UNIVERSIDAD CATLICA DEL NORTE FACULTAD DE INGENIERA Y CIENCIAS GEOLGICAS DEPARTAMENTO DE INGENIERA DE SISTEMAS Y COMPUTACIN

Procesos COBIT: Gestionar la Estrategia (APO02) Gestionar el Presupuesto y los Costes (APO06) Gestionar los Proveedores (APO10).

Alumnos: Cynthia Rojas - Richard Castillo. Carrera: Ing. Civil Computacin e Informtica Profesor: Juan Zaldvar. Ayudante: Jonathan Urquieta Antofagasta Abril, 2013

Contenido
ndice de Figuras ....................................................................................................................... 3 Introduccin ............................................................................................................................... 4 Objetivo del proceso ................................................................... Error! Bookmark not defined. Descripcin del proceso ............................................................................................................. 5 Implementacin.........................................................................................................................11 Medicin ...................................................................................................................................13 Conclusiones ............................................................................................................................16 Glosario y Nomenclatura...........................................................................................................17 Bibliografa ................................................................................................................................18

ndice de Figuras
Figura 1.1 Procesos de Gobierno de TI Empresarial ................... Error! Bookmark not defined. Figura 1.2 Metas ......................................................................... Error! Bookmark not defined. Figura 1.3 Metas relacionadas con las TI Vs Procesos de Cobit Error! Bookmark not defined.

Introduccin

En el pasado, el rol de TI dentro de una organizacin era considerado como una funcin orientada al soporte, es decir una funcin diferenciada del resto del negocio. Esto era una prctica ms habitual y comn de lo esperado. Hoy en da la inversin en infraestructura y nuevas aplicaciones de TI estn inmersas en las lneas y funciones del negocio, dando hincapi a que los socios y clientes participen de los procesos internos dentro de la organizacin, es por ello que la tendencia a incrementar las relaciones de TI y las funciones del negocio crece exponencialmente. Desde una perspectiva general, cmo se puede afrontar este reto estratgico?, es necesario establecer ciertos cuestionamientos: Existe un marco para lograr establecer las diferentes responsabilidades que permita reducir el esfuerzo por mejorar el rol de TI y acortar la distancia entre los diferentes procesos que TI debe soportar y apoyar? Definir las diferentes responsabilidades entre direccin y gestin Estos cambios son una prioridad de gobierno?

Sin duda las organizaciones estn aportando cambios sustanciales en el manejo de la informacin y la tecnologa, debido a que ellas representan un activo valioso su propia organizacin. En general las organizaciones reconocen los beneficios que las tecnologas pueden proporcionar. Para organizaciones de mayor nivel productivo, son capaces de comprender y administrar los riesgos asociados a la implementacin de la amplia tecnologa presente en la actualidad. Las organizaciones por ende, deben cumplir con requerimientos de calidad, que sean confiables y exigentes en su seguridad, tanto como para el manejo de la informacin y sus propios activos. La gerencia debe ser capaz de optimizar los recursos disponibles, los que afectan a: personal, tecnologa, instalaciones, datos, etc. Es por ello que se debe comprender el estado de los propios sistemas de TI y decidir los niveles de seguridad y control que deben proveer estos sistemas. COBIT, es la herramienta de gobierno de IT que ayuda y mejora la administracin de los riesgos y entender los beneficios asociados con la informacin y las tecnologas emergentes.

APO02: Gestionar la Estrategia Descripcin del proceso Proporcionar una visin holstica del negocio actual y del entorno TI, la direccin futura y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta gil, confiable y eficiente a los objetivos estratgicos. Objetivo del proceso: Alinear los planes estratgicos de TI con los objetivos del negocio. Comunicar claramente los objetivos y las cuentas asociadas para que sean comprendidos por todos, con la identificacin de las opciones estratgicas de las TI, estructurados e integrados con los planes de negocio Impactos La incorporacin del proceso APO02 apoya principalmente a la consecucin de las siguientes metas corporativas: Entregar valor para las partes interesadas de las inversiones de negocio Tener una cartera de productos y servicios competitivos Tener una cultura de servicio orientada al cliente Entregar respuestas agiles a un entorno de negocio cambiante Permitir toma estratgica de decisiones Optimizar funcionalidad de los procesos de negocio Contar con programas gestionados de cambio en el negocio Tener una cultura de innovacin del producto y del negocio

Respecto a las Tecnologas de informacin, este proceso apoya principalmente a la consecucin de las siguientes metas: Alinear la TI con la estrategia del negocio Entregar servicios TI de acuerdo con los requisitos del negocio Adquirir conocimiento, experiencias e iniciativas para la innovacin del negocio

Implementacin
Para implementar el proceso y lograr las metas mencionadas anteriormente, se deben aplicar prcticas a nivel de gestin, las cuales son: APO02.01 Comprender la direccin de la empresa.

Considerar el entorno actual y los procesos de negocio de la empresa, as como la estrategia y los objetivos futuros de la compaa. Tomar tambin en cuenta el entorno externo a ella (motivadores de la industria, reglamentos relevantes, bases para la competencia). Esta prctica requiere de algunas entradas, las cuales generan una salida. Para mayor claridad, la siguiente tabla ilustra dichas entradas y salida. Entradas De EDM04.01 Salida Descripcin Descripcin A Principios gua para la asignacin de Fuentes y Interno recursos y capacidades prioridades EDM04.02 Oportunidades de innovacin vinculados para cambios con los motivadores de la industria Externo a Estratgia y anlisis de las fortalezas, COBIT debilidades, oportunidades y amenazas de la empresa (DAFO)

Algunas actividades que deberan llevarse a cabo en pos de apoyar esta prctica son: a) Desarrollar y mantener un entendimiento de las estrategias y objetivos de negocio, as como del entorno y los retos corporativos actuales b) Desarrollar y mantener un entendimiento del entorno externo a la empresa c) Identificar las partes interesadas ms importantes y obtener comprensin de sus requerimientos d) Identificar y analizar las fuentes de los cambios en la empresa y en el entorno externo e) Determinar prioridades para el cambio estratgico f) Entender la actual arquitectura de la empresa y trabajar con el proceso de arquitectura de empresa para determinar cualquier brecha potencial en la arquitectura

APO02.02 Evaluar el entorno, capacidades y rendimiento actuales.

Evaluar el rendimiento del negocio interno actual y las capacidades de TI y los servicios externos de TI para desarrollar un entendimiento de la arquitectura empresarial en relacin con TI. Identificar los problemas que se estn experimentando y generar recomendaciones en las reas que pueden beneficiarse de estas mejoras. Considerar los aspectos diferenciadores y las opciones de proveedores de servicios y el impacto financiero, los costes y los beneficios potenciales de utilizar servicios externos. Al igual que en la prctica anterior, para poder implementarla se requiere de entradas las cuales generan una salida, como se muestra a continuacin Entradas De APO06.05 APO08.05 Salida Descripcin Descripcin Oportunidades de optimizacin de costes Lnea de referencia de capacidades Definicin de proyectos de mejoras Diferencias y riesgos potenciales relacionados con las capacidades actuales Identificar diferencias en los servicios TI Anlisis DAFO de para el negocio capacidades Planes de acciones de mejora y remediaciones Futuros problemas y factores de riesgo Resultado del anlisis de riesgo Perfil de riesgo agregado, incluyendo el estado de las acciones sobre la gestin de riesgos Propuestas de proyecto para la reduccin de riesgos Planes de rendimiento y capacidad Mejoras priorizadas Acciones correctivas Revisin de los resultados de ajuste a objetivos Oportunidades para reducir los costes de los activos o incrementar su valor Revisin de los resultados de la optimizacin de costes
7

A Interno APO12.01

APO09.01 APO09.04 APO12.01 APO12.02 APO12.03

Interno

APO12.05 BAI04.03

BAI04.05 BAI09.01 BAI09.04

Algunas actividades que deberan llevarse a cabo en pos de apoyar esta prctica son: a) Desarrollar un punto de referencia del negocio, entorno de TI, capacidades y servicios actuales respecto al que las necesidades futuras puedan ser comparadas. Incluir el correspondiente detalle, a alto nivel, de la arquitectura empresarial actual (negocios, informacin, datos, aplicaciones y dominios de tecnologa), procesos de negocio, procesos de TI y sus procedimientos, estructura organizativa de TI, provisin de servicios externos, gobierno de TI, habilidades y competencias de TI en toda la empresa. b) Identificar los actuales y potenciales riesgos y tecnologas en declive c) Identificar diferencias entre el negocio actual y las capacidades de TI, entre servicios y estndares y mejores prcticas de referencia., entre empresas competidoras y sus capacidades de TI y entre un anlisis comparativo de las mejores prcticas y la provisin de servicios emergentes y de TI d) Identificar los problemas, fortalezas, oportunidades y amenazas en el entorno actual, las capacidades y servicios para entender el desempeo actual. Identificar las reas a mejorar en trminos de la contribucin de las TI a los objetivos del negocio

APO02.03 Definir el objetivo de las capacidades de TI.

Definir el objetivo del negocio, las capacidades de TI y los servicios de TI necesarios. Esto debera estar basado en el entendimiento del entorno empresarial y sus necesidades; la evaluacin de los actuales procesos de negocio, el entorno de TI y los problemas presentados; considerando los estndares de referencia, las mejores prcticas y las tecnologas emergentes o propuestas de innovacin. Evaluar el rendimiento del negocio interno actual y las capacidades de TI y los servicios externos de TI para desarrollar un entendimiento de la arquitectura empresarial en relacin con TI. Identificar los problemas que se estn experimentando y generar recomendaciones en las reas que pueden beneficiarse de estas mejoras. Considerar los aspectos diferenciadores y las opciones de proveedores de servicios y el impacto financiero, los costes y los beneficios potenciales de utilizar servicios externos Al igual que en la prctica anterior, para poder implementarla se requiere de entradas las cuales generan una salida, como se muestra a continuacin Entradas De APO04.05 Salida Descripcin Descripcin A Anlisis de las iniciativas Objetivos de TI a Interno alto nivel rechazadas Requerimientos del Interno y Resultados y recomendaciones de negocio las iniciativas de pruebas de capacidades de TI concepto Propuesta de APO03.03 cambio en arquitectura negocio la del

Algunas actividades que deberan llevarse a cabo en pos de apoyar esta prctica son: a) Considerar la aprobacin de tecnologas emergentes e ideas innovadoras b) Identificar las amenazas por el rechazo a las actuales y nuevas tecnologas adquiridas c) Definir los objetivos/ metas de TI a alto nivel y cmo contribuirn con los objetivos de negocio empresariales d) Definir el proceso de negocio requerido y deseado, las capacidades y los servicios de TI describir los cambios a alto nivel en la arquitectura
9

empresarial (negocio, informacin, datos, aplicaciones y dominios tecnolgicos), el negocio, los procesos y procedimientos de TI, la estructura organizativa de TI, proveedores de servicios tecnolgicos, gobierno de TI y las habilidades y competencias.

10

Finalmente, en el mbito de aprendizaje y crecimiento, el proceso fomentara: Contar con personal competente y motivado. Adquirir conocimiento, experiencia.

Segn el primer principio de COBIT. Respecto a la compaa, principalmente la consecucin de las metas TI influir en:

De todo lo anterior, se desprende que la implementacin del proceso en la compaa generara beneficios en relacin a 13 de los 17 mbitos (segn la tabla para mapeo entre las metas corporativas de COBIT5 y las relacionadas con TI).

Implementacin Para implementar el proceso, se requiere: 1. Definir quines son las partes interesadas durante cada actividad del proceso. Esto puede ser hecho mediante una tabla RACI (Responsable, Aprobador, Consultado, Informado), que defina roles y responsabilidades asociadas. 2. Definir las metas del proceso: Mtrica Objetivos del Proceso Los Umbrales de riesgos estn definidos, son comunicados y las claves de riesgo de TI se conocen. La Gestin de la empresa es fundamental, para manejar los riesgos de forma eficaz y eficiente. Nivel de alineamiento entre el riesgo TI y el riesgo Empresarial Nmero de riesgos potenciales identificados y gestionados Tasa de actualizacin del factor de evaluacin del riesgo. Un cierto porcentaje de los proyectos empresariales consideran el riesgo. Un cierto porcentaje de planes de accin de riesgo de IT son ejecutados a tiempo.

11

Porcentaje de riesgos crticos que han sido mitigados efectivamente. Impacto inesperado de nivel empresarial. Porcentaje de riesgo IT que excede la tolerancia de la empresa.

Los riesgos empresariales relacionados no excedan el apetito del riesgo y su impacto afecten el valor de la empresa, la misin de la empresa es identificar y gestionar.

3. Definir mtricas y metas asociadas que sean adecuadas al proceso. Un ejemplo de meta y mtrica asociada a EDM03 sera: Meta Mtrica

Los umbrales de riesgo estn definidos y Nivel de alineamiento entre el riesgo TI y comunicados; y el riesgo TI relacionado el riesgo empresarial es conocido Cantidad de potenciales riesgos identificados y gestionados Cada cuanto tiempo se evalan los factores de riesgo

4. Definir el ciclo de vida del proceso, el cual ser creado, ejecutado, supervisado y adaptado/ retirado cuando sea necesario. 5. Definir buenas prcticas asociadas al proceso las cuales se dividen en: prcticas, actividades y si fuese necesario actividades detalladas (que pueden ser obtenidas de otros estndares tales como ITIL, ISO/IEC27000, PRINCE 2). Ejemplo de buenas prcticas asociadas al proceso 6. Definir entradas y salidas: Estas son productos de trabajo/ elementos del proceso considerados necesarios para mantener la operacin del mismo. Permiten adoptar decisiones clave, proporcionan registros y evidencias de auditora sobre las actividades de dicho proceso, y permiten la investigacin en caso de incidente.

12

APO06: Gestionar la Estrategia

13

APO10: Gestionar los proveedores

14

Medicin El proceso se mide en base a las respuestas dadas a las siguientes preguntas (que deben ser respondidas peridicamente y deben basarse en mtricas) Se atienden las necesidades de las partes interesadas? Se alcanzan sus metas? Se gestiona su ciclo de vida?

Se aplican buenas prcticas?

15

Conclusiones

Entender el riesgo asociado al manejo y utilizacin de la informacin dentro de una organizacin, es de vital importancia para comprender y lograr manejar el impacto que sta provoca dentro de las organizaciones corporativas El riesgo de TI impacta directamente el funcionamiento de las organizaciones llegando al punto crtico de detener sus operaciones. Es por ello que COBIT5 ofrece una herramienta para apoyar los objetivos y actividades dentro de una organizacin. No solo basta con identificar los riesgos a los cuales las organizaciones se ven enfrentadas como amenazas, vulnerabilidades, es necesario poder gestionar y identificar su impacto. El marco de COBIT5 entiende y administra, dando nfasis entre el Gobierno y la Gestin de TI, una nueva actualizacin en lo que a COBIT 4.1 se refiere. Es de vital importancia comprender el crculo de flujo de las actividades, tambin es claro que en cada organizaciones existen actividades diferentes, pero es posible generalizar y ajustar los procedimientos para comprender y reconocer el estndar presentado por COBIT5 y como se ajusta a grandes niveles de satisfaccin, ayudando a la cadena de valor de las organizaciones, dando soluciones a los marcos de trabajo y entregando soluciones estandarizadas. El desempeo del grupo fue realizada con xito, las debilidades presentes, fueron entender bien el proceso y ajustar a el marco de una organizacin, encontrar un ejemplo claro que responda a las necesidades fue algo que an est dbil y pretendemos potenciarlo a medida que avance el curso.

16

Glosario y Nomenclatura

IT: Tecnologa de informacin EDM03: Asegurar la Optimizacin del riesgo. APO012: Gestionar el Riesgo. APO: Alinear, Planificar y Organizar. EDM: Evaluar, Dirigir y Monitorear. Riesgo TI: El riesgo de TI, es el riesgo asociado con el uso, propiedad, operacin, involucramiento, influencia y adopcin de la tecnologa de informacin en una empresa.

17

Bibliografa ISACA, Framework-Spanish COBIT5 , 2013 ISACA, Enabling Processes COBIT5 , 2013

18