Auditando con COBIT una Oficina de Gestión de Proyectos ... · PDF fileGestión...

Auditando con COBIT una Oficina de Gestión de Proyectos

(PMO) basada en PMBOK 5

Lic. Franco N. Rigante, CISA,CRISC,PMP

Conferencista – Biografía Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad de Buenos Aires, certificado como PMP, con estudios de Posgrado en Administración y Planeamiento Estratégico. Trabajó durante 10 años en el Banco Central de la República Argentina, auditando sistemas informáticos de entidades financieras. Actualmente es Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee experiencia laboral en Alemania, España y Honduras, fue profesor en una Maestría de Auditoría y en carreras universitarias de grado, se ha desempeñado como Consultor para el BID y el Banco Mundial y ha dictado conferencias para PMI (Argentina), ITSMF (España) e ISACA (Uruguay). Es autor de artículos sobre IT-GRC para medios gráficos especializados y forma parte del equipo de trabajo de ISACA Madrid para la traducción oficial al castellano de COBIT 5.

Agenda

• Introducción a la Gestión de Proyectos

• Oficina de Gestión de Proyectos (PMO): – Definiciones, tipos, características y funciones

• Metodología PMBOK del PMI: – Procesos y áreas de conocimiento

• COBIT 5: Relación positiva con PMBOK

• Auditoría de una PMO – Debilidades frecuentes

• Interacciones de una PMO bajo el enfoque IT- GRC

• Conclusiones y preguntas de cierre

Toda Organización tiene Proyectos

Proyecto: “Es un esfuerzo temporario realizado para elaborar progresivamente un producto, servicio o resultado único” (PMBOK, PMI)

Monitoreo y Control

Fase

s d

el P

roye

cto

El Problema

(*) Fuente: The Standish Group – CHAOS Report 2009

• Solo 1/3 de los Proyectos son Exitosos (*)

¿Parcial Éxito o Parcial Fracaso?

(*) Fuente: The Standish Group – CHAOS Report 2009

Respuestas al Problema

Agenda








Definiciones de PMO

PMBOK: “Sector con responsabilidades asignadas en relación a la gestión centralizada y coordinada de aquellos proyectos bajo su jurisdicción”

COBIT 5: “La función responsable de soportar a los gerentes de programas y proyectos, recopilando, evaluando y reportando información acerca del conducir de sus programas y proyectos que los constituyen” (Fuente: COBIT 5º Ed – ISACA – Matrices RACI – Framework Pag. 77)

Clasificaciones de PMO

Por Ámbito de la PMO: • Un Programa (y sus proyectos) • Una Gerencia (ej. TI) • Enterprise PMO

Por Tipo de PMO: • Estación Meteorológica • Torre de Control • Pool de Recursos

(Fuente: Cassey & Peck (2001)

Funciones típicas de la PMO

• Elabora informes sobre estado de los proyectos

• Mantiene la documentación de los proyectos

• Define la metodología a utilizar y la difunde

• Crea los templates y las bases de conocimiento

• Apoya a los PMs para evitar/recuperar desvíos

• Define Roles y Herramientas para la gestión

• Coordina las prioridades de los proyectos

• Gestiona RRHH y asigna PMs según el proyecto

- I N F L U E N C I A

+

(*) Fuente: 27 funciones de la PMO según Hobbs & Aubry (2007)

Beneficios esperados de la PMO

•Aproximación consistente, estandarizada, reutilizable y eficiente para la gestión de proyectos.

•Reducción de costos de gestión de proyectos.

•Roles y responsabilidades claros.

•Alineamiento estratégico con el Negocio.

•Comunicación efectiva con los Stakeholders.

•Mejora continua por Bases de conocimiento

Escenario Real: COBIT + PMBOK

COBIT

ITIL CMMI

BALANCED SCORECARD

6SIGMA PMBOK

Agenda








Metodología PMBOK del PMI

PMI:

• Project Management Institute (USA’69)

• 340k Miembros en 70 países

PMBOK 5ª Edición:

• Fundamentos para Dirección de Proyectos

• 1ª Versión en 1996, última Agosto/2012

• 47 Procesos en 10 áreas de conocimiento

totalmente compatibles con COBIT5

Las Áreas de Procesos del PMBOK


1. Gestión de la Integración del Proyecto:

• Desarrollar el Acta de Constitución del Proyecto • Desarrollar el Plan para la Dirección del Proyecto • Dirigir y Gestionar la Ejecución del Proyecto • Monitorear y Controlar el Trabajo del Proyecto • Realizar Control Integrado de Cambios • Cerrar el Proyecto o la Fase

Integrar

I

P

E

M

M

C


2. Gestión del Alcance del Proyecto:

• Recopilar los Requisitos • Definir el Alcance • Crear Estructura de Desglose del Trabajo (WBS) • Verificar el Alcance • Controlar el Alcance

P

P

P

M

M

Alcance


3. Gestión del Tiempo del Proyecto:

• Definir las Actividades • Secuenciar las Actividades • Estimar los Recursos para las Actividades • Estimar la Duración de las Actividades • Desarrollar el Cronograma • Controlar el Cronograma

P

P

P

P

P

Tiempos

M


4. Gestión del Costo del Proyecto:

• Estimar los Costos • Determinar el Presupuesto • Controlar los Costos

P

P

M

Costos

5. Gestión de la Calidad del Proyecto:

• Planificar la Calidad • Realizar el Aseguramiento de Calidad • Realizar el Control de Calidad

P

E

M

Calidad


6. Gestión de los RR.HH. del Proyecto:

• Desarrollar el Plan de Recursos Humanos • Adquirir el Equipo del Proyecto • Desarrollar el Equipo del Proyecto • Gestionar el Equipo del Proyecto

P

E

E

RR.HH.

E


7. Gestión de los Reportes del Proyecto:

• Planificar las Comunicaciones • Distribuir la Información • Gestionar las Expectativas de los Interesados • Informar el Desempeño

P

E

Reportes

E

M


8. Gestión de los Riesgos del Proyecto:

• Planificar la Gestión de Riesgos • Identificar los Riesgos • Realizar Análisis Cualitativo de Riesgos • Realizar Análisis Cuantitativo de Riesgos • Planificar la Respuesta a los Riesgos • Dar seguimiento y Controlar los Riesgos

P

P

P

Riesgos

P

P

M


9. Gestión de las Compras del Proyecto:

• Planificar las Adquisiciones • Efectuar las Adquisiciones • Administrar las Adquisiciones • Cerrar las Adquisiciones

P

E

M

Compras

C


10. Gestión de los Interesados del Proyecto:

• Identificar a los Interesados • Planificar la Gestión de los Interesados • Planificar el Compromiso de los Interesados

• Gestionar el Compromiso de los Interesados

• Controlar el Compromiso de los Interesados

P

E

M

Interesados

P

I

Agenda








Relación de COBIT con PMBOK

Fuente: COBIT 5 – Framework (ISACA) - 2012

Relación de COBIT 5 con PMBOK

Fuente: COBIT 5 – Framework (ISACA) - 2012

Procesos de COBIT 5

COBIT 5 – Proceso BAI01

Metas y Métricas del Proceso BAI01

Matriz RACI del Proceso COBIT-BAI1

COBIT 5 (BAI01) y PMBOK - Relaciones

• Trazabilidad total entre proyectos, las Metas de TI,

las Metas del Negocio y los Objetivos de Gobierno.

• Incorpora prácticas para la gestión de Programas

• Foco: Requisitos de seguridad y control interno

• Incluye métricas predifinidas y Matriz RACI

• Utiliza Nivel de Madurez según la ISO/IEC 15504

• Guías de Auditoría COBIT con objetivos de control

Potenciando PMBOK con COBIT 5

Agenda








Auditoría de PMO – Hoja de Ruta

Entrevistar a Roles Claves

• Responsables de:

– Oficina de Gestión de Proyectos (PMO)

– Gestión de Riesgos (CRO)

– Gestión de la Calidad

– Control de Gestión

• Project Managers de los Proyectos más críticos

• Sponsors de los Proyectos más críticos

• Alta Gerencia / Board / Comités

• Usuarios claves

Evidencia a Requerir y Analizar

• Organigrama, Misiones y Funciones de la PMO

• Políticas y Procedimientos en relación con la PMO

• Metodología para la Gestión de Proyectos

• Documentación Técnica del Software de la PMO

• Plan Estratégico de Negocio y de IT

• Listado de Programas y Proyectos bajo la PMO

• Contratos de Proveedores que atienden a la PMO

• Estándares y templates establecidos por la PMO

Evidencia a Requerir y Analizar

• Recopilar evidencia sobre proyectos críticos: – Actas formales de constitución de los proyectos

– Registros de Stakeholders y sus Matrices

– Cronogramas y presupuestos de la línea base

– Documentos de lecciones aprendidas

– Evidencias de revisiones post-cierre

– Análisis de riesgos y planes de respuesta

– Evidencias de capacitaciones realizadas a los PMs

– Reportes de progreso distribuidos oportunamente

Debilidades frecuentes (E)

• Falta de concientización de Alta Gerencia sobre PM

• Proyectos críticos fuera de la órbita de la PMO

• Ausencia de una metodología unificada para PMO

• Inadecuada priorización y evaluación de proyectos.

• Ausencia de Políticas, Procedimientos y Estructura

• Expectativas de los Stakeholders no identificadas

Debilidades frecuentes (T)

• Falta de capacitación de los PM sobre metodología

• Ausencia de un sistema de gestión de proyectos

• Conflicto de recursos compartidos entre proyectos

• Falta de KB para incorporar lecciones aprendidas

• Riesgos de los proyectos no gestionados

• Falta de herramientas metodológicas (templates)

Debilidades frecuentes (O)

• Fallas de servicios de la PMO hacia los PM

• Ausencia de reportes de estado de los proyectos

• Debilidades de monitoreo y control sobre los PM

• Falencias de documentación de respaldo

• Desvíos no detectados/alertados oportunamente

• Falta de revisiones post-cierre de proyectos

Agenda








Relación de la PMO con el IT-GRC

IT-GRC: Enfoque holístico para maximizar la creación de valor desde IT para los stakeholders, alineando e integrando las actividades que la organización realiza sobre:

Gobierno Corporativo de IT

Gestión Integral del Riesgo (ERM)

Cumplimiento de leyes y regulaciones

PMO y Governance of Enterprise IT

EDM03: Garantizar que el apetito y la tolerancia respectos a los riesgos para el valor de la organización son entendidos, articulados, comunicados, gestionados, optimizados, minimizando el riesgo de falta de Compliance

APO12: Continuamente identificar, evaluar, reducir los riesgos de dentro de los niveles fijados por la Dirección, en forma integrado al ERM, balanceando costos y beneficios para la organización.

Incluye la práctica BAI01.10 para gestionar riesgos de los proyectos, con actividades y roles en las matrices RACI, para interactuar con el proceso APO12.

Gestionar

Riesgos

Garantizar

Optimización de

los Riesgos

PMO y Risk Management de IT

Evaluar si los procesos de IT y los procesos de negocio soportados por IT, cumplen con leyes, regulaciones y cláusulas de contratos, asegurándose de que los requsitos han sido identificados y cumplidos e integrando el IT Compliance con el Compliance Corporativo

Incluyen prácticas y actividades para tratar de garantizar el Compliance de IT, junto con un rol al efecto en las matrices RACI, no limitándose al Compliance externo sino también con los principios y políticas determinados por el Gobierno Corporativo.

MEA03

Monitorear y Evaluar

Compliance con

Requerimientos

Externos

PMO y Compliance de IT

La PMO bajo el enfoque IT-GRC

Compliance

Agenda








Conclusiones de Cierre

Una PMO basada en el estándar PMBOK (PMI):

• Agrega valor para el éxito de los Proyectos

• Puede convivir y potenciarse con COBIT 5

• Implica riesgos que deben ser auditados

• Es compatible con el enfoque IT-GRC

Conclusiones de Cierre

+ Mejor! Más!

=

Preguntas y Respuestas

¡Muchas Gracias!

Lic. Franco N. Rigante, CISA,CRISC,PMP

[email protected]

Blog: http://francoitgrc.wordpress.com

@FrancoIT_GRC

mailto:[email protected]

http://francoitgrc.wordpress.com/

Colaborar – Contribuir – Conectar

El Knowledge Center es una colección de recursos y comunidades en línea que conecta los miembros de ISACA – globalmente, sobre industrias y por enfoque profesional – todo en un solo lugar. Usted puede agregar o responder a una discusión, publicar un documento o link, conectar con otros miembros de ISACA, o crear un wiki por participando en una comunidad hoy!

http://www.isaca.org/Knowledge-Center

http://www.isaca.org/Knowledge-Center/Pages/default.aspx



Auditando con COBIT una Oficina de Gestión de Proyectos ... · PDF fileGestión...

Documents

Transcript of Auditando con COBIT una Oficina de Gestión de Proyectos ... · PDF fileGestión...