cobit 4.1 - val it
TRANSCRIPT
-
7/22/2019 Cobit 4.1 - Val It
1/148
COBIT 4.1 Gobierno de TIPreparado por:
MBA Juan de Dios Bel, CISA, CISMM. Sc Xiomar Delgado, CISA, CRISC
PC-0423 AUDITORA INFORMTICA I
-
7/22/2019 Cobit 4.1 - Val It
2/148
PC 0423 AUDITORA INFORMTICA I
2
Qu significan las siglas COBIT?
A. Control Objectives for Information and relatedTechnology
B. Cobertura Internacional para auditores de TI
C. Control Objectives for Information Technology
Qu significan las siglas COBIT?
A. Control Objectives for Information and relatedTechnology
B. Cobertura Internacional para auditores de TI
C. Control Objectives for Information Technology
Pregunta 1
-
7/22/2019 Cobit 4.1 - Val It
3/148
3
Pregunta 2 Qu es COBIT?A. Un libro de Tecnologa de Informacin (TI) de JRRTolkienB. Un estndar internacional para el gobierno, el
control y la auditora de la Tecnologa de
Informacin.C. Un manual de Normas, Polticas y Procedimientosdel ambiente TI.
Qu es COBIT?
A. Un libro de Tecnologa de Informacin (TI) de JRRTolkienB. Un estndar internacional para el gobierno, el
control y la auditora de la Tecnologa de
Informacin.C. Un manual de Normas, Polticas y Procedimientosdel ambiente TI.
-
7/22/2019 Cobit 4.1 - Val It
4/148
4
Pregunta 3 Cul es la Misin de COBIT ?A. Brindar un instrumento de soporte a la Gerencia de TI y a los
Auditores de TI para ordenar la crisis .
B. Vender 2.000.000 de volmenes en el mundo.
C. Investigar, desarrollar, publicar y promover una serieinternacional, autorizada y actualizada de objetivos de controlde tecnologa de informacin generalmente aceptados para suuso diario por parte de auditores y gerentes de negocio.
Cul es la Misin de COBIT ?
A. Brindar un instrumento de soporte a la Gerencia de TI y a los
Auditores de TI para ordenar la crisis .
B. Vender 2.000.000 de volmenes en el mundo.
C. Investigar, desarrollar, publicar y promover una serieinternacional, autorizada y actualizada de objetivos de controlde tecnologa de informacin generalmente aceptados para suuso diario por parte de auditores y gerentes de negocio.
-
7/22/2019 Cobit 4.1 - Val It
5/148
5
Pregunta 4 Quin desarroll COBIT ?A. ISACA con el IT Governance Institute
B. AICPA (Instituto Norteamericano de ContadoresPblicos)
C. FIFA en conjunto con la Unin Europea
Quin desarroll COBIT ?
A. ISACA con el IT Governance Institute
B. AICPA (Instituto Norteamericano de ContadoresPblicos)
-
7/22/2019 Cobit 4.1 - Val It
6/148
6
Pregunta 5 Cul es el enfoque de COBIT ?A. Lograr los objetivos de negocio de ISACA
B. Lograr los objetivos de negocio personales
C. Lograr los objetivos de negocio de unaorganizacin
Cul es el enfoque de COBIT ?
A. Lograr los objetivos de negocio de ISACA
B. Lograr los objetivos de negocio personales
C. Lograr los objetivos de negocio de unaorganizacin
-
7/22/2019 Cobit 4.1 - Val It
7/148
7
Pregunta 6 Quines son los destinatarios de COBIT?A. El pblico en general.
B. Los Gerentes, los Usuarios y los Auditores.
C. Los Gerentes, los Auditores Financieros y losAuditores de Sistemas de Informacin.
Quines son los destinatarios de COBIT?
A. El pblico en general.
B. Los Gerentes, los Usuarios y los Auditores.
C. Los Gerentes, los Auditores Financieros y losAuditores de Sistemas de Informacin.
-
7/22/2019 Cobit 4.1 - Val It
8/148
8
Pregunta
7 Para qu necesitan COBIT los Gerentes?A. Para sorprender y desafiar a los AuditoresExternos especializados en TI, en las entrevistasde relevamiento.
B. Proporciona elementos que pueden ser tiles parallevar a cabo una evaluacin de un sistema de
control interno.C. Para ayudarlos a equilibrar el riesgo y la inversinen controles en un ambiente de TI a menudoimprevisible.
Para qu necesitan COBIT los Gerentes?A. Para sorprender y desafiar a los Auditores
Externos especializados en TI, en las entrevistasde relevamiento.B. Proporciona elementos que pueden ser tiles para
llevar a cabo una evaluacin de un sistema de
control interno.C. Para ayudarlos a equilibrar el riesgo y la inversinen controles en un ambiente de TI a menudoimprevisible.
-
7/22/2019 Cobit 4.1 - Val It
9/148
9
Pregunta
8 Para qu necesitan COBIT los Usuarios?A. Para obtener la garanta de la seguridad y loscontroles de los servicios de TI provistos por
personal de la organizacin o por terceros.
B. Como manual de consulta en aspectos de Sistemasy Operaciones.
C. Para completar la biblioteca con libros dellamativos colores.
Para qu necesitan COBIT los Usuarios?A. Para obtener la garanta de la seguridad y los
controles de los servicios de TI provistos por
personal de la organizacin o por terceros.
B. Como manual de consulta en aspectos de Sistemasy Operaciones.
C. Para completar la biblioteca con libros dellamativos colores.
-
7/22/2019 Cobit 4.1 - Val It
10/148
10
Pregunta
9 Para qu necesitan COBIT los Auditores?A. Para aportar valor agregado en la planificacin delos trabajos de Auditora.B. Para respaldar sus opiniones y/o aconsejar a laDireccin con respecto a los controles internos.
C. Para tener tema de conversacin con sus pares en
las reuniones de ISACA.
Para qu necesitan COBIT los Auditores?A. Para aportar valor agregado en la planificacin de
los trabajos de Auditora.B. Para respaldar sus opiniones y/o aconsejar a laDireccin con respecto a los controles internos.
C. Para tener tema de conversacin con sus pares en
las reuniones de ISACA.
-
7/22/2019 Cobit 4.1 - Val It
11/148
11
Preguntas 10 Cules son los productos principales de laFamilia COBIT?
A. El Sumario Ejecutivo, los Objetivos de Control, las Directricesde Auditora y los Objetivos de Control para Net Centric.
B. El Sumario Ejecutivo, el Marco, los Objetivos de ControlDetallados, las Directrices Auditora, las DirectricesGerenciales y la Gua de Implementacin.
C. La Caja, el CD y dos consultores COBIT experimentados.
Cules son los productos principales de laFamilia COBIT?
A. El Sumario Ejecutivo, los Objetivos de Control, las Directricesde Auditora y los Objetivos de Control para Net Centric.
B. El Sumario Ejecutivo, el Marco, los Objetivos de ControlDetallados, las Directrices Auditora, las DirectricesGerenciales y la Gua de Implementacin.
C. La Caja, el CD y dos consultores COBIT experimentados.
-
7/22/2019 Cobit 4.1 - Val It
12/148
12
Introduccin a COBIT
Por qu necesitan las TI un marco de control?
Quin necesita un marco de control de TI?
Por qu y cundo se usa COBIT?
-
7/22/2019 Cobit 4.1 - Val It
13/148
13
Por qu necesita la TI un marco de control?
Le suena familiar alguna de estas situaciones? Creciente presin para la incorporacin de las TI a las estrategias
de negocios
Complejidad creciente de los entornos de TI
Infraestructuras de TI fragmentadas
Brecha comunicacional entre los responsables de negocios y losresponsables de TI
Niveles insuficientes de servicio de TI, tanto de las funcionesinternas de TI como de proveedores externos de TI
Costos de TI [que se perciben como] fuera de control Retorno sobre la Inversin (ROI) / ganancias de productividad
marginales
Problemas de flexibilidad organizacional y de agilidad ante elcambio
-
7/22/2019 Cobit 4.1 - Val It
14/148
14
Frustracin del usuario conducente a soluciones ad hoc Dependencia creciente de la informacin y de los sistemas que laproveen
Vulnerabilidades crecientes y un amplio espectro de amenazas, talescomo las ciberamenazas y la guerra de informacin
Escala y costo de las inversiones actuales y futuras en informacin y en
sistemas de informacin Necesidad de cumplir con las regulaciones vigentes Potencial de las TI para cambiar dramticamente a las organizaciones y
a las prcticas de negocio, crear nuevas oportunidades y reducir costos Reconocimiento de muchas organizaciones de los beneficios potenciales
de las TI
Las organizaciones exitosas comprenden y gestionanlos riesgos asociados con la implementacin de las
nuevas tecnologas.
Por qu necesita la TI un marco de control?
-
7/22/2019 Cobit 4.1 - Val It
15/148
15
Las TI agregan valor Costo, tiempo y funcionalidad son los esperados
Las TI no dan sorpresas Los riesgos son mitigados
Las TI extienden los lmites Nuevas oportunidades e innovaciones para
procesos, productos y servicios
Para asegurar que:
la conduccin necesita poner las TI bajocontrol.
Por qu necesita la TI un marco de control?
-
7/22/2019 Cobit 4.1 - Val It
16/148
16
Directivos y Ejecutivos Para asegurar que los gerentes siguen e implementan las
directivas estratgicas para las TI
Gerencia Para tomar las decisiones de inversin en TI Para balancear los riesgos y controlar las inversiones Para comparar (benchmark) entornos de TI actuales y futuros
Usuarios Para obtener garantas sobre la seguridad y control de los
productos y servicios que adquieren interna o externamente
Auditores Para sustanciar sus opiniones sobre controles internos ante la
direccin Para aconsejar sobre los controles mnimos necesarios
Quines necesitan un marco de control?
-
7/22/2019 Cobit 4.1 - Val It
17/148
17
Incorpora los principalesestndares internacionales
Se ha transformado en elestndarde facto para el
control total sobre las TI
Arranca a partir de los
requerimientos del negocio
Est orientado a losprocesos
IT ProcessesIT ProcessesIT Management ProcessesIT Management ProcessesIT Governance ProcessesIT Governance Processes
CobiTCobiTbest practicesrepository for
Procesos de TI
Procesos de Gestin de TIProcesos de Gobierno de TI
COBITCOBITRepositorio de lasmejores prcticas
para:
COBIT como una respuesta alas necesidades
Por qu y cmo se utiliza COBIT?
-
7/22/2019 Cobit 4.1 - Val It
18/148
18
Ayuda sustancialmente a incrementar la aceptacin y reducirel tiempo de implementacin de un programa de gobierno deTI
Provee una gua para auditoras/revisiones formales
Ayuda a utilizar los resultados de las auditoras como unaoportunidad para planificar mejoras
Es un factor importante para lograr los objetivos primariospara el gobierno de las TI: transformar las prcticasorganizacionales y perseguir procesos mejoradosProvee un marco referencial para la mejora econmica
continua
Testimonios de Casos de Estudio
Por qu y cmo se utiliza COBIT?
-
7/22/2019 Cobit 4.1 - Val It
19/148
19
Provee una fuente creble para las decisiones de la direccinsobre controles
Ayuda a los gerentes de operaciones de TI con su habilidad
para asistir en la comprensin de lo que los auditores deseanEs ideal para que la direccin de negocios comunique susrequerimientos y preocupaciones
Est reconocido como una referencia de origen confiable que
asegura la identificacin de todas las reas principales deriesgo
Mejora las comunicaciones y relaciones con la direccin de TI
Testimonios de Casos de Estudio
Por qu y cmo se utiliza COBIT?
-
7/22/2019 Cobit 4.1 - Val It
20/148
20
Para mejorar el enfoque y los programas de auditora Para dar soporte al trabajo de auditora con directrices
(guidelines) detalladas de auditora
Para proveer orientacin para el gobierno de las TI Como un valioso benchmark para el control de SI/TI Par mejorar los controles de SI/TI Para estandarizar el enfoque y programas de auditora
Resultados de Encuestas
Por qu y cmo se utiliza COBIT?
-
7/22/2019 Cobit 4.1 - Val It
21/148
21
El Marco Referencial de COBIT 4.1
El Marco referencial de COBIT explica:
Enfoque en los procesos Orientacin a los Procesos
Recursos de TI
-
7/22/2019 Cobit 4.1 - Val It
22/148
22
Parte de la premisa que las TI debenentregar la informacin que la empresanecesita para alcanzar sus objetivos
Promueve el enfoque de procesos y lapropiedad de los procesos
Divide las Ti en 34 procesos pertenecientes a
4 dominios y provee un objetivo de controlde alto nivel para cada uno de ellos
Considera las necesidades financieras, decalidad y seguridad de las empresas,proveyendo 7 criterios de informacin quepueden ser utilizados para definirgenricamente lo que los negocios esperande las TI
Est soportado por un conjunto de ms de200 objetivos detallados de control
Efectividad Eficiencia Disponibilidad
Integridad Confidencialidad Confiabilidad Cumplimiento
Planificacin & Organizacin
Adquisicin & Implementacin
Entrega y Soporte
Monitoreo y Evaluacin
COBIT 4.1: De qu est compuesto?
-
7/22/2019 Cobit 4.1 - Val It
23/148
23
Afin de proveer la informacin que la organizacin necesitapara alcanzar sus objetivos, los recursos de TI deben ser
administrados mediante un conjunto de procesos naturalmenteagrupados.
Est referido a requerimientos de negocios (expresadoscomo criterios de informacin) Se vincula con los procesos de negocios Faculta (empower) a los dueos de los procesos de negocio
Descompone a las TI en 4 dominios y 34 procesos Dominios: (planear-construir-ejecutar) + monitorear El control, la auditora, la implementacin y la
administracin del desempeo estn estructuradosmediante procesos
Negocio
s
Procesos
Orientacin a Negocios y Enfoque en Procesos
-
7/22/2019 Cobit 4.1 - Val It
24/148
24
Definicin del Marco Referencial de COBIT
A fin de proveer la informacin que la organizacin necesita para alcanzar sus
objetivos, los recursos de TI deben ser administrados mediante un conjunto deprocesos naturalmente agrupados.
La orientacin a procesos es un enfoque de gestin probado paraejercer responsabilidades eficientemente, alcanzar los objetivosestablecidos y gestionar razonablemente los riesgos.
PorQu?
RECURSOS DE TI
PROCESOS DE TI
REQUERIMIENTOSDE NEGOCIO
-
7/22/2019 Cobit 4.1 - Val It
25/148
25
Requerimientos de Calidad: Calidad Entrega CostoRequerimientos de Seguridad Confidencialidad Integridad DisponibilidadRequerimientos Financieros
(Informe COSO) Efectividad y Eficiencia de las
operaciones Cumplimiento con leyes y
regulaciones Confiabilidad de los informes
financieros
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad de la
informacin
Requerimientos de Negocio
-
7/22/2019 Cobit 4.1 - Val It
26/148
26
Efectividad Se refiere a que la informacin sea relevanteypertinentepara el proceso del negocio, as como a que sea entregada de maneraoportuna, correcta, consistente y utilizable.
Eficiencia Se refiere a la provisin de informacin a travs de lautilizacin ptima(ms productiva y econmica) de recursos.
Confidencialidad Se refiere a la proteccin de informacin sensiblecontra divulgacinno autorizada.
Integridad Se refiere a laprecisin y suficiencia(completeness) de lainformacin, as como a su validezde acuerdo con el conjunto de valoresy
expectativasdel negocio.Disponibilidad Se refiere a la disponibilidadde la informacin cuandosta es requerida por el proceso de negocio y por lo tanto tambin se refiere ala salvaguardade los recursos necesarios y capacidades asociadas.
Cumplimiento Se refiere al cumplimientode aquellas leyes,regulaciones y acuerdos contractuales a los que el proceso de negocios estsujeto, por ejemplo, criterios de negocio impuestos externamente.
Confiabilidadde la informacin Se refiere a la provisin deinformacin apropiadaa la administracin para que sta la use en laoperacin de la entidad, en la provisin de informes financieros a los usuariosde la informacin financiera y para que informe a los organismos regulatorioscon relacin al cumplimientode las leyes y las regulaciones vigentes.
Requerimientos de Negocio
-
7/22/2019 Cobit 4.1 - Val It
27/148
27
Procesos
Una serie de actividadesrelacionadas con cortes decontrol naturales.
Actividades
o tareas
Acciones requeridas paraalcanzar un resultadomensurable. Las actividadesposeen un ciclo de vida,mientras que las tareas sondiscretas.
Dominios
Agrupamiento natural deprocesos, a menuno coincidentecon un dominio organizacionalde responsabilidad.
Orientacin a los Procesos
-
7/22/2019 Cobit 4.1 - Val It
28/148
28
Dominios de TI Planificacin &
Organizacin Adquisicin &
Implementacin
Entrega & Soporte Monitoreo &Evaluacin
Procesos de TI Estrategia de TI Operaciones de
computacin Gestin de incidentes Aceptacin de testing Administracin de
cambios Planes de contingencia
Gestin de problemas
Actividades Registrar nuevos
problemas Analizar Proponer solucin Monitorear solucin Registrar problemas
conocidos
Etc.
Agrupamiento natural
de procesos, a menunocoincidente con undominio organizacionalde responsabilidad.
Una serie de actividadesrelacionadas con cortes decontrol naturales.
Acciones requeridas paraalcanzar un resultadomensurable. Las actividadesposeen un ciclo de vida,mientras que las tareas sondiscretas.
Orientacin a los Procesos
-
7/22/2019 Cobit 4.1 - Val It
29/148
29
Planificacin & Organizacin
Descripcin Este dominio cubre las estrategias y tcticas, y se refiere a la identificacin de la forma enque la TI puede contribuir mejor al logro de los objetivos del negocio. Adems, la realizacinde la visin estratgica necesita ser planeada, comunicada y gestionada desde diferentesperspectivas. Finalmente, deber establecerse una organizacin y una infraestructuratecnolgica apropiadas.
Tpicos Estrategia y tctica Visin planeada Organizacin e infraestructura
Preguntas Estn la TI y la estrategia de negocio alineadas?
Est la empresa haciendo un uso ptimo de sus recursos? Comprenden todos en la organizacin los objetivos de TI? Son comprendidos los riesgos de TI y estn siendo gestionados? Es la calidad de los sistemas de TI adecuada para las necesidades del negocio?
Dominios
Orientacin a los Procesos
-
7/22/2019 Cobit 4.1 - Val It
30/148
30
PO1 Definir un plan estratgico de TI PO2 Definir la arquitectura de informacin PO3 Determinar la direccin tecnolgica PO4 Definir la organizacin y las relaciones de TI PO5 Gestionar la inversin en TI PO6 Comunicar los objetivos y la direccin de la gerencia PO7 Administrar recursos humanos PO8 Asegurar el cumplimiento de requerimientos externos
PO9 Analizar y evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar la calidad
.
Orientacin a los Procesos
Planificacin & Organizacin
i i l
-
7/22/2019 Cobit 4.1 - Val It
31/148
31
Adquisicin & Implementacin
Descripcin Para llevar a cabo la estrategia de TI, las soluciones de TI deben seridentificadas, desarrolladas o adquiridas, as como implementadas e integradasdentro del proceso de negocio. Adems, este dominio cubre los cambios y elmantenimiento de los sistemas existentes, para asegurar que el ciclo de vida escontinuo para estos sistemas.
Tpicos Soluciones de TI Cambios y mantenimiento
Preguntas Es probable que los nuevos proyectos entreguen soluciones que satisfagan las
necesidades de negocio? Es probable que los nuevos proyectos entreguen en tiempo y dentro de
presupuesto? Trabajarn los nuevos sistemas correctamente una vez implementados? Sern los cambios realizados sin perturbar las operaciones actuales de
negocio?
Dominios
Orientacin a los Procesos
O i i l
-
7/22/2019 Cobit 4.1 - Val It
32/148
32
AI1 Identificar soluciones automticas
AI2Adquirir y mantener de software de aplicacin
AI3Adquirir y mantener infraestructura tecnolgica AI4 Desarrollar y mantener procedimientos de TI
AI5 Instalar y acreditar sistemas
AI6 Gestionar cambios
Adquisicin & Implementacin
Orientacin a los Procesos
O i i l P
-
7/22/2019 Cobit 4.1 - Val It
33/148
33
Descripcin Este dominio se refiere a la entrega o distribucin efectiva de los servicios requeridos, queabarca desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridaden los sistemas y la continuidad de las operaciones. Con el fin de proveer servicios, debernestablecerse los procesos de soporte necesarios. Este dominio incluye el procesamientoefectivo de los datos por [parte de] los sistemas de informacin, frecuentemente clasificadoscomo controles de aplicacin.
Tpicos Entrega de servicios requeridos Establecimiento de procesos de soporte Procesamiento por [parte de] los sistemas de aplicacin
Preguntas Estn los servicios de TI siendo entregados en lnea con las prioridades de negocio? Estn los costos de TI optimizados? La fuerza de trabajo es capaz de usar los sistemas de TI en forma productiva y segura? Estn la seguridad, integridad y disponibilidad adecuadas en su lugar apropiado?
Dominios
Orientacin a los Procesos
Entrega & Soporte
O i t i l P
-
7/22/2019 Cobit 4.1 - Val It
34/148
34
ES1 Definir y gestionar niveles de servicio ES2 Gestionar servicios prestados por terceros ES3 Gestionar desempeo y capacidad ES4 Asegurar el servicio continuo
ES5 Garantizar la seguridad de sistemas ES6 Identificar y asignar costos ES7 Educar y entrenar a usuarios ES8 Asistir y asesorar a los clientes ES9 Gestionar la configuracin
ES10 Gestionar problemas e incidentes ES11 Gestionar datos ES12 Gestionar instalaciones ES13 Gestionar operaciones
Entrega & Sopo rte
Orientacin a los Procesos
O i t i l P
-
7/22/2019 Cobit 4.1 - Val It
35/148
35
Descripcin Todos los procesos de TI necesitan ser evaluados regularmente a travs del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominioconsecuentemente hace referencia a la supervisin de los procesos de control de laorganizacin por [parte de] la Administracin y al aseguramiento independiente provistopor la auditora interna y la externa u obtenido de fuentes alternativas.
Tpicos Evaluacin a lo largo del tiempo, garanta de entrega [delivering assurance] Supervisin del sistema de control por [parte de] la Administracin Medicin de desempeo
Preguntas Puede medirse el desempeo de la TI y pueden detectarse los problemas antes de quesea demasiado tarde?
Se necesita aseguramiento independiente para garantizar que las reas crticas estnoperando como es debido?
Dominios
Orientacin a los Procesos
Monito reo & Evaluacin
O i t i l P
-
7/22/2019 Cobit 4.1 - Val It
36/148
36
M1 Monitorear el proceso
M2 Evaluar la adecuacin del control interno
M3 Obtener aseguramiento independiente
M4 Proveer auditora independiente
Monitoreo & Evaluacin
Orientacin a los Procesos
-
7/22/2019 Cobit 4.1 - Val It
37/148
37
Recursos de TI
Ambientes que albergan y dan soporte a los sistemas deinformacin
APLICACIONES
DATOS
Entendido como la suma de procedimientos manuales y
programados
Los objetos de datos en su sentido ms amplio, es decir:externos e internos, estructurados y no estructurados, grficos,sonido, etc.
TECNOLOGIA Hardware, sistemas operativos, administracin de basesde datos, redes, multimedia, etc.
PERSONAL Habilidades, conocimientos y productividad del personal paraplanificar, organizar, adquirir, entregar y dar soporte ymonitorear servicios y sistemas de informacin
INSTALACIONES
Clasificacin
C l i ?
-
7/22/2019 Cobit 4.1 - Val It
38/148
38
Procesos deTI
Recursos deTI
Requerimientosdel Negocio
Datos
Sistemas deAplicacin
Tecnologa
Instalaciones
Gente
Planificacin &Organizacin
Adquisicin &Implementacin
Entrega & Soporte Monitoreo &
Evaluacin
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la
informacin
Cmo se relacionan?
-
7/22/2019 Cobit 4.1 - Val It
39/148
39
Procesos deTI
Recursos deTI
Requerimientosdel Negocio
Datos
Sistemas deAplicacin
Tecnologa
Instalaciones Gente
Planificacin &Organizacin
Adquisicin &Implementacin
Entrega &Soporte
Monitoreo &Evaluacin
Efectividad Eficiencia Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad de
la informacin
Los recursosfacilitados a y
desarrollados por laTI
Cmo se organiza laTI para responder alos requerimientos
Qu esperan de la TIlas partes
interesadas
PO1 Definir un plan estratgico de tecnologa de
-
7/22/2019 Cobit 4.1 - Val It
40/148
40
p g ginformacin
PO2 Definir la arquitectura de informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la organizacin y las relaciones de TI
PO5 Gestionar la inversin en tecnologa de informacinPO6 Comunicar los objetivos y la direccin de la gerencia
PO7 Administrar recursos humanos
PO8 Asegurar el cumplimiento de requerimientos externos
PO9 Analizar y evaluar riesgos
PO10 Gestionar proyectosPO11 Gestionar la calidad
AI1 Identificar soluciones automticas
AI2 Adquirir y mantener de software de aplicacin
AI3 Adquirir y mantener infraestructura tecnolgica
AI4 Desarrollar y mantener procedimientos de TI
AI5 Instalar y acreditar sistemas
AI6 Gestionar cambios
M1 Monitorear el proceso
M2 Evaluar la adecuacin del control interno
M3 Obtener aseguramiento independiente
M4 Proveer auditora independiente
DS1 Definir y gestionar niveles de servicio
DS2 Gestionar servicios prestados por terceros
DS3 Gestionar desempeo y capacidadDS4 Asegurar el servicio contnuo
DS5 Garantizar la seguridad de sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a usuarios
DS8 Asistir y asesorar a los clientes
DS9 Gestionar la configuracin
DS10 Gestionar problemas e incidentes
DS11 Gestionar datos
DS12 Gestionar instalaciones
DS13 Gestionar operaciones
RECURSOSDE TI
Datos Sistemas de Aplicacin Tecnologa Instalaciones Gente
PLANIFICAION YORGANIZACIN
ADQUISICIN EIMPLEMENTACIN
ENTREGA YSOPORTE
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Criterios
MarcoReferencialde COBIT
MONITOREO YEVALUACIN
C T
-
7/22/2019 Cobit 4.1 - Val It
41/148
41
Es preciso
administ rar los
recursos de TI po r
medio d e una ser ie de
procesos agrupados
naturalmente, a f in deprov eer la
informacin que la
org anizacin necesi ta
para lograr su s
objet ivos
Regla de oro
GOBIERNO, CONTROLyAUDITORA de laINFORMACINy suTECNOLOGA RELACIONADA
COBITTM
eficacia eficiencia
confidencialidad integridad disponibilidad cumplimiento confiabilidad
MONITOREO
PLANIFICACION YORGANIZACION
INFORMACION
datos sistemas de
aplicacin tecnologa
instalaciones
personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBIT
ADQUISICION EIMPLEMENTACION
GOBIERNO DE TI
ENTREGA YSOPORTE
Marco Referencial de COBIT
-
7/22/2019 Cobit 4.1 - Val It
42/148
42
Recapitulando hasta ahora:
La TI es indispensable para la supervivencia y el crecimiento delas empresas.
La Administracin es responsable del control. Esta responsabilidad necesita un marco referencial:
Los requerimientos del negocio pueden ser expresados comocriterios de informacin.
La TI es por lo general organizada en un conjunto de procesos. La TI necesita un conjunto de recursos.
COBIT es un estndar internacionalmente aceptado.
A fin de proporcionar la informacin que la organizacinnecesita para alcanzar sus objetivos, los recursos de TIdeben ser administrados por un conjunto de procesosagrupados en forma natural.
Marco Referencial de COBIT
El Cubo COBIT
-
7/22/2019 Cobit 4.1 - Val It
43/148
43
El Cubo COBIT
Vista delos Usuarios
Vista de laJunta Directiva
Vista de la Gerenciade TI y especialistas
Ayudas para la Navegacin
-
7/22/2019 Cobit 4.1 - Val It
44/148
44
Dominios
de TI
Criterios deInformacin
Planificacin &Organizacin
Adquisicin &Implementacin
Entrega ySoporte
Monitoreo yEvaluacin
S P
Cubo COBIT
Ayudas para la Navegacin
Resumen
-
7/22/2019 Cobit 4.1 - Val It
45/148
45
ResumenProcesos,criterios yrecursos
COBIT
-
7/22/2019 Cobit 4.1 - Val It
46/148
46
Dominio ProcesoAdquisicin &
ImplementacinAI1 Identificar soluciones automatizadas P S AI2 Adquirir y mantener software de aplicacin P P S S S AI3 Adquirir y mantener infraestructura tecnolgica P P S AI4 Desarrollar y mantener procedimientos de TI P P S S S AI5 Instalar y acreditar sistemas P S S AI6 Gestionar cambios P P P P S
COBITResumen de Procesos, Criterios y Recursos
AI6
Asignacin
-
7/22/2019 Cobit 4.1 - Val It
47/148
47
Los procesos ms importantes de COBIT
Para su empresa de estudio:Cules seran los procesos de TI ms
importantes?
Por qu?
Asignacin
Los procesos de TI ms importantes
-
7/22/2019 Cobit 4.1 - Val It
48/148
48
Los procesos de TI ms importantes...
PO1 Definicin de un plan estratgico de TI
PO3 Determinacin de la direccin tecnolgica
PO5 Administracin de las inversiones
PO9 Evaluacin de riesgo
PO10 Administracin de proyectos
AI1 Identificacin de solucionesAI2 Adquirir y mantener aplicaciones de software
AI5 Instalar y acreditar sistemas
AI6 Administracin de cambios
ES1 Definir niveles de servicio
ES4 Garanta de continuidad de servicio
ES5 Garanta de seguridad de los sistemasES10 Administracin de problemas e incidentes
ES11 Administracin de datos
M1 Monitoreo de procesos
34
15
7
Estudio del IT Governance Institute
PO1 Definicin de un plan estratgico de TI
PO3 Determinacin de la direccin tecnolgica
PO5 Administracin de las inversiones
PO9 Evaluacin de riesgo
PO10 Administracin de proyectos
AI1 Identificacin de solucionesAI2 Adquirir y mantener aplicaciones de software
AI5 Instalar y acreditar sistemas
AI6 Administracin de cambios
ES1 Definir niveles de servicio
ES4 Garanta de continuidad de servicio
ES5 Garanta de seguridad de los sistemasES10 Administracin de problemas e incidentes
ES11 Administracin de datos
M1 Monitoreo de procesos
Productos Importantes de COBIT
-
7/22/2019 Cobit 4.1 - Val It
49/148
49
Productos Importantes de COBIT
Objetivos de ControlLos controles mnimos son...
Directrices GerencialesHe aqu cmo usted mide
Directrices de AuditoraHe aqu cmo usted audita...
Definiciones de Control y de Objetivo de Control
-
7/22/2019 Cobit 4.1 - Val It
50/148
50
Definiciones de Control y de Objetivo de Control
Las polticas, procedimientos, prcticas y estructuras
organizacionales diseadas para garantizarrazonablemente que los objetivos del negocio sernalcanzados y que eventos no deseables sernprevenidos o detectados y corregidos.
Definicin deControl
Definicin deObjetivo de
Control de TI
Una sentencia del resultado esperado o del propsito quese desea alcanzar implementando procedimientos(prcticas) de control en una actividad particular de TI.
Objetivos de Control y Prcticas de Control
-
7/22/2019 Cobit 4.1 - Val It
51/148
51
Objetivo de control de alto nivel Uno por proceso
Objetivos de control detallados De tres a 30 por proceso
Prcticas (procedimientos) de control De cinco a siete por objetivo de control
Objetivos de Control y Prcticas de Control
Modelo en cascada
-
7/22/2019 Cobit 4.1 - Val It
52/148
52
Modelo en cascada
4 Dominios - 34 Procesos -
El control de
Procesos de TI que satisface
es habilitado por
Declaracinde Control considerando
Prcticas deControl
Requerimientosdel Negocio
Objetivo de Control de Alto Nivel
-
7/22/2019 Cobit 4.1 - Val It
53/148
53
AI6 Administracin de cambiosSe requiere la administracin de cambios a losprogramas de computacin para garantizar la
integridad de procesamiento entre versiones, y para laconsistencia de los resultados de perodo en perodo.EL cambio debe ser formalmente gestionado mediantepolticas y procedimientos de requerimiento de control
de cambio, evaluacin de impacto, documentacin,autorizacin, liberacin, y distribucin.
Objetivo de Control de Alto Nivel
-
7/22/2019 Cobit 4.1 - Val It
54/148
54
AI6Objetivosde Control
de Alto
Nivel
Objetivos de Control Detallados
-
7/22/2019 Cobit 4.1 - Val It
55/148
55
AI6Administracin de Cambios
6.1 Inicio y Control de Solicitudes de CambioOBJETIVO DE CONTROL
La Gerencia deber asegurar que todas las solicitudes de cambios tanto internos como por parte deproveedores estn estandarizados y sujetos a procedimientos formales de administracin de cambios.Las solicitudes se deben categorizar y priorizar y deben establecerse procedimientos especficos paramanejar cambios urgentes. Los solicitantes de los cambios deben permanecer informados acerca delestatus de su solicitud.
6.2Anlisis de ImpactoOBJETIVO DE CONTROLDeber establecerse un procedimiento para asegurar que todas las solicitudes de cambio sean evaluadas
en una forma estructurada que considere todos los posibles impactos que el cambio pueda ocasionarsobre el sistema operacional y su funcionalidad.
6.3 Control de CambiosOBJETIVO DE CONTROLLa Gerencia de TI deber asegurar que la administracin de cambios, as como el control y ladistribucin de software sean integrados apropiadamente en un sistema completo de administracin deconfiguracin. El sistema utilizado para monitorear los cambios a los sistemas de aplicacin debe serautomtico para soportar el registro y seguimiento de los cambios realizados a grandes y complejossistemas de informacin.6.4 Cambios de EmergenciaOBJETIVO DE CONTROLLa gerencia de TI debe establecer parmetros definiendo cambios de emergencia y procedimientos paracontrolar estos cambios cuando ellos traspasan los procesos normales de anlisis de prioridades de lagerencia para su implementacin. Los cambios de emergencia deben ser registrados y autorizados por lagerencia de TI antes de su implementacin.
Objetivos de Control Detallados
Objetivos de Control Detallados
-
7/22/2019 Cobit 4.1 - Val It
56/148
56
AI6Administracin de Cambios
6.5 Documentacin y Procedimientos
OBJETIVO DE CONTROLEl procedimiento de cambios deber asegurar que, siempre que se implementen modificaciones a unsistema, la documentacin y procedimientos relacionados sean actualizados de manera correspondiente.
6.6 Mantenimiento AutorizadoOBJETIVO DE CONTROLLa Gerencia de TI deber asegurar que el personal de acceso al sistema debern ser controlados para
que el mantenimiento tenga asignaciones especficas y que su trabajo sea monitoreado apropiadamente.Adems, sus derechos de evitar riesgos de accesos no autorizados a los sistemas automatizados.
6.7 Poltica de Liberacin de SoftwareOBJETIVO DE CONTROLLa Gerencia de TI deber garantizar que la liberacin de software est regida por procedimientosformales asegurando aprobacin, empaque, pruebas de regresin, entrega, etc.
6.8 Distribucin de SoftwareOBJETIVO DE CONTROLDebern establecerse medidas de control especficas para asegurar la distribucin del elemento desoftware correcto al lugar correcto, con integridad y de manera oportuna y con adecuadas pistas deauditora.
Objetivos de Control Detallados
COBIT
-
7/22/2019 Cobit 4.1 - Val It
57/148
57
COBIT
AI6AI6Objetivosde ControlDetallados
Prcticas de Control
-
7/22/2019 Cobit 4.1 - Val It
58/148
58
Las prcticas de control son mecanismos clavesque soportan: El logro de los objetivos de control La prevencin, deteccin y correccin de eventos no
deseados
Las prcticas de control logran esto a travs de: Un uso responsable de los recursos Una administracin adecuada del riesgo La alineacin de la TI con el negocio
Traducen los objetivos de control de COBIT en prcticas detalladas,implementables y proveen la argumentacin de negocio para laimplementacin, desde una perspectiva de valor y riesgo
Prcticas de Control
Prcticas de control
-
7/22/2019 Cobit 4.1 - Val It
59/148
59
1. La Administracin define los parmetros, caractersticas yprocedimientos que identifican y declaran lasemergencias.
2. Todos los cambios de emergencia son documentados, sino antes, despus de la implementacin.
3. Todos los cambios de emergencia son probados, si noantes, despus de la implementacin.
4. Todos los cambios de emergencia son formalmenteautorizados por el dueo del sistema y la Administracin
antes de su implementacin.5. Las imgenes previas y posteriores as como los logs de
intervencin son retenidos para posterior revision.
El control de los cambios deemergencia mediante laimplementacin de las prcticas de
control: Garantizar que losprocedimientos de emergenciasean usados solamente enemergencias declaradas
Garantizar que los cambiosurgentes puedan serimplementados sin comprometer laintegridad, disponibilidad,confiabilidad, seguridad,confidencialidad o exactitud
AI6 Administracin del Cambio
AI6.4 Cambios de Emergencia
La gerencia de TI debe establecer parmetros definiendo cambios de emergencia y procedimientospara controlar estos cambios cuando ellos obvian el proceso normal de evaluacin tcnica, operacionaly gerencial previo a su implementacin. Los cambios de emergencia deben ser registrados yautorizados por la gerencia de TI antes de su implementacin.
Prcticas de Control Por qu adoptarlas?
Prcticas de control
Productos Importantes de COBIT
-
7/22/2019 Cobit 4.1 - Val It
60/148
60
Productos Importantes de COBIT
Objetivos de ControlLos controles mnimos son...
Directrices GerencialesHe aqu como usted mide
Directrices de Auditora
He aqu como usted audita...
IT Governance Model
-
7/22/2019 Cobit 4.1 - Val It
61/148
61
IT Governance Model
El gobierno de TI ayuda a verificar cmo los sistemasautomticos: Simplifica operaciones Reduce costos Incrementa beneficios
Necesita un marco referencialde control de TI
Cmo se Vincula COBIT con el Gobierno de TI?
-
7/22/2019 Cobit 4.1 - Val It
62/148
62
Cmo se Vincula COBIT con el Gobierno de TI?
Objetivos ResponsabilidadesObjetivos deControl
Requerimientos
Negocio TI Gobierno
Informacin que elNegocio Necesitapara Alcanzar sus
Objetivos
Los Ejecutivos deInformacin y el
Directorio NecesitanEjercer sus
Responsabilidades
Direccin y Asignacinde Recursos
Cmo se Vincula COBIT con el Gobierno de TI?
-
7/22/2019 Cobit 4.1 - Val It
63/148
63
Gobierno de TI
ObjetivosResponsabilidades
Objetivos
de Control
Requerimientos
Negocio ITTI Gobierno
Informacin queel Negocio Necesitapara Alcanzar sus
Objetivos
Direccin(Estrategia y Poltica de TI)
Informacin(Control, Riesgo y
Aseguramientode TI)
Directrices Gerenciales
-
7/22/2019 Cobit 4.1 - Val It
64/148
64
Sin embargo, la Administracin tienepreguntas que van ms all del marcoreferencial de control :
Cmo hacen los administradores responsablespara mantener la nave en su curso? DASHBOARD(Tablero de Instrumentos)
Cmo se logran resultados satisfactorios para
el mayor segmento posible de nuestros
inversionistas?
SCORECARDS(Tarjetas de Puntuacin)
Cmo adaptar oportunamente la organizacin
a las tendencias y desarrollos en el entorno de
la empresa?
BENCHMARKING(Referencias)
Indicadores?
Medidas?
Escalas?
Directrices Gerenciales
Marco Referencial de las Directrices Gerenciales
-
7/22/2019 Cobit 4.1 - Val It
65/148
65
Descripcin de proceso
Factores crticos de xito
IndicadoresClave deObjetivo
IndicadoresClave deDesempeo
Criterios de
Informacin
Recursos
0 - Los procesos de administracin no seaplican en absoluto.
1 - Los procesos son ad hocydesorganizados.
2 - Los procesos siguen un patrn regular.3 - Los procesos son documentados y
comunicados.4 - Los procesos son monitoreados y
medidos.5 - Las mejores prcticas son seguidas y
automatizadas.
Modelo de Madurez
considerando
El control de
Procesos de TIque satisface
es habilitado por
Declaracinde Control
Prcticas deControl
Requerimientosdel Negocio
Indicadores Clave de Objetivo
-
7/22/2019 Cobit 4.1 - Val It
66/148
66
Describen el resultado del proceso(i.e., medible despus del hecho);son medidas del qu, y puedendescribir el impacto de no
alcanzar el objetivo del proceso Son indicadores del xito del
proceso y de su contribucin alnegocio
Se enfocan en las dimensiones de
cliente y financiera del balancedscorecard
j
Definiciones
El control de
Procesos de TI que satisface
es habilitado por
Declaracinde Control considerando
Prcticas deControl
Requerimientosdel Negocio
Indicadores Clave de Objetivo
-
7/22/2019 Cobit 4.1 - Val It
67/148
67
Mayor nivel de entrega de servicio Nmero de clientes y costo por cliente servido Disponibilidad de sistemas y servicios Ausencia de riesgos de integridad y confidencialidad Costo-eficiencia de procesos y operaciones Confirmacin de confiabilidad y efectividad Adherencia a costos y plazos de desarrollo Costo-eficiencia del proceso
Productividad y moral del personal Nmero de cambios oportunos a procesos y sistemas Mejora de productividad (e.g., entrega de valor por empleado)
Ejemplos
j
Indicadores Clave de Desempeo
-
7/22/2019 Cobit 4.1 - Val It
68/148
68
Son medidas de qu tan biense est desempeando elproceso
Predicen la probabilidad de
xito o fracaso Se enfocan en las dimensiones
de proceso (interno) y deaprendizaje del balancedscorecard
Estn expresados en trminosprecisos, medibles
Deberan ayudar a mejorar el
proceso de TI
Definiciones
p
El control de
Procesos de TIque satisface
es habilitado por
Declaracinde Control considerando
Prcticas deControl
Requerimientosdel Negocio
Indicadores Clave de Desempeo
-
7/22/2019 Cobit 4.1 - Val It
69/148
69
Nmero de clientes deTI
Costo por cliente de TI Costo-eficiencia de
procesos de TI Entrega de valor de TI
por empleado
Informacin
Disponibilidad de sistemas yservicios
Desarrollos dentro de plazoy presupuesto
Productividad y tiempo derespuesta
Cantidad de errores yretrabajos
Nivel de entrega de servicio
Satisfaccin de clientesexistentes Nmero de nuevos clientes
alcanzados Nmero de nuevos canales
de entrega de servicios
Financiera
Cliente
Productividad y moral
del personal Nmero de personas
entrenadas en nuevostecno/servicios
Entrega de valor porempleado
Mayor disponibilidadde sistemas deconocimiento
Aprendizaje
Proceso
Ejemplos
p
Factores Crticos de xito
-
7/22/2019 Cobit 4.1 - Val It
70/148
70
Son las cosas ms importantesque hay que hacer paraincrementar la probabilidad dexito del proceso
Son caractersticas observablesusualmente mensurables de laorganizacin y del proceso
Enfocadas a obtener, mantener y
respaldar la capacidad, lashabilidades y el comportamiento
Definiciones
El control de
Procesos de TIque satisface
es habilitado por
Declaracinde Control considerando
Prcticas de
Control
Requerimientosdel Negocio
Factores Crticos de xito
-
7/22/2019 Cobit 4.1 - Val It
71/148
71
El plan estratgico de TI expresa claramente una posicinde riesgo tal como de vanguardia o probado, innovador oseguidor, y el balance requerido entre tiempo-a-mercado,costo de propiedad y calidad de servicio.
Si usted no est preparado para forzar la poltica, noemita la poltica. Un programa de permiso de construccin para construir
sistemas de TI y un programa de licencia de conductorpara aqullos que llevan a cabo la construccin.
Un buen plan de seguridad toma tiempo para evolucionar.
Estrategia
Poltica
Cumplimiento
Seguridad
Ejemplos
Modelos de Madurez
-
7/22/2019 Cobit 4.1 - Val It
72/148
72
Se refieren a los requerimientos de negocio (ICOs) y a los aspectoshabilitadores (ICDs) en los diferentes niveles
Son una escala que hace que se presten a una comparacinpragmtica, donde la diferencia puede hacerse fcilmente
mensurable Son reconocibles como un perfil de la empresa en relacin al
gobierno y control de TI
Ayudan a determinar posiciones como-es (as-is) y como-ser (to-
be) relativas a la madurez del gobierno y control de TI y a analizarla brecha
No son especficos de una industria ni generalmente aplicables. Lanaturaleza del negocio determina cul es un nivel apropiado.
Definiciones
Modelo de Madurez de Control
-
7/22/2019 Cobit 4.1 - Val It
73/148
73
Inexistente
0
Inicial
1
Repetible
2
Definido
3
Administrado
4
Optimizado
5
SIMBOLOS UTILIZADOS
Estado Actual de la Empresa
Estndares Internacionales
Mejores Prcticas de la Industria
Estrategia corporativa
0 Inexistente No se aplica ningn proceso de gestin
1 Inicial Los procesos se aplican segn la ocasin y de
manera desorganizada2 Repetible Los procesos siguen un patrn regular
3 Definido Los procesos son documentados y comunicados
4 Administrado Los procesos son monitoreados y medidos
5 Optimizado Se siguen y se automatizan las mejoresprcticas
CLASIFICACIONES UTILIZADAS
Modelo de Madurez de Controlpara los Procesos de TI
Modelo de Madurez de Control
-
7/22/2019 Cobit 4.1 - Val It
74/148
74
Mtodo a utilizar
Productividady Calidad
Riesgo
CaractersticasEvolucin delos Procesos
AutomatizacinOptimizadoMejora contnua
del Proceso
Cambios de Tecnologa
Anlisis de ProblemasPrevencin de ProblemasAdministrado
(Cualitativo)
Medicin delProceso
Medicin del ProcesoAnlisis de ProcesosPlanes de Calidad
Definido(Cuantitativo)
Proceso Definido eInstitucionalizado
EntrenamientoPrcticas Tcnicas
Enfoque de ProcesosRepetible
(Intuitivo)
El Proceso esdependiente de los
Individuos
Administracin de ProyectosPlanificacin de Proyectos
Procedimientos de TIInicial (Ad Hoc/Catico)
para los Procesos de TI
Anlisis de brecha
-
7/22/2019 Cobit 4.1 - Val It
75/148
75
Dnde queremos
estar?
Dnde estamos
ahora?
Cmo llegaremos a
dnde queremosestar?
Cmo sabremos si
lo hemos logrado?
Visin y objetivos
de negocio
Evaluaciones
Mejora de Procesos
o reingeniera
Mtricas &
Mediciones
-
7/22/2019 Cobit 4.1 - Val It
76/148
76
AI6DirectrizGerencial
-
7/22/2019 Cobit 4.1 - Val It
77/148
77
AI6DirectrizGerencial
-
7/22/2019 Cobit 4.1 - Val It
78/148
78
AI6DirectrizGerencial
El control sobre el proceso de TI AdministrarCambios de TI con el objetivo del negocio deminimizar la probabilidad de interrupcin,alteraciones no autorizadas y errores
0 Inexistente. No hay un proceso definido deadministracin de cambios y se pueden hacercambios prcticamente sin control alguno. Nohay conciencia de que los cambios puedencausar interrupciones tanto para TI como para lasoperaciones de negocios, y ninguna concienciade los beneficios de una buena administracin decambios.
1 Inicial /Ad hoc Se reconoce que los cambiosdeben ser administrados y controlados, pero no
hay un proceso consistente para seguimiento.Las prcticas varan y es probable que ocurrancambios no autorizados. Hay documentacininsuficiente o inexistente de cambios, y ladocumentacin de configuracin est incompletay no es confiable. Es probable que ocurranerrores junto con interrupciones en el entorno de
produccin causados por una administracindeficiente del cambio.
2 Repetible pero IntuitivaHay un proceso
informal de administracin de cambios y lamayora de los cambios siguen este mtodo; sinembargo, el mismo no est estructurado, esrudimentario y est propenso a error. La
precisin de la documentacin de configuracines inconsistente y slo tiene lugar una planeaciny un estudio de impacto limitados antes de uncambio. Hay considerable ineficiencia yrepeticin de trabajo.
3 Proceso Definido Est establecido un procesoformal de administracin de cambios, que incluye
procedimientos de categorizacin, priorizacin,emergencia, autorizacin y administracin decambios, pero no se impone su cumplimiento. El
proceso definido no siempre es visto comoadecuado o prctico y, en consecuencia, ocurrentrabajos paralelos y los procesos son desviados. Es
probable que ocurran errores y los cambios noautorizados ocurrirn ocasionalmente. El anlisisde impacto a los cambios de TI sobre lasoperaciones del negocio se estn volviendoformales para soportar la ejecucin de los planes
para nuevas aplicaciones y tecnologas.
4 Administrado y Medible El proceso de
administracin de cambios est bien desarrollado yes seguido de manera consistente para todos loscambios, y la administracin confa en que no hayexcepciones. El proceso es eficiente y efectivo,
pero se basa en considerables procedimientos ycontroles manuales para asegurar que se logre lacalidad. Todos los cambios estn sujetos a una
planeacin y estudio de impacto exhaustivos paraminimizar la probabilidad de problemas posterioresa la produccin. Est establecido un proceso deaprobacin para los cambios. La documentacin de
administracin de cambios est al da y es correcta,y los cambios son rastreados formalmente. Ladocumentacin de la configuracin estgeneralmente actualizada. La planeacin eimplementacin de la administracin de cambiosde TI se est volviendo ms integrada con cambiosen los procesos de negocios, para asegurar eseentrenamiento, se resuelven cambios organizativosy problemas de continuidad de negocio. Hay mayorcoordinacin entre la administracin de cambios deTI y el rediseo del proceso de negocios.
Productos Importantes de COBIT
-
7/22/2019 Cobit 4.1 - Val It
79/148
79
Objetivos de ControlLos controles mnimos son...
Directrices GerencialesHe aqu cmo usted mide
Directrices de AuditoraHe aqu como usted audita...
Objetivos de la Auditora de TI
-
7/22/2019 Cobit 4.1 - Val It
80/148
80
Suministrar a la Junta Directiva ya los gerentes responsables de
procesos:una garanta razonable
respecto de que se logran losobjetivos de controlla identificacin de las
deficiencias significativasla justificacin del riesgo
asociado a las deficienciasel asesoramiento sobre las
acciones correctivas aadoptar
Estoy en lo cierto?
y, si no es as, cmo lo resuelvo?
Estructura del Proceso de Auditora
-
7/22/2019 Cobit 4.1 - Val It
81/148
81
Identificacin yDocumentacin Evaluacin
del Control
Pruebas deCumplimiento
PruebasSustantivas
-
7/22/2019 Cobit 4.1 - Val It
82/148
COBIT: Directrices de Auditoria
-
7/22/2019 Cobit 4.1 - Val It
83/148
83
Una Gua genrica y
34 Guas orientadas a procesos
Una gua genrica identifica diversas tareas a serrealizadas en la evaluacin de cualquier objetivo decontrol dentro de un proceso. Esta gua genrica es unmodelopara todos los objetivos de control.
Otras son sugerencias de tareas especficas, orientadasa procesos para ofrecer a la administracin garanta de
que existe un control y que ste tiene un nivel deefectividad razonable.
Directriz de Auditoria Genrica
-
7/22/2019 Cobit 4.1 - Val It
84/148
84
COBIT: Directriz de AuditoraAdquirir el entendimiento
EntrevistasObtener documentacin
Evaluar los controles
Considerando Evaluar cumplimientoVerificando
Sustentar el riesgoLlevando a caboIdentificando
Directriz de Auditora Genrica (1 de 4)
-
7/22/2019 Cobit 4.1 - Val It
85/148
85
Obtencin de un EntendimientoLos pasos de auditora que se deben realizar para documentar lasactividades que generan inconvenientes a los objetivos de control, as
como tambin identificar las medidas/procedimientos de controlestablecidas.
Entrevistar al personal administrativo y de staff apropiado para lograr lacomprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional Los roles y responsabilidades Polticas y procedimientos Leyes y regulaciones Las medidas de control establecidas La actividad de reporte a la administracin (estatus, desempeo, acciones)
Documentar el proceso relacionado con los recursos de TI que se venespecialmente afectados por el proceso bajo revisin.
Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave deDesempeo (KPI) del proceso, las implicaciones de control, por ejemplo, medianteuna revisin paso a paso del proceso.
Directriz de Auditora Genrica (2 de 4)
-
7/22/2019 Cobit 4.1 - Val It
86/148
86
Evaluacin de los ControlesLos pasos de auditora a ejecutar en la evaluacin de la eficacia de las
medidas de control establecidas o el grado en el que se logra elobjetivo de control. Bsicamente, decidir qu se va a probar, si se va aprobar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control para el proceso bajorevisin mediante la consideracin de los criterios indentificados y lasprcticas estndares de la industria y la aplicacin del juicioprofesional.
Determinar si:
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y el registro de las operaciones son claros y efectivos
Existen controles compensatorios, en donde es necesario concluir el gradoen que se cumple el objetivo de control.
Directriz de Auditora Genrica (3 de 4)
-
7/22/2019 Cobit 4.1 - Val It
87/148
87
Valoracin del CumplimientoLos pasos de auditora a realizar para asegurar que las medidas de
control establecidas estn funcionando como es debido, de maneraconsistente y continua, y concluir sobre la conveniencia del ambientede control.
Obtener evidencia directa o indirecta de puntos/perodos seleccionados
para asegurarse que se ha cumplido con los procedimientos durante elperodo de revisin, utilizando evidencia tanto directa como indirecta.
Realizar una revisin limitada de la suficiencia de los resultados delproceso.
Determinar el nivel de pruebas sustantivas y trabajo adicionalnecesarios para asegurar que el proceso de TI es adecuado.
Directriz de Auditora Genrica (4 de 4)
-
7/22/2019 Cobit 4.1 - Val It
88/148
88
Justificacin/Comprobacin del RiesgoLos pasos de auditora a realizar para justificar el riesgo de que no se
cumpla el objetivo de control mediante el uso de tcnicas analticas y/oconsultas a fuentes alternativas. El objetivo es respaldar la opinin eimpresionar a la administracin para que tome accin. Los auditorestienen que ser creativos para encontrar y presentar esta informacinque con frecuencia es sensitiva y confidencial.
Documentar las debilidades de control y las amenazas yvulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo,
mediante el anlisis de causa-efecto.
Brindar informacin comparativa; por ejemplo, mediante benchmarks.
-
7/22/2019 Cobit 4.1 - Val It
89/148
89
AI6
DirectrizGerencial
-
7/22/2019 Cobit 4.1 - Val It
90/148
-
7/22/2019 Cobit 4.1 - Val It
91/148
91
AI6
DirectrizGerencial
Cmo se Vinculan las Guas de Auditora ylos Objetivos de Control
-
7/22/2019 Cobit 4.1 - Val It
92/148
92
j
Obteniendo un entendimiento
Evaluando los controles
Valorando el cumplimiento
Justificando el riesgo
Objetivos de controltraducidos para verificar si son consideradosy toman en cuenta la pertinencia para la empresa y losrequerimientos de la administracin acerca de su presencia
Objetivos de controltraducidos para probar y/o medir si loscontroles para soportar los objetivos de control estnpresentes como se declara y si ellos operan satisfactoriamente
Recolectar informacin de base referida a impulsores de negocio, riesgos, infraestructura, etc.
Ilustrar objetivos de negocio no alcanzados, prdidas, etc., debido a la ausencia decontroles adecuados.
Cmo se Vinculan las Guas de Auditora ylos Objetivos de Control
-
7/22/2019 Cobit 4.1 - Val It
93/148
93
Negocio
Procesos deTI
Guas deAuditora
Objetivos de
Control
Prcticasde Control
FactoresCrticos
de xito
IndicadoresClaves de
Desempeo
IndicadoresClaves deObjetivos
Modelos deMadurez
requerimientos informacin
= toma en consideracin
COBITy las Directrices de Auditora
-
7/22/2019 Cobit 4.1 - Val It
94/148
94
El propsito de las Directrices de
Auditora es proporcionar unaestructura simple para auditarlos controles de T.I.
Son lineamientos genricos y enuna estructura de alto nivel.
No intentan ser una herramientapara la elaboracin el PlanGeneral de Auditora
Orientan al auditor en la revisinde los procesos de TI vinculados
con los objetivos de control
Estndares ProfesionalesE t t
-
7/22/2019 Cobit 4.1 - Val It
95/148
95
Estructura
Normas:Definen los requisitos obligatorios para la realizacin de las tareas ypresentacin de informes de auditora de sistemas de informacin
Directrices:Brindan la orientacin correcta para la correcta aplicacin de las normas.
Si bien no est obligado a seguir sus pautas, un auditor de sistemas deinformacin debera estar preparado para justificar el no cumplimientode los mismos
Procedimientos:Proporcionan informacin sobre la manera de cumplir con las normas al
realizar tareas de auditora de sistemas de informacin, pero noestablecen requisitos
ManualdePreparacinalExam
en
CISA2003
,Captulo1P
gin
a30
Estndares profesionales
-
7/22/2019 Cobit 4.1 - Val It
96/148
96
Normas Generales de Negocio
Estndares detallados de Tecnologa
- Balanced Scorecard
- ISO 9000
- Six Sigma
GAAPSIAS GAAS SISA
Estndares detallados de la Industria
Estndares de Auditora
AU/NZ 4360
Cmo puedo usar COBIT para una
-
7/22/2019 Cobit 4.1 - Val It
97/148
97
auditora de Internet Banking?
Para una auditora especfica de Internet Banking los procesos de TI relevantes son determinadosprocesos de Planificacin y Organizacin, determinados los procesos de Adquisicin eImplementacin, determinados procesos de Entrega y Soporte y determinados de Monitoreo. PO1 Definir un plana estratgico de TI PO3 Determinar la direccin tecnolgica PO8 Garantizar el cumplimiento de requisitos externos PO9 Evaluar riesgos
AI2 Adquirir y mantener software de aplicacin AI3 Adquirir y mantener la infraestructura tecnolgica AI4 Desarrollar y mantener procedimientos AI5 Instalar y acreditar sistemas AI6 Administrar cambios ES1 Definir y administrar niveles de servicio ES2 Administrar servicios prestados por terceros ES3 Administrar el desempeo y la capacidad ES4 Garantizar el servicio continuo ES5 Garantizar la seguridad de los sistemas ES8 Asistir y asesorar a usuarios ES10 Administrar problemas e incidentes ES11 Administrar datos M1 Monitoreo de procesos M2 Evaluar la adecuacin del control interno
Los Criterios de Informacin ms relevantes para una auditora de Internet Banking son: Primarios: confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad Secundarios: eficacia y eficiencia
Adoptando COBIT como recursod A dit
-
7/22/2019 Cobit 4.1 - Val It
98/148
98
de Auditora
Las destrezas de los auditores internos debenevolucionar con la tecnologa
Es requerido para cumplir su papel como eficazdelegado de la Junta Directiva
Ejercer un juicio razonable y prudente en la
evaluacin de la prcticas de control
La TI ha formado un Abismo
-
7/22/2019 Cobit 4.1 - Val It
99/148
99
Pioneros MayoraInnovadores
Auditora de TIH Q C l Abi
-
7/22/2019 Cobit 4.1 - Val It
100/148
100
Hay Que Cruzar el Abismo
-
7/22/2019 Cobit 4.1 - Val It
101/148
Los Auditores necesitan:
-
7/22/2019 Cobit 4.1 - Val It
102/148
102
Un marco de referenciaque establezca:
Como la actividad debera serrealizada si fuese ejecutada
correctamente
Un conjunto de objetivos decontrol para realizar laevaluacin
Cmo pueden agregar valor losAuditores?
-
7/22/2019 Cobit 4.1 - Val It
103/148
103
Auditores?
Involucramiento Directamente en los Equipos de Administracin de Proyectos y/o Indirectamente en el Comit de Direccin de Proyectos
Anlisis Costo Retorno Implicancias financieras potenciales
Trminos contractuales (i.e. SLA) Seguridad y administracin de riesgos Establecer objetivos de seguridad Identificacin de amenazas Suministrar recomendaciones sobre soluciones factibles Desarrollar la capacidad de respuesta a incidentes & BCP
Monitoreo Requerimientos de usuarios Seguridad y Controles Comprobaciones Documentacin
Visin proactiva Nuevos drivers de los negocios Riesgo y oportunidades con el comercio mvil
Impacto de nuevas tecnologas
-
7/22/2019 Cobit 4.1 - Val It
104/148
-
7/22/2019 Cobit 4.1 - Val It
105/148
105
xxxObtener y desarrollar lascompetencias
-
7/22/2019 Cobit 4.1 - Val It
106/148
106
Para obtener lascompetencias de laauditora de SI elplantel de auditorapuede:
desarrollar sushabilidadesinternamente, o
usar consultores
asociacionesprofesionales
PROFESSIONAL
SEMINARS
SERIES
competencias
Productos y Soporte disponible
-
7/22/2019 Cobit 4.1 - Val It
107/148
107
IT Governance Implementatiom Guide
COBIT Quickstart
COBIT Security Baseline
IT Control Practices
COBIT: Mapping
Information Security Hamonization
IT Governance Global Status Report
InfoSecurity Governance
IT Governance: BoardBriefing
Aligning COBIT, ITIL & ISO 17799
Gobierno de TI: Gua de Implementacin
-
7/22/2019 Cobit 4.1 - Val It
108/148
108
Cmo podemos usar
COBIT para implementar elgobierno de TI? Examinando los contenidos
de esta publicacin,podremos:Entender el enfoque general;Ver las relaciones con el
esquema de gobierno de TI;Recorrer la implementacin a
travs del mapa;Ver los pasos involucrados;Revisar las herramientas deapoyo
Antecedentes de la Gua
-
7/22/2019 Cobit 4.1 - Val It
109/148
109
Un recurso educativo para Juntas Directivas, altagerencia y profesionales de control de tecnologa deinformacin.
La gua presenta una metodologa genrica quetrata:Por qu el gobierno de TI es importante;Cmo COBIT se relaciona con el gobierno de TI;
Implementar el gobierno de TI usando COBIT
-
7/22/2019 Cobit 4.1 - Val It
110/148
Expectativas de la Junta Directivasobre TI
-
7/22/2019 Cobit 4.1 - Val It
111/148
111
sobre TI
Benef ic io
Riesgo Costo
Por consiguiente, las expectativas de la JuntaDirectiva estn subiendo sobre las prestaciones:Mejor calidad, funcionalidad y facilidad de uso,Entrega de informacin ms rpida,Mejoras de los niveles de servicios,Disminucin de costos.
-
7/22/2019 Cobit 4.1 - Val It
112/148
Marco de Gobierno de TI
-
7/22/2019 Cobit 4.1 - Val It
113/148
113
Proveer
directivas
Comparar
Medir elDesempeo
TI alineada con el negocio
TI posibilita el negocio y
maximiza los beneficios
Recursos de TI utilizados
responsablemente
Manejo apropiado de los
riesgos relacionado con TI
Establecer ObjetivosActividades de TI
Aumentar la automatizacin(hacer eficacia al negocio)
Reducir costos
(hacer eficiente a la empresa)
Manejar los riesgos
(seguridad, confiabilidad y
cumplimiento de reglamentaciones)
Aplicacin desde diferentesngulos:
-
7/22/2019 Cobit 4.1 - Val It
114/148
114
2. IMPLEMENTACIN IMPULSADA POR AUDITORA DE TI
ngulos:
REASDE TI
REAS DEAUDITORA
REAS DENEGOCIOS
USUARIOS PERSONAL de TI AUDITORES
3. Esfuerzoconjunto
GERENCIADE NEGOCIOS
GERENCIADE TI
GERENCIADE AUDITORA
1. IMPLEMENTACIN IMPULSADA POR LA GERENCIA DE TI
4. IMPULSADA POR EL GOBIERNO CORPORATIVO
-
7/22/2019 Cobit 4.1 - Val It
115/148
Hoja de Rutade la Gua de Implementacin
-
7/22/2019 Cobit 4.1 - Val It
116/148
116
de laGua de Implementacin
La Hoja de Ruta provee la identificacin delos componentes de COBIT a aplicardurante laimplementacin del plan de accin, desde la
fase inicial de identificacin de necesidadeshasta la implementacin de una solucin,pasando por las fases de visualizacin yplanificacin.
Poniendo juntas las etapasEl mapa del itinerario a seguir
-
7/22/2019 Cobit 4.1 - Val It
117/148
117
Retroalimentacin
Revisin dePost Implementacin
- Medir el xito del proyectode cambio
- Retroalimentar dentro deotro proyecto de mejora
El mapa del itinerario a seguir
Implementar la solucin
Integrar laprcticas
en el da ada
Integrar lasmedicionesdentro delBSC de TI
Planificar la solucin
Definir
proyectos
Desarrollar eimplementar el
plan decambios
Visualizar la solucin
Definirdndeestamosahora?
Definirdnde
queremosestar?
Analizarbrechas
Identificar las necesidades
Concientizary tomar ladecisin
Analizarvalores y
riegos
Seleccionarprocesos
Solucin sustentableEstablecer polticas, objetivos y metas
Implementar polticas, responsabilidades, procesos y procedimientos
Tomar acciones preventivas y correctivas y mejora continua
Guas de ImplementacinPasos a seguir
-
7/22/2019 Cobit 4.1 - Val It
118/148
118
Pasos a seguir
Cada una de las cuatro fases del plan de accin sonintroducidos con los actividades a realizar, los rolessugeridos de los stakeholders de la organizacin y elsoporte de COBIT disponible.
Los 12 pasos son presentados en detalle, con:Denominacin y referencia de las actividades del proceso;Objetivo del proceso;Proceso (descripcion);Tareas;Insumos;Uso de los componentes de COBIT;Resultados;Soporte del kit de herramientas
Kit de herramientas deImplementacin
-
7/22/2019 Cobit 4.1 - Val It
119/148
119
Implementacin
La gua de implementacin identifica los componentes deCOBIT y provee herramientas para completar cada fase ypaso de la Hoja de Ruta y del plan de accin
Basndose
en la Hoja
de Ruta y...
Identificar los componentes Herramientas provisto enel kit
Board Briefing on IT GovernanceIT Strategy CommitteeObjetivos de ControlControl PracticesDirectrices de GerenciamientoModelo de MadurezFactores Crticos de xito
Indicadores Clave de MetaIndicadores Clave de DesempeoImplementation GuideImplementation TrainingCOBIT Security BaselineCOBIT Online
PlantillasMapasReferencias cruzadas
Anlisis y seleccin planillasProceso de diagnsticoMedicin de MadurezModelo de anlisis de riesgos
Tcnicas de informesHerramientasPlanillas de DiagnsticoConcienciacin de la gerenciaMedicin de MadurezPresentacionesEstructura de ControlDirectrices de GerenciamientoImplementation Guide
Gua de Implementacin: sus fases
-
7/22/2019 Cobit 4.1 - Val It
120/148
120
Implementar de la Solucin
Planificar la Solucin
Visualizar la Solucin
Identificar las Necesidades
Concienciary tomar ladecisin
Analizarvalores
Seleccionarprocesos
Definirdnde
estamosahora?
Definirdnde
queremosestar?
Analizar
brechas
Definirproyectos
Desarrollar eimplementar el
plan decambios
Integrar laprcticasen el da a
da
Integrar lasmedicionesdentro delBSC de TI
Revisin dePost
Implementacin
Analizarriesgos
Fase 1:
Identificar Necesidades
-
7/22/2019 Cobit 4.1 - Val It
121/148
121
Identificar Necesidades
Principales Objetivos:1. Entender los antecedentes de la iniciativa y establecer
objetivos mensurables para el proyecto de Gobierno de TI,concienciar y definir la organizacin del proyecto
2. Entender los objetivos del negocio y como ellos setrasladan a los objetivos de TI
3. Entender los principales efectos, por ejemplos riesgos, ycomo podran afectar las metas de TI
4. Decidir el alcance del Proyecto de mejora y los procesos aser implementados o mejorados
Identificar las Necesidades
Concienciary tomar ladecisin
Analizarvalores
Seleccionarprocesos
Analizarriesgos
Fase 2:Visualizar la Solucin
-
7/22/2019 Cobit 4.1 - Val It
122/148
122
Principales Objetivos:
1. Evaluar las capacidades actuales y el nivel de madurezde los procesos de TI seleccionados (as-is)
2. Establecer las capacidades y nivel de madurez deseadou objetivo para cada uno de los procesos (as-to-be)3. Analizar las Brechas entre las posiciones y trasladarlas a
oportunidades de mejoras
Visualizar la SolucinDefinirdndeestamosahora?
Definirdnde
queremosestar?
Analizarbrechas
-
7/22/2019 Cobit 4.1 - Val It
123/148
-
7/22/2019 Cobit 4.1 - Val It
124/148
Roles de laGerencia de Auditora Interna en el
-
7/22/2019 Cobit 4.1 - Val It
125/148
125
Gerencia de Auditora Interna en elProyecto de Implementacin
Agente de cambioInfluenciando y aconsejando
a la Gerencia para queadopte mejores prcticas de
control y gobierno de TI Evaluador independientesu rol primario Sobre el valor entregado por
la TI y la mitigacin de sus
riesgos
Evaluador independiente -su rolprimario-
-
7/22/2019 Cobit 4.1 - Val It
126/148
126
primario
Sobre el valor entregado por laTI y la mitigacin de sus riesgos,realizando:Auditora del sistema de gestin
del desempeo de la TI que escreado luego de la
implementacin del Gobierno deTIAuditora del proceso de
Implementacin del Gobierno deTI de acuerdo a la hoja de ruta
Auditora de uno o mas de losproyectos de mejoraidentificados en el plan generalde mejora
Informe independiente alDirectorio sobre la eficacia de losprocesos de Gobierno de TI
El rol de Consultor Interno:Especialista en Gobierno de TI y COBIT
-
7/22/2019 Cobit 4.1 - Val It
127/148
127
p y
Aporta la perspectiva delauditor en los siguientestemas:Los componentes de COBIT
que pueden utilizarse en los
pasos de la hoja de rutaLos componentes del ciclo devida del Gobierno de TI quedirigen la hoja de ruta
Las mtricas o indicadoresapropiados para medir y
monitorear el desempeoIncorporacin de los aspectos
de Aseguramiento en laimplementacin
El rol de Auditoria InternaEspecialista en Gobierno de TI y COBIT
-
7/22/2019 Cobit 4.1 - Val It
128/148
128
Especialista en Gobierno de TI y COBIT
Acordar el Rol y el reporte de laparticipacin del Auditor.
Brindar asesoramiento y desafiar lasactividades y acciones propuestas,asegurando los objetivos y que se tomendecisiones equilibradas.
Brindar asesoramiento sobre prcticas y
enfoques sobre controles yadministracin de riesgos Asegurar que el adecuado nivel de
participacin es brindado durante lainiciativa
Brindar una evaluacin independientesobre que: los temas identificados son vlidos, los casos de negocio son correctamente
presentados y los planes son alcanzables
Brindar asesoramiento y orientacinexperta donde sea apropiado
-
7/22/2019 Cobit 4.1 - Val It
129/148
COBIT QuickstartPorqu es necesario?
-
7/22/2019 Cobit 4.1 - Val It
130/148
130
q
COBIT QuickStartfue diseado para ayudar en la rpida yfcil adopcin de los elementos importantes de COBIT. Es una versin resumida de los recursos de COBIT. Se focaliza en los procesos claves de TI, los objetivos de
control, las mtricas y ayuda a los usuarios a obtener losbeneficios de COBIT rpidamente.
COBIT QuickstartQuines deben utilizarlo?
-
7/22/2019 Cobit 4.1 - Val It
131/148
131
Quines deben utilizarlo?
COBIT QuickStart est dirigido a pequeas ymedianas empresas (PyMEs) y otras entidadesdonde:
la TI no es estratgica o absolutamente crtica parasobrevivir.la extensin y profundidad de COBIT es muy detallada o
se requiere demasiado tiempo para analizar y focalizar al
principio.
COBIT QuickstartCul es el enfoque?
-
7/22/2019 Cobit 4.1 - Val It
132/148
132
q
COBIT QuickStartprovee objetivos de control fundamentales.En organizaciones ms grandes, lo fundamental es unaherramienta muy til para acelerar la adopcin de mejorespracticas de gobierno.
El resumen de lo fundamental (en comparacin a COBIT):
Dominios
Procesos
Objetivos de control
QuickstartCOBIT
4 4
34
318
30
62
COBIT QuickstartCmo puedo saber si es conveniente para
i i i ?
-
7/22/2019 Cobit 4.1 - Val It
133/148
133
mi organizacin?
Quickstartprovee dos comprobaciones paradeterminar la conveniencia de una empresa enimplementar controles de TI basados en elconjunto de controles de Quickstart:1 Comprobacin: Stay in the blue zone, ayuda a
determinar la conveniencia de una empresa de usarQuickstart
2 Comprobacin: Watch the heat, busca cualquiernecesidad de ir ms all de Quickstartpor razonesespecficas del negocio.
-
7/22/2019 Cobit 4.1 - Val It
134/148
COBIT QuickstartLo ms importante...(80-20)
-
7/22/2019 Cobit 4.1 - Val It
135/148
135
Lo ms importante...(80 20)
ITSITI
-
7/22/2019 Cobit 4.1 - Val It
136/148
-
7/22/2019 Cobit 4.1 - Val It
137/148
Sobre quines hay que ejercerinfluencia para introducir COBIT?
-
7/22/2019 Cobit 4.1 - Val It
138/148
138
p
El nivel gerencial, especialmentequienes disean las polticas deTI, juegan un papel importanteen el proceso de adopcin deCOBIT en la organizacin.
Ejemplos de quienes disean laspolticas incluyen: Gerente General (por ej.: CEO) Gerente de Sistemas Comit de TI/Comit
Auditoria
Ejecutivos de TI
Implemente un Plan de Accinpara su organizacin
-
7/22/2019 Cobit 4.1 - Val It
139/148
139
p g
Distribuya copias del Sumario Ejecutivo de COBIT a los gerentes clave Presntelo a los ejecutivos de los equipos de operaciones y de tecnologa y a
personal clave Presente COBIT a los ejecutivos de los servicios tercerizados y a su personal
clave Asesore a los ejecutivos clave en el desarrollo de planes de accin para
integrar los conceptos de COBIT dentro de los procesos de negocio Presente los conceptos de COBIT e informe sobre el progreso de las
actividades a la Junta Directiva y obtenga su compromiso Desarrolle o actualice los programas de auditora consistentemente con las
Directrices de Auditora de COBIT Reagrupe el inventario de proyectos de auditora para reflejar la orientacin
a los procesos de COBIT Presente los conceptos de COBIT, los avances y resultados al Comit de
Auditora
-
7/22/2019 Cobit 4.1 - Val It
140/148
Tenga en cuenta las dificultades en laimplantacin
-
7/22/2019 Cobit 4.1 - Val It
141/148
141
p
Implica gasto de recursos (costo y tiempo)Resistencia al cambioFalta de recursosFalta de formacinFalta de esprituRiesgo a incremento de la desmotivacin
Resistencia al cambio
-
7/22/2019 Cobit 4.1 - Val It
142/148
142
El cambio es vivido como una amenaza:AutoestimaSeguridad econmicaCarrera laboralRelaciones interpersonales
ConocimientosHabilidadesCompetenciasSatisfaccin laboral
Herramientas para la remocin...Resolucin de conflictosFacilitacinAdministracin del cambio
-
7/22/2019 Cobit 4.1 - Val It
143/148
-
7/22/2019 Cobit 4.1 - Val It
144/148
Factores Crticos de xito
-
7/22/2019 Cobit 4.1 - Val It
145/148
145
Concienciar
Comunicar
Reunir
Educar
Motivar
Retroalimentar
-
7/22/2019 Cobit 4.1 - Val It
146/148
Beneficios
-
7/22/2019 Cobit 4.1 - Val It
147/148
147
Disminucin de costos de la
mala calidad (reprocesos,rechazos, reclamos, etc.) Libera tarea de crisis a los
gerentes
Mejora las relacionesinternas Genera confianza en los
usuariosMejora el clima de trabajo Disminucin de costos de
auditoras internasMejora la imagen pblica
-
7/22/2019 Cobit 4.1 - Val It
148/148
C
T
OBI
TM
Es un mtodo,
...no la solucin!!!