Cobit
-
Upload
sofi-galarza-caceres -
Category
Documents
-
view
48 -
download
3
description
Transcript of Cobit
Welcome!
METODOLOGIAS DE GESTION METODOLOGIAS DE GESTION DE
LA CALIDAD
Welcome!
MBA ING. YSABEL ROJAS SOLISEspecialista en Gestión de Proyectos TIC y Mejora d e [email protected]
1. Sesión Introductoria : La Organización y los procesos2. Aseguramiento de Calidad y Control de Calidad3. Estándares de calidad – ISO 9001-20084. Estándares de calidad – NTP ISO IEC12207 /Modelo de Ev.
SPICE
Temario
SPICE5. Modelo Integrado de madurez de la capacidad (CMMI V 1.2)6. Testing : Pruebas de SW y Tipos7. ITIL V3 la Gestión de Procesos de servicio8. Seminario de Gestión de Proyectos TIC - EXAMEN PARCIAL9. SIX-SIGMA10. COBIT V4.111. Sistema de Gestión Ambiental ISO 14001:200412. Integración de Trabajos de Proyectos Grupales13. ISO 27001 Sistema de gestión de la seguridad de la informació n14. Seminario de Integración del Curso - EXAMEN FINAL
•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y
ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores
“TI ha estado corriendo por un largo tiempo desatendiendo en largo tiempo desatendiendo en los últimos 30 años el negocio”
J. Welch 1997
OBI TMC T
Un estándar de Aplicación Mundial
Governance, Control and Audit for Information and Related Technology
Definición de Cobit
Control
OBjectives
for Informationfor Information
and Related Technology
Governance, Control and Audit for Information and Related Technology
Alcances y objetivos:Alcances y objetivos:
�� EstándaresEstándares generalmentegeneralmente aplicadosaplicados yyaceptadosaceptados parapara laslas buenasbuenas prácticasprácticas dedecontrolcontrol enen TITI (Tecnologías(Tecnologías dede lala Información)Información)
�� ParaPara SistemasSistemas dede InformaciónInformación dede lala�� ParaPara SistemasSistemas dede InformaciónInformación dede lalaOrganizaciónOrganización
�� FundamentadoFundamentado enen unauna estructuraestructura dede controlcontrol dedelaslas TITI
�� BasadoBasado enen loslos ObjetivosObjetivos dede ControlControl dede ISACFISACF..
Antecedentes
� En 1992, comenzó la actualización de los objetivos de control de ISACA
� En 1996, ISACA publicó para � En 1996, ISACA publicó para los profesionales de TI un marco de prácticas control de la TI generalmente aplicables y aceptadas
OObjetivos de Controlbjetivos de Control
para Información para Información yy
TTecnologías Relacionadasecnologías Relacionadas
Antecedentes
� En 1998 fue actualizado y se publicó una segunda versión a la que se le incorporó las “Herramientas de implantación” y CD.
� En 1999 se publicaron los “Objetivos de Control para redes”
� En septiembre del 2000 se publicó la 3ra. Edición
� Actualmente la version 4.1
Misión
Investigar, desarrollar, publicar y promover un conjunto de objetivos de
control para tecnología de información, que sea internacional y este actualizado que sea internacional y este actualizado
para uso cotidiano de gerentes, auditores y usuarios.
Usuarios
� La Gerencia: apoyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible
� Los Usuarios Finales: obtienen una garantía sobre el control y seguridad de los productos que adquieren interna y control y seguridad de los productos que adquieren interna y externamente
� Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido.
� Los Responsables de TI: para identificar los controles que requieren en sus áreas.
� Organismos estatales de control:para saber que es lo mínimo que pueden exigir.
Orientación al negocio
� Vincula metas de negocio con metas de TI
� Brinda metricas� Brinda metricas
� Brinda Modelos de madurez
� Identifica la responsabilidad de los propietarios de negocio y de TI
Proceso Cobit Proceso Cobit
Características
� Orientado al negocio
� Alineado con estándares y regulaciones “de facto”
� Basado en una revisión crítica y analítica de las � Basado en una revisión crítica y analítica de las tareas y actividades en TI
� Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)
•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y
ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores
Qué es Governance?� Gobierno – Adecuada Dirección
� Capacidad – Logros
� Responsabilidad – Diligencia ConocimientoConocimiento
� Calidad - necesidad de control
� Medición – suministro de información
� Alineamiento
� Recursos apoyando el cumplimiento de objetivos
Niveles de Governance
� Corporate Governance
� Enterprise Governance
� IT Governance� IT Governance
� Informaction Security Governance
� La forma en que la organización está alcanzando� efectividad, eficiencia� ética, valores, estándares éticos
� A nivel de compañía� Tratamiento de accionistas minoritarios
Corporate GovernanceCenter for Central Banking Studies - Bank of England - CCBS BoE
� Tratamiento de accionistas minoritarios� Independencia de la Junta� Divulgación de información� Mejores prácticas de negocio
� A nivel país� Ambiente regulatorio y legal – exigencias legales� Impulso a la inversión
Si un país no tiene reputación de aplicar buenas pr ácticas de gobierno corporativo, el capital se irá. Si los inversionist as no están contentos con el nivel de confidencialidad, el capital se irá. Sí un país opta por estándares contables y de reporte laxos, el capital se irá
Uso eficiente de los recursos de TI para apoyar el cumplimiento de los
objetivos del negocio
IT GovernanceISACA – Information Systems Control and Audit Association
IT / Governance
“Es el proceso de administración que asegura la obtención de los beneficios
esperados de la tecnología de información (TI) de manera controlada para (TI) de manera controlada para
acrecentar el éxito sostenido de una empresa a largo plazo”
IT Governance Roundtable
Sponsored by the IT Governance Institute
27 March 2000; Oslo, Norway
IT Governance� Por qué IT Governance
� Debida diligencia
� Criticidad
� Importancia estratégica
Qué deben hacer?� Qué deben hacer?� Junta
� Gerencia
� Auditores
� Framework del IT Governance� Definición
� Framework
� Ciclo de vida
� Actividades
IT Governancecomo elemento estratégico de la empresa
CorporateGovernance
IT Governance
Direccionay establece
Rol de la Junta
� Orientar TI a dar valor a los interesados
� Adoptar un framework de IT Governance
Realizar las preguntas correctas� Realizar las preguntas correctas
� Enfocarse en� El alineamiento de TI con el negocio
� Entregar valor
� Administrar riesgos
� Medir resultados
Rol de la Gerencia� Alinear la estrategia de TI con los objetivos de negocio
� Aterrizar en la organización las estrategias y objetivos
� Definir estructuras organizacionales que faciliten la implementación de la estrategia
Adoptar un framework de riesgo, control y gobierno� Adoptar un framework de riesgo, control y gobierno
� Proveer la infraestructura de TI que facilite la creación y el compartir información del negocio
� Asignar responsables de la gestión de riesgos en la organización
� Enfocarse en los procesos importantes de TI y en su apoyo a las competencias del negocio
� Medir el desempeño (Balance Scorecard)
Rol de la Auditoria
� Obtener un entendimiento de IT Governance
� Apoyar a la Junta y a la Gerencia en sus roles
� Recomendar la adopción de un framework de control y gobierno de TI control y gobierno de TI
� Definir estructuras organizacionales en sus áreas que faciliten una implementación estratégica de ese framework
� Medir su propio desempeño (Balance Scorecard)
IT Governancecomo elemento estratégico de la empresa
CorporateGovernance
Actividades de la empresa
IT Governance
Direccionay establece
Actividades de IT
Requiereninformación
de
Actividades de TI
� Planeación y Organización
� Adquisición e Implementación
� Entrega y Soporte� Entrega y Soporte
� Monitoreo� Sobre Recursos (Datos, SW, Tecnología, Gente, Instalaciones)
� Buscando efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento, confiabilidad
Responsabilidades Administrativas TIResponsabilidades Administrativas TI
�� Salvaguardar ActivosSalvaguardar Activos
�� La Información como el ACTIVO más La Información como el ACTIVO más �� La Información como el ACTIVO más La Información como el ACTIVO más importante importante
La Necesidad del Control La Necesidad del Control
en TIen TI
�� AdministradoresAdministradores
�� UsuariosUsuarios
�� AuditoresAuditores
Estructura Conceptual
Si no existiese gobierno de TI ; ejemplos de proble mas que se dan en una organización
•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y
ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores
Necesidad por una EstructuraNecesidad por una Estructura
�� Orientación al ControlOrientación al Control�� RelacionarRelacionar objetivosobjetivos dede controlcontrol individualesindividuales
concon loslos Estándares,Estándares, RegulacionesRegulaciones yyconcon loslos Estándares,Estándares, RegulacionesRegulaciones yyPrácticasPrácticas existentesexistentes..
�� UsadoUsado porpor Auditores,Auditores, AdministradoresAdministradores yyUsuariosUsuarios
Recursos de Tecnología de Recursos de Tecnología de InformaciónInformación
�� Datos Datos �� Sistemas de Aplicación Sistemas de Aplicación �� Sistemas de Aplicación Sistemas de Aplicación �� TecnologíaTecnología�� Instalaciones Instalaciones �� PersonalPersonal
Recursos de TIDatos: Todos los objetos de información. Considera información interna yexterna, estructurada o nó, gráficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de información, que integranprocedimientos manuales y sistematizados.
Tecnología:incluye hardware y software básico, sistemas operativos, sistemasde administración de bases de datos, de redes, telecomunicaciones,de administración de bases de datos, de redes, telecomunicaciones,multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a lossistemas de información.
Recurso Humano: Por la habilidad, conciencia y productividad del personalpara planear, adquirir, prestar servicios, dar soporte y monitorear los sistemasde Información.
Características
REGLA DE ORO DE COBITPara proveer la información que requiere la organización para lograr sus objetivos, los organización para lograr sus objetivos, los recursos de TIdeben ser administrados por
un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a
prácticas normalmente aceptadas.
Definición de ControlDefinición de Control
““LasLas Políticas,Políticas, Procedimientos,Procedimientos, PrácticasPrácticas yyEstructuraEstructura Organizacional,Organizacional, diseñadasdiseñadas paraparaproveerproveer unauna razonablerazonable seguridadseguridad dede queque loslosproveerproveer unauna razonablerazonable seguridadseguridad dede queque loslosobjetivosobjetivos deldel negocionegocio seránserán alcanzadosalcanzados yyloslos eventoseventos indeseadosindeseados seránserán prevenidosprevenidos oodetectadosdetectados yy corregidoscorregidos..””
Requerimientos de la Información del Negocio
Requerimientos de Calidad
Calidad (cumplimiento de requerimientos)
Costo (dentro del presupuesto).
Oportunidad (en el tiempo indicado)
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Requerimientos Financieros
(COSO)
Requerimientos de Seguridad
Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Oportunidad (en el tiempo indicado)
Confidencialidad.
Integridad.
Disponibilidad.
•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y
ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores
Procesos de TI - Los 3 Niveles
DominiosAgrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional
Procesos
Conjuntos de actividades unidas con delimitación o cortes de control.
Actividadeso tareas Acciones requeridas para lograr un
resultado medible. Las Actividadestienen un ciclo de vida mientras que las tareas son discretas.
CICLO PHVACICLO PHVA
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
CobiT
Objetivos del Negocio
Planeación y Organización
Seguimiento
1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento inndependiente4. Proveer una auditoría independiente
IT. Governance1. Definir un plan estratégico de TI2. Definir la arquitectura de información3. Determinar la dirección tecnológica4. Definir la organización y relaciones de TI5. Manejo de la inversión en TI6. Comunicación de la directrices Gerenciales7. Administración del Recurso Humano8. Asegurar el cumplir requerimientos externos9. Evaluación de Riesgos10. Administración de Proyectos11. Administración de Calidad
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Disponibilidad, Cumplimiento, Confiabilidad Organización
Adquisición eImplementación
Prestación de Servicio y Soporte
1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Instalación y Acreditación de sistemas6. Administración de Cambios
1.Definición del nivel de servicio2.Admistración del servicio de terceros3.Admon de la capacidad y el desempeño4.Asegurar el servicio continuo5.Garantizar la seguridad del sistema6.Identificación y asignación de costos7.Capacitación de usuarios8.Soporte a los clientes de TI9.Admistración de la configuración10.Administración de problemas e incidentes11.Administración de datos12.Administración de Instalaciones13.Administración de Operaciones
Planeación y Organización(Planning and Organization)Adquisición e implementación
Dominios de TI
Adquisición e implementación(Acquisition and Implementation)Prestación de Servicios y Soporte(Delivery and Support)Seguimiento (monitoring)
Dominios del Cobit
Planeacion yy
Organización
Este dominio cubre estrategia y táctica, y se relacionacon la identificación de la forma en que TI puedecontribuir mejor al logro de los objetivos de negocios.Más aún, la realización de la visión estratégica debeMás aún, la realización de la visión estratégica debeser planificada, comunicada y administrada paradiferentes perspectivas.Finalmente, se debe poseer una apropiadaorganización además de una infraestructuratecnológica.
•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y
ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores
Planeación y OrganizaciónAbarca aspectos estratégicos y tácticosSe vincula con la identificación de la forma en que
Dominios de TI
Se vincula con la identificación de la forma en que la tecnología de información puede contribuir la manera más adecuada con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas.
Procesos de TI
Planeac ión y Organización
1. Definir un plan estratégico de TI2. Definir la arquitectura de información3. Determinar la dirección tecnológica3. Determinar la dirección tecnológica4. Definir la organización y relaciones de la Funció n TI5. Administrar la inversión en TI6. Comunicación de la directrices Gerenciales7. Administración del Recurso Humano8. Asegurar el cumplimiento d requerimientos externo s9. Evaluación de Riesgos10. Administración de Proyectos11. Administración de Calidad
Dominios de TI
Adquisición eImplementación
Para realizar la estrategia TI, se deben identificar,desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantenciónde sistemas existentes son cubiertas por éste de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.
Adquisición e Implementación
Identificación, desarrollo o adquisición de soluciones de TI.
Dominios de TI
Implantación e integración en el proceso de negocio.
Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.
Procesos de TI
Adquisición eImplementación
1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de T I5. Instalación y Certificación de sistemas6. Administración de Cambios
Dominios de TI
Prestación de servicios
y soporte
Procedimientos manuales y programados. real deservicios requeridos, la cual va desde operacionestradicionales en seguridad y aspectos de continuidada capacitación. Para entregar servicios, se debenpreparar los procesos de respaldo necesarios. Este
.
.
preparar los procesos de respaldo necesarios. Estedominio incluye procesamiento real de datosmediante procesos de aplicaciones, a menudoclasificados bajo controles de aplicaciones.
Prestación de Servicios y Soporte
Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta
Dominios de TI
sobre aspectos de seguridad y continuidad hasta capacitación.
Procesos de soporte necesarios.
Procesamiento real de los datos por los sistemas de aplicación.
Procesos de TI
Prestación de Servicio y Soporte
1. Definición del nivel de servicio2. Administración del servicio de terceros2. Administración del servicio de terceros3. Administración de la capacidad y el desempeño4. Asegurar el servicio continuo5. Garantizar la seguridad del sistema6. Identificación y asignación de costos7. Capacitación de usuarios8. Soporte a los clientes de TI9. Administración de la configuración10. Administración de problemas e incidentes11. Administración de datos12. Administración de Instalaciones13. Administración de Operaciones
Dominios de TI
Todos los procesos TI deben ser evaluadosregularmente en el tiempo para su calidad ycumplimientocon requerimientos de control. Este dominio, por
Monitoreo
con requerimientos de control. Este dominio, porconsiguiente, aborda la supervisión por parte de lagerencia del proceso de control de la organización y lagarantía independiente proporcionada por auditoríainterna y externa, o se obtiene de fuentes alternativas.
Monitoreo/Seguimiento
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.
Dominios de TI
los requerimientos de control.
Seguimiento de la gerencia sobre los procesos de control de la organización.
Garantía independiente provista por la auditoría interna y externa u obtenida de fuentes alternas.
Procesos de TI
Monitoreo / Seguimiento
1. Seguimiento de los procesos2. Evaluación de lo adecuado del control Interno2. Evaluación de lo adecuado del control Interno3. Obtener aseguramiento independiente4. Proveer una auditoría independiente
Ejemplo: Dominio Planeación y Organización
PO7. Administración de Recursos Humanos
7.1. Reclutamiento y promoción depersonalpersonal
� Políticas de reclutamiento y promoción delpersonal.
� Proceso formal de reclutamiento ypromoción del personal.
� Aspectos a considerar como la educación,experiencia y responsabilidad.
7.2. Personal calificado.
� Definición de requerimientos del puesto.
Ejemplo: Dominio Planeación y Organización
PO7. Administración de Recursos Humanos
� Definición de requerimientos del puesto.
� Proceso de verificación de la calificación delas personas.
Ejemplo: Dominio Planeación y Organización
PO7. Administración de Recursos Humanos
7.3. Entrenamiento del personal.
� Proceso de inducción de nuevos empleados� Proceso de inducción de nuevos empleadosen la Empresa.
� Programa de capacitación de acuerdo a losrequerimientos de cargo.
� Proceso periódico de revisión del programade capacitación.
7.4. Proceso cruzado o respaldo depersonal.
Ejemplo: Dominio Planeación y Organización
PO7. Administración de Recursos Humanos
personal.
� Identificación de los puestos claves.
� Programa de entrenamiento cruzado (puestosclaves).
� Programa de vacaciones/control decumplimiento.
7.5. Procedimiento de acreditación delpersonal
Ejemplo: Dominio Planeación y Organización
PO7. Administración de Recursos Humanos
personal
� Procedimiento de verificación de antecedentesdel personal previo a su contratación ocambio.
� Consideración en el procedimiento de susituación financiera.
7.6. Evaluación desempeño de losempleados.� Pauta de evaluación del desempeño de los
Ejemplo: Dominio Planeación y Organización
PO7. Administración de Recursos Humanos
Pauta de evaluación del desempeño de losempleados.
� Consideración de estándares y responsabilidades delcargo que ocupa el empleado.
� Procedimiento formal de aplicación periódica de dichapauta.
� Procedimiento formal de entrega de resultados al
empleado.
7.7. Cambios de puesto y despidos.
� Procedimiento formal y conocido, para eldespido y cambio del puesto, del personal
Ejemplo: Dominio Planeación y Organización
PO7. Administración de Recursos Humanos
despido y cambio del puesto, del personal
� Procedimiento para la eliminación/suspensióninmediata de las passwords de acceso a losambientes computacionales, sistemas y datos,de cada persona despedida o trasladada aotro cargo.
Requerimientos del Negocio hacia la Información
Requerimientosde calidad
CalidadCostoEntregaEntrega
RequerimientosFiduciarios
(Informe COSO)
Efectividad & Eficiencia de operacionesConfiabilidad de InformaciónCumplimiento con leyes & regulaciones
Requerimientosde Seguridad
ConfidencialidadIntegridadDisponibilidad
Requerimientos del Negocio hacia la Información
Efectividad
Eficiencia Se relaciona con la provisión de información a través del óptimo
Trata con información que es relevante y pertinente al proceso
de negocio, además de ser entregada de una manera oportuna,
correcta, consistente y utilizable.
Eficiencia Se relaciona con la provisión de información a través del óptimo
(más productivo y económico ) uso de recursos.
Confidencialidad Se relaciona con la protección de información sensible a
divulgación No autorizada.
IntegridadSe relaciona con la exactitud e integridad de información así
como también con su validez en conformidad con valores y
expectativas del NEGOCIO.
Requerimientos del negocio hacia la Información
DisponibilidadSe relaciona con información disponible al ser requeridapor el proceso de negocio ahora y en el futuro. Serelaciona con el resguardo de recursos necesarios ycapacidades asociadas.
CumplimientoTrata con el cumplimiento de aquellas leyes, regulacionesy arreglos contractuales a los cuales está sujeto el procesode negocio; es decir, criterios de negocios impuestosexternamente.
Se relaciona con la provisión de información apropiada ala gerencia para operar la entidad y para que la gerenciaejerza sus responsabilidades de informar cumplimiento.
Confiabilidad de Información
•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y
ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores
* Resumen ejecutivo -- “Hay un metodo...”
* Marco -- “El metodo es...”
Los Elementos de C OBIT
* Objetivos de Control -- “Minimos Controles son...”
* Guia de Implementacion -- “Aqui esta como
Implementar...”
* Guias administrativas -- “Aqui esta como medir...”
* Guias de auditoria -- “Aqui esta como auditar...”
Elementos del Cobit
� Resumen Ejecutivo� Marco de Referencia (Framework)� Objetivos de Control� Guías de Auditoría� Guías de Auditoría� Guías de Administración � Herramientas de implementación� CD-ROM� 2a Edición disponible en español
Resumen Ejecutivo
� Documento dirigido a la alta gerencia
� Presenta los antecedentes y la estructura básica deCOBIT.
Describe de manera general los procesos,los� Describe de manera general los procesos,losrecursos y los criterios de información, los cualesconforman la “Columna Vertebral” de COBIT.
Marco de Referencia
� Incluye la introducción contenida en el resumenejecutivo
� Presenta las guías de navegación para que loslectoresseorientenen la exploracióndel materiallectoresseorientenen la exploracióndel materialde COBIT.
� Hace una presentación detallada de los 34procesos contenidos en los cuatro dominios.
Objetivos de Control
� Integran en su contenido lo expuesto tanto en elresumen ejecutivo como en el marco de referencia
� Presenta los objetivos de control detallados paracadaunodelos34procesos.cadaunodelos34procesos.
� En total se describen 318 objetivos de control (de3 a 30 objetivos por cada uno de los procesos)
Guías de Auditoría
� Se hace una presentación del proceso de auditoríageneralmente aceptado (relevamiento deinformación, evaluación de control, evaluación decumplimientoy evidenciacióndelos riesgos).cumplimientoy evidenciacióndelos riesgos).
� Este documento incluye guías detalladas paraauditar cada uno de los 34 procesos teniendo encuenta los 318 objetivos de control detallados.
Guías de Administración
� Se enfoca de manera similar a los otros productos� Integra los principios del Balanced Business
Scorecard.� Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control, integra losniveles de seguridad y control, integra losconceptos de:� Modelo de madurez CMM(prácticas de Control)� Factores Críticos de Éxito a tener en cuenta para
mantener bajo control los procesos de TI.� Indicadores claves de logro en los procesos de TI� Indicadores claves de Desempeño de los procesos de TI
Complementos de COBIT
Information Technology StrategicCommitteeBalance ScorecardBalance ScorecardCOBIT on -lineCOBIT Quickstart
Balance Scorecards (BSC)
El Balance Scorecard (BSC) es un sistema de mediciòn desasrrollado por Robert S. Kaplan y David P. Norton con la
Procesos
Kaplan y David P. Norton con la intenciòn de complementar los sistemas tradicionales de evaluación de desempeño de las empresas, los cuales se orientaban primordialmente a los indicadores financieros
BSC
Aprendizaje yconocimiento
Clie
ntes
Finanzas
BSC para TI• Valor de negocio derivado de
proyectos de TI• Logros de sinergia• Inversiones en TI• Contribuciòn estratègica
• Alianzas de TI/Negocio• Satisfacciòn del cliente• Desempeño de entrega de
aplicaciones• Desempeño de niveles de
servicio
Contribuciòn corporativa
Orientaciòn al usuario de TI
BSCpara TI
• Capacidad de mejora de servicios
• Evoluciòn de arquitecturas• Investigaciòn de tecnologìa• Administraciòn del
conocimiento
• Productividad, eficiencia y calidad
• Oportunidad de respuesta• Costo interno de calidad• Seguridad• Administraciòn de rezagos
corporativa usuario de TI
Orientaciòn futura
Excelencia operacional
Procesos claves en IT Governance
Planeación y Alineamiento Estratégico
Alineamiento con los Objetivos de NegocioComité Estratégico de TI (Priorización)
Estándares en estrategia y arquitectura de TISeguimiento de proyectos de TI
Comité de SeguimientoSoporte a iniciativas empresariales estratégicas
Financieros
Presupuesto operativo de TIPresupuesto de capital de TIAdministración de activos de TIAdministración de contratos de TIAllocation y planeación de recursos de TI
Principles of IT Governance, Stacey Hamaker, Inform ation Systems Control Journal, Volume 2, 2004
Operaciones de TIDesarrollo de aplicaciones
Administración de ProyectosCiclo de Vida para el Desarrollo de Sistemas
Soporte a producciónControl y operación de producciónProgramación de trabajosBackups del sistema
Arquitectura técnicaDiseño, administración y operación de la redSoporte a usuariosAdministración de seguridad informáticaContinuidad de negocio y recuperación de desastres
Frameworks de ControlPolíticas Gerenciales de Información
Corporativa – privacidad, propietarios deprocesos de negocio, retención de registros
Departamento de TI – CVDS, seguridadEstándares – COBIT, ITIL, ISO, SAS70Prácticas y procedimientosAdministración de la documentación del sistemaAseguramiento de calidadCumplimiento regulatorio
Procedimientos de escalamientoProcedimientos de divulgación
Administración de contratos y de vendedores
•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y
ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores
Modelo de Madurez
El Modelo de Madurez es una forma de medir el grado dedesarrollo de los procesos de la organización.Este modelo define perfiles de organizaciones, en relación alos progresos en el gobierno de TI de cada una de ellas.Atiendeaspectostalescomo:Atiendeaspectostalescomo:
� el grado de formalidad con que se cumplen los procesos� el reconocimiento de que existen problemas� las posibilidades de entrenamiento y capacitación� el grado de automatización de los procesos� el nivel de avance de la organización en materia de administración
del conocimiento relativo a buenas prácticas en TI.
Modelo de Madurez
Medición de procesos
� Key Success Factors (KSF) Factores críticos de éxito (clave)� Aspectos que son indispensables para el adecuado funcionamiento de un procesofuncionamiento de un proceso
� Key Performance Indicators (KPI)� Mide el funcionamiento de un proceso
� Key Goal Indicators (KGI)� Mide el impacto o consecuencia de un proceso en el contexto de una empresa
� Balance Scorcard
Indicadores Clave de logro (KGIs)
� Definen medidas que informan a la Dirección, luego delhecho, si el proceso tecnológico ha alcanzado losrequerimientos del negocio.
� Usualmente se expresan en términos de criterios deinformación:información:�Disponibilidad de la información necesaria para
atender las necesidades del negocio.�Ausencia de integridad y riesgos de confidencialidad.�Relación costo eficiencia de los procesos y
operaciones.�Confirmación de la veracidad, efectividad y
cumplimiento.
� Ejemplo de estos indicadores son: �Alcanzar los objetivos de retorno de la inversión�Mejorar el desempeño de la Dirección�Reducir los riesgos de TI�
Indicadores Clave de logro (KGIs)
�Mejorar la productividad�Estandarizar los procesos�Aumentar las ventas�Llegar a nuevos clientes y satisfacer a los actuales�Creación de nuevos canales de ventas�Disponibilidad de mayor ancho de banda, potencial de
procesamiento, etc.
Indicadores Clave de Desempeño (KPIs)
� Los Indicadores Claves de Desempeño (KPIs) son medidasque le dicen a la gerencia que un proceso de TI está lograndolos requerimientos del negocio.
� Se obtienen al ir monitoreando el desempeñode los� Se obtienen al ir monitoreando el desempeñode losparticipantes de ese proceso de TI.
� Los KPIs son indicadores enfocados en y miden el desempeñode los factores que hacen posibles los procesos de TI,indicando cuan bien posibilitan que el proceso alcance elobjetivo.
� Mientrás los KGIs se enfocan en el «qué», a los KPIs lesconcierne el «cómo».
� A menudo serán una medida de un Factor Crítico de Éxito y cuando se los monitorea y actúa sobre ellos, se identificarán oportunidades de mejora del proceso.
� Estas mejoras deberían influir positivamente en el producto y
Indicadores Clave de Desempeño (KPIs)
� Estas mejoras deberían influir positivamente en el producto y como tales, los KPIs tienen una relación causa-efecto con los KGIs del proceso.
� Los KPIs están orientados al proceso vs. los KGIs que están direccionados al negocio, y expresarán a menudo cuan bien los procesos y la organización potencian/administran los recursos necesarios.
�Ejemplos de estos indicadores son:�Incremento de la calidad y la innovación �Disponibilidad y tiempo de respuesta del servicio�Satisfacción de los clientes
Indicadores Clave de Desempeño (KPIs)
�Satisfacción de los clientes�Número de funcionarios entrenados en una nueva
tecnología�Mejoras costo/eficiencia de los procesos�Productividad del personal�Cantidad de errores y re-procesos�Número de reportes que no cumplen con las normas
COBIT en América Latina� Uruguay: The Central Bank made CobiT mandatory for the industry, starting 2004. It has also been adopted as
the control model by the Tribunal de Cuentas de la República (GAO equivalent).� Brazil: The Central Bank as also announced that starting 2004, all audits performed to member entities will be
CobiT based. � Argentina:
� The Central Bank has issued CobiT based norms and procedures for all financial institutions. In addition, CobiT has also been used to define the Control Objectives for the local Clearing Houses and ATM Networks that are audited by the Central Bank.
� In the Province (State) of Mendoza, CobiT has been adopted by law and it is the framework being usedtoday by the local GAO (Tribunal de Cuentas) for their IT Governance implementation project (which so far, appears to be a first in Latin America at a State level).
� The SIGEN (Sindicatura General de la Nación) and AGN (Auditoría General de la Nación) (equivalent to theGAO in the US), which are auditing and controlling bodies reporting to the Executive Branch and theThe SIGEN (Sindicatura General de la Nación) and AGN (Auditoría General de la Nación) (equivalent to theGAO in the US), which are auditing and controlling bodies reporting to the Executive Branch and theCongress respectively, have also adopted CobiT.
� Paraguay: In 2002, the Central Bank issued regulations for the banking and finance industries based almostentirely on CobiT, which will go in effect in 2004. First audit under the new framework is scheduled for 3/2004
� Bolivia: The CobiT based regulations enacted by the Central Bank are in their third year of implementation and will become mandatory in 2004.
� Perú: The utilization of CobiT in government is at a very early stage. The Office of the Controller has taken theinitiative to utilize CobiT for training purposes.
� Colombia: The local OCC equivalent (Superintendencia Bancaria de Colombia), has adopted CobiT as theirstandard for the supervision of all local Banks, and it’ll be enforced starting next year. The Central Bank is alsousing CobiT as their framework for IT process management.
� México: Growing interest, particularly in light of SOX. Not mandatory yet. � Costa Rica: The Central Bank and the OCC issued CobiT based resolutions for the banking industry relating to
Control Objectives to be achieved starting 2004. On a related matter, and in case you didn’t know, in Costa Rica all IT Auditors are required to be Cases and audited financial statements for the private industry has to be signedby the financial suitor and a CISA.
Fuente: Isaca, informe sobre la penetración de Cobit en los organismos gubernamentales y de regulación en América latina, Governmental Regulatory agencies Board Task Force No 2, Octubre de 2006
Muchas Gracias!!
La Poste Tunisienne