COBIT: Herramienta de IT Governance

Fernando Ferrer Olivares, CISA Presidente ISACA - Colombia Socio fundador Estganos International Group

Agenda
IT Governance COBIT

Qu es Governance?
Gobierno
 

Adecuada Direccin

 

Capacidad Logros Responsabilidad Diligencia Conocimiento Calidad - necesidad de control Medicin suministro de informacin Recursos apoyando el cumplimiento de objetivos

Alineamiento


Niveles de Governance
Corporate Governance Enterprise Governance IT Governance Informaction Security Governance

Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE
La forma en que la organizacin est alcanzando  efectividad, eficiencia  tica, valores, estndares ticos A nivel de compaa  Tratamiento de accionistas minoritarios  Independencia de la Junta  Divulgacin de informacin  Mejores prcticas de negocio A nivel pas  Ambiente regulatorio y legal exigencias legales  Impulso a la inversin
Si un pas no tiene reputacin de aplicar buenas prcticas de gobierno corporativo, el capital se ir. Si los inversionistas no estn contentos con el nivel de confidencialidad, el capital se ir. S un pas opta por estndares contables y de reporte laxos, el capital se ir

Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE
Qu se puede hacer? No existe una nica frmula pero existen guas internacionales Establecimiento de objetivos estratgicos y valores corporativos; Lneas claras de responsabilidad y contabilizacin; Miembros de las juntas calificados e independientes; Apropiado seguimiento por la alta gerencia; Uso efectivo de auditores internos y externos; Compensacin consistente con valores ticos, objetivos, etc.; Gobierno corporativo conducido en una forma transparente Liderando por ejemplo ... Cumplimiento de requerimientos de gobierno corporativo y administracin de riesgos Alta calidad de la informacin divulgada Adherir a requerimietos de auditora externa efectivos Mantener un riguroso marco de contabilizacin Colocar procedimientos adecuados y efectivos

Corporate Governance Organizacin Cooperativa para el Desarrollo Econmico - OCDE

... ayuda a afirmar que las corporaciones utilizan su capital de manera eficaz, toman en cuenta los intereses de sus participantes al igual que el de sus juntas de administracin para asegurar que ellas operan para el beneficio de la comunidad procurando la confianza de los inversionistas y atraer capitales estables y a largo plazo...

Corporate Governance
IT Governance Roundtable - Sponsored by the IT Governance Institute - 27 March 2000; Oslo, Norway

Son las reglas y procesos a travs de los cuales las oportunidades y riesgos de negocio son reconocidos y administrados para asegurar un aumento sostenido del valor para todos sus interesados

Es el sistema mediante el cual las empresas y organizaciones establecen sus objetivos, alinean en consecuencia sus procesos y aseguran el cumplimiento de dichos objetivos institucionales

IT Governance ISACA Information Systems Control and Audit Association

Uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos del negocio

IT / Governance
Es el proceso de administracin que asegura la obtencin de los beneficios esperados de la tecnologa de informacin (TI) de manera controlada para acrecentar el xito sostenido de una empresa a largo plazo
IT Governance Roundtable Sponsored by the IT Governance Institute 27 March 2000; Oslo, Norway

Ideas fundamentales
Es un proceso Asegura la obtencin de los beneficios esperados de la tecnologa de la informacin (TI) De manera controlada Para acrecentar el xito sostenido de una empresa a largo plazo

IT Governance
Por qu IT Governance
  

Debida diligencia Criticidad Importancia estratgica Junta Gerencia Auditores Definicin Framework Ciclo de vida Actividades

Qu deben hacer?
  

Framework del IT Governance

   

Porqu IT Governance
Debida diligencia


Las empresas deben ser igualmente inquisitivas sobre ellas mismas en temas como
 Infraestructura y funciones productivas  Habilidades, cultura y ambiente operativo  Capacidades, riesgos, conocimiento de procesos e

informacin del cliente  Niveles de servicio

   

Criticidad para el negocio

Grandes inversiones y riesgos Dependencia creciente en informacin Creacin de oportunidades y reduccin de costos Impacto en la reputacin y el valor de las empresas

Importancia estratgica

IT Governance
como elemento estratgico de la empresa
Corporate Governance

Direcciona y establece

IT Governance

Porqu IT Governance
Pero si TI es crtica y estratgica porqu:


No hay inters en conocer el comportamiento de TI (logro de objetivos, capacidad de aprender y adaptarse, administracin de riesgos, aprovechamiento de oportunidades) No aseguramos que TI satisfaga las expectativas (entrega de valor al negocio, rpida, segura, calidad, eficiencia, productividad, efectividad, hacer ms con menos)

IT Governance
Por qu IT Governance
  

Debida diligencia Criticidad Importancia estratgica Junta Gerencia Auditores Definicin Framework Ciclo de vida Actividades

Qu deben hacer?
  

Framework del IT Governance

   

Rol de la Junta
Orientar TI a dar valor a los interesados Adoptar un framework de IT Governance Realizar las preguntas correctas Enfocarse en
  

El alineamiento de TI con el negocio Entregar valor Administrar riesgos

Medir resultados

Rol de la Gerencia
Alinear la estrategia de TI con los objetivos de negocio Aterrizar en la organizacin las estrategias y objetivos Definir estructuras organizacionales que faciliten la implementacin de la estrategia Adoptar un framework de riesgo, control y gobierno Proveer la infraestructura de TI que facilite la creacin y el compartir informacin del negocio Asignar responsables de la gestin de riesgos en la organizacin Enfocarse en los procesos importantes de TI y en su apoyo a las competencias del negocio Medir el desempeo (Balance Scorecard)

Rol de la Auditoria
Obtener un entendimiento de IT Governance Apoyar a la Junta y a la Gerencia en sus roles Recomendar la adopcin de un framework de control y gobierno de TI Definir estructuras organizacionales en sus reas que faciliten una implementacin estratgica de ese framework Medir su propio desempeo (Balance Scorecard)

IT Governance
Por qu IT Governance
  

Debida diligencia Criticidad Importancia estratgica Junta Gerencia Auditores Definicin Framework Ciclo de vida Actividades

Qu deben hacer?
  

Framework del IT Governance

   

IT Governance
como elemento estratgico de la empresa
Corporate Governance Actividades de la empresa
Requieren informacin de

Direcciona y establece

IT Governance

Actividades de IT

Actividades de TI
Plantacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo


Sobre Recursos (Datos, SW, Tecnologa, Gente, Instalaciones)

 Buscando efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento, confiabilidad

Preocupaciones
El negocio no trata TI como un socio o la alta direccin no presta atencin a TI Medicin del desempeo - Solo unos pocos son capaces de medir el valor que TI retorna El 85% del valor de mercado de una empresa reside en bienes intangibles la parte ms grande es informacin No alineamiento estratgico - Solo 4 de cada 10 compaas han integrado sus planes de negocio y de TI en alguna forma
Encuestas del Brookings Institute, Standish Group y Acadys 2001

Medicin de procesos
Key Success Factors (KSF) Factores crticos de xito (clave)


Aspectos que son indispensables para el adecuado funcionamiento de un proceso Mide el funcionamiento de un proceso Mide el impacto o consecuencia de un proceso en el contexto de una empresa

Key Performance Indicators (KPI)



Key Goal Indicators (KGI)



Balance Scorcard

TI ha estado corriendo por un largo tiempo desatendiendo en los ltimos 30 aos el negocio
J. Welch 1997

Requerimiento
Desarrollar un framework para la Junta Directiva y la Alta Gerencia que permita atender sus expectativas y riesgos de TI

IT / Governance y COBIT
Riesgos, controles, auditoria y aseguramiento de TI estn evolucionando en COBIT haca el ms amplio concepto de IT Governance; una parte integral de Enterprise Governance
IT est teniendo un impacto creciente en el funcionamiento de las empresas y en el logro de los objetivos que ellas definen. Governance est orientado a asegurar que las empresas cumplan sus objetivos, en dirigir a la gerencia en ese sentido, en ensearle buenas prcticas de planeacin y organizacin en respuesta a la direccin recibida, y en proveer gobierno al siguiente nivel en la empresa.

Definicin de Cobit Control OBjectives for Information and Related Technology

Governance, Control and Audit for Information and Related Technology

Un estndar de Aplicacin Mundial

COBIT

TM

Governance, Control and Audit for Information and Related Technology

Quines estn detrs de CobiT?

IT Governance Institute Information systems audit and control association Reconocida como lder mundial en el gobierno, control y evaluacin de TI.

Algo de historia de ISACA

Fundada en 1969, como EDP Auditors Association (35 aos) Ms de 30,000 miembros en ms de 100 pases Ms de 170 captulos alrededor del mundo

Objetivos y Beneficios
Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI. Consolidar y armonizar estndares originados y desarrollados en diferentes pases. Concientizar a la comunidad sobre importancia del control y la auditoria de TI. Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. Reiterar sobre la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa.

Antecedentes
COBIT Integra y concilia normas existentes como: COSO (Committe Of Sponsoring Org. of the Treadway Commission) OECD (Organizarion for Economic Cooperation and Development) ISO (International Standars Organization) NIST (National Institute of Standars and Technology) DTI (Departament of Trade and Industry of the U.K) ITSEC (Information Technology Security Evaluation Criteria - Europa) TCSEC (Trusted Computer Evaluacin Criteria - Orange Book- E.U) IIA SAC (Institute of Internal Auditors - Systems Auditability and
Control) IS Auditing Standars Japn

Incluye los Objetivos de Control emitidos por ISACA (EDPAA)

Antecedentes
En 1992, comenz la actualizacin de los objetivos de control de ISACA En 1996, ISACA public para los profesionales de TI un marco de prcticas control de la TI generalmente aplicables y aceptadas

Objetivos de Control
para Informacin y

Tecnologas Relacionadas

Antecedentes
En 1998 fue actualizado y se public una segunda versin a la que se le incorpor las Herramientas de implantacin y CD. En 1999 se publicaron los Objetivos de Control para redes En septiembre del 2000 se public la 3ra. Edicin

Antecedentes
CobiT On Line / CobiT Quick Start

CobiT 1996/1998/2000/2003
Definicin de Control Interno Definicin de Objetivos de Control de T I

COSO 1992
Contribuciones al concepto de Control Interno

SAC 1991/1994
Conceptos de Control Interno Conceptos de Control Interno

SAS 78 - 1995

enmienda

SAS 55 - 1988

Misin
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios.

Usuarios
La Gerencia: apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible Los Usuarios Finales: obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Organismos estatales de control: para saber que es lo mnimo que pueden exigir.

Caractersticas

COBIT

TI

Objetivos De Control

Negocio Empresa

Caractersticas
Orientado al negocio Alineado con estndares y regulaciones de facto Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditora (COSO, IFAC, IIA, ISACA, AICPA)

Caractersticas REGLA DE ORO DE COBIT

Para proveer la informacin que requiere la organizacin para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prcticas normalmente aceptadas.

Principios
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO

PROCESOS DE TI RECURSOS DE TI

Requerimientos de la Informacin del Negocio

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad

Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.

Requerimientos de la informacin del negocio

Efectividad
Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Se refiere a la provisin de informacin a travs del ptimo (ms productivo y econmico) uso de los recursos. Relativa a la proteccin de la informacin sensitiva de su revelacin no autorizada. Se refiere a la exactitud y completitud de la informacin, as como su validez, en concordancia con los valores y expectativas del negocio.

Eficiencia

Confidencialidad

Integridad

Requerimientos de la informacin del negocio

Disponibilidad
Se refiere a la que la informacin debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que estn sujetos los procesos del negocio. Se refiere a la provisin de la informacin apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestin.

Cumplimiento

Confiabilidad

Recursos de TI
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o n, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

Recursos
Seguridad de la informacin Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Seguridad fsica

(1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administracin de libreras (7) Editores en lnea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrnico de datos

Equipo central ========================= Operacin del sistema (1),(2),(6),(7),(8),(9)

Sistema de comunicaciones (8),(11)

Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11)

Objetivos del Negocio

IT. Governance
1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento inndependiente 4. Proveer una auditora independiente 1. Definir un plan estratgico de TI 2. Definir la arquitectura de informacin 3. Determinar la direccin tecnolgica 4. Definir la organizacin y relaciones de TI 5. Manejo de la inversin en TI 6. Comunicacin de la directrices Gerenciales 7. Administracin del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluacin de Riesgos 10. Administracin de Proyectos 11. Administracin de Calidad

CobiT

Seguimiento

Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeacin y Organizacin

1.Definicin del nivel de servicio 2.Admistracin del servicio de terceros 3.Admon de la capacidad y el desempeo 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificacin y asignacin de costos 7.Capacitacin de usuarios 8.Soporte a los clientes de TI 9.Admistracin de la configuracin 10.Administracin de problemas e incidentes 11.Administracin de datos 12.Administracin de Instalaciones 13.Administracin de Operaciones

Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano

Adquisicin e Implementacin
1. Identificacin de soluciones 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalacin y Acreditacin de sistemas 6. Administracin de Cambios

Prestacin de Servicio y Soporte

Procesos de TI - Los 3 Niveles

Dominios Procesos
Conjuntos de actividades unidas con delimitacin o cortes de control. Agrupacin natural de procesos, normalmente corresponden a una responsabilidad organizacional

Actividades o tareas

Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.

Dominios de TI
Planeacin y Organizacin (Planning and Organization) Adquisicin e implementacin (Acquisition and Implementation) Prestacin de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)

Dominios de TI
Planeacin y Organizacin
Abarca aspectos estratgicos y tcticos Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir la manera ms adecuada con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas.

Procesos de TI
Planeacin y Organizacin
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplimiento d requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad

Dominios de TI
Adquisicin e Implementacin Identificacin, desarrollo o adquisicin de soluciones de TI. Implantacin e integracin en el proceso de negocio. Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.

Procesos de TI
Adquisicin e Implementacin
1. 2. 3. 4. 5. 6. Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Certificacin de sistemas Administracin de Cambios

Dominios de TI
Prestacin de Servicios y Soporte Prestacin efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitacin. Procesos de soporte necesarios. Procesamiento real de los datos por los sistemas de aplicacin.

Procesos de TI
Prestacin de Servicio y Soporte
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones

Dominios de TI
Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Seguimiento de la gerencia sobre los procesos de control de la organizacin. Garanta independiente provista por la auditora interna y externa u obtenida de fuentes alternas.

Procesos de TI
Monitoreo / Seguimiento
1. 2. 3. 4. Seguimiento de los procesos Evaluacin de lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente

Procesos
Planeacin y Organizacin
Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios

Adquisicin e Implementacin

Procesos
Servicios y Soporte
Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente

Seguimiento

Objetivos de Control
Una declaracin de resultado deseado o propsito a ser alcanzado por medio de la implementacin de procedimientos de control en una actividad Particular de TI 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos) 2.3 Contratos con Terceros
Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deber asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no revelacin) sean identificados, declarados explcitamente y acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con los requerimientos legales y regulatorios, incluyendo obligaciones.

Como Producto
Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guas de Auditora Guas de Administracin Herramientas de implementacin CD-ROM 2a Edicin disponible en espaol

Resumen Ejecutivo
Documento dirigido a la alta gerencia Presenta los antecedentes y la estructura bsica de COBIT. Describe de manera general los procesos, los recursos y los criterios de informacin, los cuales conforman la Columna Vertebral de COBIT.

Marco de Referencia
Incluye la introduccin contenida en el resumen ejecutivo Presenta las guas de navegacin para que los lectores se orienten en la exploracin del material de COBIT. Hace una presentacin detallada de los 34 procesos contenidos en los cuatro dominios.

Objetivos de Control
Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

Guas de Auditora
Se hace una presentacin del proceso de auditora generalmente aceptado (relevamiento de informacin, evaluacin de control, evaluacin de cumplimiento y evidenciacin de los riesgos). Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.

Guas de Administracin
Se enfoca de manera similar a los otros productos Integra los principios del Balanced Business Scorecard. Para ayudar a determinar cuales son los adecuados niveles de seguridad y control, integra los conceptos de:
   

Modelo de madurez CMM (prcticas de Control) Factores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI. Indicadores claves de logro en los procesos de TI Indicadores claves de Desempeo de los procesos de TI

Modelo de Madurez
El Modelo de Madurez es una forma de medir el grado de desarrollo de los procesos de la organizacin. Este modelo define perfiles de organizaciones, en relacin a los progresos en el gobierno de TI de cada una de ellas. Atiende aspectos tales como :  el grado de formalidad con que se cumplen los procesos  el reconocimiento de que existen problemas  las posibilidades de entrenamiento y capacitacin  el grado de automatizacin de los procesos  el nivel de avance de la organizacin en materia de administracin del conocimiento relativo a buenas prcticas en TI.

Modelo de Madurez
El abordaje del Modelo de Madurez para el control de los procesos de TI, consiste en el desarrollo de un mtodo de puntuacin mediante el cual una organizacin puede autoevaluar su realidad respecto de los procesos COBIT de TI en una escala que va desde no-existente hasta optimizada (de 0 a 5). Este enfoque est basado en el Modelo de Madurez del desarrollo de software, CMM-SW del SEI-Software Engineering Institute de Carnie de Mellon University

Modelo de Madurez
Los niveles que pueden ser evaluados en este modelo son: El nivel actual de la organizacin donde est posicionada hoy en da El nivel actual de la industria el nivel con el cual compararse El nivel actual de las guas estndares internacionales ms referencias de comparacin La estrategia de mejora de la organizacin donde la organizacin quiere estar posicionada

Modelo de Madurez

Modelo de Madurez
La escala de evaluacin es la siguiente: 0 Inexistente  Hay una absoluta carencia de procesos reconocibles.  La organizacin no ha reconocido que haya una necesidad de acciones en ese sentido. 1 Inicial/Ad Hoc  Hay evidencia de que la organizacin ha reconocido que existen problemas y necesitan ser tratados.  No hay procesos estandarizados sino que por el contrario hay acercamientos puntuales que tienden a ser aplicados slo por un individuo o a un caso concreto.  La aproximacin global de la gerencia al tema no es planificada ni proactiva.

Modelo de Madurez
2 Repetitivo pero intuitivo

 Los procesos se encuentran en una etapa en la cual

diversos grupos que emprenden la misma tarea siguen procedimientos similares. estndar de procedimientos

 No hay ningn entrenamiento formal o comunicacin  La responsabilidad descansa en los individuos.  Hay un alto grado de confianza en el conocimiento de

los individuos y por lo tanto los errores son probables.

Modelo de Madurez
3 Definido

 Los procedimientos estn estandarizados y se han

documentado.

 Se han comunicado mediante el entrenamiento.  Los individuos deciden seguir o no estos procesos.  Es difcil que las desviaciones sean detectadas.  Los procedimientos en si mismos, no son sofisticados
sino que son la formalizacin de prcticas existentes.

Modelo de Madurez
4 Gerenciado y Medible

 Es posible vigilar y medir el cumplimiento de los  Los procesos estn bajo mejora constante y
proporcionan buenas prcticas aplicables. manera limitada o de modo parcial.

procedimientos y tomar acciones en los casos en los que los procesos resultan no trabajar con eficacia.

 La automatizacin y las herramientas se utilizan en una

Modelo de Madurez
5 Optimizado

 Los procesos de TI se han refinado al nivel de la mejor

prctica, basndose los resultados en la mejora continua y las iniciativas en materia de madurez que toma como modelo a otras organizaciones.

 La tecnologa se utiliza como un camino integrado para

automatizar el proceso de trabajo, proporcionando calidad y eficacia a las herramientas para mejorar, haciendo que la empresa se adapte rpidamente a los cambios.

El modelo CMM del SEI

La madurez de un proceso se determina en funcin de qu tan bien es: Definido. Existencia de mtodos, tcnicas, estndares, estructuras de organizacin, capacitacin, etc... Administrado. Existencia de medidas, parmetros y criterios de anlisis e interpretacin de dichas medidas Medido. Capacidad real de obtener datos sobre el desempeo del proceso en forma histrica Controlado. Capacidad de comparar el comportamiento real del proceso contra las estimaciones y pronsticos determinados y poder aplicar medidas que corrijan cualquier posible desviacin Efectivo. Capacidad del proceso de generar productos de acuerdo con los requerimientos y expectativas de los usuarios finales de dichos productos

Factores Crticos de xito (CSFs)

Un Factor Crtico de xito es algo que debe ocurrir (o que no debe ocurrir), para conseguir un objetivo de la organizacin. Es crtico, si su cumplimiento es absolutamente necesario para el logro de esos objetivos. Es una tcnica que permite asignar recursos a reas claves. Adems: Proveen a la Direccin de una adecuada gua para la implementacin del control de TI.

Factores Crticos de xito (CSFs)

Definen las cosas ms importantes a ser efectuadas que contribuyen a que los procesos de TI alcancen sus objetivos. Existen actividades que pueden ser de tipo estratgico, tcnico, organizacionales o de procedimiento. Deben ser concretos y orientados a la accin, enfocados hacia los recursos ms importantes para cada proceso en desarrollo.

Indicadores Clave de logro (KGIs)

Definen medidas que informan a la Direccin, luego del hecho, si el proceso tecnolgico ha alcanzado los requerimientos del negocio. Usualmente se expresan en trminos de criterios de informacin:  Disponibilidad de la informacin necesaria para atender las necesidades del negocio.  Ausencia de integridad y riesgos de confidencialidad.  Relacin costo eficiencia de los procesos y operaciones.  Confirmacin de la veracidad, efectividad y cumplimiento.

Indicadores Clave de logro (KGIs)

Ejemplo de estos indicadores son:  Alcanzar los objetivos de retorno de la inversin  Mejorar el desempeo de la Direccin  Reducir los riesgos de TI  Mejorar la productividad  Estandarizar los procesos  Aumentar las ventas  Llegar a nuevos clientes y satisfacer a los actuales  Creacin de nuevos canales de ventas  Disponibilidad de mayor ancho de banda, potencial de procesamiento, etc.

Indicadores Clave de Desempeo (KPIs)

Los Indicadores Claves de Desempeo (KPIs) son medidas que le dicen a la gerencia que un proceso de TI est logrando los requerimientos del negocio. Se obtienen al ir monitoreando el desempeo de los participantes de ese proceso de TI. Los KPIs son indicadores enfocados en y miden el desempeo de los factores que hacen posibles los procesos de TI, indicando cuan bien posibilitan que el proceso alcance el objetivo. Mientrs los KGIs se enfocan en el qu, a los KPIs les concierne el cmo.

Indicadores Clave de Desempeo (KPIs)

A menudo sern una medida de un Factor Crtico de xito y cuando se los monitorea y acta sobre ellos, se identificarn oportunidades de mejora del proceso. Estas mejoras deberan influir positivamente en el producto y como tales, los KPIs tienen una relacin causa-efecto con los KGIs del proceso. Los KPIs estn orientados al proceso vs. los KGIs que estn direccionados al negocio, y expresarn a menudo cuan bien los procesos y la organizacin potencian/administran los recursos necesarios.

Indicadores Clave de Desempeo (KPIs)

Ejemplos de estos indicadores son:  Incremento de la calidad y la innovacin  Disponibilidad y tiempo de respuesta del servicio  Satisfaccin de los clientes  Nmero de funcionarios entrenados en una nueva tecnologa  Mejoras costo/eficiencia de los procesos  Productividad del personal  Cantidad de errores y re-procesos  Nmero de reportes que no cumplen con las normas

Los Elementos de COBIT cuales son ?

* * * * Resumen ejecutivo -- Hay un metodo... Marco -- El metodo es... Objetivos de Control -- Minimos Controles son... Guia de Implementacion -- Aqui esta como Implementar... * Guias administrativas -- Aqui esta como medir... * Guias de auditoria -- Aqui esta como auditar...

Complementos de COBIT
Information Technology Strategic Committee Balance Scorecard COBIT on-line COBIT Quickstart

Balance Scorecards (BSC)

El Balance Scorecard (BSC) es un sistema de medicin desasrrollado por Robert S. Kaplan y David P. Norton con la intencin de complementar los sistemas tradicionales de evaluacin de desempeo de las empresas, los cuales se orientaban primordialmente a los indicadores financieros
Procesos Finanzas Clientes

BSC

Aprendizaje y conocimiento

BSC para TI
Valor de negocio derivado de proyectos de TI Logros de sinergia Inversiones en TI Contribucin estratgica Contribucin corporativa Alianzas de TI/Negocio Satisfaccin del cliente Desempeo de entrega de aplicaciones Desempeo de niveles de servicio Orientacin al usuario de TI

BSC para TI
Excelencia operacional Productividad, eficiencia y calidad Oportunidad de respuesta Costo interno de calidad Seguridad Administracin de rezagos Orientacin futura Capacidad de mejora de servicios Evolucin de arquitecturas Investigacin de tecnologa Administracin del conocimiento

Procesos claves en IT Governance

Planeacin y Alineamiento Estratgico Alineamiento con los Objetivos de Negocio Comit Estratgico de TI (Priorizacin) Estndares en estrategia y arquitectura de TI Seguimiento de proyectos de TI Comit de Seguimiento Soporte a iniciativas empresariales estratgicas
Operaciones de TI Desarrollo de aplicaciones Administracin de Proyectos Ciclo de Vida para el Desarrollo de Sistemas Soporte a produccin Control y operacin de produccin Programacin de trabajos Backups del sistema Arquitectura tcnica Diseo, administracin y operacin de la red Soporte a usuarios Administracin de seguridad informtica Continuidad de negocio y recuperacin de desastres

Financieros Presupuesto operativo de TI Presupuesto de capital de TI Administracin de activos de TI Administracin de contratos de TI Allocation y planeacin de recursos de TI

Frameworks de Control Polticas Gerenciales de Informacin Corporativa privacidad, propietarios de procesos de negocio, retencin de registros Departamento de TI CVDS, seguridad Estndares COBIT, ITIL, ISO, SAS70 Prcticas y procedimientos Administracin de la documentacin del sistema Aseguramiento de calidad Cumplimiento regulatorio Procedimientos de escalamiento Procedimientos de divulgacin Administracin de contratos y de vendedores

Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004

COBIT en Amrica Latina

Uruguay: The Central Bank made CobiT mandatory for the industry, starting 2004. It has also been adopted as the control model by the Tribunal de Cuentas de la Repblica (GAO equivalent). Brazil: The Central Bank as also announced that starting 2004, all audits performed to member entities will be CobiT based. Argentina:  The Central Bank has issued CobiT based norms and procedures for all financial institutions. In addition, CobiT has also been used to define the Control Objectives for the local Clearing Houses and ATM Networks that are audited by the Central Bank.  In the Province (State) of Mendoza, CobiT has been adopted by law and it is the framework being used today by the local GAO (Tribunal de Cuentas) for their IT Governance implementation project (which so far, appears to be a first in Latin America at a State level).  The SIGEN (Sindicatura General de la Nacin) and AGN (Auditora General de la Nacin) (equivalent to the GAO in the US), which are auditing and controlling bodies reporting to the Executive Branch and the Congress respectively, have also adopted CobiT. Paraguay: In 2002, the Central Bank issued regulations for the banking and finance industries based almost entirely on CobiT, which will go in effect in 2004. First audit under the new framework is scheduled for 3/2004 Bolivia: The CobiT based regulations enacted by the Central Bank are in their third year of implementation and will become mandatory in 2004. Per: The utilization of CobiT in government is at a very early stage. The Office of the Controller has taken the initiative to utilize CobiT for training purposes. Colombia: The local OCC equivalent (Superintendencia Bancaria de Colombia), has adopted CobiT as their standard for the supervision of all local Banks, and it ll be enforced starting next year. The Central Bank is also using CobiT as their framework for IT process management. Mxico: Growing interest, particularly in light of SOX. Not mandatory yet. Costa Rica: The Central Bank and the OCC issued CobiT based resolutions for the banking industry relating to Control Objectives to be achieved starting 2004. On a related matter, and in case you didn t know, in Costa Rica all IT Auditors are required to be Cases and audited financial statements for the private industry has to be signed by the financial suitor and a CISA. Fuente: Isaca, informe sobre la penetracin de Cobit en los organismos gubernamentales y de regulacin en Amrica latina, Governmental Regulatory agencies Board Task Force No 2, Octubre de 2003

Gracias!
Fernando Ferrer Olivares fferrer@esteganos.com fferreol@banrep.gov.co fferreol@hotmail.com