Embed Size (px)
DESCRIPTION
resumen del cobit general
Citation preview
|
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVASCARRERA DE CONTABILIDAD Y AUDITORIA
AUDITORIA DE SISTEMAS II
COBIT 5
INTEGRANTESCALDERON VALERIAGRANDA KATHERINE
HARO NATHALYHIDALGO JOSE
TULCANAZA WAGNER
CURSO: CA10-6
PROFESOR: QUINTANILLA MARCO
FECHA: 14-01-2014
1
|
COBIT
INTRODUCCION
La Información constituye un Recurso Clave para todas las organizaciones.
La Información se crea, usa, retiene, divulga y destruye.
La Tecnología juega un Papel Clave en esas actividades.
La Tecnología se está convirtiendo en parte integral de todos los aspectos de la vida personal y comercial.
¿Qué beneficios arrojan la información y la tecnología para las organizaciones?
Las organizaciones y sus ejecutivos están haciendo esfuerzos para:
Mantener información de calidad para apoyar las decisiones del negocio.
Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI.
Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.
Mantener el riesgo relacionado con TI a niveles aceptables.
Optimizar el costo de la tecnología y los servicios de TI.
¿Cómo se logran estos beneficios con el fin de crear valor para las partes interesadas de la organización?
Para lograr valor para las partes interesadas de la Organización, se requiere un buen gobierno y una buena administración de los activos de TI y de la información.
Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI como cualquier otra parte importante del negocio.
Cada día aumentan y se complican más los requisitos externos, tanto legales como de cumplimiento regulatorio y
2
|
contractual, relacionados con el uso de la información y la tecnología en la Organización, amenazando el patrimonio si no se cumplen.
COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr sus metas y entregar valor mediante un gobierno y una administración efectivos de la TI de la Organización
Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.
COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.
DEFINICION
Es un modelo para la auditoría y control de sistemas de información.
La evaluación de los requerimientos del negocio, los recursos y procesos, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado.
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objetives for Información Systems and related Technology). El modelo es el
3
|
resultado de una investigación con expertos de varios países, desarrollado por ISACA (Información Systems audit. and Control Association).
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
“La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber:
Planeación y organización
Adquisición e implantación
Soporte y servicios
4
|
Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano.
“Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK.
EDICIONES
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007.
COBIT 4.1
En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios:
1. Planificación y Organización (Plan and Organize))2. Adquisición e Implementación (Acquire and Implement)3. Entrega y Soporte (Deliver and Support)4. Supervisión y Evaluación (Monitor and Evaluate)
COBIT 5
Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk
5
|
IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta norma
COBIT MODELO PARA AUDITORIA Y CONTROL DE SISTEMAS DE INFORMACION
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en
6
|
la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
MISIÓN DEL COBIT
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.
BENEFICIOS COBIT
Mejor alineación basada en una focalización sobre el negocio. Visión comprensible de TI para su administración. Clara definición de propiedad y responsabilidades. Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados basados en un lenguaje común.
Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.
ESTRUCTURA
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado.
DOMINIOS COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos
7
|
de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:
PLANIFICACION Y ORGANIZACIÓN
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
ADQUISION E IMPLANTACION
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
SOPORTE Y SERVICIOS
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
MONITOREO
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
USUARIOS
8
|
La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.
CARACTERÍSTICAS
Orientado al negocio.
Alineado con estándares y regulaciones "de facto".
Basado en una revisión crítica y analítica de las tareas y actividades en TI.
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
PRINCIPIOS
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
Requerimientos de la información del negocio: Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos CRITERIOS:
Requerimientos de Calidad: Calidad, Costo y Entrega.
9
|
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
NIVELES COBIT
Se divide en 3 niveles, los cuales son los siguientes:
DominiosAgrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.
ProcesosConjuntos o series de actividades unidas con delimitación o cortes de control.
ActividadesAcciones requeridas para lograr un resultado medible.
COMPONENTES COBIT
Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.
Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.
PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
10
|
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad
ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PRESTACIÓN Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
11
|
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTION DE LAS TI DE LA EMPRESA
El Gobierno asegura el logro de los objetivos de la Organización, al evaluar las necesidades de las partes interesadas, así como las condiciones y opciones; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso, comparándolos contra las directivas y objetivos acordados (EDM).
La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Organización (PBRM por su sigla en inglés – PCEM)
COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.
12
|
COBIT 5
El producto principal COBIT 5, de amplia cobertura
Contiene el resumen ejecutivo y la descripción completa de todos los componentes del marco de COBIT 5:
Los 5 Principios de COBIT 5
Los 7 Habilitadores de COBIT 5, más:
Una introducción a la guía de implementación proporcionada por ISACA (Implementación de COBIT 5)
Una introducción al Programa de Evaluación de COBIT (que no se refiere específicamente al COBIT 5) y el enfoque de la capacidad de los procesos que ISACA adopta para COBIT.
Los 5 Principios de COBIT 5:
1. Satisfacer las necesidades de las Partes Interesadas
2. Cubrir la Compañía de Forma Integral
3. Aplicar un solo Marco Integrado
13
Val IT 2.0(2008)
Risk IT
(200
9)
Principios de COBIT 5
1. Satisfacer las
necesidades de las partes interesadas
2. Cubrir la Organización de forma
integral
3. Aplicar un solo marco integrado
|
4. Habilitar un Enfoque Holístico
5. Separar el Gobierno de la Administración
14
|
PRINCIPIO 1: SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS
Los beneficios de las Metas en Cascada de COBIT 5:
Permite definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados:
En la práctica, las metas en cascada:
Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad.
Filtran la base de conocimiento de COBIT 5, en base de las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento.
Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas.
PRINCIPIO 2: CUBRIR LA COMPAÑÍA DE FORMA INTEGRAL
COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización.
Esto significa que COBIT 5:
Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo.
Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización.
15
|
PRINCIPIO 3. APLICAR UN ÚNICO MARCO INTEGRADO
COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones:
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI
Etc.
Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración.
ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.
PRINCIPIO 4. HABILITAR UN ENFOQUE HOLÍSTICO
Los Habilitadores de COBIT 5 son:
Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.
Descritos por el marco de COBIT 5 en siete categorías
16
4. Habilitar un enfoque holistico
5. Separar el Gobierno de la Administración
3. Estructuras Organizacionales1. Principios, Políticas y Marcos
2. Procesos
4. Cultura, Éticay Comportamiento 5. Información
6. Servicios,Infraestructuray Aplicaciones
|
PRINCIPIO 4. HABILITAR UN ENFOQUE HOLÍSTICO
1. Procesos
Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.
2. Estructuras Organizacionales
Constituyen las entidades claves para la toma de decisiones en una organización.
3. Cultura, Ética y Comportamiento
17
|
De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.
4. Principios, Políticas y Marcos
Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.
5. Información
Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en sí.
6. Servicios, Infraestructura y Aplicaciones
Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.
7. Personas, Habilidades y Competencias
Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.
PRINCIPIO 4. HABILITAR UN ENFOQUE HOLÍSTICO
Administración y Gobierno sistémico mediante habilitadores interconectados – Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador:
Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento.
18
|
Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes.
Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información (BMIS por su sigla en inglés).
Las Dimensiones Habilitadores de COBIT 5:
Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes:
Proporciona una manera común, sencilla y estructurada para tratar los habilitadores
Permite a una entidad manejar sus interacciones complejas
Facilita resultados exitosos de los habilitadores
PRINCIPIO 5. SEPARAR EL GOBIERNO DE LA ADMINISTRACIÓN
El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración.
Dichas dos disciplinas:
Comprenden diferentes tipos de actividades
Requieren diferentes estructuras organizacionales
Cumplen diferentes propósitos
Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.
Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).
19
|
• El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como las condiciones y opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso comparándolos contra las directivas y objetivos fijados (EDM).
• La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).
El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos constituyen una categoría.
Una compañía puede organizar sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las compañías más pequeñas podrán tener menos procesos, las compañías más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos.
COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en inglés), que define y describe en detalle un número de procesos de administración y de gobierno. Los detalles de dicho modelo habilitador específico pueden encontrarse en el Volumen de COBIT 5: Procesos Habilitadores.
Capítulo 2: PRINCIPIO 1: SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS
Principio 1. Satisfacer las necesidades de los interesados:
Las Empresas tienen muchos interesados, y “crear valor” significa diferentes y a veces contrarias cosas a cada uno. Gobernar es acerca de negociar y decidir entre los diferentes interesados.
El sistema de gobierno debe considerar a todos los interesados.
Para cada decisión, se debe preguntar:-
20
|
¿Quién recibe los beneficios? ¿A quién impacta el riesgo? ¿Qué recursos se necesitan?
Las empresas existen para crear valor para sus accionistas, manteniendo un equilibrio entre la obtención de beneficios y la optimización del riesgo y el uso de los recursos. COBIT 5 proporciona todos los procesos necesarios y otros facilitadores para apoyar la creación de valor del negocio a través del uso de las TI. Debido a que todas las empresas tienen diferentes objetivos, una empresa puede personalizar COBIT 5 para adaptarse a su propio contexto a través de la cascada de objetivos, transformando los objetivos de alto nivel de las empresas en manejables, específicos, objetivos relacionados con la TI ya signados a los procesos específicos y prácticas.
Los indicadores clave de metas y de proceso, que finalmente traducen las necesidades de los interesados, internos y externos, se transformaron en una estrategia empresarial llamada “cascada de metas”, que comienza con las metas de la empresa, continúa con las metas relacionadas de TI, que a su vez recaen en lo que COBIT llama “habilitadores”, y finalmente se alcanzan al desarrollar las actividades de las metas.
Cascada de Metas de COBIT 5
Este esquema de cascada de metas, basado en mapeos y tablas provistas por COBIT 5, proporciona una guía orientadora para establecer un vínculo coherente y consistente que permita traducir las necesidades de todos los interesados del negocio en objetivos específicos de la empresa, que dan origen a objetivos de TI y a objetivos facilitadores.
Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio
21
|
entre la realización de beneficios y la optimización de los riesgos y el uso de recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas con procesos y prácticas específicos.
Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización.
Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. Las necesidades de las partes interesadas están influenciadas por los cambios de estrategia, un negocio y entorno regulatorio cambiantes y las nuevas tecnologías.
El logro de metas empresariales requiere un número de resultados relacionados con las TI que están representados por las metas relacionadas con las TI.
22
|
Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de varios catalizadores los cuales incluyen procesos, estructuras organizativas e información y para cada catalizador puede definirse un conjunto de metas relevantes en apoyo de las metas relacionadas con la TI
En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas.
El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos.
Los beneficios de las Metas en Cascada de COBIT 5:
Permite definir las prioridades para implementar, mejorar y asegurar el gobierno
Corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados:
23
|
En la práctica, las metas en cascada:
Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad.
Filtran la base de conocimiento de COBIT 5, en base de las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento.
Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas.
Las metas en cascada no contienen la verdad universal y los usuarios no deben intentar usarlo de manera mecánica sino como guía, ya que cada empresa establece sus objetivos con distintas prioridades, las mismas que pueden cambiar en el transcurso del tiempo.
Las tablas de relación no distinguen entre el tamaño y/o la industria en la que se enmarca la empresa.
Los indicadores usados utilizan dos niveles de importancia o relevancia l, lo que sugiere que hay niveles distintos de relevancia cuando en realidad la asignación se acerca a un continuo de diversos grados de correspondencia.
Al utilizar la cascada de Metas del COBIT 5 se debe personalizar la asignación, teniendo en cuenta su situación específica, es decir, al construir la cascada de metas se debe compararla con el COBIT y luego refinarla
24
|
Capítulo 3: PRINCIPIO 2: CUBRIR LA EMPRESA EXTREMO-A-EXTREMO
Esto significa que COBIT 5:
Integra el gobierno empresarial de TI en el gobierno corporativo.
Cubre todas las funciones y procesos dentro de la empresa; (COBIT 5 does not focus only on the ‘IT function’).
COBIT 5integra la gobernanza y la administración de las TI relacionadas desde una perspectiva integral: Abarca todas las funciones y procesos dentro de la empresa; COBIT 5 no se centra sólo en la función de TI ", pero trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa. Se considera a la gobernanza de TI relacionado con la gestión de los facilitadores para toda la empresa y de extremo a extremo, es decir, ej. ambos inclusive de todo y todos - interno y externo – lo que sea relevante para la gobernanza y la gestión de la información de la empresa relacionada con las TI.
Proporciona una visión integral y sistémica del gobierno y la gestión de la empresa TI basada en varios catalizadores. Los catalizadores son para toda la empresa incluyendo todo y a todos, internos y externos, que sean relevantes para el gobierno y la gestión de la información de la empresa.
25
|
El modelo mediante el que COBIT 5 define los catalizadores permite a cada grupo de interés definir requisitos exhaustivos y completos para la información y el ciclo de vida de procesamiento de la información, conectando de este modo el negocio y su necesidad de una información adecuada y la función TI, y soportando el negocio y el enfoque de contexto.
ENFOQUE DE GOBIERNO
Catalizadores de Gobierno.- Son los recursos organizativos para el gobierno, tales como marcos de referencia, principios, estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son dirigidas y los objetivos pueden ser alcanzados.
Alcance de Gobierno.- El alcance de COBIT 5 es la empresa. El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc.
Roles, Actividades y Relaciones.- Un último elemento son los roles, actividades y relaciones de gobierno. Definen quién está involucrado en el gobierno, como se involucran, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno.
26
|
Capítulo 4: PRINCIPIO 3: APLICAR UN MARCO DE REFERENCIA ÚNICO INTEGRADO
COBIT 5 se alinea con los estándares y marcos más relevantes usados por las empresas:
Empresariales: COSO, COSO ERM, ISO/IEC 9000, Relacionados con TI: ISO/IEC 38500, ITIL, serie ISO/IEC 27000,
TOGAF, Etc.Esto permite que la empresa use COBIT 5 como un marco integrador de gobierno y administración de TI.
La aplicación de un único marco integrado – Hay muchos estándares y mejores prácticas relacionadas con la TI, cada una proporciona orientación sobre un subconjunto de las actividades de TI.COBIT 5 se alinea con otros estándares y marcos pertinentes en un máximo de nivel, y por lo tanto puede servir como marco general para la gobernanza y la gestión de las TI corporativas.• COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: • Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000. • Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI.
COBIT 5 es un marco de referencia único e integrado que proporciona una arquitectura simple para estructurar los materiales de guía. Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA. Proporciona a sus grupos de interés la guía más completa y actualizada sobre el gobierno y la gestión de la empresa TI.
27
|
La unión de todas las guías existentes de ISACA (COBIT4.1, Val IT 2.0, Risk IT, BMIS) en este único marco. Definiendo un conjunto de catalizadores de gobierno y gestión que proporcionan una estructura para todos los materiales de guía y que proporcionará una estructura para contenidos futuros adicionales. Proporcionando una referencia base de buenas prácticas exhaustiva y sólida.
Capítulo 5: PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICOLos habilitadores de COBIT 5 son:
Factores que, individual y colectivamente influencian para que algo funcione. En el caso de COBIT, este algo, son el gobierno y la administración de TI empresarial.
Se describen los habilitadores de COBIT 5 en siete categorías.
La habilitación de un Enfoque Integral (holístico) –Un Gobierno eficiente y eficaz y la gestión de TI de la empresa requiere un enfoque integral, teniendo en cuenta varios componentes que interactúan. COBIT 5 define un conjunto de facilitadores para apoyar la implementación de una gestión integral y un sistema de gestión de las TI corporativas. Facilitadores son definidos ampliamente como cualquier cosa que pueda ayudar a alcanzar los objetivos de la empresa.
Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo funcionará – en este caso, el gobierno y la gestión de la empresa TI.
28
|
Categorías:
Principios, políticas y marcos de referencia son el vehículo para traducir el comportamiento deseado en guías prácticas para la gestión del día a día.
Los procesos describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI.
Las estructuras organizativas son las entidades de toma de decisiones clave en una organización.
La Cultura, ética y comportamiento de los individuos y de la empresa son muy a menudo subestimados como factor de éxito en las actividades de gobierno y gestión.
La información impregna toda la organización e incluye toda la información producida y utilizada por la empresa.
La información es necesaria para mantener la organización funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma.
Los servicios, infraestructuras y aplicaciones incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la información.
Las personas, habilidades y competencias están relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas.
29
|
Capítulo 2: PRINCIPIO 1: SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS
Dimensiones de los Catalizadores de COBIT 5
Todos los catalizadores tienen un conjunto de dimensiones comunes que proporciona una manera común, simple y estructurada de tratar con los catalizadores permite a una entidad manejar sus complejas interacciones y facilita resultados exitosos de los catalizadores
Las cuatro dimensiones comunes de los catalizadores son:
1. Grupos de interés.- partes que juegan un rol activo y/o tienen un interés en el catalizador. Los grupos de interés pueden ser internos o externos a la empresa, cada uno de ellos con sus propias necesidades e intereses, algunas veces contrarios entre sí. Las necesidades de los grupos de interés se traducen en metas corporativas, que a su vez se traducen en objetivos de TI para la empresa.
2. Metas.- Las metas pueden ser definidas en términos de resultados esperados del catalizador y/ o la aplicación u operación del catalizador en sí mismo
3. Ciclo de vida.- Cada catalizador tiene un ciclo de vida, desde el comienzo pasando por su vida útil / operativa hasta su eliminación. Esto aplica a información, estructuras, procesos, políticas, etc. Las fases del ciclo de vida consisten en planificar (incluye el desarrollo y selección de conceptos), diseñar, construir / adquirir / crear / implementar, utilizar u operar, evaluar / monitorizar y actualizar / eliminar.
30
|
4. Buenas prácticas Las buenas prácticas soportan la consecución de los objetivos del catalizador, proporcionan ejemplos y sugerencias sobre cómo implementar de la mejor manera el catalizador y qué productos o entradas y salidas son necesarios.
31
|
Capítulo 6: PRINCIPIO 5: SEPARAR EL GOBIERNO DE LA GESTIÓN
Estas dos disciplinas:
Incluyen diferentes tipos de actividades.
Requieren diferentes estructuras organizacionales.
Sirven para diferentes propósitos.
Gobierno— Responsabilidad de la Junta Directiva.
Administración— Responsabilidad de la alta administración, bajo el liderazgo del CEO.
La separación entre Gobierno y Gestión - El COBIT 5Marco establece una clara distinción entre el gobierno y la gestión. Estas dos disciplinas abarcan diferentes tipos de actividades, requieren diferentes estructuras organizativas y tienen objetivos diferentes. Diferencia entre Gobernanza y Administración:
Gobierno y Gestión
El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren estructuras organizativas diferentes y sirven para diferentes propósitos.
La posición de COBIT 5 sobre esta fundamental distinción entre gobierno y gestión es:
1. Gobierno.- El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.
En la mayoría de las empresas, el gobierno es responsabilidad del consejo de administración bajo la dirección de su presidente.
2. Gestión.- La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.
32
|
En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo la dirección del CEO.
Dado el papel de gobierno evaluar, orientar y vigilar – se requiere un conjunto de interacciones entre gobierno y gestión para obtener un sistema de gobierno eficiente y eficaz.
Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de gobierno y gestión queden cubiertas. COBIT 5 proporciona un modelo de referencia común entendible para las operaciones de TI y los responsables de negocio. Es un modelo completo e integral, pero no constituye el único modelo de procesos posible. Cada empresa debe definir su propio conjunto de procesos, teniendo en cuenta su situación particular.
La incorporación de un modelo operacional y un lenguaje común para todas las partes de la empresa involucradas es uno de los pasos más importantes y críticos hacia el buen gobierno. El modelo de referencia de procesos de COBIT 5 es el sucesor del modelo de procesos de COBIT 4.1 e integra también los modelos de procesos de Risk IT y Val IT.
33
|
Capítulo 7: GUÍA DE IMPLANTACIÓN
COBIT 5: Implementación cubre lo siguiente:
Posicionar GEIT (Governance of Enterprise IT) dentro de la empresa.
Dar los primeros pasos hacia el mejoramiento del GEIT. Retos de Implementación y Factores de Éxito. Habilitar el cambio organizacional y de conducta relacionado
con GEIT. Mejora Continua.
Introducción
Podemos obtener un valor óptimo aprovechando COBIT solo si es adoptado y adaptado de manera eficaz para ajustarse al entorno único de cada empresa. Cada enfoque de implementación también necesitará resolver desafíos específicos, incluyendo la gestión de cambios a la cultura y el comportamiento.
ISACA proporciona amplias y prácticas guías de implementación en su publicación COBIT 5 Implementación6, que está basada en un ciclo de vida de mejora continua.
• El propósito de este capítulo es presentar el ciclo de vida de la implementación y mejora continua, desde un punto de vista de alto nivel y destacar una serie de aspectos importantes de COBIT 5 Implementación, como por ejemplo:
• Realizar un caso de negocio para la implementación y mejora del gobierno y gestión de TI.
• Reconocer los típicos puntos débiles y eventos desencadenantes
• Crear el entorno apropiado para la implementación• Aprovechar COBIT para identificar carencias y guiar en el
desarrollo de elementos facilitadores como políticas, procesos, principios, estructuras organizativas y roles y responsabilidades
Considerando el Contexto Empresarial
El gobierno y la gestión de la TI empresarial no suceden de manera aislada. Cada empresa necesita diseñar su propio plan de implantación, atendiendo a los factores específicos del entorno interno y externo de la empresa, como por ejemplo:
34
|
1. Ética y cultura2. Leyes aplicables, regulaciones y políticas3. Misión, visión y valores4. Políticas y prácticas de gobierno5. Plan de negocio y perspectivas estratégicas6. Modelo operativo y nivel de madurez7. Estilo de gestión8. Umbral de riesgo9. Capacidades y recursos disponibles10. Prácticas de la industria
Es igualmente importante aprovechar y desarrollar los catalizadores de gobierno empresarial existentes.
CREANDO EL ENTORNO APROPIADO
Es importante para las iniciativas de implementación que se apoyen en COBIT que sean correctamente gobernadas y adecuadamente gestionadas.
El apoyo y orientación de las partes interesadas clave es crítico para que las mejoras sean adoptadas y mantenidas.
Desde el inicio se debe solicitar el compromiso e interiorización de las partes interesadas más relevantes. Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser claramente expresados en términos de negocio y resumidos en un resumen de caso de negocio. Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos adecuados para apoyar el programa.
Los roles y responsabilidades esenciales del programa deberían ser definidos y asignados. Tanto las partes interesadas clave como el consejo y los ejecutivos deberían proporcionar apoyo visible y compromiso para establecer el ejemplo de la cúpula empresarial y garantizar el compromiso con el programa a todos los niveles.
RECONOCIENDO LAS PUNTOS DÉBILES Y SUS EVENTOS DESENCADENANTES
35
|
Hay un número de factores que pueden indicar una necesidad de mejora del gobierno y gestión de la TI empresarial Esto proporciona una plataforma para introducir otros cambios y puede ayudar a extender el compromiso en la alta dirección y soportar más cambios estructurales
Limitación por TI de las capacidades de innovación de la compañía y la agilidad de negocio.
Hallazgos periódicos de auditoría en relación al bajo rendimiento de TI o notificación de problemas de calidad de servicio de TI.
Problemas en la externaliza ion de la entrega del servicio, como por ejemplo el fallo sistemático al mantener los niveles de servicio acordados.
FACILITANDO EL CAMBIO
Una implementación con éxito depende de implementar el cambio del modo adecuado. En muchas empresas, hay un importante foco en el primer aspecto pero no el suficiente énfasis en gestionar los aspectos humanos, culturales y de comportamiento del cambio y motivar a los interesados en involucrarse con el mismo.
La mejora sostenible se puede conseguir bien mediante la adquisición del compromiso de las partes implicadas o, mediante la exigencia del cumplimiento. Deben superarse las barreras humanas, el comportamiento y la cultura de modo que haya un interés común en adoptar apropiadamente el cambio, infundiendo el deseo de adoptarlo y asegurando la capacidad de adopción.
UN ENFOQUE DE CICLO DE VIDA
La implementación del ciclo de vida proporciona a las empresas una manera de usar COBIT para solucionar la complejidad y los desafíos que normalmente aparecen durante las implementaciones.
Se debe crear un entorno apropiado para asegurar el éxito de la implementación o de la iniciativa de mejora.
36
|
La fase 1 Reconocimiento y aceptación de la necesidad de una iniciativa de implementación o mejora. Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio a un nivel de dirección ejecutiva.
La fase 2 Definir el alcance de la iniciativa de implementación o mejora empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI asociados, y considerando cómo los escenarios de riesgos podrían destacar los procesos clave en los que focalizarse. Se lleva a cabo una evaluación del estado actual y se identifican los problemas y deficiencias mediante la ejecución de un proceso de revisión de capacidad.
La fase 3, Establecer un objetivo de mejora, seguido de un análisis más detallado aprovechando las directrices de COBIT para identificar diferencias y posibles soluciones. La prioridad deberían ser aquellas iniciativas que son más fáciles de conseguir y aquellas que podrían proporcionar los mayores beneficios.
37
|
La fase 4 Planificar soluciones prácticas mediante la definición de proyectos apoyados por casos de negocios justificados.
La fase 5. Las soluciones propuestas son implementadas en prácticas día a día. Se pueden definir las mediciones y establecer la supervisión empleando las metas y métricas de COBIT para asegurar que se consigue y mantiene la alineación con el negocio y que el rendimiento puede ser medido.
La fase 6 se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la supervisión de la consecución de los beneficios esperados.
La fase 7, se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la gestión de la TI empresarial y se refuerza la necesidad de mejora continua.
PRIMEROS PASOS: REALIZANDO EL CASO DE NEGOCIO
La iniciativa debería ser propiedad de un patrocinador, involucrar a todas las partes interesadas fundamentales y debería basarse en un caso de negocio.
Inicialmente, esto puede hacerse a un alto nivel desde una perspectiva estratégica – de arriba abajo – empezando con un claro entendimiento de los beneficios de negocio deseados y progresar a una descripción detallada de las tareas críticas e hitos, así como de los roles clave y responsabilidades. El caso de negocio es una valiosa herramienta disponible para la dirección que dirige la creación de valor de negocio. Como mínimo, el caso de negocio debería incluir lo siguiente:
Los objetivos de beneficio de negocio, su alineación con la estrategia de negocio y los propietarios asociados del beneficio (quién dentro del negocio será responsable de asegurarlos). Esto podría basarse en puntos débiles o desencadenantes de eventos.
Los cambios de negocio requeridos para crear el valor previsto. Esto podría basarse en comprobaciones y análisis de deficiencias de capacidad y deberían indicar claramente qué está dentro del ámbito y qué está fuera de él.
Las inversiones precisas para realizar los cambios de gobierno y gestión de TI corporativa
38
|
Los costes ordinarios de TI y de negocio, los beneficios esperados de operar en el nuevo modo el riesgo inherente en los puntos anteriores, incluyendo cualquier restricción o dependencia, roles, responsabilidades y obligaciones relativas a la iniciativa.
Los beneficios de las iniciativas de implementación o de mejora pueden ser difíciles de cuantificar y habría que tener precaución a la hora de comprometerse sólo con beneficios que sean realistas y alcanzables. Estudios realizados en otras empresas podrían proporcionar información útil acerca de los beneficios que se hayan conseguido.
39
|
Capítulo 8: MODELO DE CAPACIDAD DE LOS PROCESOS COBIT 5COBIT 5 no es prescriptivo, pero sí defiende que las empresas implementen procesos de gobierno y de gestión de manera que las áreas fundamentales estén cubiertas, tal y como se muestra en la figura 15.
Las empresas deben estar evaluando constantemente su administración de TI, a través del desarrollo de un plan de negocio para mejorar y alcanzar el nivel apropiado de administración, y control sobre la infraestructura de información, y considerando el equilibrio del costo beneficio.
40
|
El modelo COBIT 5, sugiere un modelo de capacidad de procesos para la administración y control de los procesos de TI, mediante un método de evaluación de la organización, que permita identificar los problemas o fallas, y fijar las mejoras. Además, este modelo permite que la empresa conozca su desempeño real, estatus actual de la industria, objetivo de mejora de la empresa, y crecimiento requerido. El modelo de capacidad de procesos en COBIT cinco es soportado por el modelo de procesos ISO 15504/IEC y contiene los siguientes niveles de capacidad que un proceso puede alcanzar.
• 0 Incompleto.- Nivel 0 de madures. (Organización inmadura) En este nivel de madurez es evidente que no se implementa de manera efectiva los procesos para desarrollo de software, es decir que no se alcanzan los propósitos u objetivos de la organización, de la misma manera que no se identifican productos o salidas del proceso por lo tanto se determina que no hay atributos a evaluar en dicho nivel
• 1 Proceso ejecutado (un atributo) – El proceso implementado alcanza su propósito.
• 2 Proceso gestionado (dos atributos) – El proceso ejecutado descrito anteriormente está ya implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente.
• 3 Proceso establecido (dos atributos) – El proceso gestionado descrito anteriormente está ahora implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso.
• 4 Proceso predecible (dos atributos) – El proceso establecido descrito anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso.
• 5 Proceso optimizado (dos atributos) – El proceso predecible descrito anteriormente es mejorado de forma continua para cumplir con los metas empresariales presentes y futuros.
Cada nivel de capacidad puede ser alcanzado sólo cuando el nivel inferior se ha alcanzado por completo. Por ejemplo, un nivel 3 de
41
|
capacidad de proceso (establecido) requiere que los atributos de definición y despliegue del proceso se hayan alcanzado ampliamente, sobre la consecución completa de los atributos del nivel 2 de madurez de procesos (proceso gestionado).
Existe una diferencia significativa entre el nivel 1 de capacidad de procesos y los niveles superiores. Alcanzar el nivel 1 requiere que el atributo de rendimiento sea alcanzado ampliamente, lo que significa que el proceso se ejecuta con éxito y la organización obtiene los resultados esperados. Es entonces cuando los niveles de capacidad superiores añaden diferentes atributos al proceso. En este esquema de evaluación, alcanzar un nivel 1 de capacidad, incluso en una escala de 5, es ya un logro importante para la organización. Ha de tenerse en cuenta que (basándose en motivos de viabilidad y coste-beneficio) cada empresa de forma individual deberá elegir su objetivo o nivel deseado, que raramente será uno de los más altos.
Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de gobierno y gestión queden cubiertas. Empresas más pequeñas pueden tener pocos procesos; empresas más grandes y complejas pueden tener numerosos procesos, pero todos con el ánimo de cubrir las mismas metas.
COBIT 5 incluye un modelo de referencia de procesos que define y describe en detalle varios procesos de gobierno y de gestión. Dicho modelo representa todos los procesos que normalmente encontramos en una empresa relacionados con las actividades de TI, proporciona un modelo de referencia común entendible para las operaciones de TI y los responsables de negocio. El modelo de proceso propuesto es un modelo completo e integral, pero no constituye el único modelo de procesos posible. Cada empresa debe definir su propio conjunto de procesos, teniendo en cuenta su situación particular.
La incorporación de un modelo operacional y un lenguaje común para todas las partes de la empresa involucradas en las actividades de TI, es uno de los pasos más importantes y críticos hacia el buen gobierno. Adicionalmente proporciona un marco para medir y vigilar el rendimiento de TI, proporcionar garantía de TI, comunicarse con los proveedores de servicio e integrar las mejores prácticas de gestión.
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de gestión de la TI empresarial en dos dominios principales de procesos:
42
|
Gobierno—Contiene cinco procesos de gobierno; dentro de cada proceso se definen prácticas de evaluación, orientación y supervisión (EDM)5
Gestión—Contiene cuatro dominios, en consonancia con las áreas de responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM), y proporciona cobertura extremo a extremo de las TI. Estos dominios son una evolución de la estructura de procesos y dominios de COBIT 4.1. Los nombres de estos dominios han sido elegidos de acuerdo a estas designaciones de áreas principales, pero contienen más verbos para describirlos:
– Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
– Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
– Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
– Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
La diferencia entre el modelo de madurez de COBIT 4.1 y el modelo de capacidad de COBIT 5 se muestra en la siguiente figura:
Figura 20—Tabla de Comparación de los Niveles de Madurez (COBIT 4.1) y Nivel del Modelo de Capacidad del Proceso basada Con
5 Optimizado—Los procesos han sido refinados a nivel de buena práctica, sobre la base de los resultados de mejora continua y de modelado de madurez con
Nivel 5: Proceso optimizado—El proceso predecible del nivel 4 es mejorado continuamente para alcanzar metas de negocio actuales y futuros.
Punto de Vista de la Empresa— Conocim
4 Gestionado y medible— Los responsables de la gestión monitorizan y miden el cumplimiento con procedimientos
Nivel 4: Proceso establecido—El proceso establecido del nivel 3 es operado ahora dentro de unos límites definidos para alcanzar sus
3 Procesos definidos— Se han estandarizado, documentado y comunicado los procedimientos mediante formación. Es obligatorio seguir estos
Nivel 3: Procesos establecidos—El proceso gestionado del nivel 2 se implementa usando un proceso definido que es capaz de alcanzar sus objetivos.Nivel 2: Proceso gestionado—El proceso ejecutado del nivel 1 es implementado de forma gestionada (planificado,
43
|
Punto de Vista de la Instancia— Conocimiento Individual
2 Repetible pero intuitivo— Los procesos están desarrollados hasta el punto que procedimientos similares son seguidospor personas diferentes ejecutando la misma tarea. No
Nivel 1: Proceso ejecutado—El proceso implementado alcanza su objetivo.
Comentario: Es posible que algunos procesos clasificados como nivel 1 del Modelo de Madurez sean clasificados nivel 0 por ISO/IEC 15504 si los objetivos no son alcanzados.
1 Inicial/Ad hoc—Hay evidencia de que la empresa reconoce que existe el problema y que hay que abordarlo. Sin embargo, no hay procesos estandarizados. En su 0 Inexistente—Ausencia completa de cualquier proceso reconocible. La empresa ni siquiera ha reconocido que hay un problema que gestionar.
Nivel 0: Proceso incompleto—El proceso no está implantado o no alcanza sus objetivos.
ATRIBUTOS DEL PROCESO
Además el Modelo de Evaluación de Procesos cuenta con 9 atributos los cuales están relacionados con los niveles de capacidad
1. Incompleto: El proceso no está implementado o tiene fallas
2. Ejecutado: El proceso es implementado y logrado de acuerdo al propósito del proceso
3. Gestionado:a. El proceso es gestionadob. Los productos de trabajo están establecido, controlados y
mantenidos
4. Establecidoa. El proceso es definidob. El proceso definido es desarrollado
5. Predeciblea. El proceso es promulgado consistentementeb. Se controla que sea promulgado dentro de los limites
pertinentes
44
|
6. Optimizadoa. El proceso es continuamente mejorado para soportar las
metas actuales y proyectadas del negociosb. El proceso es optimizado
45
|
DIFERENCIA ENTRE LOS ATRIBUTOS DE MADUREZ Y LOS ATRIBUTOS DE PROCESO
Figura 21—Tabla de Comparación de los Atributos de Madurez (COBIT 4.1) y los Atributos de Proceso (COBIT 5)
Atributo de Capacidad de
Ren
dim
ieG
est
ión
del
Gest
ión
de los
Definic
ión
Desp
liegu
Gest
ión
Contr
ol
Innovaci
ó
Opti
miz
ac
Concienciación y ComunicaciónPolíticas, planes y procedimientosHerramientas y automatizaciónConocimientos y experienciaResponsabilidad e imputabilidadEstablecimiento y medición de metas
CATALIZADOR DE COBIT 5: SERVICIOS, INFRAESTRUCTURA Y APLICACIONES
Las capacidades de servicio se refieren a recursos tales como las aplicaciones y las infraestructuras que están movilizadas en la prestación de servicios relacionados con TI.
46
|
Los detalles para el catalizador de las capacidades de servicio en comparación con la descripción genérica de catalizador.
El modelo de servicios, la infraestructura y aplicaciones muestra:
PARTES INTERESADAS.- Las partes interesadas de las capacidades de servicio (el concepto combinado de servicios, infraestructura y aplicaciones) pueden ser internas y externas. Los servicios pueden ser entregados por las partes internas o externas departamentos de TI internos, gerentes de operaciones, proveedores de outsourcing.
Los usuarios de los servicios también pueden ser internos los usuarios del negocio y externos a la empresa socios empresariales, clientes, proveedores. Las participaciones de cada una de las partes interesadas deben ser identificadas y, o bien estarán centradas en la entrega adecuada de servicios o en la recepción de los servicios solicitados a los proveedores.
METAS.- Las metas de la capacidad de nivel de servicio se expresan en términos de servicio aplicaciones, infraestructura, tecnología y de niveles de servicio, teniendo en cuenta que los servicios y niveles de servicio son más económicos para la empresa. Una vez más, las metas se refieren a los servicios y la forma en que se proporcionan, así como sus resultados, es decir, la contribución a los procesos de negocio apoyado con éxito.
CICLO DE VIDA.- Las capacidades de servicios tienen un ciclo de vida. Las capacidades de servicio en el futuro o en proyecto se describen normalmente mediante una arquitectura objetivo. Dicha arquitectura cubre los bloques constituyentes, tales como futuras aplicaciones y el modelo de infraestructura objetivo y también describe los vínculos y las relaciones entre estos bloques de construcción.
CATALIZADOR DE COBIT 5: PERSONAS, HABILIDADES Y COMPETENCIAS
Los detalles específicos del catalizador personas, habilidades y
47
|
competencias en comparación con la descripción genérica de catalizador.
El modelo de personas, habilidades y competencias muestra:
PARTES INTERESADAS.- Las capacidades y competencias de las partes interesadas son internas y externas a la empresa. Diferentes interesados asumen diferentes roles, directivos empresariales, gerentes de proyecto, socios, competidores, formadores, reclutadores, desarrolladores, técnicos especialistas en IT, etc., y cada papel requiere un conjunto de habilidades diferentes.
METAS.- Las metas de habilidades y competencias se relacionan con los niveles de educación y capacitación, habilidades técnicas, niveles de experiencia, conocimientos y habilidades de comportamiento necesarios para proporcionar y llevar a cabo con éxito las actividades del proceso, las funciones de organización, etc. Las metas de las personas incluyen los niveles adecuados de disponibilidad de personal y la tasa del volumen de negocios.
48
|
CICLO DE VIDA.- Las habilidades y competencias tienen un ciclo de vida. Una empresa tiene que saber cuál es su base de conocimientos actual y planificar lo que tiene que ser. Esto se ve influido por (entre otras cuestiones) la estrategia y metas de la empresa.
BUENAS PRÁCTICAS.- Las buenas prácticas de habilidades y competencias incluyen la definición de la necesidad de requisitos de formación objetivos para cada papel desempeñado por las distintas partes interesadas. Esto se puede describir mediante diversos niveles de habilidad en las diferentes categorías de habilidades. Para cada nivel de habilidad apropiado en cada categoría profesional, debería estar disponible una definición de las cualificaciones.
49
|
PRINCIPALES CAMBIOS DEL COBIT 4.1 AL COBIT 5
El pasado 10 de abril de 2012, ISACA publicó oficialmente la nueva versión de COBIT 5, la cual posee algunos cambios en cuanto a cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011.
Los nuevos principios GEIT considerado un cambio entre una versión y otra son:
Satisfacer las necesidades de las partes interesadas. Cubrir la organización de forma integral Aplicar un Solo marco Integrado Habilitar un enfoque holístico Separar el gobierno de la administración.
50
|
Podemos destacar en el nuevo modelo de Referencia de Procesos, un nuevo modelo como un dominio de gobierno que contiene varios procesos nuevos y modificados, actividades corporativas de un extremo a otro y se considera también el área de función de negocio y tecnología.
El nuevo modelo puede ser usado como guía para ajustar el modelo de procesos de la compañía si fuera necesario.
Se incorporan procesos totalmente nuevos dentro de los que se considera:
Estos proceso ahora cubren actividades de tecnología que cubren la vista completa a nivel de toda la organización asi proporciona una cobertura mas completa y holística de la practicas reflejando la naturaleza generalizada de uso de la Tecnología a nivel de toda la organización.
El involucramiento, la responsabilidad y la rendición de cuentas de las partes de negocios interesadas en el uso de la tecnología queda mas explicita y transparente. COBIT 5 integra y actualiza todo el contenido anterior en un único modelo nuevo haciéndolo mas fácil de entender para los usuarios y permite utilizar un material único para implementar mejoras
Persigue las misma metas y conceptos métricos que el COBIT 4.1 pero se les asignado nombres nuevos como METAS CORPORATIVAS, METAS RELACIONADAS CON LA TECNOLOGÍA Y METAS DE PROCESOS. Proporciona unas metas CASCADA basadas en las metas corporativas que impulsan las metas relacionadas con la tecnología y luego son soportados por proceso críticos.
Proporciona de la misma manera entradas y salidas para cada práctica de Administración así también como guas adicionales de orientación detalladas para diseñar procesos para incluir productos de trabajo esenciales y para ayudar con la integración inter procesal.
51
|
52
|
En consecuencia, a continuación se actualiza el diagrama de procesos y el mapeo con COBIT 4.1, para que refleje con mayor exactitud la versión de COBIT 5 publicada por ISACA como definitiva y oficial:
Para comenzar el análisis del Framework de COBIT 5, nada mejor que la “big picture” que nos brinda este mapa mental que anticipé en el post anterior:
|
Una vez apreciada la complejidad de las relaciones entre los distintos elementos que componen el nuevo COBIT 5, voy a profundizar en esta entrega exclusivamente en los cambios principales respecto a COBIT 4.1, ampliamente utilizado o inclusive en vías de implementación en organizaciones de diversas características.
La nueva versión (ya definitiva) de COBIT 5 incluye los siguientes cambios principales respecto a la versión anterior 4.1:
|
PROCESOS Y DOMINIOS
A nivel de la estructura de Procesos y Dominios esto es lo más relevante del comparativo entre ambas versiones:
Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el antiguo proceso ME4 de COBIT 4.
La cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se agregó APO013 “Gestionar Seguridad”).
Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes:
o PO10 – Administrar los proyectos, pasó al Dominio BAI.o AI5 – Procurar recursos de IT, pasó al Dominio APO.o DS1 – Definir y Administrar los niveles de servicio, pasó al
Dominio APO.o DS2 – Administrar los servicios de Terceros, pasó al
Dominio APO.o DS3 – Administrar el desempeño y la capacidad, pasó al
Dominio BAI.o DS6 – Identificar y asignar costos, pasó al Dominio APO.o DS7 – Educar y Entrenar a los usuarios, pasó al Dominio
APO. En el dominio APO – Administrar, Planear y Organizar, es donde
se observa mayor reorganización interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5.
El proceso DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar los Servicios de Seguridad
Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5, destacándose:
o EDM1 – Definir el Framework para el Governanceo APO1 – Definir el Framework para el Managemento APO4 – Gestionar Innovacióno APO13 – Gestionar Seguridad (también hay un Proceso
DSS05 Gestionar los Servicios de Seguridad)o BAI8 – Gestión del Conocimiento
A continuación, se expone un cuadro con el mapeo realizado entre los procesos de COBIT 4.1 y su cobertura en COBIT5, destacando que se tomó como fuente el material de ISACA incluido en Anexo de la Guía de Procesos de Referencia, pero dado que estaba desglosado por Objetivo de Control, se lo consolidó a nivel Proceso, destacando como “Primaria” al Proceso de COBIT 5 que mayor cobertura (en %) les brinda a los objetivos de control del antiguo proceso de COBIT 4.1.
|
|
COBIT5-Mapeo-COBIT41-FrancoITGRC (click para agrandar)
METAS DE NEGOCIO Y METAS DE TI
Respecto a la relación habitual entre Metas de Negocio y Metas de TI, COBIT 5 ha mejorado en cuanto a la precisión del grado de relevancia de dicho nexo, dado que ahora se la discrimina en “Primaria” o “Secundaria”, mientras que en COBIT 4 sólo se la marcaba con una tilde genérico.
|
En COBIT 5 se mantiene la cantidad de Metas de Negocio (17) pero ha cambiado de COBIT 4.1 sus contenidos y la distribución respecto a las Perspectivas del Balanced Scorecard, tal como se detalla a continuación:
Con respecto a las Metas de TI, COBIT 5 ha efectuado dos cambios importantes comparativamente con COBIT 4.1:
o Disminuyó la cantidad de 28 a 17 Metas.o Para cada Meta de TI se indica a cuál Perspectivas del
Balanced Scorecard corresponde:
|
EL PENTÁGONO DE COBIT 4.1 PARA EL GOBIERNO DE TI
Otro de los cambios significativos es el haber transformado el famoso “Pentágono” del Gobierno de TI de COBIT 4.1 prácticamente en el nuevo dominio denominado “EDM – Evaluar / Dirigir & Monitorear”:
EL CUBO DE COBIT 4.1 PARA LOS CRITERIOS DE LA INFORMACIÓN
El último de los cambios fundamentales que presenta la nueva versión COBIT es el novedoso Modelo de la Información que viene a reemplazar a los 7 Criterios que durante toda la vigencia de COBIT 4.1 dieron forma al célebre “cubo”:
|
El nuevo Modelo de la Información (IM) será descripto ampliamente en las sucesivas entregas de este análisis sobre el nuevo framework provisto por ISACA: COBIT 5.
MODELO DE MADUREZ
COBIT 5 introduce una nueva forma de medir la madurez de los procesos a través del “Process Capability Model”, basado en el estándar internacionalmente reconocido “ISO/IEC 15504 Software Engineering – Process Assessment Standard”, diferente en su diseño y uso al modelo de madurez que incluía COBIT 4.1.
MODELO DE MADUREZ SEGÚN COBIT 4.1
Sin embargo, el nuevo “Process Capability Model” de COBIT 5, plantea modificaciones, no sólo de nombres de cada nivel, que no se limitan a lo que se aprecia en el gráfico siguiente:
|
Nuevo Modelo de Madurez “Process Capability Model” de COBIT 5
Este nuevo modelo plantea las siguientes diferencias:
Al estar basado en ISO/IEC 15504 es más exigente respecto a lo que debe cumplir cada proceso para ascender de nivel, dado que este estándar plantear que se deben cumplir los 9 atributos definidos para cada proceso, como requisito para acreditar dicho grado de madurez.
Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser mezclada con evaluaciones realizadas bajo el modelo de COBIT 4.1, dado que se distorsionarían los resultados por ser distintas las exigencias.
Generalmente, aplicando este modelo de COBIT 5, deberían dar resultados de niveles más bajos de madurez.
A continuación, se expone el mapeo oficial de ISACA entre ambos modelos de madurez:
|
BIBLIOGRAFIA
LIBRO GUIA TEXTO PARA LA ASIGNATURA DE AUDITORIA DE SISTEMAS INFORMATICOS II POR QUINTANILLA MARCO
https://www.isaca.org/Pages/default.aspx?cid=1002083&Appeal=Google&gclid=CO2klYCh_rsCFeJF7AodgVEAqw
https://www.google.com.ec/?gws_rd=cr&ei=q3zVUorlG4rakQfR-YHoDg#q=cobit+5+principios
http://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CEMQFjAA&url=http%3A%2F%2Fwww.isaca.org%2FCOBIT%2FDocuments%2FCOBIT5-Introduction-Spanish.ppt&ei=sXzVUqmTJbDnsATKv4GYBg&usg=AFQjCNHwaWjs0bKzkjEJ4dgoNAs1BrCKvA&sig2=iD9w8drf6uwCoYzyeAW8mA&bvm=bv.59378465,d.eW0
|
