Cobit

Welcome!

METODOLOGIAS DE GESTION METODOLOGIAS DE GESTION DE

LA CALIDAD

Welcome!

MBA ING. YSABEL ROJAS SOLISEspecialista en Gestión de Proyectos TIC y Mejora d e [email protected]

1. Sesión Introductoria : La Organización y los procesos2. Aseguramiento de Calidad y Control de Calidad3. Estándares de calidad – ISO 9001-20084. Estándares de calidad – NTP ISO IEC12207 /Modelo de Ev.

SPICE

Temario

SPICE5. Modelo Integrado de madurez de la capacidad (CMMI V 1.2)6. Testing : Pruebas de SW y Tipos7. ITIL V3 la Gestión de Procesos de servicio8. Seminario de Gestión de Proyectos TIC - EXAMEN PARCIAL9. SIX-SIGMA10. COBIT V4.111. Sistema de Gestión Ambiental ISO 14001:200412. Integración de Trabajos de Proyectos Grupales13. ISO 27001 Sistema de gestión de la seguridad de la informació n14. Seminario de Integración del Curso - EXAMEN FINAL

•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y

ProcesosProcesos•• Elementos y Complementos CobitElementos y Complementos Cobit•• Modelo de madurez e IndicadoresModelo de madurez e Indicadores

“TI ha estado corriendo por un largo tiempo desatendiendo en largo tiempo desatendiendo en los últimos 30 años el negocio”

J. Welch 1997

OBI TMC T

Un estándar de Aplicación Mundial

Governance, Control and Audit for Information and Related Technology

Definición de Cobit

Control

OBjectives

for Informationfor Information

and Related Technology

Governance, Control and Audit for Information and Related Technology

Alcances y objetivos:Alcances y objetivos:

�� EstándaresEstándares generalmentegeneralmente aplicadosaplicados yyaceptadosaceptados parapara laslas buenasbuenas prácticasprácticas dedecontrolcontrol enen TITI (Tecnologías(Tecnologías dede lala Información)Información)

�� ParaPara SistemasSistemas dede InformaciónInformación dede lala�� ParaPara SistemasSistemas dede InformaciónInformación dede lalaOrganizaciónOrganización

�� FundamentadoFundamentado enen unauna estructuraestructura dede controlcontrol dedelaslas TITI

�� BasadoBasado enen loslos ObjetivosObjetivos dede ControlControl dede ISACFISACF..

Antecedentes

� En 1992, comenzó la actualización de los objetivos de control de ISACA

� En 1996, ISACA publicó para � En 1996, ISACA publicó para los profesionales de TI un marco de prácticas control de la TI generalmente aplicables y aceptadas

OObjetivos de Controlbjetivos de Control

para Información para Información yy

TTecnologías Relacionadasecnologías Relacionadas

Antecedentes

� En 1998 fue actualizado y se publicó una segunda versión a la que se le incorporó las “Herramientas de implantación” y CD.

� En 1999 se publicaron los “Objetivos de Control para redes”

� En septiembre del 2000 se publicó la 3ra. Edición

� Actualmente la version 4.1

Misión

Investigar, desarrollar, publicar y promover un conjunto de objetivos de

control para tecnología de información, que sea internacional y este actualizado que sea internacional y este actualizado

para uso cotidiano de gerentes, auditores y usuarios.

Usuarios

� La Gerencia: apoyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible

� Los Usuarios Finales: obtienen una garantía sobre el control y seguridad de los productos que adquieren interna y control y seguridad de los productos que adquieren interna y externamente

� Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido.

� Los Responsables de TI: para identificar los controles que requieren en sus áreas.

� Organismos estatales de control:para saber que es lo mínimo que pueden exigir.

Orientación al negocio

� Vincula metas de negocio con metas de TI

� Brinda metricas� Brinda metricas

� Brinda Modelos de madurez

� Identifica la responsabilidad de los propietarios de negocio y de TI

Proceso Cobit Proceso Cobit

Características

� Orientado al negocio

� Alineado con estándares y regulaciones “de facto”

� Basado en una revisión crítica y analítica de las � Basado en una revisión crítica y analítica de las tareas y actividades en TI

� Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)

Qué es Governance?� Gobierno – Adecuada Dirección

� Capacidad – Logros

� Responsabilidad – Diligencia ConocimientoConocimiento

� Calidad - necesidad de control

� Medición – suministro de información

� Alineamiento

� Recursos apoyando el cumplimiento de objetivos

Niveles de Governance

� Corporate Governance

� Enterprise Governance

� IT Governance� IT Governance

� Informaction Security Governance

� La forma en que la organización está alcanzando� efectividad, eficiencia� ética, valores, estándares éticos

� A nivel de compañía� Tratamiento de accionistas minoritarios

Corporate GovernanceCenter for Central Banking Studies - Bank of England - CCBS BoE

� Tratamiento de accionistas minoritarios� Independencia de la Junta� Divulgación de información� Mejores prácticas de negocio

� A nivel país� Ambiente regulatorio y legal – exigencias legales� Impulso a la inversión

Si un país no tiene reputación de aplicar buenas pr ácticas de gobierno corporativo, el capital se irá. Si los inversionist as no están contentos con el nivel de confidencialidad, el capital se irá. Sí un país opta por estándares contables y de reporte laxos, el capital se irá

Uso eficiente de los recursos de TI para apoyar el cumplimiento de los

objetivos del negocio

IT GovernanceISACA – Information Systems Control and Audit Association

IT / Governance

“Es el proceso de administración que asegura la obtención de los beneficios

esperados de la tecnología de información (TI) de manera controlada para (TI) de manera controlada para

acrecentar el éxito sostenido de una empresa a largo plazo”

IT Governance Roundtable

Sponsored by the IT Governance Institute

27 March 2000; Oslo, Norway

IT Governance� Por qué IT Governance

� Debida diligencia

� Criticidad

� Importancia estratégica

Qué deben hacer?� Qué deben hacer?� Junta

� Gerencia

� Auditores

� Framework del IT Governance� Definición

� Framework

� Ciclo de vida

� Actividades

IT Governancecomo elemento estratégico de la empresa

CorporateGovernance

IT Governance

Direccionay establece

Rol de la Junta

� Orientar TI a dar valor a los interesados

� Adoptar un framework de IT Governance

Realizar las preguntas correctas� Realizar las preguntas correctas

� Enfocarse en� El alineamiento de TI con el negocio

� Entregar valor

� Administrar riesgos

� Medir resultados

Rol de la Gerencia� Alinear la estrategia de TI con los objetivos de negocio

� Aterrizar en la organización las estrategias y objetivos

� Definir estructuras organizacionales que faciliten la implementación de la estrategia

Adoptar un framework de riesgo, control y gobierno� Adoptar un framework de riesgo, control y gobierno

� Proveer la infraestructura de TI que facilite la creación y el compartir información del negocio

� Asignar responsables de la gestión de riesgos en la organización

� Enfocarse en los procesos importantes de TI y en su apoyo a las competencias del negocio

� Medir el desempeño (Balance Scorecard)

Rol de la Auditoria

� Obtener un entendimiento de IT Governance

� Apoyar a la Junta y a la Gerencia en sus roles

� Recomendar la adopción de un framework de control y gobierno de TI control y gobierno de TI

� Definir estructuras organizacionales en sus áreas que faciliten una implementación estratégica de ese framework

� Medir su propio desempeño (Balance Scorecard)

IT Governancecomo elemento estratégico de la empresa

CorporateGovernance

Actividades de la empresa

IT Governance

Direccionay establece

Actividades de IT

Requiereninformación

de

Actividades de TI

� Planeación y Organización

� Adquisición e Implementación

� Entrega y Soporte� Entrega y Soporte

� Monitoreo� Sobre Recursos (Datos, SW, Tecnología, Gente, Instalaciones)

� Buscando efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento, confiabilidad

Responsabilidades Administrativas TIResponsabilidades Administrativas TI

�� Salvaguardar ActivosSalvaguardar Activos

�� La Información como el ACTIVO más La Información como el ACTIVO más �� La Información como el ACTIVO más La Información como el ACTIVO más importante importante

La Necesidad del Control La Necesidad del Control

en TIen TI

�� AdministradoresAdministradores

�� UsuariosUsuarios

�� AuditoresAuditores

Estructura Conceptual

Si no existiese gobierno de TI ; ejemplos de proble mas que se dan en una organización

Necesidad por una EstructuraNecesidad por una Estructura

�� Orientación al ControlOrientación al Control�� RelacionarRelacionar objetivosobjetivos dede controlcontrol individualesindividuales

concon loslos Estándares,Estándares, RegulacionesRegulaciones yyconcon loslos Estándares,Estándares, RegulacionesRegulaciones yyPrácticasPrácticas existentesexistentes..

�� UsadoUsado porpor Auditores,Auditores, AdministradoresAdministradores yyUsuariosUsuarios

Recursos de Tecnología de Recursos de Tecnología de InformaciónInformación

�� Datos Datos �� Sistemas de Aplicación Sistemas de Aplicación �� Sistemas de Aplicación Sistemas de Aplicación �� TecnologíaTecnología�� Instalaciones Instalaciones �� PersonalPersonal

Recursos de TIDatos: Todos los objetos de información. Considera información interna yexterna, estructurada o nó, gráficas, sonidos, etc.

Aplicaciones: entendido como los sistemas de información, que integranprocedimientos manuales y sistematizados.

Tecnología:incluye hardware y software básico, sistemas operativos, sistemasde administración de bases de datos, de redes, telecomunicaciones,de administración de bases de datos, de redes, telecomunicaciones,multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a lossistemas de información.

Recurso Humano: Por la habilidad, conciencia y productividad del personalpara planear, adquirir, prestar servicios, dar soporte y monitorear los sistemasde Información.

Características

REGLA DE ORO DE COBITPara proveer la información que requiere la organización para lograr sus objetivos, los organización para lograr sus objetivos, los recursos de TIdeben ser administrados por

un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a

prácticas normalmente aceptadas.

Definición de ControlDefinición de Control

““LasLas Políticas,Políticas, Procedimientos,Procedimientos, PrácticasPrácticas yyEstructuraEstructura Organizacional,Organizacional, diseñadasdiseñadas paraparaproveerproveer unauna razonablerazonable seguridadseguridad dede queque loslosproveerproveer unauna razonablerazonable seguridadseguridad dede queque loslosobjetivosobjetivos deldel negocionegocio seránserán alcanzadosalcanzados yyloslos eventoseventos indeseadosindeseados seránserán prevenidosprevenidos oodetectadosdetectados yy corregidoscorregidos..””

Requerimientos de la Información del Negocio

Requerimientos de Calidad

Calidad (cumplimiento de requerimientos)

Costo (dentro del presupuesto).

Oportunidad (en el tiempo indicado)

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

Requerimientos Financieros

(COSO)

Requerimientos de Seguridad

Efectividad y eficiencia operacional.

Confiabilidad de los reportes financieros.

Cumplimiento de leyes y regulaciones.

Oportunidad (en el tiempo indicado)

Confidencialidad.

Integridad.

Disponibilidad.

Procesos de TI - Los 3 Niveles

DominiosAgrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional

Procesos

Conjuntos de actividades unidas con delimitación o cortes de control.

Actividadeso tareas Acciones requeridas para lograr un

resultado medible. Las Actividadestienen un ciclo de vida mientras que las tareas son discretas.

CICLO PHVACICLO PHVA

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad,

CobiT

Objetivos del Negocio

Planeación y Organización

Seguimiento

1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento inndependiente4. Proveer una auditoría independiente

IT. Governance1. Definir un plan estratégico de TI2. Definir la arquitectura de información3. Determinar la dirección tecnológica4. Definir la organización y relaciones de TI5. Manejo de la inversión en TI6. Comunicación de la directrices Gerenciales7. Administración del Recurso Humano8. Asegurar el cumplir requerimientos externos9. Evaluación de Riesgos10. Administración de Proyectos11. Administración de Calidad

Recursos de TIDatos, Aplicaciones

Tecnología, Instalaciones, Recurso Humano

Disponibilidad, Cumplimiento, Confiabilidad Organización

Adquisición eImplementación

Prestación de Servicio y Soporte

1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Instalación y Acreditación de sistemas6. Administración de Cambios

1.Definición del nivel de servicio2.Admistración del servicio de terceros3.Admon de la capacidad y el desempeño4.Asegurar el servicio continuo5.Garantizar la seguridad del sistema6.Identificación y asignación de costos7.Capacitación de usuarios8.Soporte a los clientes de TI9.Admistración de la configuración10.Administración de problemas e incidentes11.Administración de datos12.Administración de Instalaciones13.Administración de Operaciones

Planeación y Organización(Planning and Organization)Adquisición e implementación

Dominios de TI

Adquisición e implementación(Acquisition and Implementation)Prestación de Servicios y Soporte(Delivery and Support)Seguimiento (monitoring)

Dominios del Cobit

Planeacion yy

Organización

Este dominio cubre estrategia y táctica, y se relacionacon la identificación de la forma en que TI puedecontribuir mejor al logro de los objetivos de negocios.Más aún, la realización de la visión estratégica debeMás aún, la realización de la visión estratégica debeser planificada, comunicada y administrada paradiferentes perspectivas.Finalmente, se debe poseer una apropiadaorganización además de una infraestructuratecnológica.

Planeación y OrganizaciónAbarca aspectos estratégicos y tácticosSe vincula con la identificación de la forma en que

Dominios de TI

Se vincula con la identificación de la forma en que la tecnología de información puede contribuir la manera más adecuada con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas.

Procesos de TI

Planeac ión y Organización

1. Definir un plan estratégico de TI2. Definir la arquitectura de información3. Determinar la dirección tecnológica3. Determinar la dirección tecnológica4. Definir la organización y relaciones de la Funció n TI5. Administrar la inversión en TI6. Comunicación de la directrices Gerenciales7. Administración del Recurso Humano8. Asegurar el cumplimiento d requerimientos externo s9. Evaluación de Riesgos10. Administración de Proyectos11. Administración de Calidad

Dominios de TI


Para realizar la estrategia TI, se deben identificar,desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantenciónde sistemas existentes son cubiertas por éste de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.

Adquisición e Implementación

Identificación, desarrollo o adquisición de soluciones de TI.

Dominios de TI

Implantación e integración en el proceso de negocio.

Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.

Procesos de TI


1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de T I5. Instalación y Certificación de sistemas6. Administración de Cambios

Dominios de TI

Prestación de servicios

y soporte

Procedimientos manuales y programados. real deservicios requeridos, la cual va desde operacionestradicionales en seguridad y aspectos de continuidada capacitación. Para entregar servicios, se debenpreparar los procesos de respaldo necesarios. Este

.

.

preparar los procesos de respaldo necesarios. Estedominio incluye procesamiento real de datosmediante procesos de aplicaciones, a menudoclasificados bajo controles de aplicaciones.

Prestación de Servicios y Soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta

Dominios de TI

sobre aspectos de seguridad y continuidad hasta capacitación.

Procesos de soporte necesarios.

Procesamiento real de los datos por los sistemas de aplicación.

Procesos de TI

Prestación de Servicio y Soporte

1. Definición del nivel de servicio2. Administración del servicio de terceros2. Administración del servicio de terceros3. Administración de la capacidad y el desempeño4. Asegurar el servicio continuo5. Garantizar la seguridad del sistema6. Identificación y asignación de costos7. Capacitación de usuarios8. Soporte a los clientes de TI9. Administración de la configuración10. Administración de problemas e incidentes11. Administración de datos12. Administración de Instalaciones13. Administración de Operaciones

Dominios de TI

Todos los procesos TI deben ser evaluadosregularmente en el tiempo para su calidad ycumplimientocon requerimientos de control. Este dominio, por

Monitoreo

con requerimientos de control. Este dominio, porconsiguiente, aborda la supervisión por parte de lagerencia del proceso de control de la organización y lagarantía independiente proporcionada por auditoríainterna y externa, o se obtiene de fuentes alternativas.

Monitoreo/Seguimiento

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.

Dominios de TI

los requerimientos de control.

Seguimiento de la gerencia sobre los procesos de control de la organización.

Garantía independiente provista por la auditoría interna y externa u obtenida de fuentes alternas.

Procesos de TI

Monitoreo / Seguimiento

1. Seguimiento de los procesos2. Evaluación de lo adecuado del control Interno2. Evaluación de lo adecuado del control Interno3. Obtener aseguramiento independiente4. Proveer una auditoría independiente

Ejemplo: Dominio Planeación y Organización

PO7. Administración de Recursos Humanos

7.1. Reclutamiento y promoción depersonalpersonal

� Políticas de reclutamiento y promoción delpersonal.

� Proceso formal de reclutamiento ypromoción del personal.

� Aspectos a considerar como la educación,experiencia y responsabilidad.

7.2. Personal calificado.

� Definición de requerimientos del puesto.



� Definición de requerimientos del puesto.

� Proceso de verificación de la calificación delas personas.



7.3. Entrenamiento del personal.

� Proceso de inducción de nuevos empleados� Proceso de inducción de nuevos empleadosen la Empresa.

� Programa de capacitación de acuerdo a losrequerimientos de cargo.

� Proceso periódico de revisión del programade capacitación.

7.4. Proceso cruzado o respaldo depersonal.



personal.

� Identificación de los puestos claves.

� Programa de entrenamiento cruzado (puestosclaves).

� Programa de vacaciones/control decumplimiento.

7.5. Procedimiento de acreditación delpersonal



personal

� Procedimiento de verificación de antecedentesdel personal previo a su contratación ocambio.

� Consideración en el procedimiento de susituación financiera.

7.6. Evaluación desempeño de losempleados.� Pauta de evaluación del desempeño de los



Pauta de evaluación del desempeño de losempleados.

� Consideración de estándares y responsabilidades delcargo que ocupa el empleado.

� Procedimiento formal de aplicación periódica de dichapauta.

� Procedimiento formal de entrega de resultados al

empleado.

7.7. Cambios de puesto y despidos.

� Procedimiento formal y conocido, para eldespido y cambio del puesto, del personal



despido y cambio del puesto, del personal

� Procedimiento para la eliminación/suspensióninmediata de las passwords de acceso a losambientes computacionales, sistemas y datos,de cada persona despedida o trasladada aotro cargo.

Requerimientos del Negocio hacia la Información

Requerimientosde calidad

CalidadCostoEntregaEntrega

RequerimientosFiduciarios

(Informe COSO)

Efectividad & Eficiencia de operacionesConfiabilidad de InformaciónCumplimiento con leyes & regulaciones

Requerimientosde Seguridad

ConfidencialidadIntegridadDisponibilidad

Requerimientos del Negocio hacia la Información

Efectividad

Eficiencia Se relaciona con la provisión de información a través del óptimo

Trata con información que es relevante y pertinente al proceso

de negocio, además de ser entregada de una manera oportuna,

correcta, consistente y utilizable.

Eficiencia Se relaciona con la provisión de información a través del óptimo

(más productivo y económico ) uso de recursos.

Confidencialidad Se relaciona con la protección de información sensible a

divulgación No autorizada.

IntegridadSe relaciona con la exactitud e integridad de información así

como también con su validez en conformidad con valores y

expectativas del NEGOCIO.

Requerimientos del negocio hacia la Información

DisponibilidadSe relaciona con información disponible al ser requeridapor el proceso de negocio ahora y en el futuro. Serelaciona con el resguardo de recursos necesarios ycapacidades asociadas.

CumplimientoTrata con el cumplimiento de aquellas leyes, regulacionesy arreglos contractuales a los cuales está sujeto el procesode negocio; es decir, criterios de negocios impuestosexternamente.

Se relaciona con la provisión de información apropiada ala gerencia para operar la entidad y para que la gerenciaejerza sus responsabilidades de informar cumplimiento.

Confiabilidad de Información

•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y


* Resumen ejecutivo -- “Hay un metodo...”

* Marco -- “El metodo es...”

Los Elementos de C OBIT

* Objetivos de Control -- “Minimos Controles son...”

* Guia de Implementacion -- “Aqui esta como

Implementar...”

* Guias administrativas -- “Aqui esta como medir...”

* Guias de auditoria -- “Aqui esta como auditar...”

Elementos del Cobit

� Resumen Ejecutivo� Marco de Referencia (Framework)� Objetivos de Control� Guías de Auditoría� Guías de Auditoría� Guías de Administración � Herramientas de implementación� CD-ROM� 2a Edición disponible en español

Resumen Ejecutivo

� Documento dirigido a la alta gerencia

� Presenta los antecedentes y la estructura básica deCOBIT.

Describe de manera general los procesos,los� Describe de manera general los procesos,losrecursos y los criterios de información, los cualesconforman la “Columna Vertebral” de COBIT.

Marco de Referencia

� Incluye la introducción contenida en el resumenejecutivo

� Presenta las guías de navegación para que loslectoresseorientenen la exploracióndel materiallectoresseorientenen la exploracióndel materialde COBIT.

� Hace una presentación detallada de los 34procesos contenidos en los cuatro dominios.

Objetivos de Control

� Integran en su contenido lo expuesto tanto en elresumen ejecutivo como en el marco de referencia

� Presenta los objetivos de control detallados paracadaunodelos34procesos.cadaunodelos34procesos.

� En total se describen 318 objetivos de control (de3 a 30 objetivos por cada uno de los procesos)

Guías de Auditoría

� Se hace una presentación del proceso de auditoríageneralmente aceptado (relevamiento deinformación, evaluación de control, evaluación decumplimientoy evidenciacióndelos riesgos).cumplimientoy evidenciacióndelos riesgos).

� Este documento incluye guías detalladas paraauditar cada uno de los 34 procesos teniendo encuenta los 318 objetivos de control detallados.

Guías de Administración

� Se enfoca de manera similar a los otros productos� Integra los principios del Balanced Business

Scorecard.� Para ayudar a determinar cuales son los adecuados

niveles de seguridad y control, integra losniveles de seguridad y control, integra losconceptos de:� Modelo de madurez CMM(prácticas de Control)� Factores Críticos de Éxito a tener en cuenta para

mantener bajo control los procesos de TI.� Indicadores claves de logro en los procesos de TI� Indicadores claves de Desempeño de los procesos de TI

Complementos de COBIT

Information Technology StrategicCommitteeBalance ScorecardBalance ScorecardCOBIT on -lineCOBIT Quickstart

Balance Scorecards (BSC)

El Balance Scorecard (BSC) es un sistema de mediciòn desasrrollado por Robert S. Kaplan y David P. Norton con la

Procesos

Kaplan y David P. Norton con la intenciòn de complementar los sistemas tradicionales de evaluación de desempeño de las empresas, los cuales se orientaban primordialmente a los indicadores financieros

BSC

Aprendizaje yconocimiento

Clie

ntes

Finanzas

BSC para TI• Valor de negocio derivado de

proyectos de TI• Logros de sinergia• Inversiones en TI• Contribuciòn estratègica

• Alianzas de TI/Negocio• Satisfacciòn del cliente• Desempeño de entrega de

aplicaciones• Desempeño de niveles de

servicio

Contribuciòn corporativa

Orientaciòn al usuario de TI

BSCpara TI

• Capacidad de mejora de servicios

• Evoluciòn de arquitecturas• Investigaciòn de tecnologìa• Administraciòn del

conocimiento

• Productividad, eficiencia y calidad

• Oportunidad de respuesta• Costo interno de calidad• Seguridad• Administraciòn de rezagos

corporativa usuario de TI

Orientaciòn futura

Excelencia operacional

Procesos claves en IT Governance

Planeación y Alineamiento Estratégico

Alineamiento con los Objetivos de NegocioComité Estratégico de TI (Priorización)

Estándares en estrategia y arquitectura de TISeguimiento de proyectos de TI

Comité de SeguimientoSoporte a iniciativas empresariales estratégicas

Financieros

Presupuesto operativo de TIPresupuesto de capital de TIAdministración de activos de TIAdministración de contratos de TIAllocation y planeación de recursos de TI

Principles of IT Governance, Stacey Hamaker, Inform ation Systems Control Journal, Volume 2, 2004

Operaciones de TIDesarrollo de aplicaciones

Administración de ProyectosCiclo de Vida para el Desarrollo de Sistemas

Soporte a producciónControl y operación de producciónProgramación de trabajosBackups del sistema

Arquitectura técnicaDiseño, administración y operación de la redSoporte a usuariosAdministración de seguridad informáticaContinuidad de negocio y recuperación de desastres

Frameworks de ControlPolíticas Gerenciales de Información

Corporativa – privacidad, propietarios deprocesos de negocio, retención de registros

Departamento de TI – CVDS, seguridadEstándares – COBIT, ITIL, ISO, SAS70Prácticas y procedimientosAdministración de la documentación del sistemaAseguramiento de calidadCumplimiento regulatorio

Procedimientos de escalamientoProcedimientos de divulgación

Administración de contratos y de vendedores

•• AntecedentesAntecedentes•• DefinicionesDefiniciones•• Los Principios de la EstructuraLos Principios de la Estructura•• Dominios y ProcesosDominios y Procesos•• Dominios y ProcesosDominios y Procesos•• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y


Modelo de Madurez

El Modelo de Madurez es una forma de medir el grado dedesarrollo de los procesos de la organización.Este modelo define perfiles de organizaciones, en relación alos progresos en el gobierno de TI de cada una de ellas.Atiendeaspectostalescomo:Atiendeaspectostalescomo:

� el grado de formalidad con que se cumplen los procesos� el reconocimiento de que existen problemas� las posibilidades de entrenamiento y capacitación� el grado de automatización de los procesos� el nivel de avance de la organización en materia de administración

del conocimiento relativo a buenas prácticas en TI.

Modelo de Madurez

Medición de procesos

� Key Success Factors (KSF) Factores críticos de éxito (clave)� Aspectos que son indispensables para el adecuado funcionamiento de un procesofuncionamiento de un proceso

� Key Performance Indicators (KPI)� Mide el funcionamiento de un proceso

� Key Goal Indicators (KGI)� Mide el impacto o consecuencia de un proceso en el contexto de una empresa

� Balance Scorcard

Indicadores Clave de logro (KGIs)

� Definen medidas que informan a la Dirección, luego delhecho, si el proceso tecnológico ha alcanzado losrequerimientos del negocio.

� Usualmente se expresan en términos de criterios deinformación:información:�Disponibilidad de la información necesaria para

atender las necesidades del negocio.�Ausencia de integridad y riesgos de confidencialidad.�Relación costo eficiencia de los procesos y

operaciones.�Confirmación de la veracidad, efectividad y

cumplimiento.

� Ejemplo de estos indicadores son: �Alcanzar los objetivos de retorno de la inversión�Mejorar el desempeño de la Dirección�Reducir los riesgos de TI�

Indicadores Clave de logro (KGIs)

�Mejorar la productividad�Estandarizar los procesos�Aumentar las ventas�Llegar a nuevos clientes y satisfacer a los actuales�Creación de nuevos canales de ventas�Disponibilidad de mayor ancho de banda, potencial de

procesamiento, etc.

Indicadores Clave de Desempeño (KPIs)

� Los Indicadores Claves de Desempeño (KPIs) son medidasque le dicen a la gerencia que un proceso de TI está lograndolos requerimientos del negocio.

� Se obtienen al ir monitoreando el desempeñode los� Se obtienen al ir monitoreando el desempeñode losparticipantes de ese proceso de TI.

� Los KPIs son indicadores enfocados en y miden el desempeñode los factores que hacen posibles los procesos de TI,indicando cuan bien posibilitan que el proceso alcance elobjetivo.

� Mientrás los KGIs se enfocan en el «qué», a los KPIs lesconcierne el «cómo».

� A menudo serán una medida de un Factor Crítico de Éxito y cuando se los monitorea y actúa sobre ellos, se identificarán oportunidades de mejora del proceso.

� Estas mejoras deberían influir positivamente en el producto y


� Estas mejoras deberían influir positivamente en el producto y como tales, los KPIs tienen una relación causa-efecto con los KGIs del proceso.

� Los KPIs están orientados al proceso vs. los KGIs que están direccionados al negocio, y expresarán a menudo cuan bien los procesos y la organización potencian/administran los recursos necesarios.

�Ejemplos de estos indicadores son:�Incremento de la calidad y la innovación �Disponibilidad y tiempo de respuesta del servicio�Satisfacción de los clientes


�Satisfacción de los clientes�Número de funcionarios entrenados en una nueva

tecnología�Mejoras costo/eficiencia de los procesos�Productividad del personal�Cantidad de errores y re-procesos�Número de reportes que no cumplen con las normas

COBIT en América Latina� Uruguay: The Central Bank made CobiT mandatory for the industry, starting 2004. It has also been adopted as

the control model by the Tribunal de Cuentas de la República (GAO equivalent).� Brazil: The Central Bank as also announced that starting 2004, all audits performed to member entities will be

CobiT based. � Argentina:

� The Central Bank has issued CobiT based norms and procedures for all financial institutions. In addition, CobiT has also been used to define the Control Objectives for the local Clearing Houses and ATM Networks that are audited by the Central Bank.

� In the Province (State) of Mendoza, CobiT has been adopted by law and it is the framework being usedtoday by the local GAO (Tribunal de Cuentas) for their IT Governance implementation project (which so far, appears to be a first in Latin America at a State level).

� The SIGEN (Sindicatura General de la Nación) and AGN (Auditoría General de la Nación) (equivalent to theGAO in the US), which are auditing and controlling bodies reporting to the Executive Branch and theThe SIGEN (Sindicatura General de la Nación) and AGN (Auditoría General de la Nación) (equivalent to theGAO in the US), which are auditing and controlling bodies reporting to the Executive Branch and theCongress respectively, have also adopted CobiT.

� Paraguay: In 2002, the Central Bank issued regulations for the banking and finance industries based almostentirely on CobiT, which will go in effect in 2004. First audit under the new framework is scheduled for 3/2004

� Bolivia: The CobiT based regulations enacted by the Central Bank are in their third year of implementation and will become mandatory in 2004.

� Perú: The utilization of CobiT in government is at a very early stage. The Office of the Controller has taken theinitiative to utilize CobiT for training purposes.

� Colombia: The local OCC equivalent (Superintendencia Bancaria de Colombia), has adopted CobiT as theirstandard for the supervision of all local Banks, and it’ll be enforced starting next year. The Central Bank is alsousing CobiT as their framework for IT process management.

� México: Growing interest, particularly in light of SOX. Not mandatory yet. � Costa Rica: The Central Bank and the OCC issued CobiT based resolutions for the banking industry relating to

Control Objectives to be achieved starting 2004. On a related matter, and in case you didn’t know, in Costa Rica all IT Auditors are required to be Cases and audited financial statements for the private industry has to be signedby the financial suitor and a CISA.

Fuente: Isaca, informe sobre la penetración de Cobit en los organismos gubernamentales y de regulación en América latina, Governmental Regulatory agencies Board Task Force No 2, Octubre de 2006

Muchas Gracias!!

La Poste Tunisienne

Cobit

Documents

Transcript of Cobit