Este documento presenta los conceptos clave de la auditoría de gobierno de TI y la norma ISO 38500. Explica la diferencia entre gestión y gobierno de TI, e introduce el modelo de gobierno de TI de ISO 38500 que incluye las tareas de evaluar, dirigir y supervisar. También resume los principios clave de la norma ISO 38500 como responsabilidad, estrategia, adquisición, rendimiento y conformidad.
Descubrimiento de la penicilina en la segunda guerra mundial
Auditoría Gobierno TI ISO 38500
1. Unidad 3 : Prácticas de Auditoría
3.1 Auditoria Gobierno de TI - ISO 38500
Auditoría Informática
Modalidad de estudios: Semi Presencial
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
Lfabsoft2019@gmail.com
2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con
Auditoría
2. Reconocer las características de la Auditoría
Semana Nro. 10
3. Frase Motivacional
“Siempre que ves una persona
exitosa percibes sus glorias, y nunca
los sacrificios que la llevaron hasta
allí” – Vaibhav Shah.
4. Introduccion: las TI habilitan nuevos contextos, pero …..
Hay un Alto porcentaje de fracaso
en los Proyectos de TI (enfocados a
la ENTREGA pero no al USO)
“The Information Paradox” de John
Thorp
“The Chaos Report” del Standish
Group.
“Waltzing wiht the elephant” de
Mark Toomey
Hacer las cosas apropiadas
(estrategia).
Hacer correctamente las cosas
(gestión).
Hacer correctamente las cosas
apropiadas (gobierno)
5. Introduccion: el advenimiento de las TI y sus implicaciones.
Mensajes Clave :
La innovación y la trasformación de las organizaciones utiliza
las TI como ELEMENTO HABILITADOR .
Cambiar SOLO la tecnología para realizar la
TRASFORMACIÓN O LA INNOVACIÓN conduce al fracaso.
El GOBIERNO de las TI requiere un modelo, unos principios y
un sistema de gobierno.
El primer paso es conocer los conceptos de GOBIERNO de las
TI y realizar una valoración inicial en cada organización.
Hay que saber rellenar el vacío entre conocimiento (saber qué)
y acción (saber cómo: la guía).
6. El problema: la trasformación de la contratación pública
El contexto del negocio
Personas
La sociedad
El sistema
del
negocio
Procesos Estructura
Tecnología
7. Objetivos: Planteamiento del problema particular
Un mercado único, paneuropeo, interoperable y asequible de
contratación pública plantea dos retos:
1. Reto técnico: Interoperabilidad y estándares (PEPPOL, CEN BII,
STORK)
2. Reto adaptativo: Generalización (uso de las TI –formato electrónicio-
en todo el ciclo de la contratación.
o Todas las administraciones públicas a través de proyectos de
implantación bien hechos, en tiempo y en plazo.
o Requiere inversión y esfuerzo dirigido y habilitado por TI.
o Requiere una guía aplicable a todos los organismos que tienen
que afrontar dicha TRASFORMACIÓN.
8. Algunos números
Europa
Beneficios directos (*) de la contratación pública electrónica
o Volumen de la contratación pública (**)(15-20 % PIB) 2.155.000 M €
o 5 % (***) Mejora de precios (concurrencia) 107.500 M €
9. Introduccion: planteamiento del problema general
Situación de partida: Formato PAPEL en la Contratación
Pública
o CONTEXTO nuevo genera NECESIDADES nuevas
o Para satisfacer estas NECESIDADES se requiere la aportación
de VALOR
o El VALOR se aporta a través del USO de las TI de forma
coordinada con el resto de los elementos de la ORGANIZACIÓN
o La ORGANIZACIÓN engloba 4 elementos en equilibrio
colaborativo (Leavitt 1965)
• Personas, Procesos, Estructura, Tecnología
Situación Final: Formato ELECTRÓNICO en la Contratación
Pública
11. El problema: itinerario de la trasformación
objetivo
Trasformación: uso de las TI.
Gobierno de las TI
Estadodelacontratación
Estado
actual
Tiempo
12. ¿Qué es la ISO 38500?
Norma de alto nivel que
proporciona una orientación
general sobre la función del
órgano rector de una empresa
respecto de sus tecnologías de la
información (TI).
Pretende proporcionar un marco
de principios para las personas
del máximo nivel de las
organizaciones cuando evalúen,
dirijan y supervisen el uso de
las tecnologías de la información.
13. Diferencias entre Gestión y GobiernoTI
La Gobernanza de TI es un subconjunto de la
gobernanza corporativa de la organización y supone
el mecanismo o sistema mediante el cual se dirige y
controla el uso actual y futuro de una
organización de TI . Incluye los procesos de toma de
decisiones sobre la estrategia de TI a nivel de la
organización: desarrollo de estrategias, la formulación
de políticas, establecimiento de
prioridades, asignación de recursos y la gestión de
riesgos, junto con la supervisión del desempeño de la
organización en la implementación de la estrategia.
La Gestión de TI es el mecanismo o sistema de
control y los procesos requeridos para conseguir los
objetivos estratégicos establecidos por el órgano
de administración, Incluye procesos tales como la
gestión de programas y proyectos, de activos, de
capacidad, de continuidad y seguridad, de la calidad;
gestión del servicio y de las Operaciones TI, entre
otros.
14. ISO 38500 Modelo de Gobierno TI
El modelo para el Gobierno de TI ISO/IEC 38500: 2008 define tres tareas
fundamentales de gobierno: Evaluar, Dirigir, y Supervisar
15. ISO 38500 - Principios de Gobierno TI
Adquisiciones Rendimiento
Estrategia Cumplimiento
Responsabilidad
Comportamiento
Humano
Gobierno
TI
16. La norma ISO/IEC 38500:2008
Los principales mensajes del estándar son:
Los Directores deben gobernar el buen uso de las Tecnologías de la
Información
Gobierno y Gestión son conceptos separados pero interrelacionados
El estándar es aplicable a cualquier organización
Las personas que más deben utilizar el estándar son los gestores
El buen Gobierno de TI es un atributo deseable por todos los
interesados en el valor que proporciona la organización
El comportamiento Humano es un elemento clave
La implementación del estándar es responsabilidad de cada
organización
17. Modelo de implementación: iterativo con pasos cortos, rápidos y seguros
Factores Críticos de Éxito
• Asegurar foco y dirección
• Mantener “momentum”
• Estructura que encaje en el
contexto organizativo
• Progreso paso a paso
Evaluación Inicial
(de Gobernanza
TIC) Mejora continua
Gobernar TICEstablecer entorno Adecuado
Revisar y evaluar el
rendimiento y la madurez
Educar a los Implicados
Directores y Gestores Ejecutivos
Asignar responsabilidad de
gobernanza TIC
Articular filosofía para la
gobernanza TIC
Establecer el gobierno de las TI
• Definir un enfoque orientado a procesos que
les ayude a adoptar las 38500 & 38502y
Entradas
• Contexto de negocio
conseguir los resultados esperados
• Establecer medidas de rendimiento de la
gobernanza corporativa de TIC
• Gobernanza vs. Rendimiento
• “Apetito” de Riesgo de negocio y de TIC
• Cumplimiento vs. Conformidad
• Cultura de la organización
20. IMPLANTACIÓN de la Contratación Pública Electrónica:
Esta trasformación requiere coordinar la implantación de sistemas de gobierno
de TI y la adecuación de modelos y principios al contexto del negocio.
21. IMPLANTACIÓN: Principio de RESPONSABILIDAD
DISCIPLINA de Planificación y Objetivos (resultados y beneficios)
Identificar al Propietario del servicio de contratación y generar un
comité con los departamentos implicados (órgano de contratación,
intervención, servicios jurídicos, promotores).
Identificar proyectos programas y portfolios (Plan de Acción de la CPE)
DISCIPLINA de Relación
Identificar los usuarios y beneficiarios del servicio (RACI)
Identificar las relaciones con proveedores externos e internos del servicio
(RASCI)
DISCIPLINA de Conformidad
Identificar medidas de situación actual y de cumplimiento previsto en cada
fase
DISCIPLINA de Calidad
Identificar el nivel de servicio que hay que alcanzar
22. IMPLANTACIÓN: Principio de ESTRATEGIA
DISCIPLINA de Estrategia
Tres componentes básicos en un ciclo iterativo.
Diagnóstico contratación pública actual y objetivos futuros
Políticas y guías requeridas para la trasformación a la CPE
Acciones de inicio y monitorización
DISCIPLINA de Gestión de la Demanda
Identificar las nuevas necesidades y la nueva aportación requerida de valor
para satisfacer estas necesidades (trasformación a la CPE)
Identificar a los agentes que demandan el valor de la CPE y los cambios
requeridos en los elementos de la organización: personas, procesos,
estructura, y tecnologías.
DISCIPLINA de Portfolio de Inversiones
Presupuestar cada plan y fase parcial de la CPE en función de la
disponibilidad presupuestaria y en función de la madurez organizativa
(tiempo y capacidad disponible)
23. IMPLANTACIÓN: Principio de ADQUISICION
DISCIPLINA DE Gestión de Recursos
Plan de adecuación de infraestructuras
Plan de Adquisición de aplicaciones y servicios de TI
Año 1
Año 2
productos – servicios – resultados – beneficios
productos – servicios – resultados – beneficios
Año n productos – servicios – resultados – beneficios
Plan de Mantenimiento, Soporte y Evolución (ciclo de vida completo)
DISCIPLINA DE Gestión de Finanzas
Presupuestos asignados por fases parciales
Métricas de rendimiento y previsión de costes beneficios esperados.
Informes de avance y situación
24. IMPLANTACIÓN: Principio de RENDIMIENTO
DISCIPLINA DE Gestión de Riesgos
Métricas de cada fase por:
Concurrencia de licitadores
Ahorro de presupuesto anual
Mejoras de gestión (tiempos y esfuerzos)
DISCIPLINA DE Gestión de Rendimiento
Beneficios de la trasformación a la CPE
Interna por concurso
Externa por concurrencia
25. IMPLANTACIÓN: Principio de CONFORMIDAD
DISCIPLINA DE Conformidad
Conformidad con leyes 30/2007 (de contratos) y 11/2007
(administración electrónica)
Esquema Nacional de Seguridad e Interoperabilidad (normas
técnicas)
Conformidad con Estándares de Contratación (CEB BII ) y
pilotos europeos ( PEPPOL)
DISCIPLINA DE Gestión de la Calidad
Gestión de Servicios de TI (ITIL, COBIT)
Gobierno de TI (ISO 38500)
26. IMPLANTACIÓN: Principio de FACTOR HUMANO
DISCIPLINA DE Gestión de Recursos
Plan de Nueva Carrera Profesional
Profesionalización de la gestión de compras
Gobierno de TI en la gestión de compras
Plan de Comunicación y Gestión del Cambio
Plan de Formación (oficial) e Impulso
Plan de Soporte
27. Reflexión Final
Primeros Pasos: formación en conceptos de la
norma (gobierno TI) a todos los niveles y
evaluación inicial.
Conexión de las expectativas con el nivel de
madurez organizativa e implementación de la
norma.
Implantar sistemas de gobierno TI en función
del contexto y la necesidad de gobernar TI a la
vez que acometemos acciones en función de
los principios y el modelo de la norma en
relación con las disciplinas fundamentales
(saber cómo).
No olvidar el equilibrio colaborativo
imprescindible del resto de los elementos de la
organización: personas, procesos, estructura.
28. Bibliografía
“
”
Norma ISO 38500:2008
Trabajos preliminares de las normas ISO 38501 / 38502
Waltzing with the Elephant de Mark Toomey
“The Information Paradox” de John Thorp
“The chaos Report” del Standish Group
“Global Status Report on The Governance of Enterprise IT (GEIT -2011)” ISACA
“Delivering benefits from investments in change: winning hearts and minds”
March 2011 APM John Thorp
“8 Things We Hate About IT: How to Move Beyond the Frustrations to Form a
New Partnership with IT” de Susan Cramm
“The knowing-doing gap: how smart companies turn knowledge into action”
Jeffrey Pfeffer, Robert I. Sutton
“Transforming Government and Public Services”, Stephen Jenner
29. Direccionamiento actividades de aprendizaje
Actividades:
• Revisar el aula virtual
• Realizar las actividades y tareas planteadas.
Se recomienda describir por ejemplo:
• Tomar apuntes esenciales, revisar el material de clases