mplementación de gobierno ti utilizando cobit
DESCRIPTION
Implementación de Gobierno TI utilizando cobit en ecuador.TRANSCRIPT
XII Congreso
XII Congreso
Latinoamericano de
Latinoamericano de
Auditoría Interna
Auditoría Interna
Quito
Quito --Ecuador
Ecuador
Implementación
Implementaciónde
de Gobierno
Gobiernode TI
de TI
utilizando
utilizandoCOBIT
COBIT
®®
Tatiana Sancho
Tatiana SanchoVargas
Vargas
CobiT Accredited Trainer
CobiT Accredited Trainer
Auditora
Auditora
en Tecnología de Información
en Tecnología de Información
Banco HSBC Costa Rica
Banco HSBC Costa Rica
Implementación
Implementaciónde
de Gobierno
Gobiernode
de
TI TI utilizando
utilizandoCOBIT
COBIT
®®
��Historia
Historia
––Conductores
del
Negocio y
del
Conductores
del
Negocio y
del
Gobierno
Gobierno
––Marco de Trabajo
Marco de Trabajo
��Implementación de Gobierno de TI
Implementación de Gobierno de TI
––Mapa de implementación
Mapa de implementación
��CobiT
CobiT®®y VAL IT
y VAL IT
Historia
Historia
Cob
iTCob
iTha
ha
evoluciona
doevoluciona
dode
de
un
aun
ahe
rram
ienta
herram
ienta
para
para
auditoría
auditoría
a un
a
un
marco
marco
de
de referencia
referencia
para
para
el
el G
obierno
Gob
iernode
TI,
de TI, utilizado
utilizado
cada
cada
vez
vezmás
más
por
porla
la Adm
inistración
Adm
inistraciónde TI
de TI
Go
bie
rno
Ad
min
istr
ació
n
Co
ntr
ol
Au
dit
orí
a
Co
biT
1C
ob
iT2
Co
biT
3C
ob
iT4
1996
1998
2000
2005
�U
NIC
Omarco
de referenciapara
el Gobiernode TI que
abarca
el ciclode vida
de la Inversiónde TI com
pleto
�Integradocon…
–Suite herramientas
administrativas
–Sofisticadas
herram
ientas
de medición
�Modelos
de madurez
�Métricas
–Lineam
ientos
detallados
�Prácticas
de Control
�Guíade Im
plem
entación
�Guíade Aseguramiento
–Herramientas
en línea
COBIT
COBIT
®®
Hacia
Haciaqué
quése
se enfocó
enfocó
la
la
actualización
actualización??
�Gob
iernode
TI –Mejor
cobe
rturacon lasprácticas
de gob
iernoen
los procesos
clave, permitien
doa los ejecutivos
y al neg
ocioasum
irsusrespon
sabilidad
es.
�Req
uerim
ientos
del N
egocio–Mejores
enlaces en
treel neg
ocioy la TI med
iante
objetivos
en m
odelode
cascada
y métricas
quelos respalda
n.
�Arm
onización–Mejor
integracióncon otrasprácticas
impo
rtan
tes.
�Creaciónde
Valor
–Enfoq
ueextend
idoha
ciainversione
sde
TI ajustada
sal
riesgo.
�ArquitecturaEmpresarial–
Estructurade
procesosy recursos.
�Definicione
sy
Flujos
de Procesos
–Optimización
en las
descrip
cion
esde
procesos, a
ctividad
es, en
trad
asy salidas.
�Le
ngua
jey Presentación–Más
conciso, orie
ntad
oa la accióny consolidad
oen
un
libro.
�Retroalimen
tación
–Respo
ndea los comen
tario
sde
los usua
rios.
Cuál es el Im
pacto en los usuarios?
Cuál es el Im
pacto en los usuarios?
�Marco de Gob
ierno de
TI completo y mejores prácticas de TI pa
ra fom
entar el
cumplimiento e increm
entar el valor de la TI.
�Enfoq
ue hacia el neg
ocio m
ás rob
usto y m
ás específico en la propied
ad de los
procesos y
respon
sabilidad
es, pe
rmitien
do el alinea
miento
estratég
ico
y
hacien
do la im
plem
entación
más sen
cilla.
�Adicion
es a Cob
iT® 3 basad
o en
los mismos principios básicos y estructuras.
�Parte del com
prom
iso continuo
de mejorar la con
sisten
cia, m
antene
rlo al día y
armon
izad
o con los principa
les estánd
ares.
�Material más rob
usto sob
re objetivos y m
étricas que
hace más sen
cillo el
diseño
de BSC de TI, con un
mayor enfoq
ue en el desem
peño
de losprocesos
vialas actividad
es clave.
�Definicione
s de
procesos, relacione
s, actividad
es y respo
nsab
ilida
des pa
ra
entend
er m
ejor y adm
inistrar el alcan
ce y propó
sito de los procesos de TI.
Conductores del Negocio y
Conductores del Negocio y
del G
obierno
del G
obierno
Cóm
o es que el G
obierno y el
Cóm
o es que el G
obierno y el
Negocio guían la TI?
Negocio guían la TI?
Objetivos del
Negocio
Objetivos
de la TI
Procesos
de TI
Cóm
o es que el G
obierno y el
Cóm
o es que el G
obierno y el
Negocio guían la TI?
Negocio guían la TI?
Com
partir la expansión de mercado
� ���� ���� ���� ���
Aum
entar los ingresos
� ���� ���� ���� ���
Retorno sobre la inversión
� ���� ���
Optimizar la utilización de activos
� ���� ���� ���� ���
Optimizar costos para entrega de servicios
� ���� ���
Adm
inistrar los riesgos del negocio
� ���� ���� ���� ���
� ���� ���
Ofrecer productos y servicios com
petitivos
� ���� ���� ���� ���
Agilidad en responder a requerimientos de cambio en el negocio
� ���� ���� ���� ���
Cum
plimiento de leyes y regulaciones externa
s� ���� ���
� ���� ���
Transparencia en inversiones y entrega de
servicios
� ���� ���
Innovación de prod
uctos y servicios
� ���� ���
Inform
ación útil/confiable para to
ma de decisione
s estratégicas
� ���� ���
OBJETIVOS DEL NEGOCIO
Efectivid
adEfic
iencia Con
fidencia
lidadInte
gridad
Disponib
ilidad Cum
plimient
o Confiab
ilidad
CRITERIOS
DE LA
INFORMACION
Cóm
o es que el G
obierno y el
Cóm
o es que el G
obierno y el
Negocio guían la TI?
Negocio guían la TI?
Procesos de TI
Objetivos de TI
Aplicaciones
Personas
Infraestructura
Información
Objetivos del Negocio
Resultados del Negocio
Impulsores del Gobierno
Co
biT
Co
biT
®®:
En
foca
do
al N
ego
cio
: E
nfo
cad
o a
l Neg
oci
o
Objetivos
de TI
Estrategia Empresarial
BSC de TI
dirigen
dirigen
métricas
métricas
Requerimientos
Del Negocio
Servicios de
Inform
ación
Requerimientos
Del Gobierno
Requieren
Influencian
Criterios de
Inform
ación
Implican
Objetivos del
Negocio para TI
Procesos TI
(incluyendo
responsabilidades)
entregan
ejecutan
Infr
aest
ruct
ura
y p
erso
nas
requieren
Aplicaciones
Inform
ación
Arquitectura
Empresarial
para TI
CCóómo es que el G
obierno y el
mo es que el G
obierno y el
Negocio gu
Negocio guíí an la TI?
an la TI?
Compartir la expansión de mercado
Aumentar los ingresos
Retorno sobre la inversión
Optimizar la utilización de activos
Administrar riesgos del negocio
Mejorar orientación y servicio al cliente
Ofrecer servicios y productos competitivos
Disponibilidad del servicio
Agilidad en responder a requerimientos de cambio en negocio
Optimizar costos para entrega de servicios
Automatizar e integrar cadena valor de la empresa
Mejorar/mantener funcionalidad proceso negocio
Cumplim
iento con leyes y regulaciones externas
Transparencia
Cumplim
iento con políticas internas
Mejorar/mantener productividad operacional y del personal
Reducir costos de proceso
Innovación de productos y del negocio
Inform
e útil/confiable para toma de decisiones estratégicas
Adquirir/mantener personal motivado y con destrezas
1 2 3 4 5 6 7 8 9 10 11 12 14 15 16 1713 18 19 20
Perspectiva
Financiera
Perspectiva
Cliente
Perspectiva
Interna
Perspectiva
Aprendizaje
y Crecimiento
Objetivos del Negocio
Objetivos de TI
Enlazando
Enlazando
los
los Objetivos
Objetivos
del
del N
egocio
Negocioy los
y los Objetivos
Objetivos
de TI
de TI
25 25 24 14 2 3 5 10 1 7 6 6 2 2 2 77 5 2 9
28 28 14 23 24 16 5 8 7 7 19 18 13 88 25 4
17 22 25 10 8 11 20 1113 28 12
18 23 24 11 21 1315 20
19 2224 26
20 26
21 27
22
Efectivid
adEfic
iencia Con
fidencia
lidadInte
gridad
Disponib
ilidad Cum
plimiento
Confiabi
lidad
� ��� � ��� � ��� � ��� � ��� � ��� � ��� � ��� � ��� � ��� � ��� � ��� � ���Criterios de Inform
ación de CobiT
� ��� � ��� � ��� � ��� � ��� � ��� � ��� � ��� � ��� � ���� ��� � ��� � ���
� ���� ���
� ��� � ���
� ���
� ��� � ���
� ��� � ���
� ���� ���
PPPP
SSSS
PPPP
PPPP
SSSS
SSPP
SS
PPPP
SS
PPPP
SS
PPPP
SS
SSPP
PPPP
PPPP
SSSS
SSSS
SS
PPPP
SSSS
PPPP
SSSS
PPSS
SSSS
PPPP
PPSS
SS
SSPP
PPPP
SSSS
PPPP
SSSS
SSSS
SS
SSSS
PPPP
PPSS
SS
PPPP
SSSS
SS
PPPP
SSSS
PPSS
SSPP
PPSS
SSPP
PPPP
PP
SSPP
SS
PPPP
SSSS
PPPP
PPPP
SS
SSSS
PPSS
Crear Agilidad de TI
Optimizar uso de la inform
ación
Responder a requerim
del negocio en alineamiento con estrategia negocio
Responder a requerim
de gobierno en línea con dirección de la Junta
Satisfacción usuarios finales con servs
ofrecidos y niveles de servicio
Cómo requer. funcionales de negocio/ control se traducen en soluciones
Adquirir/mantener sistemas de aplicación integrados y estandarizados
Adquirir/mantener infraestructura de TI integrada y estandarizada
Adquirir/mantener destrezas de TI que respondan a la estrategia de TI
Garantizar satisfacción mutua en relaciones con terceros
Integrar soluciones de tecnología y aplicaciones en procesos de negocio
Transparenc/entendim
costos, beneficios, estrategia, políticas, niveles serv
Uso apropiado y desem
peño de las soluciones de tecnología y aplicaciones
Optimizar infraestructura, recursos y capacidades de TI
Reducir defectos y reprocesosen las soluciones y entrega del servicio
Establecer impacto s/negocio de riesgos de los objetivos y recursos de TI
Transacciones automatizadas/intercam
bios de inform
ación son confiables
Mínimo im
pacto en negocio en caso de interrupción o cam
bio en servde TI
Mejorar eficiencia en costos TI y contribución a rentabilidad del negocio
Asegurar el cumplim
iento por parte de TI con las leyes y regulaciones
Responsabilidad sobre y protección de todos los activos de TI
Proteger el logro de los objetivos de TI
Inform
ación crítica/confidencial se oculta a los que no deben tener acceso
Servs/infraestructTI pueden /recuperarse de errores/ataques/desastres
Asegurarse que los servicios de TI están disponibles tal y como se requiere
Proyectos a tiem
po, dentro de presupuesto y estándares de calidad
Mantener integridad de inform
ación e infraestructura de procesam
iento
TI dem
uestra servicio de calidad, costo-eficiente, mejoramiento continuo …
541 2 3 6 7 8 9 10 11 12 13 15 16 18 20 22 24 2714 17 19 21 23 25 26 28
Efectivid
adEfic
iencia Con
fidencia
lidadInte
gridad
Disponib
ilidad Cum
plimiento
Confiabi
lidad
Objetivos de TIEnlazandolos Objetivosde TI con los Procesos
CCóó
mo
es
qu
e el
Go
bie
rno
y e
l m
o e
s q
ue
el G
ob
iern
o y
el
Neg
oci
o g
uN
ego
cio
gu
íí an
la T
I?an
la T
I?Procesos
PO
1P
O2
PO
4P
O10
AI1
AI6
AI7
DS
1D
S3
ME
1
PO
1P
O4
PO
10M
E1
ME
4
PO
8A
I4D
S2
DS
7D
S8
DS
10D
S13
PO
2D
S11
AI1
AI2
AI6
PO
3A
I2A
I5
AI3
AI5
PO
7A
I5
DS
2
PO
2A
I4A
I7
PO
5P
O6
DS
1D
S2
DS
6M
E1
ME
4
PO
6A
I4A
I7D
S7
DS
8
PO
9D
S5
DS
9D
S12
ME
2
PO
3A
I3D
S3
DS
7D
S9
PO
8A
I4A
I6A
I7D
S10
PO
9D
S10
ME
2
PO
9
PO
6D
S5
DS
11D
S12
PO
6A
I7D
S5
PO
6A
I7D
S4
DS
5D
S12
DS
13M
E2
PO
6A
I6D
S4
DS
12
DS
3D
S4
DS
8D
S13
PO
5A
I5D
S6
PO
8P
O10
AI6
DS
5
DS
11M
E2
ME
3M
E4
PO
5D
S6
ME
1M
E4
PO
2P
O4
PO
7A
I3
DS
1
Marco de Trabajo
Marco de Trabajo
Lo
s p
rod
uct
os
Co
biT
Lo
s p
rod
uct
os
Co
biT
®®
Tomado de
CobiT 4.0
Pág. 10
Directrices Gerenciales *
*Ahora integrado en COBIT 4.0
Guías de
Aseguramiento
De Ti
Objetivos de Control de TI
para Sarbanes Oxley
Resumen para el
Consejo sobre el
Gobierno de TI 2da ed.
Marco de Trabajo
CobiT *
Objetivos de
Control *
Prácticas de
Control
Guía de
Implementación
del Gobierno de TI
CobiT Quickstart
CobiT Security
Baseline
Profesionales de gobierno, aseguramiento, control y seguridad
¿Quées el marco de
trabajo de control de TI?
¿Cómo evaluar el marco
de control de TI?
¿Cómo implantarlo
en la empresa?
Administración del negocio y de la tecnología
•Medidasde desempeño
•Metasy actividades
•Modelosde madurez
Ejecutivosy consejos
Prácticas
Responsabilidades
Tomado
de
CobiT
4.0
Pág. 10
COBIT
COBIT
®®
Com
ponentes
Com
ponentes
e e interrelaciones
interrelaciones
ObjetivosTI
ProcesosTI
Objetivos
Control
Prácticas
Control
Pruebas
Diseño
Controles
Actividades
clave
Modelos
Madurez
Indicadores
clave
metas
Indicadores
clave
desempeño
Objetivos
Negocio
Requerim
ientos
Información
Controlados por
Implementados
con
Auditados po
r
Auditados po
r
Desglosadosen
Medidospor
Para desempeño
Para resultados
Para madurez
Diagramas
RACI
Realizadospor
Pruebas
Control
Resultados
Derivadas
de
Basados
en
Conductores
Valor
Conductores
Riesgo
Porqué
Principales Características de
Principales Características de
CobiT
CobiT
®®
�Enfocado al Negocio
�Orientado a los Procesos
�Basado en los Controles
�Guiado por la Medición
CobiT
CobiT
®®: E
nfocado al Negocio
: Enfocado al Negocio
Objetivos
de TI
Estrategia Empresarial
BSC de TI
dirigen
dirigen
métricas
métricas
Requerimientos
Del Negocio
Servicios de
Inform
ación
Requerimientos
Del Gobierno
Requieren
Influencian
Criterios de
Inform
ación
Implican
Objetivos del
Negocio para TI
Procesos TI
(incluyendo
responsabilidades)
entregan
ejecutan
Infr
aest
ruct
ura
y p
erso
nas
requieren
Aplicaciones
Inform
ación
Arquitectura
Empresarial
para TI
CobiT
CobiT
®®: O
rientado a los Procesos
: Orie
ntado a los Procesos
Referencia cruzada: De COBIT 3 a COBIT 4.0 págs187-191
De COBIT 4.0 a COBIT 3 págs192-194
Cambios en los procesos
Obtener TI Controles de
Aplicaciones
Cumplimiento
regulaciones
Administrar la
calidad
Administración
de versiones
Gobierno TI
CobiT
CobiT
®®: B
asado en los Controles
: Basado en los Controles
Controles del Negocio y Controles de TI
�A nivel de dirección ejecutiva
�A nivel de los Procesos de Negocio
�A nivel de Soporte de los Procesos de Negocio
Controles Generales de TI
�Desarrollo de Sistemas
�Administración de Cambios
�Seguridad
�Operación del Computador
Controles de las Aplicaciones
�Origen de Datos /Autorización
�Controles de Entrada de Datos
�Controles en el Procesamiento de Datos
�Controles de Salida de Datos
�Controles de Límites
CobiT
CobiT
®®: G
uiado por la Medición
: Guiado por la Medición
Modelos de Madurez
EN RESUMEN
EN RESUMEN
�Cob
iT4.0 es una evolución de la te
rcera edición,
basado en los mismos principios estructurales
�Cob
iT4.0 constituye un
a am
pliación de la te
rcera
edición con fuerte enfoq
ue en el neg
ocio en las
prácticas de gobierno
�Un solo docum
ento integrado (M
arco de Traba
jo,
Objetivos de Con
trol y Directrices Gerenciales)
�Mayor clarid
ad de los conceptos que facilitan
al nue
vo
usuario el acercam
iento al m
odelo
EN RESUMEN
EN RESUMEN
�Se mantienen 4 Dom
inios y 34 Procesos
�Dom
inio M es ME –abarca responsabilidades de TI únicamente
�Los recursos de TI se reducen a 4, los cuales junto con los
Objetivos y P
rocesos de TI form
an el mod
elo de A
rquitectura
Empresarial
�Objetivos de Control abarcando G
obierno de TI en forma más
completa, mejor armonizado, con
lenguaje más conciso
y reducidos en un 30
% aproximadam
ente
�Antiguo AI5 es ahora
AI7 )Instalar y
acreditar solucion
es y
cambios)y está alineado con IT
IL
�DS8 (Adm
inistrar la mesa de servicio y los incidentes)y DS10
(Adm
inistrar los problemas) alineados con ITIL
�DS11 solo con administración de datos
EN RESUMEN
EN RESUMEN
�Cada
proceso
tiene una
descripción,
entradas y
salidas
primarias
con
enlaces
a los
procesos,
actividades
y responsabilidades
�Controles de proceso y aplicación a nivel del marco de trabajo
�Las
métricas creadas
bajo los
mismos principios están
integradas con
los objetivos y proveen m
ás y m
ejores ejemplos
que ayudan a los usuarios a diseñar métricas propias
�Las métricas se enlazan en el mapeo de Objetivos del Negocio
con
Objetivos de TI con
Procesos
de TI,
son
menos, más
mediblesy con más detalle
�Las métricas dan apoyo a la cascada de TI, procesos y objetivos
de actividades, sum
inistrando un sistem
a integrado
�Directrices Gerenciales ahora con gráficas RACI
�Descripciones del Modelo de Madurez más precisas y med
ibles
Implem
entación de Gobierno de TI
Implem
entación de Gobierno de TI
MEDICIÓ
N DEL
DESEMP
EÑO
ADMINISTRACIÓN
DE LOS RECURSOS
ADMINIS
TRACIÓN DEL
RIESGO
AGREGAR
VALOR
ALINEACIÓN
ESTRATÉGICA
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Gobierno Corporativoes
•Un conjunto de responsabilidades y
prácticas
ejecutadas
por
la junta
directiva y la administración ejecutiva
con el fin de proveer
dirección
estratégica,
•garantizando que los objetivossean
alcanzados,
•estableciendo que los
riesgos
son
administrados apropiadamente y
•verificando que los
recursos
de la
empresa
son
usados
responsablemente.
MEDICIÓ
N DEL
DESEMP
EÑO
ADMINISTRACIÓN
DE LOS RECURSOS
ADMINIS
TRACIÓN DEL
RIESGO
AGREGAR
VALOR
ALINEACIÓN
ESTRATÉGICA
www.itgi.org
La Necesidad del G
obierno de TI
MEDICIÓ
N DEL
DESEMP
EÑO
ADMINISTRACIÓN
DE LOS RECURSOS
ADMINIS
TRACIÓN DEL
RIESGO
AGREGAR
VALOR
ALINEACIÓN
ESTRATÉGICA
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Gobierno de TIes:
•responsabilidad de la junta directiva y
la administración ejecutiva.
•Una parte integral
del
gobierno
corporativo y
consta del liderazgo,
estructuras
organizacionales
y procesos que garantizan que TI de la
empresa sustenta y
extiende las
estrategias
y objetivos
organizacionales.
Gobiernode TI, comoestádefinidoporITGI
MEDICIÓ
N DEL
DESEMP
EÑO
ADMINISTRACIÓN
DE LOS RECURSOS
ADMINIS
TRACIÓN DEL
RIESGO
AGREGAR
VALOR
ALINEACIÓN
ESTRATÉGICA
www.itgi.org
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
PrincipalesÁreasdel G
obiernode TI
AgregarValor
Se centra en garantizar el enlace de los planes de negocio y TI,
con base en la definición, mantenimiento y validación de la
propuesta de valor de TIy sobre la alineación de las operaciones
de TI con las operaciones corporativas.
Se relaciona con la ejecución de la propuesta de valora través del
ciclo
de entrega, garantizando
que TI entregue
el beneficio
prometido contra la estrategia, concentrándose en la optimización
de costos y proporcionando el valor intrínseco de TI.
Se relaciona con la inversión óptima en, y la administración adecuada
de recursos críticos de TI: aplicaciones, información, infraestructura
y personas. Los aspectos clave se relacionan con la optimización
del conocimiento y la infraestructura.
Requiere la concientización del riesgo por parte de los oficiales
corporativos senior, un claro entendimiento del apetito de riesgo
corporativo, un entendimiento de los requerimientos de obligatorio
cumplim
iento, transparencia sobre el riesgo significativo para la
empresa y una distribución de
las
responsabilidades de
la
administración del riesgoen la organización.
Sigue y monitorea la implementación de la estrategia, la finalización
de los proyectos, el uso de los recursos, el desempeño de los
procesos y la entrega de servicios, usando, por ejemplo, balanced
scorecards que traduzcan la estrategia en acciónpara alcanzar
metas que sean medibles más allá
de la simple contabilización.
Administración
del D
esempeño
Administración
del R
iesgo
Administraciónde
los Recursos
Alineación
Estratégica
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Stakeholders en el G
obiernode TI
Gerenciade
Negocios
Fijan la dirección de TI, monitorean los
resultados e insisten en las medidas
correctivas
Define los requerimientos del negocio para
TI y garantiza que se agrega valor y que los
riesgos son administrados
Entrega y mejora los servicios de TI tal
como los requiere el negocio
Proporciona aseguramiento independiente
de que TI entrega lo que se necesita
Mide que las políticas obedecen a y están
enfocadas en alertar nuevos riesgos
Gerenciade
Riesgoy
cumplim
iento
Auditoríade TI
Gerenciade TI
Junta y
ejecutivos
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Jun
ta Inform
ación total sobre con
form
idad y desem
peño
de TI
Ger
enci
a E
jecu
tiva
Obtener valor a partir de las inversiones de
TI
Balancear el riesgo y el con
trol d
e la inversión
en
un ambien
te d
e TI que frecue
ntem
ente e
s
impredecible
Estab
lecer puntos de referencia (benchm
ark) de am
bien
tes de
TI existentes y futuros
Ayudar a dar respuesta a los crecientes reque
rimientos regulatorios
Ger
enci
a d
e R
iesg
o y
Cu
mp
limie
nto
Validar que tanto el negocio com
o TI cum
plan
con los requerimientos internos y externo
s
Ger
enci
ad
e N
ego
cio
s
Obtener garantías
sobre
la segu
ridad y
los
controles
de los
productos
y servicios
provistos
internam
ente y por terceras partes
Au
dit
ore
s d
e T
I
Con
firmar opiniones a la adm
inistración sobre los controles internos
Responder a la pregunta: Qué
controles mínimos son
necesarios?
COBIT
®proporciona tanto el marco de referencia de control
como las herramientas de medición del desem
peño.
Requerimientosde los Stakeholders
Qu
én
eces
itan
los
stak
eho
lder
s?
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Las organizaciones deberán considerar y usar una variedad de modelos, estándares y
mejores prácticas de TI –por lo tanto asegúrese de que entiende esto con el fin de
considerar como pueden usarse juntos, con COBIT actuando como consolidador
(“Sombrilla”) e.g.
COBIT
ISO 9000ISO 17799
ITIL
COSO
QUÉ
CÓMO
COBIT y otrosMarcos de Referenciade Administraciónde TI
CAMPO DE COBERTURA
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
Efi
cie
ncia
Ap
lica
cio
ne
sIn
form
ació
nIn
fra
estr
uctu
raP
ers
on
as
ENTREGAR
Y DAR
SOPORTE
MONITOREAR
YEVALUAR
ADQUIRIR
EIM
PLEMENTAR
INFORMACION
RECURSOS
DETI
MARCO DE REFERENCIA
C O B I T
Efe
cti
vid
ad
Co
nfi
de
ncia
lid
ad
Inte
gri
da
d
Dis
po
nib
ilid
ad
Cu
mp
lim
ien
to
DS1
De
fin
ir y
ad
min
istr
ar
niv
ele
s
de
se
rvic
io.
DS2
Ad
min
istr
ar
se
rvic
ios d
e
terc
ero
s.
DS3
Ad
min
istr
ar
de
se
mp
eñ
o y
ca
pa
cid
ad
. DS4
Ase
gu
rar
co
nti
nu
ida
d d
e
se
rvic
io.
DS5
Ga
ran
tiza
r la
se
gu
rid
ad
de
sis
tem
as.
DS6
Ide
nti
fica
r y
asig
na
r co
sto
s.
DS7
Ed
uca
r y
ca
pa
cit
ar
usu
ari
os.
DS8
Ad
min
istr
ar
se
rvic
ios d
e
ap
oy
o e
in
cid
en
tes.
DS9
Ad
min
istr
ar
la c
on
fig
ura
ció
n.
DS10 A
dm
inis
tra
r p
rob
lem
as.
DS11 A
dm
inis
tra
r d
ato
s.
DS12 A
dm
inis
tra
r e
l a
mb
ien
te
físic
o.
DS13 A
dm
inis
tra
r o
pe
racio
ne
s.
ME1
Mo
nit
ore
ar
y E
va
lua
r e
l d
ese
mp
eñ
o d
e T
I.
ME2
Mo
nit
ore
ar
y E
va
lua
r e
l co
ntr
ol
inte
rno
. ME3
Ga
ran
tiza
r e
l cu
mp
lim
ien
to
reg
ula
tori
o.
ME4
Pro
ve
er
Go
bie
rno
de
TI.
PO1
De
fin
ir u
n p
lan
estr
até
gic
o
de
TI.
PO2
De
fin
ir l
a a
rqu
ite
ctu
ra d
e
info
rma
ció
n.
PO3
De
term
ina
r la
dir
ecció
n
tecn
oló
gic
a.
PO4
De
fin
ir l
os p
roce
so
s d
e T
I,
la o
rga
niz
ació
n y
su
s
rela
cio
ne
s.
PO5
Ad
min
istr
ar
las i
nv
ers
ion
es
en
TI.
PO6
Co
mu
nic
ar
la d
ire
cció
n y
o
bje
tiv
os d
e l
a g
ere
ncia
.PO7
Ad
min
istr
ar
los r
ecu
rso
s
hu
ma
no
s d
e T
I.
PO8
Ad
min
istr
ar
ca
lid
ad
.PO9
Ev
alu
ar
y a
dm
inis
tra
r ri
esg
os d
e T
I.PO10 A
dm
inis
tra
r p
roy
ecto
s.
AI1
Ide
nti
fica
r so
lucio
ne
s d
e
au
tom
ati
za
ció
n.
AI2
Ad
qu
irir
y m
an
ten
er
so
ftw
are
de
ap
lica
ció
n.
AI3
Ad
qu
irir
y m
an
ten
er
la
infr
ae
str
uctu
ra t
ecn
oló
gic
a.
AI4
Pe
rmit
ir l
a o
pe
ració
n y
uso
.AI5
ob
ten
er
recu
rso
s d
e T
I.AI6
Ad
min
istr
ar
ca
mb
ios.
AI7
Insta
lar
y a
cre
dit
ar
so
lucio
ne
s y
ca
mb
ios.
PLANEAR
YORGANIZAR
COBIT Proporciona un Enlace Claro entre los Requerimientos
del G
obierno de TI, los Procesos de TI y los Controles de TI
Co
nfi
ab
ilid
ad
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
IMPLEMENTAR LA
SOLUCIÓN
PLANEAR LA
SOLUCIÓN
PREVER LA
SOLUCIÓN
IDENTIFICAR
NECESIDADES
Fomentar la
conciencia y
obtener
compromiso
Analizar
objetivos
del nego-
cio y de TI
Seleccionar
procesos y
controles
Definir el
desempeño
actual
Definir
objetivos de
mejora
Analizar
inconsistencias
e identificar
mejoras
Definir
proyectos
Desarrollar
un plan de
mejora
Implementar
las mejoras
Integrar
medidas en
el ITBSC
Revisión
Post
implementación
Analizar
riesgos
CONSTRUIR
SUSTENTABILIDAD
Definir el
Alcance
Desarrollar
Estructura y
Procesos del
Gobierno de TI
El m
apaa seguirparala Im
plementacióndel G
obiernode TI
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Paso 1:Comprender los antecedentes de la iniciativa de Gobierno de TI yestablecer
objetivos de negocio medibles para el proyecto de implementacióndel
Gobierno de TI
Paso 2:Despertar conciencia, obtener compromiso y definir la organización del
proyecto
Paso 3:Analizar los objetivos del negocio y convertirlos en metas de TI
Paso 4:Analizar los riesgos que puedan impactar el logro de estas metasde TI
Paso 5:Con base en las tareas previas, determinar el alcance de la iniciativa de
Gobierno de TI e identificar y priorizar los procesos críticos de TI que serán
direccionados
El comienzo del proyecto de implementación del G
obierno de TI señala que las
necesidades del Gobierno de
TI tienen que
ser reconocidas. Es
importante
reconfirm
ar y comunicar esta necesidad, e ir m
ás alláde perfeccionarla y definirla
hasta el punto en que se seleccionen los procesos de TI y el modelo de control
Fase 1 –Identificar las Necesidades
Casosde Estudiode CobiT disponiblesen el w
ebsite www.itgi.org
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Su rol en esta fase es…
Establecer la dirección, aprobar las propuestas, designar los roles clave de los
proyectos y definir las responsabilidades, brindar soporte y com
promiso visibles.
Proveer lineamientos sobre las prioridades del negocio y la actitud con respecto a
los riesgos. Patrocinar, comunicar y promover el plan acordado.
Definir los requerim
ientos del negocio con respecto a TI y proveer insumos para
comprender los riesgos y prioridades. Establecer el alcance con los proveedores de
TI. Proporcionar los recursos apropiados y el compromiso para dar soporte a la
iniciativa.
Recopilar los requerim
ientos y objetivos de todas las partes, obteniendo el consenso
sobre las propuestas y el alcance. Proveer asesoría y lineam
ientos especializados
sobre los asuntos de TI y garantizar que el negocio y los ejecutivos comprenden y
son conscientes de los aspectos claves.
Aceptar los acuerdos de participación de auditoría con respecto a los roles y reporte.
Proporcionar asesoría y
cuestionar las
actividades
y acciones
propuestas,
asegurando que se tom
en decisiones objetivas y balanceadas. Proveer asesoría con
respecto a las prácticas y propuestas de control y adm
inistración del riesgo.
Garantizar un adecuado nivel de participación de la auditoría a través de la duración
de la iniciativa.
Proveer asesoría y direccionam
iento sobre asuntos relacionados con el riesgo y el
cumplimiento. Garantizar que la propuesta hecha estáa muy cerca de cum
plir con el
riesgo esperado y los requerim
ientos de cum
plimiento. Garantizarun adecuado nivel
de participación a través de la duración de la iniciativa.
Fase1 –IdentificarlasNecesidades
Cuando usted es…
Junta y
Ejecutivo
Gerente de
Negocios
Gerente
de TI
Auditor de TI
Gerente de Riesgo y
Cumplimiento
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Paso 6:
Definir el desempeño actual de la empresa.
Paso 7:
Definir el objetivo de la empresa para mejorar.
Paso 8:
Analizar las brechas e identificar mejoramientos potenciales.
La fase 2 del m
apa prevé
la solución y estácompuesta de tres pasos.
Primero, usted debe definir dónde se está(as-is), evaluando la capacidad y
madurez actuales de los procesos de TI seleccionados. Después, para cada
uno de esos procesos debe definir los niveles objetivo (to-be) de madurez y
capacidad apropiados y razonables.
Finalmente, las brechas entre la posición actual (as-is) y la objetivo (to-be)
deben ser analizadas y traducidas en oportunidades de mejoramiento.
Fase2 -Preverla Solución
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Fase2 –Preverla Solución
Cuando usted
es…
Junta y Ejecutivo
Gerente de
negocios
Gerente de TI
Auditor de TI
Gerente de
riesgo y
cumplim
iento
Su rol en esta fase es…
Interpretar los resultados/conclusiones de las evaluaciones. Define
prioridades, escalas de tiempo y expectativas en cuanto a la capacidad
futura requerida de TI.
Asegurar que las metas de negocio estén entendidas por TI, y revisa la
razonabilidad de las metas y prioridades de TI. Ayuda a TI a definir el
nivel objetivo de capacidad.
Aplicar el juicio profesional en la formulación de planes e iniciativas de
prioridades de mejora. Asegura una evaluación abierta y justa de las
actividades de TI. Guía la evaluación de la práctica actual. Obtiene
consenso acerca del objetivo requerido de capacidad.
Proveer asesoría y
ayuda en
la evaluación del estado actual,
posicionamiento del estado objetivo y prioridades de brechas. Sise
requiere, verifica independientem
ente los resultados de las evaluaciones.
Revisar la evaluación para asegurar que los aspectos de riesgo y
cumplimiento han sido direccionados adecuadamente.
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Paso9:
Defina proyectos
Paso10:
Desarrolle e implemente un plan de cambio
La tercera fase del mapa de ruta identifica las iniciativas de m
ejora
prioritarias y factibles y las traduce en proyectos justificables, alineados
con el valor de negocio original y los factores de riesgo.
Luego de la aprobación de estos proyectos individuales, éstos deberían
ser integrados en una única estrategia de mejora y en un programa
práctico y detallado para llevar a cabo la solución.
Los objetivos de TI y del negocio de este proyecto de mejora deberían
traducirse en un conjunto de medidas.
Fase 3 –Planee la Solución
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Fase 3 –Planee
la Solución
Su rol en esta fase es …
Considere y desafíe las propuestas, apoye las acciones justificadas,
provea presupuestos y establezca prioridades según sean apropiadas.
Asegúrese de que
los requerimientos del negocio hayan
sido
planteados de manera precisa, que las acciones de mejora propuestas
estén alineadas con las prioridades del negocio, y que cualquier
actividad que requiera gastos del negocio estén respaldadas.
Asegúrese de la viabilidad y racionalidad de las propuestas. Asegúrese
de que los planes son alcanzables y que los recursos para ejecutar la
estrategia propuesta se encuentran disponibles.
Asegúrese usted mismo que los temas identificados son válidos, que los
casos de negocio [business cases]están subjetivamente y precisamente
presentados y que los planes son alcanzables. Disponga del consejo y
asesoramiento de expertos cuando sea apropiado.
Asegúrese de que cualquiera de los riesgos identificados o asuntos de
cumplimiento [compliance issues]estén siendo abordados, y que las
propuestas se ajusten a las políticas relevantes o regulaciones.
Cuando Usted es …
De la Junta Directiva
y Ejecutivo
Gerente de negocio
Administrador de TI
Auditor de TI
Administrador de
riesgo y
cumplim
iento
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Paso 11:
Implementar las mejoras
Paso 12:
Integrar las medidas en BSC TI y monitorear la implementación
Paso 13:
Revisión Post-implementación
Mientras el plan de mejora se lleva a cabo, gobernado por proyectos establecidos y
metodologías de administración del cambio, la obtención exitosa de los resultados de
negocio deseados se asegura mediante:
�La retroalimentación y las lecciones aprendidas, que surge de la revisión post-
implementación
�El m
onitoreo de las mejoras sobre el desempeño de la corporación y Balanced
Scorecard de TI
Fase 4 –Implementarla Solución
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Fase 4 –Implementarla Solución
Su rol en esta fase es …
Marcar una dirección, aprobar, proponer, nom
inar los roles clave
de los
proyectos y definir responsabilidades, dar apoyo visible y confianza. Proveer
asesoramiento con respecto a las prioridades del negocio y actitud hacia los
riesgos. Ser patrocinador, comunicar y promover el plan acordado.
Definir los requerimientos de TI por parte del negocio, y proveer insumos para la
comprensión de los riesgos y prioridades. Establecer el alcance con los
proveedores de TI. Proveer recursos apropiados y confianza para apoyar la
iniciativa.
Recolectar los requerimientos y objetivos de todas las partes, ganando
consenso sobre el enfoque y el alcance. Proveer consejos de expertos,
asesoramiento acerca de los problemas de TI y asegurarse de que el negocio y
los ejecutivos comprenden y aprecian todos los temas clave.
Consensuar medidas acerca de los roles e informes para la participación de
auditoria. Proveer consejos y desafiar las actividades y acciones propuestas,
asegurando que se tomen objetivos y decisiones equilibradas. Proveer consejos
y propuestas acerca de los controles y prácticas de la adm
inistración del riesgo.
Asegurar que se provea el nivel adecuado de participación de auditoria a lo
largo de la duración de la iniciativa.
Proveer consejos y asesoramiento acerca de las cuestiones de riesgo y
cumplimiento. Asegurar que la propuesta postulada tenga probabilidad de reunir
los requerim
ientos de riesgo y cumplimiento. Asegurar un nivel adecuado de
participación a través de la duración de la iniciativa.
Cuando usted es …
Junta Directiva y
Ejecutivo
Gerente de
Negocio
Gerente de TI
Auditor de TI
Gerente de Riesgo y
Cumplimiento
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Paso14:
Desarrollar la estructura y procesos del Gobierno de TI
Mientras el plan de mejora se lleva a cabo, la sustentabilidad es apoyada
por:
�La retroalimentación y las lecciones aprendidas, que surgen de la revisión post-
implementación
�El monitoreo de las mejoras sobre el desempeño de la corporación y los Balanced
Scorecard de TI
Construir sustentabilidad im
plica:
�Integrar el Gobierno de TI con el Gobierno de la Empresa
�Responsabilidad de TI a través de la empresa
�Estructuras organizacionales apropiadas
�Determinar claramente las políticas de comunicación, estándares y procedimientos de
Gobierno de TI y control
�Cambio cultural (confianza en todos los niveles de la organización –desde la Junta
Directiva hasta el último nivel operativo)
�Mejora continua de los procesos y cultura
�Óptimo monitoreo y estructuras de informes
Fase 5 –Construirsustentabilidad
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Cuando usted es …
Junta Directiva y
Ejecutivo
Gerente de
Negocio
Gerente de TI
Auditor de TI
Gerente de
Riesgo y
Cumplimiento
Su rol en esta fase es…
Marcar una dirección, establecer objetivos y asignar roles y responsabilida-
des para el enfoque progresivo del gobierno de TI de la empresa.“Dictar la
pauta”, desarrollar estructuras organizacionales y promover una cultura de
buen gobierno y responsabilidad por la rendición de cuentas paraTI entre el
negocio y los ejecutivos de TI
Proveer apoyo y confianza trabajando positivamente con TI para mejorar y
hacer del gobierno de TI algo “habitual para el negocio”
Comprometerse en las actividades del gobierno de TI como parte de una
práctica de negocio normal. Crear políticas, estándares y procedimientos
para traducir los proyectos de iniciativas de gobierno en negocio habitual.
Proveer objetivos e insumos constructivos, alentar la auto-evaluación y
proveer certeza a la administración de que el gobierno está funcionando
efectivamente –construyendo confianza en TI. Proveer auditorías continuas
basadas en un enfoque de gobierno integrado usando un criterio compartido
con TI y con el negocio basado en el marco COBIT.
Trabajar con TI y el negocio para anticipar los requerimientos legales y
regulatorios e identificar y responder a los riesgos de TI relacionados, como
una actividad normal en el gobierno de TI.
Fase 5 –Construirsustentabilidad
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
IMPLEMENTAR LA
SOLUCIÓN
PLANEAR LA
SOLUCIÓN
PREVER LA
SOLUCIÓN
IDENTIFICAR
NECESIDADES
Fomentar la
conciencia y
obtener
compromiso
Analizar
objetivos
del nego-
cio y de TI
Seleccionar
procesos y
controles
Definir el
desempeño
actual
Definir
objetivos de
mejora
Analizar
inconsistencias
e identificar
mejoras
Definir
proyectos
Desarrollar
un plan de
mejora
Implementar
las mejoras
Integrar
medidas en
el ITBSC
Revisión
Post
implementación
Analizar
riesgos
CONSTRUIR
SUSTENTABILIDAD
Definir el
Alcance
Desarrollar
Estructura y
Procesos del
Gobierno de TI
El m
apaa seguirparala Im
plementacióndel G
obiernode TI
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
�Apoyo de los ejecutivos
senior para TI
�TI involucrada en el
desarrollo de la
estrategia
�TI que comprende el
negocio
�Asociación Negocio-TI
�Proyectos de TI bien
priorizados
�Liderazgo demostrado
de TI
�Ausencia de relación
cercana TI/negocio
�TI no prioriza bien
�TI falla en cum
plir los
compromisos
�TI no comprende el negocio
�Ejecutivos senior no
apoyan TI
�Administración de TI carece
de liderazgo
�TI evita soluciones
demasiado complejas y
difíciles
Facilitadores
Inhibidores
Implementar las mejores prácticas de COBIT estárelacionado
con maximizar los facilitadores y minimizar los inhibidores
�Enfoque integrado a la
estrategia TI/Negocio
�Proceso colaborativo entre
TI & Negocio
�Direccionado desde arriba
por la Estrategia de TI y el
ComitéDirectivo de TI
�Responsabilidades
compartidas
�Búsqueda de Ganancias
rápidas
COBIT facilita las
Soluciones de Gobierno
Consideraciones para la Im
plementación
Cultura y Comunicación
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
A t
rav
és d
e u
n c
on
jun
to d
e p
rod
ucto
s c
oh
ere
nte
s y
a
ctu
ali
za
do
s,
fort
ale
ce
r la
in
flu
en
cia
y s
op
ort
e a
u
na
au
die
ncia
ob
jeti
vo
en
ex
pa
nsió
n,
co
n u
n
co
no
cim
ien
to e
n l
íne
a c
on
tin
ua
me
nte
actu
ali
za
do
so
bre
Co
ntr
ol
de
TI,
Ase
gu
ram
ien
to y
Go
bie
rno
.
Se
r u
n e
stá
nd
ar
inte
rna
cio
na
lme
nte
ace
pta
do
p
ara
bu
en
as p
rácti
ca
s e
n G
ob
iern
o y
Co
ntr
ol
de
T
I y
ap
oy
ar
a l
os u
su
ari
os d
esd
e l
a
imp
lem
en
tació
n h
asta
la
ev
alu
ació
n.
•C
om
pa
rtir
co
no
cim
ien
to•
Ap
ala
nca
mie
nto
de
la
e
xp
eri
en
cia
•In
flu
en
cia
r b
ue
na
s p
rácti
ca
s
•E
jecu
tiv
os &
Ju
nta
s
•A
dm
inis
tra
ció
n•
Pro
fesio
na
les
•D
irig
ir y
pro
ve
er
lid
era
zg
o•
Ev
alu
ar
y p
rio
riza
r•
Imp
lem
en
tar
Quién
Qué
Valores Visión Misión
Audiencia
Objetivo
Estrategia de Desarrollo de COBIT
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.�Apalancar la experiencia del Comité
Directivo de
COBIT & de otros para aumentar la base de
conocimiento.
�Establecer un ciclo efectivo y eficiente de
actualización
�Ampliar la audiencia a través de iniciativas
enfocadas en la academia, el sector público,
empresas pequeñas y medianas
�Alinearse con los requerimientos del Gobierno
de TI
�Expandir la asesoría en im
plementación
�Construir herramientas en línea que apoyen
�Capturar y compartir conocimiento
�Medir
�Establecer puntos de referencia (Benchmarking)
�Autoevaluación
�Análisis de brechas e Implementación
Estrategia de Desarrollo de COBIT
Valores
Visión
Misión
Estrategia
Este programa educativo es propiedad
de Information Systems Audit and Control Association ®.
Eje
cu
tiv
os y
Ju
nta
s
Ad
min
istr
ació
n d
el
Ne
go
cio
y d
e T
ecn
olo
gía
Au
dit
orí
a,
Se
gu
rid
ad
y P
rofe
sio
na
les d
e T
I
•M
ed
ida
s d
e D
ese
mp
eñ
o
•M
eta
s p
or
Acti
vid
ad
e I
nsu
mo
s
•M
od
elo
s d
e M
ad
ure
z
Re
su
me
n
Eje
cu
tiv
o
Dir
ectr
ice
s
Ge
ren
cia
les
Qu
ée
s e
l m
arc
o d
e
refe
ren
cia
de
l C
on
tro
l d
e T
I?
Có
mo
ev
alu
ar
el
ma
rco
de
re
fere
ncia
de
l C
on
tro
l d
e
TI?
Có
mo
pre
se
nta
rlo
en
la
Org
an
iza
ció
n?
Gu
ía d
e A
se
gu
ram
ien
to d
e T
I
Prá
cti
ca
s d
e C
on
tro
l
Ob
jeti
vo
s d
e C
on
tro
l
Prá
cti
ca
sR
esp
on
sa
bil
ida
de
s
Ma
rco
de
re
fere
ncia
de
CO
BIT
CO
BIT
O
n L
ine
Fu
nd
am
en
tos d
e C
OB
ITE
le
arn
ing
CO
BIT
Qu
ick
Sta
rt
Gu
ía d
e I
mp
lem
en
tació
n
de
Go
bie
rno
de
TI
Ob
jeti
vo
s d
e C
on
tro
l d
e T
I p
ara
Sa
rba
ne
s -
Ox
ley
CO
BIT
Se
cu
rity
Ba
se
lin
e
Familia de Productos
COBIT
COBIT
®®Y VAL IT
Y VAL IT
Diapositiva 51
Hacem
os
las cosas
correctas?
Obtenem
os
los
beneficios?
Logramos
hacerlas
bien
hechas?
La pregunta estratégicaes
si la inversión:
•Estáalineada con nuestra
visión?
•Es consistente con
nuestros principios de
negocio?
•Contribuye a nuestros
objetivos estratégicos?
•Provee el valor óptimo a
un costo asequible y con
un nivel de riesgo
aceptable?
La pregunta de
arquitecturaes si la
inversión:
•Estáalineada con nuestra
arquitectura?
•Es consistente con
nuestros principios de
arquitectura?
•Contribuye a la población
de nuestra arquitectura?
•Estáalineada con las
otras iniciativas?
La pregunta de valores si
tenem
os:
•Un entendimiento claro y
compartido de los
beneficios esperados?
•Responsabilidad clara por
la obtención de
beneficios?
•Métricas relevantes?
•Un proceso efectivo de
obtención de beneficios?
La pregunta de entregaes
si tenem
os:
•Administración efectiva y
disciplinada y procesos de
entrega y administración
de cambios?
•Recursos técnicos y del
negocio competentes y
disponibles para entregar
•Las capacidades
requeridas?
•Los cambios
organizacionales
requeridos para apoyar
los cambios?
Las
hacem
os en
la form
a adecuada?
Lo que persigue
Lo que persigue CobiT
CobiT
®®y y Val
ValITIT
Cob
iTse enfoca en:
�La Ejecución
(la form
a correcta y hacerlo bien)
ValIT se en
foca en:
�La decisión de la inversión
(las cosas correctas)
�La realización de beneficios
(obtener los beneficios)
Los principios de
Los principios de Val
ValITIT
ValIT apoya los objetivos del negocio al
Obtener el valor óptim
o de las inversiones del negocio habilitadas por la
tecnología a un costo asequible con un nivel de riesgo aceptable
Y es dirigido por
Un conjunto de principios aplicados a los procesos de
administración de valor
Que son habilitados por
Referencia cruzada entre prácticas
administrativas clave y los controles clave
de CobiT
Y son medidos por
Métricas clave de desempeño y
resultados
Val
ValIT y su
IT y su relaci
relaciónóncon
con CobiT
CobiT
®®
�G
ob
iern
o d
el
Va
lor
(VG
)�
Ad
min
istr
ació
n d
el
Po
rta
foli
o (
PM
)�
Ad
min
istr
ació
n d
e l
as I
nv
ers
ion
es (
IM)
Los tres procesos de
Los tres procesos de Val
ValITIT
Val
ValITIT
Proceso: Gobierno del V
alor
Proceso: Gobierno del V
alor
�El objetivo del G
obierno de
l Valor es optim
izar el valor
de las inversiones de
una organ
ización qu
e ha
n sido
posibles por la TI, por med
io de:
–Estab
lecer el m
arco de trabajo de Gobierno,
Mon
itoreo y Control
–Proveer dirección estratég
ica para las inversiones
–Definir las características del portafolio de
inversiones
Val
ValIT
IT
Proceso: Adm
inistración del
Proceso: Adm
inistración del
Portafolio
Portafolio
�El objetivo de
la Adm
inistración de
l Portafolio es aseg
urar que el
portafolio com
pleto de
inversione
s de
una organ
ización qu
e ha
n sido
posibles por la TI, está alinea
do con
y con
tribuye con valor
óptim
o a los ob
jetivos estratégicos de
la organ
ización, por m
edio
de:
–Estab
lecer y administrar los perfiles de recursos
–Definir los lím
ites de inversión
–Evaluar, p
riorizar y seleccion
ar, a
plazan
do o recha
zand
o nu
evas inversione
s
–Adm
inistrar el portafolio com
pleto
–Monitorear e inform
ar sobre el desem
peño
del portafolio
Val
ValIT
IT
Proceso: A
dministración de In
versiones
Proceso: A
dministración de In
versiones
�El objetivo
de la Adm
inistración
de las Inversiones es asegurar que
los
programas individuales de inversión habilitado
s por la TI, entregan el valor
óptim
o a un costo asequible con
un nivel d
e rie
sgo cono
cido y aceptado, por
medio de:
–Identificar los requerimientos del negocio
–Desarrollar un entendimiento claro de program
as de inversión candidatos
–Analizar las alternativas
–Definir
el programa
y documentar un caso de negocio
detallado,
incluyendo detalle de los beneficios
–Asignar responsabilidade
s y propiedades claras
–Analizar el program
a a través del ciclo económico completo
–Monitorear e inform
ar sobre el desem
peño del program
a
�Tres componentes clave de la adm
inistración de
las
inversiones
–Desarrollo de casos de
negocio (como ap
oyo a la
selección de
los programas de inversión correctos)
–Adm
inistración de
l program
a (adm
inistrar la
ejecución de
los programas)
–Rea
lización de ben
eficios (adm
inistración activa de
la rea
lización de ben
eficios desde los programas)
Val
ValIT
IT
Proceso: A
dministración de In
versiones
Proceso: A
dministración de In
versiones
Beneficios de
Beneficios de Val
ValITIT
�Aum
enta el entend
imiento y transparencia de costos,
riesgos y
beneficios
con
el resultado de decisiones
administrativas basadas en mayor inform
ación
�Aum
enta la probabilidad
de seleccionar inversiones qu
e
tiene
n el potencial de ge
nerar el m
ayor retorno
�Aum
enta la posibilidad
de éxito de realizar inversiones
seleccionada
s, tales
que
alcancen o
excedan
su
potencial de retorno
Beneficios de
Beneficios de Val
ValIT(
IT( cont
cont))
�Reduce
los
riesgos al no
hacer cosas
que
no se
deberían
estar haciend
o y tomar acciones correctivas
tempranas y
suspender
inversiones
que
no estén
entregando
el potencial esperado
�Reduce el riesgo de fallos, especialmente los de alto
impa
cto
�Reduce
las
sorpresas
relacion
adas con
costos y
entregas de
TI,
y po
r ello increm
enta el valor de
l negocio, red
uce costos innecesarios e increm
enta el
nivel de confianza en la TI
Qué adiciona
Qué adiciona CobiT
CobiT
4.1?
4.1?
�Objetivos de Con
trol actua
lizados
�Objetivos y Métricas actua
lizados
�Con
troles de Aplicación revisado
s
�Guía de
Implem
entación utilizan
do Cob
iTy
ValIT, 2da edición (au
men
tada e incluye
las Prácticas de Control)
�Dire
ctrices de Aseguramiento de
TI
(sustituye y am
plía las Guías de Aud
itoría)
�Con
solida la evolución
de CobiT
de una
herram
ienta de auditoríaa un marco de trab
ajo
de Gob
ierno de TI
�Cob
iThabla lo suficiente a cada una de sus
audien
cias:
–Geren
cia Ejecutiva
–Geren
cia de
l Neg
ocio
–Geren
cia de
TI
–Aud
itoría
Importancia
Importancia CobiT
CobiT
4.1
4.1
•Lidere con
Gob
ierno en
lugar de
Cum
plimiento
•Asegú
rese que
tod
os los procesos y con
troles están
balan
cead
os
por la estrateg
ia orga
nizacion
al y
la medición
(con
sidere un
enfoqu
e de
BSC)
•Utilice todo
s los recursos de Cob
iT®, espe
cialmente la Guía de
Implem
entación
•Cultura, C
ultura, C
ultura!
Consideraciones de Adopción
Consideraciones de Adopción
CONCLU
SIONES
CONCLU
SIONES
�Una
ampliaga
made bue
nasprácticas
está
dispon
iblea través
de to
doel ciclode
vidade
la inversiónen
TI
�TI n
o de
bereinventar
la rue
da
�Un marco
de con
trol integral deb
eser ap
licad
o
�Bue
nasy Mejores
Prácticas
debe
nestarintegrad
as
�Es po
sibley factible
�Sop
orte
externoe inde
pend
ientees
bene
ficioso
�COBIT
®no essolo paralos au
ditores, visite
www.isaca.org
Usted
se vaa sorprend
er!
Conclusiones
Conclusiones
Los Ejecutivos concuerdan
�Alineada con el Negocio y provee valor en
forma transparente
�Tiene la atención de la Alta Gerencia por
medio de los mecanismos apropiados de
Gobierno de TI
�Comprom
etida con la medición del
desempeño
�Comprom
etida con el mejoramiento continuo
¡Gracias!
¡Gracias!
Ing. Tatiana Sancho Vargas
Correo Electrónico:
Móvil (506) 828-8614
San José, Costa Rica