M d l 4Modulo 4:

COBIT COMO MARCO DE TRABAJO PARA UN BUEN GOBIERNO DE TI

Pregunta #6:

Pero … Qué método hay que Pero … Qué método hay que Pero … Qué método hay que Pero … Qué método hay que

g

Q y qQ y qintegren y controle todos estos integren y controle todos estos

Q y qQ y qintegren y controle todos estos integren y controle todos estos estándares para lograr un buen estándares para lograr un buen Gobierno de TIGobierno de TIestándares para lograr un buen estándares para lograr un buen Gobierno de TIGobierno de TIGobierno de TIGobierno de TIGobierno de TIGobierno de TI

Qué es COBITCOBIT

Es el resultado de una investigación con expertos de varios paises,

desarrollada por la “Information, Systems Audit and Control Association

“ISACA”.

Esta asociación se ha constituido en el organismo normalizador y

orientador en el control y la auditoría de los sistemas de Información y

Tecnología (IT).

El modelo CobIT ha sido aceptado y adoptado por organizaciones en el

ámbito mundial.

Características y objetivos de COBITCOBIT

CaracterísticasCaracterísticas

• Orientado al negocio

• Alineado con estándares y regulaciones “de facto”Alineado con estándares y regulaciones de facto

• Basado en una revisión crítica y analítica de las tareas y actividades en TI

Objetivos:Qué no se interrumpa el servicio

Qué aporte valor

Administ a los costosAdministrar los costos

Dominar la complejidad

Alineación con el NegocioAlineación con el Negocio

Cumplimiento de Regulaciones

Seguridad.

Historia de COBITCOBIT

CobiT 1996/1998/2000/2003

CobiT On Line / CobiT Quick Start

Definición de Objetivosde Control de T I

Definición deControl Interno

SAC 1991/1994

C t d

COSO 1992

Conceptos de Control InternoConceptos de

Control InternoContribucionesal concepto de Control Interno

SAS 55 - 1988SAS 78 - 1995 enmienda

Regla de oro de COBITCOBIT

Para proveer la información que requiere la i ió l bj ti lorganización para lograr sus objetivos, los

recursos de TI deben ser administrados por un conjunto de procesos agrupados deun conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a

prácticas normalmente aceptadas.p p

Principios de COBITCOBIT

Cubo de COBITCOBIT

Cubo de COBIT: Requerimientos de InformaciónCOBIT

Requerimientos

de Calidad

Calidad (cumplimiento de requerimientos)Costo (dentro del presupuesto).Oportunidad (en el tiempo indicado)

Requerimientos Financieros (COSO)

Efectividad y eficiencia operacional.fi bilid d d l fi i

Oportunidad (en el tiempo indicado)

Financieros (COSO) Confiabilidad de los reportes financieros.Cumplimiento de leyes y regulaciones.

Requerimientos

de Seguridad

Confidencialidad.Integridad.Disponibilidad.

Cubo de COBIT: Requerimientos de InformaciónCOBIT

Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.

Efectividad

Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.

Eficiencia

Relativa a la protección de la información sensitiva de su revelación no autorizada.Confidencialidad

Se refiere a la exactitud y completitud de la información, así como su validez, en Integridadconcordancia con los valores y expectativas del negocio.

eg dad

Cubo de COBIT: Requerimientos de InformaciónCOBIT

Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades

Disponibilidadsalvaguarda de los recursos y sus capacidades asociadas.

Se refiere a cumplir con aquellas leyes, l i d l lregulaciones y acuerdos contractuales, a los que

están sujetos los procesos del negocio. Cumplimiento

Se refiere a la provisión de la informaciónSe refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión.

Confiabilidad

gest ó

Cubo de COBIT: Recursos de TICOBIT

ó óDatos: Todos los objetos de información. Considera información interna y externa,

estructurada o no, gráficas, sonidos, etc.

A li i t did l i t d i f ió i tAplicaciones: entendido como los sistemas de información, que integran

procedimientos manuales y sistematizados.

T l í i l h d ft bá i i t ti i t dTecnología: incluye hardware y software básico, sistemas operativos, sistemas de

administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a losInstalaciones: Incluye los recursos necesarios para alojar y dar soporte a los

sistemas de información.

Recurso Humano: Por la habilidad conciencia y productividad del personal paraRecurso Humano: Por la habilidad, conciencia y productividad del personal para

planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de

Información.

Cubo de COBIT: Procesos de TICOBIT

A ió t l dDominios Agrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional

Procesos

Conjuntos de actividades unidas con delimitación o cortes de controldelimitación o cortes de control.

Actividadeso tareas

Acciones requeridas para lograr un resultado medible. Las Actividadestienen un ciclo de vida mientras que las tareas son discretas.

Key Goal IndicatorCOBIT

• KGI: Para medir• KGI: Para medir

la consecución de los

objetivos de TI (resultados)

Proceso TI Que satisface

KGI

PKGIobjetivos de TI (resultados)

• Enfocado en el cliente y el

aspecto financiero del

Objetivos de negocio

Enfocándose en

aspecto financiero del

Balanced Scorecard (BSC)

Mid l l h h h ( l

Objetivos de TI

Controles 

Se logra con

S id• Miden el « que » es lo que se ha hecho (el

éxito del proceso)

Controles Clave

Métricas Clave

Se mide con

• Influenciado por los criterios de información

• Orientados a TI pero dirigidos por el negocio

Métricas Clave

Key Performance IndicatorCOBIT

• KPI: Para medir el

rendimiento de las

Proceso TI Que satisface

actividades (performance)

• Enfocado en las dimensiones de

Objetivos de negocio

Enfocándose en

Aprendizaje del BSC

• Miden « que tan bien » se está

Objetivos de TI

Controles 

Se logra con

S iddesenvolviendo el proceso y/o actividad

• Predice la probabilidad de éxito o fracaso futuro,

Controles Clave

Métricas Clave

Se mide con

p , Métricas Clave

Medición del rendimientoCOBIT

Medición del rendimientoCOBIT

Gobierno de TI y COBITCOBIT

COBIT relaciona los requerimientos de negocio a los objetivos de TIOBJETIVOS DE NEGOCIO

Criterios deInformaciónResultados de Negocio

Drivers de Gobernabilidad

de negocio a los objetivos de TI

cion

es

mac

ión

stru

ctu

ra

Recursos

Permite que las ACTIVIDADESde TI y los RECURSOS que los soportan sean administrados y controlados basados en los

Apl

icac

Info

rm

Infr

ae

Gen

te de TI

Indicadores clave

controlados basados en los OBJETIVOS DE CONTROL de COBIT, y alineados y

monitoreadosd l

Procesosde TI

Indicadores clavede Objetivos

Indicadores clavede Rendiemiento

Procesos de TI

usando las MÉTRICAS KGI y KPI de COBIT

Objetivos de Control de Alto

Nivel

de Objetivos

Objetivos de TI

Gobierno de TI y COBITCOBIT

Metas de TI Vs. Procesos TICOBIT

Procesos TI Vs. Metas de TICOBIT