Este documento presenta los conceptos clave de la auditoría de gobierno de TI y la norma ISO 38500. Explica la diferencia entre gestión y gobierno de TI, e introduce el modelo de gobierno de TI de ISO 38500 que incluye las tareas de evaluar, dirigir y supervisar. También resume los principios clave de la norma ISO 38500 como responsabilidad, estrategia, adquisición, rendimiento y conformidad.

1. Unidad 3 : Prácticas de Auditoría
3.1 Auditoria Gobierno de TI - ISO 38500
Auditoría Informática
Modalidad de estudios: Semi Presencial
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
Lfabsoft2019@gmail.com

2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con
Auditoría
2. Reconocer las características de la Auditoría
Semana Nro. 10

3. Frase Motivacional
“Siempre que ves una persona
exitosa percibes sus glorias, y nunca
los sacrificios que la llevaron hasta
allí” – Vaibhav Shah.

4. Introduccion: las TI habilitan nuevos contextos, pero …..
 Hay un Alto porcentaje de fracaso
en los Proyectos de TI (enfocados a
la ENTREGA pero no al USO)
 “The Information Paradox” de John
Thorp
 “The Chaos Report” del Standish
Group.
 “Waltzing wiht the elephant” de
Mark Toomey
 Hacer las cosas apropiadas
(estrategia).
 Hacer correctamente las cosas
(gestión).
 Hacer correctamente las cosas
apropiadas (gobierno)

5. Introduccion: el advenimiento de las TI y sus implicaciones.
Mensajes Clave :
 La innovación y la trasformación de las organizaciones utiliza
las TI como ELEMENTO HABILITADOR .
 Cambiar SOLO la tecnología para realizar la
TRASFORMACIÓN O LA INNOVACIÓN conduce al fracaso.
 El GOBIERNO de las TI requiere un modelo, unos principios y
un sistema de gobierno.
 El primer paso es conocer los conceptos de GOBIERNO de las
TI y realizar una valoración inicial en cada organización.
 Hay que saber rellenar el vacío entre conocimiento (saber qué)
y acción (saber cómo: la guía).

6. El problema: la trasformación de la contratación pública
El contexto del negocio
Personas
La sociedad
El sistema
del
negocio
Procesos Estructura
Tecnología

7. Objetivos: Planteamiento del problema particular
 Un mercado único, paneuropeo, interoperable y asequible de
contratación pública plantea dos retos:
1. Reto técnico: Interoperabilidad y estándares (PEPPOL, CEN BII,
STORK)
2. Reto adaptativo: Generalización (uso de las TI –formato electrónicio-
en todo el ciclo de la contratación.
o Todas las administraciones públicas a través de proyectos de
implantación bien hechos, en tiempo y en plazo.
o Requiere inversión y esfuerzo dirigido y habilitado por TI.
o Requiere una guía aplicable a todos los organismos que tienen
que afrontar dicha TRASFORMACIÓN.

8. Algunos números
 Europa
 Beneficios directos (*) de la contratación pública electrónica
o Volumen de la contratación pública (**)(15-20 % PIB) 2.155.000 M €
o 5 % (***) Mejora de precios (concurrencia) 107.500 M €

9. Introduccion: planteamiento del problema general
 Situación de partida: Formato PAPEL en la Contratación
Pública
o CONTEXTO nuevo genera NECESIDADES nuevas
o Para satisfacer estas NECESIDADES se requiere la aportación
de VALOR
o El VALOR se aporta a través del USO de las TI de forma
coordinada con el resto de los elementos de la ORGANIZACIÓN
o La ORGANIZACIÓN engloba 4 elementos en equilibrio
colaborativo (Leavitt 1965)
• Personas, Procesos, Estructura, Tecnología
 Situación Final: Formato ELECTRÓNICO en la Contratación
Pública

10. El problema

11. El problema: itinerario de la trasformación
objetivo
Trasformación: uso de las TI.
Gobierno de las TI
Estadodelacontratación
Estado
actual
Tiempo

12. ¿Qué es la ISO 38500?
Norma de alto nivel que
proporciona una orientación
general sobre la función del
órgano rector de una empresa
respecto de sus tecnologías de la
información (TI).
 Pretende proporcionar un marco
de principios para las personas
del máximo nivel de las
organizaciones cuando evalúen,
dirijan y supervisen el uso de
las tecnologías de la información.

13. Diferencias entre Gestión y GobiernoTI
 La Gobernanza de TI es un subconjunto de la
gobernanza corporativa de la organización y supone
el mecanismo o sistema mediante el cual se dirige y
controla el uso actual y futuro de una
organización de TI . Incluye los procesos de toma de
decisiones sobre la estrategia de TI a nivel de la
organización: desarrollo de estrategias, la formulación
de políticas, establecimiento de
prioridades, asignación de recursos y la gestión de
riesgos, junto con la supervisión del desempeño de la
organización en la implementación de la estrategia.
 La Gestión de TI es el mecanismo o sistema de
control y los procesos requeridos para conseguir los
objetivos estratégicos establecidos por el órgano
de administración, Incluye procesos tales como la
gestión de programas y proyectos, de activos, de
capacidad, de continuidad y seguridad, de la calidad;
gestión del servicio y de las Operaciones TI, entre
otros.

14. ISO 38500 Modelo de Gobierno TI
 El modelo para el Gobierno de TI ISO/IEC 38500: 2008 define tres tareas
fundamentales de gobierno: Evaluar, Dirigir, y Supervisar

15. ISO 38500 - Principios de Gobierno TI
Adquisiciones Rendimiento
Estrategia Cumplimiento
Responsabilidad
Comportamiento
Humano
Gobierno
TI

16. La norma ISO/IEC 38500:2008
 Los principales mensajes del estándar son:
 Los Directores deben gobernar el buen uso de las Tecnologías de la
Información
 Gobierno y Gestión son conceptos separados pero interrelacionados
 El estándar es aplicable a cualquier organización
 Las personas que más deben utilizar el estándar son los gestores
 El buen Gobierno de TI es un atributo deseable por todos los
interesados en el valor que proporciona la organización
 El comportamiento Humano es un elemento clave
 La implementación del estándar es responsabilidad de cada
organización

17. Modelo de implementación: iterativo con pasos cortos, rápidos y seguros
Factores Críticos de Éxito
• Asegurar foco y dirección
• Mantener “momentum”
• Estructura que encaje en el
contexto organizativo
• Progreso paso a paso
Evaluación Inicial
(de Gobernanza
TIC) Mejora continua
Gobernar TICEstablecer entorno Adecuado
Revisar y evaluar el
rendimiento y la madurez
Educar a los Implicados
Directores y Gestores Ejecutivos
Asignar responsabilidad de
gobernanza TIC
Articular filosofía para la
gobernanza TIC
Establecer el gobierno de las TI
• Definir un enfoque orientado a procesos que
les ayude a adoptar las 38500 & 38502y
Entradas
• Contexto de negocio
conseguir los resultados esperados
• Establecer medidas de rendimiento de la
gobernanza corporativa de TIC
• Gobernanza vs. Rendimiento
• “Apetito” de Riesgo de negocio y de TIC
• Cumplimiento vs. Conformidad
• Cultura de la organización

18. Disciplinas de Gobierno TI: Procesos a implantar

19. Principios ISO 38500 – Disciplinas y Principios

20. IMPLANTACIÓN de la Contratación Pública Electrónica:
 Esta trasformación requiere coordinar la implantación de sistemas de gobierno
de TI y la adecuación de modelos y principios al contexto del negocio.

21. IMPLANTACIÓN: Principio de RESPONSABILIDAD
 DISCIPLINA de Planificación y Objetivos (resultados y beneficios)
 Identificar al Propietario del servicio de contratación y generar un
comité con los departamentos implicados (órgano de contratación,
intervención, servicios jurídicos, promotores).
 Identificar proyectos programas y portfolios (Plan de Acción de la CPE)
 DISCIPLINA de Relación
 Identificar los usuarios y beneficiarios del servicio (RACI)
 Identificar las relaciones con proveedores externos e internos del servicio
(RASCI)
 DISCIPLINA de Conformidad
 Identificar medidas de situación actual y de cumplimiento previsto en cada
fase
 DISCIPLINA de Calidad
 Identificar el nivel de servicio que hay que alcanzar

22. IMPLANTACIÓN: Principio de ESTRATEGIA
 DISCIPLINA de Estrategia
 Tres componentes básicos en un ciclo iterativo.
 Diagnóstico contratación pública actual y objetivos futuros
 Políticas y guías requeridas para la trasformación a la CPE
 Acciones de inicio y monitorización
 DISCIPLINA de Gestión de la Demanda
 Identificar las nuevas necesidades y la nueva aportación requerida de valor
para satisfacer estas necesidades (trasformación a la CPE)
 Identificar a los agentes que demandan el valor de la CPE y los cambios
requeridos en los elementos de la organización: personas, procesos,
estructura, y tecnologías.
 DISCIPLINA de Portfolio de Inversiones
 Presupuestar cada plan y fase parcial de la CPE en función de la
disponibilidad presupuestaria y en función de la madurez organizativa
(tiempo y capacidad disponible)

23. IMPLANTACIÓN: Principio de ADQUISICION
 DISCIPLINA DE Gestión de Recursos
 Plan de adecuación de infraestructuras
 Plan de Adquisición de aplicaciones y servicios de TI
 Año 1
 Año 2
productos – servicios – resultados – beneficios
productos – servicios – resultados – beneficios
 Año n productos – servicios – resultados – beneficios
 Plan de Mantenimiento, Soporte y Evolución (ciclo de vida completo)
 DISCIPLINA DE Gestión de Finanzas
 Presupuestos asignados por fases parciales
 Métricas de rendimiento y previsión de costes beneficios esperados.
 Informes de avance y situación

24. IMPLANTACIÓN: Principio de RENDIMIENTO
 DISCIPLINA DE Gestión de Riesgos
 Métricas de cada fase por:
 Concurrencia de licitadores
 Ahorro de presupuesto anual
 Mejoras de gestión (tiempos y esfuerzos)
 DISCIPLINA DE Gestión de Rendimiento
 Beneficios de la trasformación a la CPE
 Interna por concurso
 Externa por concurrencia

25. IMPLANTACIÓN: Principio de CONFORMIDAD
 DISCIPLINA DE Conformidad
 Conformidad con leyes 30/2007 (de contratos) y 11/2007
(administración electrónica)
 Esquema Nacional de Seguridad e Interoperabilidad (normas
técnicas)
 Conformidad con Estándares de Contratación (CEB BII ) y
pilotos europeos ( PEPPOL)
 DISCIPLINA DE Gestión de la Calidad
 Gestión de Servicios de TI (ITIL, COBIT)
 Gobierno de TI (ISO 38500)

26. IMPLANTACIÓN: Principio de FACTOR HUMANO
 DISCIPLINA DE Gestión de Recursos
 Plan de Nueva Carrera Profesional
 Profesionalización de la gestión de compras
 Gobierno de TI en la gestión de compras
 Plan de Comunicación y Gestión del Cambio
 Plan de Formación (oficial) e Impulso
 Plan de Soporte

27. Reflexión Final
 Primeros Pasos: formación en conceptos de la
norma (gobierno TI) a todos los niveles y
evaluación inicial.
 Conexión de las expectativas con el nivel de
madurez organizativa e implementación de la
norma.
 Implantar sistemas de gobierno TI en función
del contexto y la necesidad de gobernar TI a la
vez que acometemos acciones en función de
los principios y el modelo de la norma en
relación con las disciplinas fundamentales
(saber cómo).
 No olvidar el equilibrio colaborativo
imprescindible del resto de los elementos de la
organización: personas, procesos, estructura.

28. Bibliografía
“
”
 Norma ISO 38500:2008
 Trabajos preliminares de las normas ISO 38501 / 38502
 Waltzing with the Elephant de Mark Toomey
 “The Information Paradox” de John Thorp
 “The chaos Report” del Standish Group
 “Global Status Report on The Governance of Enterprise IT (GEIT -2011)” ISACA
 “Delivering benefits from investments in change: winning hearts and minds”
March 2011 APM John Thorp
 “8 Things We Hate About IT: How to Move Beyond the Frustrations to Form a
New Partnership with IT” de Susan Cramm
 “The knowing-doing gap: how smart companies turn knowledge into action”
Jeffrey Pfeffer, Robert I. Sutton
 “Transforming Government and Public Services”, Stephen Jenner

29. Direccionamiento actividades de aprendizaje
Actividades:
• Revisar el aula virtual
• Realizar las actividades y tareas planteadas.
Se recomienda describir por ejemplo:
• Tomar apuntes esenciales, revisar el material de clases

30. GRACIAS