Professional Documents
Culture Documents
Fernando Ferrer Olivares, CISA Presidente ISACA - Colombia Socio fundador Estganos International Group
Agenda
IT Governance COBIT
Qu es Governance?
Gobierno
Adecuada Direccin
Capacidad Logros Responsabilidad Diligencia Conocimiento Calidad - necesidad de control Medicin suministro de informacin Recursos apoyando el cumplimiento de objetivos
Alineamiento
Niveles de Governance
Corporate Governance Enterprise Governance IT Governance Informaction Security Governance
Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE
La forma en que la organizacin est alcanzando efectividad, eficiencia tica, valores, estndares ticos A nivel de compaa Tratamiento de accionistas minoritarios Independencia de la Junta Divulgacin de informacin Mejores prcticas de negocio A nivel pas Ambiente regulatorio y legal exigencias legales Impulso a la inversin
Si un pas no tiene reputacin de aplicar buenas prcticas de gobierno corporativo, el capital se ir. Si los inversionistas no estn contentos con el nivel de confidencialidad, el capital se ir. S un pas opta por estndares contables y de reporte laxos, el capital se ir
Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE
Qu se puede hacer? No existe una nica frmula pero existen guas internacionales Establecimiento de objetivos estratgicos y valores corporativos; Lneas claras de responsabilidad y contabilizacin; Miembros de las juntas calificados e independientes; Apropiado seguimiento por la alta gerencia; Uso efectivo de auditores internos y externos; Compensacin consistente con valores ticos, objetivos, etc.; Gobierno corporativo conducido en una forma transparente Liderando por ejemplo ... Cumplimiento de requerimientos de gobierno corporativo y administracin de riesgos Alta calidad de la informacin divulgada Adherir a requerimietos de auditora externa efectivos Mantener un riguroso marco de contabilizacin Colocar procedimientos adecuados y efectivos
... ayuda a afirmar que las corporaciones utilizan su capital de manera eficaz, toman en cuenta los intereses de sus participantes al igual que el de sus juntas de administracin para asegurar que ellas operan para el beneficio de la comunidad procurando la confianza de los inversionistas y atraer capitales estables y a largo plazo...
Corporate Governance
IT Governance Roundtable - Sponsored by the IT Governance Institute - 27 March 2000; Oslo, Norway
Son las reglas y procesos a travs de los cuales las oportunidades y riesgos de negocio son reconocidos y administrados para asegurar un aumento sostenido del valor para todos sus interesados
Es el sistema mediante el cual las empresas y organizaciones establecen sus objetivos, alinean en consecuencia sus procesos y aseguran el cumplimiento de dichos objetivos institucionales
Uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos del negocio
IT / Governance
Es el proceso de administracin que asegura la obtencin de los beneficios esperados de la tecnologa de informacin (TI) de manera controlada para acrecentar el xito sostenido de una empresa a largo plazo
IT Governance Roundtable Sponsored by the IT Governance Institute 27 March 2000; Oslo, Norway
Ideas fundamentales
Es un proceso Asegura la obtencin de los beneficios esperados de la tecnologa de la informacin (TI) De manera controlada Para acrecentar el xito sostenido de una empresa a largo plazo
IT Governance
Por qu IT Governance
Debida diligencia Criticidad Importancia estratgica Junta Gerencia Auditores Definicin Framework Ciclo de vida Actividades
Qu deben hacer?
Porqu IT Governance
Debida diligencia
Las empresas deben ser igualmente inquisitivas sobre ellas mismas en temas como
Infraestructura y funciones productivas Habilidades, cultura y ambiente operativo Capacidades, riesgos, conocimiento de procesos e
Importancia estratgica
IT Governance
como elemento estratgico de la empresa
Corporate Governance
Direcciona y establece
IT Governance
Porqu IT Governance
Pero si TI es crtica y estratgica porqu:
No hay inters en conocer el comportamiento de TI (logro de objetivos, capacidad de aprender y adaptarse, administracin de riesgos, aprovechamiento de oportunidades) No aseguramos que TI satisfaga las expectativas (entrega de valor al negocio, rpida, segura, calidad, eficiencia, productividad, efectividad, hacer ms con menos)
IT Governance
Por qu IT Governance
Debida diligencia Criticidad Importancia estratgica Junta Gerencia Auditores Definicin Framework Ciclo de vida Actividades
Qu deben hacer?
Rol de la Junta
Orientar TI a dar valor a los interesados Adoptar un framework de IT Governance Realizar las preguntas correctas Enfocarse en
Medir resultados
Rol de la Gerencia
Alinear la estrategia de TI con los objetivos de negocio Aterrizar en la organizacin las estrategias y objetivos Definir estructuras organizacionales que faciliten la implementacin de la estrategia Adoptar un framework de riesgo, control y gobierno Proveer la infraestructura de TI que facilite la creacin y el compartir informacin del negocio Asignar responsables de la gestin de riesgos en la organizacin Enfocarse en los procesos importantes de TI y en su apoyo a las competencias del negocio Medir el desempeo (Balance Scorecard)
Rol de la Auditoria
Obtener un entendimiento de IT Governance Apoyar a la Junta y a la Gerencia en sus roles Recomendar la adopcin de un framework de control y gobierno de TI Definir estructuras organizacionales en sus reas que faciliten una implementacin estratgica de ese framework Medir su propio desempeo (Balance Scorecard)
IT Governance
Por qu IT Governance
Debida diligencia Criticidad Importancia estratgica Junta Gerencia Auditores Definicin Framework Ciclo de vida Actividades
Qu deben hacer?
IT Governance
como elemento estratgico de la empresa
Corporate Governance Actividades de la empresa
Requieren informacin de
Direcciona y establece
IT Governance
Actividades de IT
Actividades de TI
Plantacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo
Preocupaciones
El negocio no trata TI como un socio o la alta direccin no presta atencin a TI Medicin del desempeo - Solo unos pocos son capaces de medir el valor que TI retorna El 85% del valor de mercado de una empresa reside en bienes intangibles la parte ms grande es informacin No alineamiento estratgico - Solo 4 de cada 10 compaas han integrado sus planes de negocio y de TI en alguna forma
Encuestas del Brookings Institute, Standish Group y Acadys 2001
Medicin de procesos
Key Success Factors (KSF) Factores crticos de xito (clave)
Aspectos que son indispensables para el adecuado funcionamiento de un proceso Mide el funcionamiento de un proceso Mide el impacto o consecuencia de un proceso en el contexto de una empresa
Balance Scorcard
TI ha estado corriendo por un largo tiempo desatendiendo en los ltimos 30 aos el negocio
J. Welch 1997
Requerimiento
Desarrollar un framework para la Junta Directiva y la Alta Gerencia que permita atender sus expectativas y riesgos de TI
IT / Governance y COBIT
Riesgos, controles, auditoria y aseguramiento de TI estn evolucionando en COBIT haca el ms amplio concepto de IT Governance; una parte integral de Enterprise Governance
IT est teniendo un impacto creciente en el funcionamiento de las empresas y en el logro de los objetivos que ellas definen. Governance est orientado a asegurar que las empresas cumplan sus objetivos, en dirigir a la gerencia en ese sentido, en ensearle buenas prcticas de planeacin y organizacin en respuesta a la direccin recibida, y en proveer gobierno al siguiente nivel en la empresa.
COBIT
TM
Objetivos y Beneficios
Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI. Consolidar y armonizar estndares originados y desarrollados en diferentes pases. Concientizar a la comunidad sobre importancia del control y la auditoria de TI. Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. Reiterar sobre la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa.
Antecedentes
COBIT Integra y concilia normas existentes como: COSO (Committe Of Sponsoring Org. of the Treadway Commission) OECD (Organizarion for Economic Cooperation and Development) ISO (International Standars Organization) NIST (National Institute of Standars and Technology) DTI (Departament of Trade and Industry of the U.K) ITSEC (Information Technology Security Evaluation Criteria - Europa) TCSEC (Trusted Computer Evaluacin Criteria - Orange Book- E.U) IIA SAC (Institute of Internal Auditors - Systems Auditability and
Control) IS Auditing Standars Japn
Antecedentes
En 1992, comenz la actualizacin de los objetivos de control de ISACA En 1996, ISACA public para los profesionales de TI un marco de prcticas control de la TI generalmente aplicables y aceptadas
Objetivos de Control
para Informacin y
Tecnologas Relacionadas
Antecedentes
En 1998 fue actualizado y se public una segunda versin a la que se le incorpor las Herramientas de implantacin y CD. En 1999 se publicaron los Objetivos de Control para redes En septiembre del 2000 se public la 3ra. Edicin
Antecedentes
CobiT On Line / CobiT Quick Start
CobiT 1996/1998/2000/2003
Definicin de Control Interno Definicin de Objetivos de Control de T I
COSO 1992
Contribuciones al concepto de Control Interno
SAC 1991/1994
Conceptos de Control Interno Conceptos de Control Interno
SAS 78 - 1995
enmienda
SAS 55 - 1988
Misin
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios.
Usuarios
La Gerencia: apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible Los Usuarios Finales: obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Organismos estatales de control: para saber que es lo mnimo que pueden exigir.
Caractersticas
COBIT
TI
Objetivos De Control
Negocio Empresa
Caractersticas
Orientado al negocio Alineado con estndares y regulaciones de facto Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditora (COSO, IFAC, IIA, ISACA, AICPA)
Principios
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO
PROCESOS DE TI RECURSOS DE TI
Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.
Eficiencia
Confidencialidad
Integridad
Cumplimiento
Confiabilidad
Recursos de TI
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o n, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
Recursos
Seguridad de la informacin Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Seguridad fsica
(1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administracin de libreras (7) Editores en lnea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrnico de datos
CobiT
Seguimiento
Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeacin y Organizacin
1.Definicin del nivel de servicio 2.Admistracin del servicio de terceros 3.Admon de la capacidad y el desempeo 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificacin y asignacin de costos 7.Capacitacin de usuarios 8.Soporte a los clientes de TI 9.Admistracin de la configuracin 10.Administracin de problemas e incidentes 11.Administracin de datos 12.Administracin de Instalaciones 13.Administracin de Operaciones
Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano
Adquisicin e Implementacin
1. Identificacin de soluciones 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalacin y Acreditacin de sistemas 6. Administracin de Cambios
Actividades o tareas
Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
Dominios de TI
Planeacin y Organizacin (Planning and Organization) Adquisicin e implementacin (Acquisition and Implementation) Prestacin de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)
Dominios de TI
Planeacin y Organizacin
Abarca aspectos estratgicos y tcticos Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir la manera ms adecuada con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas.
Procesos de TI
Planeacin y Organizacin
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplimiento d requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad
Dominios de TI
Adquisicin e Implementacin Identificacin, desarrollo o adquisicin de soluciones de TI. Implantacin e integracin en el proceso de negocio. Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.
Procesos de TI
Adquisicin e Implementacin
1. 2. 3. 4. 5. 6. Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Certificacin de sistemas Administracin de Cambios
Dominios de TI
Prestacin de Servicios y Soporte Prestacin efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitacin. Procesos de soporte necesarios. Procesamiento real de los datos por los sistemas de aplicacin.
Procesos de TI
Prestacin de Servicio y Soporte
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones
Dominios de TI
Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Seguimiento de la gerencia sobre los procesos de control de la organizacin. Garanta independiente provista por la auditora interna y externa u obtenida de fuentes alternas.
Procesos de TI
Monitoreo / Seguimiento
1. 2. 3. 4. Seguimiento de los procesos Evaluacin de lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente
Procesos
Planeacin y Organizacin
Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios
Adquisicin e Implementacin
Procesos
Servicios y Soporte
Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente
Seguimiento
Objetivos de Control
Una declaracin de resultado deseado o propsito a ser alcanzado por medio de la implementacin de procedimientos de control en una actividad Particular de TI 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos) 2.3 Contratos con Terceros
Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deber asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no revelacin) sean identificados, declarados explcitamente y acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con los requerimientos legales y regulatorios, incluyendo obligaciones.
Como Producto
Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guas de Auditora Guas de Administracin Herramientas de implementacin CD-ROM 2a Edicin disponible en espaol
Resumen Ejecutivo
Documento dirigido a la alta gerencia Presenta los antecedentes y la estructura bsica de COBIT. Describe de manera general los procesos, los recursos y los criterios de informacin, los cuales conforman la Columna Vertebral de COBIT.
Marco de Referencia
Incluye la introduccin contenida en el resumen ejecutivo Presenta las guas de navegacin para que los lectores se orienten en la exploracin del material de COBIT. Hace una presentacin detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control
Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)
Guas de Auditora
Se hace una presentacin del proceso de auditora generalmente aceptado (relevamiento de informacin, evaluacin de control, evaluacin de cumplimiento y evidenciacin de los riesgos). Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
Guas de Administracin
Se enfoca de manera similar a los otros productos Integra los principios del Balanced Business Scorecard. Para ayudar a determinar cuales son los adecuados niveles de seguridad y control, integra los conceptos de:
Modelo de madurez CMM (prcticas de Control) Factores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI. Indicadores claves de logro en los procesos de TI Indicadores claves de Desempeo de los procesos de TI
Modelo de Madurez
El Modelo de Madurez es una forma de medir el grado de desarrollo de los procesos de la organizacin. Este modelo define perfiles de organizaciones, en relacin a los progresos en el gobierno de TI de cada una de ellas. Atiende aspectos tales como : el grado de formalidad con que se cumplen los procesos el reconocimiento de que existen problemas las posibilidades de entrenamiento y capacitacin el grado de automatizacin de los procesos el nivel de avance de la organizacin en materia de administracin del conocimiento relativo a buenas prcticas en TI.
Modelo de Madurez
El abordaje del Modelo de Madurez para el control de los procesos de TI, consiste en el desarrollo de un mtodo de puntuacin mediante el cual una organizacin puede autoevaluar su realidad respecto de los procesos COBIT de TI en una escala que va desde no-existente hasta optimizada (de 0 a 5). Este enfoque est basado en el Modelo de Madurez del desarrollo de software, CMM-SW del SEI-Software Engineering Institute de Carnie de Mellon University
Modelo de Madurez
Los niveles que pueden ser evaluados en este modelo son: El nivel actual de la organizacin donde est posicionada hoy en da El nivel actual de la industria el nivel con el cual compararse El nivel actual de las guas estndares internacionales ms referencias de comparacin La estrategia de mejora de la organizacin donde la organizacin quiere estar posicionada
Modelo de Madurez
Modelo de Madurez
La escala de evaluacin es la siguiente: 0 Inexistente Hay una absoluta carencia de procesos reconocibles. La organizacin no ha reconocido que haya una necesidad de acciones en ese sentido. 1 Inicial/Ad Hoc Hay evidencia de que la organizacin ha reconocido que existen problemas y necesitan ser tratados. No hay procesos estandarizados sino que por el contrario hay acercamientos puntuales que tienden a ser aplicados slo por un individuo o a un caso concreto. La aproximacin global de la gerencia al tema no es planificada ni proactiva.
Modelo de Madurez
2 Repetitivo pero intuitivo
diversos grupos que emprenden la misma tarea siguen procedimientos similares. estndar de procedimientos
No hay ningn entrenamiento formal o comunicacin La responsabilidad descansa en los individuos. Hay un alto grado de confianza en el conocimiento de
Modelo de Madurez
3 Definido
Se han comunicado mediante el entrenamiento. Los individuos deciden seguir o no estos procesos. Es difcil que las desviaciones sean detectadas. Los procedimientos en si mismos, no son sofisticados
sino que son la formalizacin de prcticas existentes.
Modelo de Madurez
4 Gerenciado y Medible
Es posible vigilar y medir el cumplimiento de los Los procesos estn bajo mejora constante y
proporcionan buenas prcticas aplicables. manera limitada o de modo parcial.
procedimientos y tomar acciones en los casos en los que los procesos resultan no trabajar con eficacia.
Modelo de Madurez
5 Optimizado
Complementos de COBIT
Information Technology Strategic Committee Balance Scorecard COBIT on-line COBIT Quickstart
BSC
Aprendizaje y conocimiento
BSC para TI
Valor de negocio derivado de proyectos de TI Logros de sinergia Inversiones en TI Contribucin estratgica Contribucin corporativa Alianzas de TI/Negocio Satisfaccin del cliente Desempeo de entrega de aplicaciones Desempeo de niveles de servicio Orientacin al usuario de TI
BSC para TI
Excelencia operacional Productividad, eficiencia y calidad Oportunidad de respuesta Costo interno de calidad Seguridad Administracin de rezagos Orientacin futura Capacidad de mejora de servicios Evolucin de arquitecturas Investigacin de tecnologa Administracin del conocimiento
Financieros Presupuesto operativo de TI Presupuesto de capital de TI Administracin de activos de TI Administracin de contratos de TI Allocation y planeacin de recursos de TI
Frameworks de Control Polticas Gerenciales de Informacin Corporativa privacidad, propietarios de procesos de negocio, retencin de registros Departamento de TI CVDS, seguridad Estndares COBIT, ITIL, ISO, SAS70 Prcticas y procedimientos Administracin de la documentacin del sistema Aseguramiento de calidad Cumplimiento regulatorio Procedimientos de escalamiento Procedimientos de divulgacin Administracin de contratos y de vendedores
Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004
Gracias!
Fernando Ferrer Olivares fferrer@esteganos.com fferreol@banrep.gov.co fferreol@hotmail.com