Cobit 5 un framework para el gobierno y gestión de las TI
Proyecto de curso de Contabilidad para Gestión,
Universidad Nacional Mayor de San Marcos, Lima, Perú
Noviembre del 2014
2. COBIT 5
AGENDA:
Presentación del tema
Introducción
Desarrollo de los principios
Casuística de implementación
Conclusiones
Sesión de preguntas
5. Familia de productos COBIT 5
COBIT 5 (el marco de trabajo)
Guía de catalizadores de COBIT 5.
COBIT 5: Información catalizadora.
Información posibilitadora.
Otras guías de catalizadores.
Guías profesionales de COBIT 5, incluyendo:
-Implementación de COBIT 5
-COBIT 5 para Seguridad de la Información.
-COBIT 5 para Aseguramiento
-COBIT 5 para Riesgos
6. ¿Qué es ISACA?
Fue fundada por la necesidad de contar con una fuente centralizada de
información en el creciente campo de la auditoría a los controles de los SC.
Comenzó en 1967-> Pequeño # de personas
Hoy-> + 115 000 personas en todo el mundo
7. *“La información es un recurso clave para todas las empresas.”*
*GOBIERNO: Asegura que se evalúan necesidades, condiciones y pociones de
las partes interesadas para determinar que se alcanzan las metas corporativas
acordadas. Se establece la dirección a través de la priorización y TOMA DE
DECISIONES.
*GESTIÓN: Planifica, construye ejecuta y controla actividades alineadas con la
dirección establecida por el cuerpo de gobierno para alcanzar las metas
empresariales.
8. Visión General
Qué es lo que esperan de la información y tecnologías relacionadas.
Algunos estarán preparados para asumir riesgos que otros no asumirían.
Considerar la dependencia creciente del éxito de la empresa en
compañías externas y grupos de TI tales como contratistas externos,
proveedores, consultores, clientes, proveedores de servicios en la nube y
otros servicios.
La información ha crecido significativamente con el tiempo, por la tanto
necesita ser gestionada eficazmente.
Tener a las TI como parte integral y ya no por separado.
Proporcionar orientación adicional en la innovación y las tecnología
emergentes.
Mejor control sobre soluciones de TI adquiridas y controladas por los
usuarios.
10. Porque se desarrolló COBIT 5?
Punto Críticos del negocio
⌂ Fugas
⌂ Vulnerabilidad
⌂ Alto costo
⌂ Duplicidad
⌂ Falta de visibilidad
⌂ Complejidades innecesarias
⌂ Desperdicio de información
⌂ Fragmentación.
⌂ Integración pobre.
20. ¿Por qué diremos que el COBIT 5 es un marco de
Referencia Único Integrado?
Integra diferentes marcos de referencia
21. ¿Por qué diremos que el COBIT 5 es un marco de
Referencia Único Integrado?
Proporciona una arquitectura simple
22.
23.
24.
25. ESTANDARES Y MARCOS DE REFERENCIA
ISO/IEC 38500 ITIL ISO/IEC 27000
ISO/IEC
31000
TOGAF
Integración de Modelos de
Madurez de las Capacidades
(CMMI)
PRINCE2
Principios Procesos en: Seguridad, Riesgo, Riesgo
Arquitectura
Empresarial
Construcción y Adquisición de
aplicaciones
Procesos relativos
P1: Responsabilidad Dominio DSS Dominio EDM Dominio EDM ADM Dominio BAI Dominio APO
P2 Estrategia Dominio BAI Dominio APO Dominio APO Dominio APO
P3: Adquisición Dominio
APO
Dominio DSS
P4: Rendimiento Supervisión y
Evaluación
Supervisión y Evaluación Procesos de gestión
de procesos y
programa
P5: Conformidad Dominio MEA Dominio APO Dominio BAI
P6: Comportamiento
Humano
28. Principio 4: Hacer Posible un Enfoque Holístico
La empresa es un sistema, ya que sus elementos se encuentran
interconectados, Los catalizadores proveen beneficio a otros
catalizadores y también necesitan de los resultados de otros para
ser completamente efectivo, por lo cual al tratar alguna necesidad
se debe analizar todos los catalizadores que se encuentran
interrelacionados.
Los catalizadores son factores que influyen en el gobierno y
gestión de la empresa para su buen funcionamiento de forma
individual o colectivamente.
32. Gobierno (EFICIENTE Y EFICAZ) Gestión
Estable la dirección para alcanzar las metas
empresariales.
Ejecuta las direcciones para alcanzar las metas
empresariales.
Evaluar ,orientar y vigilar necesidades, condiciones y
opciones
Planificar ,construir ,ejecutar y supervisor
actividades alineadas a la dirección.
Gobierno y Gestión
33. INTERACCIONES
Catalizador Interacción Gobierno - Gestión
Procesos
Modelo de procesos que específica prácticas y actividades para cada
proceso , incluyendo también matriz RACI ( responsabilidades y roles)
Información
MP describe las entradas y salidas de los procesos basadas en prácticas
a otros procesos.
Estructuras organizativas
Estructuras organizativas : composición y ámbito de decisiones que
establecen la orientación y decisiones y operaciones que las
implementan.
Principios ,políticas y marcos
Establecer decisiones y ejecutar decisiones interactúan y se rigen a
través de principios ,políticas y marcos.
Servicios ,infraestructura y
aplicaciones
El órgano de gobierno evalúa ,establece y supervisa basado en
información proporcionada por las aplicaciones e infraestructura .
34. Dominio y Procesos
DOMINIO PROCESOS
Evaluar ,orientar y supervisar GOBIERNO (EDM) 5
Alinear, Planificar y Organizar GESTION (APO)- Align, Plan and Organise 13
Construir, Adquirir e Implementar GESTION (BAI)- Build, Acquire and Implement) 10
Entregar, dar Servicio y Soporte GESTION (DSS)- Deliver, Service and Support 6
Supervisar ,Evaluar y valorar GESTION (MEA)-Monitor, Evaluate and Assess 3
36. Contexto Empresarial
Importancia de entender el contexto para
diseñar su plan personalizado de acuerdo a
factores internos y externos.
• Misión, visión, políticas y prácticas de
gobierno
• Capacidad y recursos disponibles
37. Implementación con éxito
• La alta dirección tiene que realizar un gobierno
efectivo de la empresa.
• Todas las partes(áreas) deben entender el negocio y
las metas.
• Comunicación efectiva
• Personalizar el COBIT y otras practicas y estándares.
• Priorizar en las mejoras más beneficiosas que sean
más sencillas.
38. Necesidad de mejora
Factores que indican la necesidad de mejora en el
gobierno y gestión de la TI
• Pérdida de datos y fallos en proyectos.
• Fallos al mantener niveles de servicios acordados
• Incapacidad de cumplir con requerimientos
• Despilfarro de recursos, cancelación de proyectos
• Personal con habilidades inadecuadas, agotados,
insatisfechos
• Directivos reticentes(desconfiados) a implicarse con las TI
40. Fases de Implementación
1. ¿Cuáles son los cambios? Aceptación
Que el sistemas financiero no cuentan con un
Gobierno de TI estandarizado.
La Superintendencia de Entidades Financieras SUGEF ha creado una ley
para que todas las financieras adopten un estándar de procesos en la
Administración y Operativa Tecnológica.
41. Fases de Implementación
2. Definir Problemas
Área de tecnología es uno de lo sectores
más vulnerables debido a que tiene
información.
En el departamento de tecnología de las
entidades financieras de Costa Rica no
están definidos, equilibrados y alineados
con la estrategia del negocio.
42. Fases de Implementación
3. Definir la hoja de ruta
Elaborar una propuesta de procedimiento
para la implementación del proceso de
Administrar Proyectos de COBIT para
alcanzar el 3er nivel de madurez (los
procesos se documentan y se comunican
C4)
44. Fases de Implementación
5. Ejecutar el plan.
Para identificar las brechas y el nivel actual de madurez usaremos la Matriz de
Calificación de la Gestión de TI (cuestionario)
46. Fases de Implementación
5. Ejecutar el plan.
Resumen de calificación por objetivo de control
Calificación de los objetivos logrados:
= ΣCOC/100*NumOC
= (41.67+70.0+..+100)/100*14
= 75
Indica 75% de objetivos de control
logrados en la oficina de proyectos y la
brecha es de 25% en la cual se tienen
que tomar acciones en los objetivos
identificados (Implantar mejoras).
47. Fases de Implementación
5. Ejecutar el plan.
Resumen de calificación por objetivo de control
48. Fases de Implementación
5. Ejecutar el plan.
Resumen de calificación por objetivo de control
La evaluación inicia a partir del nivel 1, para ascender al siguiente se necesita cumplir con todos los requisitos
expuestos en el nivel.
En el ejemplo el valor del nivel es de 0.667 lo cual corresponde al Nivel 1
Administrado