientados a la acción, enfocados hacia los recursos más importantes para cada proceso en desarrollo.

Indicadores Clave de logro (KGIs) : 

Indicadores Clave de logro (KGIs) Definen medidas que informan a la Dirección, luego del hecho, si el proceso tecnológico ha alcanzado los requerimientos del negocio. Usualmente se expresan en términos de criterios de información: Disponibilidad de la información necesaria para atender las necesidades del negocio. Ausencia de integridad y riesgos de confidencialidad. Relación costo eficiencia de los procesos y operaciones. Confirmación de la veracidad, efectividad y cumplimiento.

Slide 82: 

Ejemplo de estos indicadores son: Alcanzar los objetivos de retorno de la inversión Mejorar el desempeño de la Dirección Reducir los riesgos de TI Mejorar la productividad Estandarizar los procesos Aumentar las ventas Llegar a nuevos clientes y satisfacer a los actuales Creación de nuevos canales de ventas Disponibilidad de mayor ancho de banda, potencial de procesamiento, etc. Indicadores Clave de logro (KGIs)

Indicadores Clave de Desempeño (KPIs): 

Indicadores Clave de Desempeño (KPIs) Los Indicadores Claves de Desempeño (KPIs) son medidas que le dicen a la gerencia que un proceso de TI está logrando los requerimientos del negocio. Se obtienen al ir monitoreando el desempeño de los participantes de ese proceso de TI. Los KPIs son indicadores enfocados en y miden el desempeño de los factores que hacen posibles los procesos de TI, indicando cuan bien posibilitan que el proceso alcance el objetivo. Mientrás los KGIs se enfocan en el «qué», a los KPIs les concierne el «cómo».

Indicadores Clave de Desempeño (KPIs): 

A menudo serán una medida de un Factor Crítico de Éxito y cuando se los monitorea y actúa sobre ellos, se identificarán oportunidades de mejora del proceso. Estas mejoras deberían influir positivamente en el producto y como tales, los KPIs tienen una relación causa-efecto con los KGIs del proceso. Los KPIs están orientados al proceso vs. los KGIs que están direccionados al negocio, y expresarán a menudo cuan bien los procesos y la organización potencian/administran los recursos necesarios. Indicadores Clave de Desempeño (KPIs)

Indicadores Clave de Desempeño (KPIs): 

Ejemplos de estos indicadores son: Incremento de la calidad y la innovación Disponibilidad y tiempo de respuesta del servicio Satisfacción de los clientes Número de funcionarios entrenados en una nueva tecnología Mejoras costo/eficiencia de los procesos Productividad del personal Cantidad de errores y re-procesos Número de reportes que no cumplen con las normas Indicadores Clave de Desempeño (KPIs)

Slide 86: 

* Resumen ejecutivo -- “Hay un metodo...” * Marco -- “El metodo es...” * Objetivos de Control -- “Minimos Controles son...” * Guia de Implementacion -- “Aqui esta como Implementar...” * Guias administrativas -- “Aqui esta como medir...” * Guias de auditoria -- “Aqui esta como auditar...” Los Elementos de C OBI T – cuales son ?

Complementos de COBIT: 

Complementos de COBIT Information Technology Strategic Committee Balance Scorecard COBIT on-line COBIT Quickstart

Balance Scorecards (BSC): 

Balance Scorecards (BSC) El Balance Scorecard (BSC) es un sistema de mediciòn desasrrollado por Robert S. Kaplan y David P. Norton con la intenciòn de complementar los sistemas tradicionales de evaluación de desempeño de las empresas, los cuales se orientaban primordialmente a los indicadores financieros BSC Procesos Aprendizaje y conocimiento Clientes Finanzas

BSC para TI: 

BSC para TI BSC para TI Valor de negocio derivado de proyectos de TI Logros de sinergia Inversiones en TI Contribuciòn estratègica Alianzas de TI/Negocio Satisfacciòn del cliente Desempeño de entrega de aplicaciones Desempeño de niveles de servicio Capacidad de mejora de servicios Evoluciòn de arquitecturas Investigaciòn de tecnologìa Administraciòn del conocimiento Productividad, eficiencia y calidad Oportunidad de respuesta Costo interno de calidad Seguridad Administraciòn de rezagos Contribuciòn corporativa Orientaciòn al usuario de TI Orientaciòn futura Excelencia operacional

Procesos claves en IT Governance: 

Procesos claves en IT Governance Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004 Planeación y Alineamiento Estratégico Alineamiento con los Objetivos de Negocio Comité Estratégico de TI (Priorización) Estándares en estrategia y arquitectura de TI Seguimiento de proyectos de TI Comité de Seguimiento Soporte a iniciativas empresariales estratégicas Operaciones de TI Desarrollo de aplicaciones Administración de Proyectos Ciclo de Vida para el Desarrollo de Sistemas Soporte a producción Control y operación de producción Programación de trabajos Backups del sistema Arquitectura técnica Diseño, administración y operación de la red Soporte a usuarios Administración de seguridad informática Continuidad de negocio y recuperación de desastres Financieros Presupuesto operativo de TI Presupuesto de capital de TI Administración de activos de TI Administración de contratos de TI Allocation y planeación de recursos de TI Frameworks de Control Políticas Gerenciales de Información Corporativa – privacidad, propietarios de procesos de negocio, retención de registros Departamento de TI – CVDS, seguridad Estándares – COBIT, ITIL, ISO, SAS70 Prácticas y procedimientos Administración de la documentación del sistema Aseguramiento de calidad Cumplimiento regulatorio Procedimientos de escalamiento Procedimientos de divulgación Administración de contratos y de vendedores

COBIT en América Latina: 

COBIT en América Latina Uruguay: The Central Bank made CobiT mandatory for the industry, starting 2004. It has also been adopted as the control model by the Tribunal de Cuentas de la República (GAO equivalent). Brazil: The Central Bank as also announced that starting 2004, all audits performed to member entities will be CobiT based. Argentina: The Central Bank has issued CobiT based norms and procedures for all financial institutions. In addition, CobiT has also been used to define the Control Objectives for the local Clearing Houses and ATM Networks that are audited by the Central Bank. In the Province (State) of Mendoza, CobiT has been adopted by law and it is the framework being used today by the local GAO (Tribunal de Cuentas) for their IT Governance implementation project (which so far, appears to be a first in Latin America at a State level). The SIGEN (Sindicatura General de la Nación) and AGN (Auditoría General de la Nación) (equivalent to the GAO in the US), which are auditing and controlling bodies reporting to the Executive Branch and the Congress respectively, have also adopted CobiT. Paraguay: In 2002, the Central Bank issued regulations for the banking and finance industries based almost entirely on CobiT, which will go in effect in 2004. First audit under the new framework is scheduled for 3/2004 Bolivia: The CobiT based regulations enacted by the Central Bank are in their third year of implementation and will become mandatory in 2004. Perú: The utilization of CobiT in government is at a very early stage. The Office of the Controller has taken the initiative to utilize CobiT for training purposes. Colombia: The local OCC equivalent (Superintendencia Bancaria de Colombia), has adopted CobiT as their standard for the supervision of all local Banks, and it’ll be enforced starting next year. The Central Bank is also using CobiT as their framework for IT process management. México: Growing interest, particularly in light of SOX. Not mandatory yet. Costa Rica: The Central Bank and the OCC issued CobiT based resolutions for the banking industry relating to Control Objectives to be achieved starting 2004. On a related matter, and in case you didn’t know, in Costa Rica all IT Auditors are required to be Cases and audited financial statements for the private industry has to be signed by the financial suitor and a CISA. Fuente: Isaca, informe sobre la penetración de Cobit en los organismos gubernamentales y de regulación en América latina, Governmental Regulatory agencies Board Task Force No 2, Octubre de 2003

Fernando Ferrer Olivares fferrer@esteganos.com fferreol@banrep.gov.co fferreol@hotmail.com: 

Fernando Ferrer Olivares fferrer@esteganos.com fferreol@banrep.gov.co fferreol@hotmail.com Gracias!