Está en la página 1de 66

GOBIERNO CORPORATIVO TIC

AUREN
Francisco Rover 4 Entresuelo
07003 Palma Mallorca
Avda. General Pern, 38 3
28020 Madrid
Objetivos y Metodologa para su implantacin
GOBIERNO CORPORATIVO TIC
NDICE
1. Introduccin
2. Coso Internal Control Integrated Framework
3. Balance Scorecard Cumplimiento Legal
4. ISO 38500 - COBIT / ValIT
5. ISO 27000 ISO 20000 (ITIL V3) - ISO 24762
6. Metodologa.
6. Desarrollo del proyecto.
7. Fases de desarrollo del proyecto
Jos Manuel Ballester Fernndez
mballester@temanova.com mballester@temanova.com mballester@temanova.com mballester@temanova.com
ALGUNA INFORMACIN PERSONAL
Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT
Consejero Delegado TEMANOVA
Socio ALINTEC
Director Estratgia Fundacin DINTEL
Director Postgrado Buen Gobierno Universidad Deusto
Director Ctedra Buen Gobierno Universidad Deusto
Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
Former President de ASIA / ISACA Madrid Chapter
CobiT

Foundation Certificate
Certified Information Systems Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Governance Enterprise IT (CGEIT)
Accredited CobiT

Trainer
Texto men 2
Introduccin
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones
que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o
terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier
sistema.
Complejidad social
Las organizaciones requieren una aproximacin estructurada para abordar stos y otros desafos.
Administrar los
servicios de TI
Seguridad
Valor/Costo
Manejar
la complejidad
Alineamiento de TI
con el Negocio
Cumplir con
requerimientos
regulativos
Texto men 2
Introduccin
Gobierno Corporativo TIC es
Un conjunto de responsabilidades y
prcticas ejecutadas por la junta
directiva y la administracin ejecutiva
con el fin de proveer direccin
estratgica,
garantizando que los objetivos sean
alcanzados,
estableciendo que los riesgos son
administrados apropiadamente y
verificando que los recursos de la
empresa son usados
responsablemente.
M
E
D
I
C
I

N

D
E
L
D
E
S
E
M
P
E

O
ADMINISTRACIN
DE LOS RECURSOS
A
D
M
I
N
I
S
T
R
A
C
I

N
D
E
L

R
I
E
S
G
O
A
G
R
E
G
A
R
V
A
L
O
R
A
L
I
N
E
A
C
I

N
E
S
T
R
A
T

G
I
C
A
www.itgi.org www.itgi.org
Texto men 2
Introduccin
Niveles de Gobernanza
La provisin de la estructura que permita determinar los objetivos de la
Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
Gobernanza corporativa (COSO)
La especificacin del marco de derechos a la toma de decisiones y la alta responsabilidad
para favorecer un comportamiento deseable en el uso de las TIC.
MIT/Sloan School of Management (2004)
No obstante, la Gobernanza no tiene que ver con qu decisiones son tomadas - eso
es Gestin -; sino que tiene que ver con quin toma las decisiones y con cmo se toman.
El establecimiento y mantenimiento de un marco que provea garanta de que las
estrategias de seguridad de la informacin estn alineadas con los objetivos del negocio y
son conformes a las leyes y regulaciones aplicables
ISACA/CISM BoK (2002)
Gobernanza de la Seguridad de la Informacin y Tecnologas afines
Gobernanza
Corporativa
Gobernanza de TIC
Gobernanza de SI
Niveles de gobernanza
Gobernanza de la TIC ISO 38500 COBIT / Val IT
Texto men 2
Introduccin
ISO38500 COBIT / Val IT
I
S
O

2
4
7
6
2
ISO 27000
ISO 20000
ITIL
COSO Cumplimiento Legal
QUE COMO
CAMPO DE COBERTURA
En la actualidad existe diferentes metodologas orientadas al control de las organizaciones, cada una de
ellas abarca diferentes mbitos, de forma que se complementan.
Marcos de Control
Texto men 2
Introduccin
Niveles de gobernanza
Continuidad de
Negocio
Procesos y Procedimientos
Principios
de
Seguridad
ITIL
Gobierno de TI
ISO38500 COBIT / Val IT
DESEMPEO:
Metas del negocio
CONFORMIDAD
Basilea II, Sarbanes-
Oxley Act,LOPD, etc
Directrices
ISO
24762
ISO
27000
ISO
20000
Estndares de mejores prcticas
Gobierno Corporativo COSO
Balanced Scorecard
Coso Internal Control Integrated Framework
En 1992, COSO public el Sistema Integrado de Control Interno, un informe
que establece una definicin comn de control interno y proporciona un
estndar mediante el cual las organizaciones pueden evaluar y mejorar sus
sistemas de control.
Mejorar la calidad de la informacin financiera
concentrndose en el manejo corporativo, las normas ticas
y el control interno.
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el control
interno.
OBJETIVOS DE COSO
Control Interno
Alinear el riesgo aceptado y la estrategia
Mejorar las decisiones de respuesta a los riesgos.
Reducir las sorpresas y prdidas operativas
Identificar y gestionar la diversidad de riesgos para toda la entidad
Aprovechar las oportunidades
Mejorar la dotacin de capital
El Gobierno Corporativos incluye las
siguientes capacidades:
Coso Internal Control Integrated Framework
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
Con el Gobierno Corporativo permite asegurar una informacin eficaz y el
cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.
Definicin de la Gobierno Corporativo
Coso Internal Control Integrated Framework
El marco de Gobierno Corporativo est orientado a alcanzar
los objetivos de la entidad, que se pueden clasificar en cuatro
categoras:
El Gobierno Corporativo es un proceso efectuado por el consejo de
administracin de una entidad, su direccin y restante personal,
aplicable a la definicin de estrategias en toda la empresa y diseado
para identificar eventos potenciales que puedan afectar a la
organizacin, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos.
Estrategia: objetivos a alto nivel, alineados con la misin de la entidad y
dndole apoyo
Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos
Informacin: objetivos de fiabilidad de la informacin suministrada.
Cumplimiento: objetivos relativos al cumplimiento de leyes y normas
aplicables.
Componentes del Gobierno Corporativo
EL Gobierno Corporativo consta de ocho componentes relacionados
entre s, que se derivan de la manera en que la direccin conduce la
empresa y cmo estn integrados en el proceso de gestin.
Ambiente interno: establece la base de cmo el personal de la entidad
percibe y trata los riesgos.
Establecimiento de objetivos: los objetivos deben de existir antes de que la
direccin pueda identificar potenciales eventos que puedan afectar a su
consecucin.
Identificacin de eventos: tanto internos como externos que afectan a los
objetivos de la entidad.
Evaluacin de riesgos: se analizan considerando su probabilidad e impacto
como base para determinar como deben de ser gestionados.
Respuesta al riesgo: las posibles respuestas evitar, aceptar, reducir o
compartir los riesgos.
Actividades de control: las polticas y procedimientos se establecen e
implantan para ayudar a asegurar que las respuestas a los riesgos son
eficaces.
Informacin y comunicacin: la informacin relevante se identifica, capta y
comunica para que el personal pueda afrontar sus responsabilidades.
Supervisin: la supervisin se lleva a cabo mediante actividades de la
direccin o evaluaciones independientes.
Componentes de la gestin de Buen Gobierno Corporativo
Funciones y responsabilidades
La Alta Gerencia es la responsable ltima del sistema de control. La integridad y la tica
deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los
gerentes que a su vez son los responsables en sus respectivas reas.
El Consejo de Administracin fija las pautas y la visin global del negocio. El Consejo
debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas
financieras, legales y de auditora interna.
La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y
permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica
adecuada.
Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar
el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de
trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los cdigos
de conducta, a las polticas establecidas o la legalidad de las acciones realizadas.
Coso Internal Control Integrated Framework
Determinacin de los
Objetivos.
Objetivos globales (tales como
la Misin).
Objetivos especficos de las
diversas actividades (por ej.
Produccin), estos sub-
objetivos medibles a travs de
metas deben ser coherentes.
Coso Internal Control Integrated Framework
Los objetivos deben ser:
Definidos de modo de
identificar los criterios para
medir el rendimiento y
establecer factores crticos de
xito (que pueden ser a nivel
de actividad o unidad
operacional).
Coherentes y compatibles.
Como ejemplo se puede
considerar: efectuar pagos
slo para compras
autorizadas, que los sistemas
informticos se encuentren
disponibles segn los
requerimientos del negocio,
etc.
Evaluacin de riesgos
Debe asegurase que se obtenga
informacin de calidad y no meros
datos.
La informacin debe ser protegida
ya que se trata de un activo valioso.
Las vas de comunicacin interna
deben asegurar que el personal
conozca los elementos suficientes
para cumplir con su tarea.
Informacin y comunicacin
Las actividades de supervisin
continua y evaluaciones puntuales.
Las deficiencias detectadas deben
ser oportunamente comunicadas.
Supervisin
Marcos Regulatorios del Buen Gobierno
Legislacin extranjera de implantacin en "branch offices".
Decisiones del Consejo Europeo (emergentes).
Pretender preparar un marco para el desarrollo nacional.
Agencias Gubernamentales:
AGPD.
Ministerio de Industria.
Ministerio del Interior.
Foros sectoriales:
Asociaciones Profesionales.
Basilea II
Utilidad del Cuadro de Mando Integral
BalancedScoredCard:
Lenguaje comn entre entornos diferentes.
Establecimiento de un mapa estratgico con
"dnde queremos estar".
Estudio del impacto de determinadas
acciones:
Seleccionar acciones.
Estudiar el impacto en el BSC.
Elaborar una regla.
20
ISO/IEC 38500. Corporate Governance of IT
URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639
ISO 38500
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologas de la informacin de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:
Generar confianza en los stakeholders (empleados, clientes, proveedores,
socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organizacin.
Informar y guiar a la alta direccin en el gobierno TIC en su organizacin.
Proveer de bases para la evaluacin objetiva del Gobierno Corporativo TIC
ISO/IEC 38500:2008
Adecuada aplicacin y operacin de activos de TIC.
Asignacin de responsabilidades.
Continuidad del negocio
Sostenibilidad.
Alineacin de TIC con los objetivos del negocio.
Asignacin eficiente de recursos.
Innovacin en los servicios, los mercados y las empresas.
Mejora de imagen y reputacin en el mercado frente a los reguladores,
agentes sociales y con los stakeholders.
Optimizacin en los costes de una organizacin
Inversin efectiva en TIC.
Cumplimiento legal.
BENEFICIOS DE LA IMPLANTACIN DEL ESTNDAR:
ISO/IEC 38500:2008
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
Con el Gobierno Corporativo permite asegurar una informacin eficaz y el
cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.
ISO38500
MODELO
ISO/IEC 38500:2008
La Norma establece los principios para el buen gobierno
corporativo de TIC:
Responsabilidad
Estrategia
Inversin
Rendicin de Resultados
Cumplimiento
Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar
estas tres tareas principales:
EVALUAR el uso actual y futuro de las TIC.
DIRIGIR la preparacin y ejecucin de planes y polticas para
garantizar que el uso de TIC cumple los objetivos empresariales.
MONITORIZAR la conformidad con las polticas, y los resultados
de los planes.
25
ISO/IEC 38500. Corporate Governance of IT
Independencia de las herramientas
Definicin clara del concepto y sus lmites
Identificacin de los destinatarios del mensaje
Sencillez del propio mensaje a travs de la proclamacin
de unos principios
26
ISO/IEC 38500. Principios
Claro establecimiento de responsabilidades sobre las TIC
Planificacin de las TIC para un mejor soporte de la
organizacin
Adquisicin de TIC de forma vlida
Garanta de unas TIC que funcionan bien y cuando son
requeridas
Garanta de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
Garanta de unas TIC cuyo uso respeta los factores humanos
27
ISO/IEC 38500. Cuestiones comprensibles
Los individuos de su organizacin entienden y aceptan su
responsabilidad sobre las TIC?
Sus planes tecnolgicos soportan los planes corporativos de su
organizacin y cubren las necesidades presentes y futuras de la misma?
Las adquisiciones de TIC se realizan por razones aprobadas y de la
forma aprobada?
Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad
de su organizacin?
Su marco TIC es conforme a regulaciones externas y/o internas?
Su entorno TIC cumple con las necesidades de la gente involucrada en
el proceso?
Control Objetives for Information and Related Tecnology
ISO38500 COBIT
Consejos de Administracin y
Altos Ejecutivos
Gerencias de Lnea y de TI
Profesionales de la Gobernanza, la Evaluacin de Garanta, el Control y la Seguridad
Indicadores Clave de Rendimiento
Indicadores Clave de Objetivo
Modelos de Madurez
Resumen Ejecutivo
Directrices
de Gestin
Qu es el Marco de
Referencia para la
Gobernanza de TI?
Cmo evaluarlo?
Como presentarlo e
implantarlo?
Objetivos de Control
Cales son sus
Responsabilidades?
Marco de Referencia
Gua de
Evaluacin de Garanta de TI Gua de Implantacin de
Gobernanza de TI
Prcticas de Control
MARCO DE REFERENCIA
La principal cualidad de CobiT es su orientacin hacia los
OBJETIVOS de la ACTIVIDAD de la Organizacin y cmo TIC
apoya su logro
ISO38500 COBIT
MARCO DE REFERENCIA EL CUBO DE COBIT
R
E
C
U
R
S
O
S

d
e

T
I
E
F
I
C
A
C
I
A
E
F
I
C
A
C
I
A
E
F
I
C
I
E
N
C
I
A
E
F
I
C
I
E
N
C
I
A
C
O
N
F
O
R
M
I
D
A
D
C
O
N
F
O
R
M
I
D
A
D
F
I
A
B
I
L
I
D
A
D
F
I
A
B
I
L
I
D
A
D
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
I
N
T
E
G
R
I
D
A
D
I
N
T
E
G
R
I
D
A
D
DOMINIOS DOMINIOS
PROCESOS PROCESOS
ACTIVIDADES ACTIVIDADES
P
E
R
S
O
N
A
S
P
E
R
S
O
N
A
S
A
P
L
I
C
A
C
I
O
N
E
S
A
P
L
I
C
A
C
I
O
N
E
S
I
N
F
R
A
E
S
T
R
U
C
T
U
R
A
I
N
F
R
A
E
S
T
R
U
C
T
U
R
A
I
N
F
O
R
M
A
C
I
I
N
F
O
R
M
A
C
I

N N
C
o
n
j
u
n
t
o

e
s
t
r
u
c
u
t
r
a
d
o

d
e
P
R
O
C
E
S
O
S

d
e

T
I
REQUISITOS de la ORGANIZACIN
para la INFORMACIN
ISO38500 COBIT
OBJETIVOS DE CONTROL
El conjunto estructurado de 34 PROCESOS
[objetivos de control de alto nivel] se agrupa de forma
natural en 4 DOMINIOS.
[PO] PLANIFICARy ORGANIZAR 10 Procesos de TI
[AI] ADQUIRIRe IMPLANTAR 07 Procesos de TI
[DS] ENTREGARy SOPORTAR (dar soporte) 13 Procesos de TI
[ME] MONITORIZAR y EVALUAR 04 Procesos de TI
ISO38500 COBIT
OBJETIVOS DE LA ENTIDAD
OBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
Personas
Aplicaciones
Infraestructura
Informacin
ENTREGAR
Y
SOPORTAR
MONITORIZAR
Y
EVALUAR
ADQUIRIR
E
IMPLANTAR
INFORMACION
RECURSOS
DE
TI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Trata la entrega o la prestacin de
los servicios requeridos -
desde las operaciones
tradicionales, hasta la
formacin; pasando por la
seguridad en los sistemas y
las continuidad de las
operaciones -.
Debern establecerse los procesos
necesarios para la provisin
de los servicios.
Todos los procesos han de evaluarse
peridicamente para verificar su
calidad y suficiencia en cuanto a
los requisitos de control.
Advierte a la Direccin sobre la
necesidad de garantizar
procesos de control
independientes (auditoras).
Cubre las estrategias y las
tcticas para identificar la
forma en la que la TI puede
contribuir de la mejor
manera al logro de los
objetivos de la
Organizacin.
La consecucin de la visin
estratgica debe planearse,
comunicarse y gestionarse
desde diferentes
perspectivas.
Es necesario establecer una
organizacin e
infraestructura tecnolgica
apropiada.
Para llevar a cabo la estrategia de
TI, stas deben identificarse,
construirse o adquirirse,
implantndose e
integrndose en el proceso
de la Organizacin.
Contempla, asimismo, los cambios
y mantenimiento de
sistemas existentes, para
garantizar su continuidad.
PLANIFICAR
Y
ORGANIZAR
Fiabilidad
OBJETIVOS DE CONTROL
ISO38500 COBIT
OBJETIVOS DE CONTROL
OBJETIVOS DE LA ENTIDAD
OBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
Personas
Aplicaciones
Infraestructura
Informacin
ENTREGAR
Y
SOPORTAR
MONITORIZAR
Y
EVALUAR
ADQUIRIR
E
IMPLANTAR
INFORMACION
RECURSOS
DE
TI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
DS1 Definir y administrar niveles
de servicio.
DS2 Administrar servicios de
terceros.
DS3 Administrar desempeo y
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de
apoyo e incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente
fsico.
DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el
desempeo de TI.
ME2 Monitorear y Evaluar el
control interno.
ME3 Garantizar el
cumplimiento
regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratgico
de TI.
PO2 Definir la arquitectura de
informacin.
PO3 Determinar la direccin
tecnolgica.
PO4 Definir los procesos de TI,
la organizacin y sus
relaciones.
PO5 Administrar las inversiones
en TI.
PO6 Comunicar la direccin y
objetivos de la gerencia.
PO7 Administrar los recursos
humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar
riesgos de TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de
automatizacin.
AI2 Adquirir y mantener
software de aplicacin.
AI3 Adquirir y mantener la
infraestructura tecnolgica.
AI4 Permitir la operacin y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar
soluciones y cambios.
PLANIFICAR
Y
ORGANIZAR
Fiabilidad
ISO38500 COBIT
DIRECTRICES DE GESTIN
Entradas y Salidas del Proceso
Actividades y Matriz RACI
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
KGI - Indicadores clave de objetivos
KPI - Indicadores clave de rendimiento
ISO38500 COBIT
ISO 38500 COBIT
DIRECTRICES DE GESTIN. MODELOS DE MADUREZ
Val ITy CobiT

, complementarios; dos planos distintos


Val IT ofrece un marco complementario al de CobiT; pero con un enfoque
estratgico y de gobernanza, al ms alto nivel.
Procesos y prcticas clave de Gobernanza de Valor
Val IT consta de tres (3) PROCESOS,
soportados en un total de cuarenta (40) PRCTICAS clave de gobernanza
ISO 20000 - ITIL V3
Gestin y Calidad del Servicio TIC
ISO27000
Gestin y Seguridad TIC
ISO/IEC 17799:2005, Code of Practice for Information Security Management
Ao: 2005 (primera edicin, 2000)
Editor: International Organization for Standardization (ISO)
URL: http://www.iso.ch
11 reas de Control
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad
Continuidad de Negocio
Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC
Requisitos de la
Organizacin
requieren
Requisitos de
Gobierno Corp.
Servicios de
Informacin
Criterios de
Informacin
influencian
implican
aportan
necesitan
ejecutan
Procesos TIC
Informacin
Aplicaciones
Infraestructura y
Gente
Estrategia
Empresarial
Objetivos de la Entidad Arquitectura Empresarial para TIC
Metas de
TIC
Cuadro de
Mando Integral
TIC
Objetivos de
la Entidad
Arquitectura
Empresarial
TIC
RECURSOS DE TI
KPI (Key Performance Indicator / Indicador Clave de Rendimiento):
Indican cmo se est desarrollando el proceso, cul est
siendo su comportamiento.
Predicen la probabilidad es xito o fracaso en el futuro. Son
indicadores gua.
Ayudarn a mejorar el proceso de Seguridad de la Informacin
cuando sean medidos y se acte sobre ellos.
KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo):
Indican, despus del hecho, si un determinado objetivo se ha
alcanzado.
Objetivos e indicadores
KGI
Nmero de incidentes que han afectado
a la imagen pblica
Hacer el
trabajo
Objetivo
Mantener la reputacin y
el liderazgo empresarial
KPI
Nmero de accesos no autorizados
en el ltimo mes
Actuar
Lo
alcanzaremos?
Lo hemos
alcanzamos?
El Cuadro de Mando Integral (BSC,
Balanced ScoreCard) presenta el
rendimiento desde cuatro
perspectivas.
Los KGI hacen referencia a las
vertientes financiera y del cliente,
dentro del BSC.
Los KPI se enfocan hacia el proceso
y la dimensin del aprendizaje.
Cuadro de Mando Integral TIC
Financiera
Qu objetivos
financieros se deben
alcanzar
Cliente
Qu necesidades
del cliente deben
ser servidas
Aprendizaje
Cmo debe
aprender e innovar
la Organizacin
Interna
En qu
procesos internos
debe
distinguirse la Organizacin
Cuadro de Mando Integral. Un ejemplo
Perspectiva del cliente
Implantar la nueva
infraestructura de red
Perspectiva Financiera
Perspectiva Interna
Objetivos de negocio / Preocupaciones de TI
KGI KGI KPI
KGI Objetivo de TI
Mayor direccin al neg.
KGI
KPI
Aprender e innovar
Reducir el nmero de
interrupciones
causadas por errores
de gestin de
cambios.
Reducir el nmero de
soluciones de emergencia.
Reducir el trabajo adicional
causado por
especificaciones de
cambio inadecuadas.
Reducir el tiempo y
esfuerzo requeridos
para hacer cambios.
Formacin
completada en cuatro
(4) meses.
KGI
KPI
KPI
PROCESO DE AUDITORA
ADQUIRIR EVALUAR VALORAR JUSTIFICAR
Las directrices de auditora de COBIT Orientan en la preparacin
de programas de auditora, a travs de una estructura comnmente
aceptada del PROCESO de AUDITORA
basada en:
[ADQUIRIR] conocimiento, a travs de:
- entrevistando
- obteniendo
[EVALUAR] la conveniencia de los controles establecidos:
- considerando
[VALORAR] la suficiencia:
- probando que
[JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen:
- ejecutando
- identificando
Camino hacia la implantacin
Una secuencia de
actividades para
construir un Gobierno
TIC sostenible en la
Organizacin
Nada
Nada
Concienciacin
Concienciacin
Anlisis de
Necesidades
Anlisis de
Necesidades
Anlisis
de
Brechas
Anlisis
de
Brechas
Proyectos de
Mejoramiento
Proyectos de
Mejoramiento
Evaluacin
Evaluacin
Desarrollar
organizacin
de Gobierno
de TI
Desarrollar
organizacin
de Gobierno
de TI
Actividad
Normal del
Negocio
Actividad
Normal del
Negocio
Un mapa de ruta genrico ayuda a las
organizaciones a disear los esfuerzos de
implementacin del Gobierno TIC
Camino hacia la implantacin (y II)
Una secuencia de
actividades para
construir un Gobierno
TIC sostenible en la
Organizacin
Qu debe
Entregar TIC?
Qu debe
Entregar TIC?
Existen
problemas?
Existen
problemas?
Qu es
critico?
Qu es
critico?
Qu se
est
olvidando?
Qu se
est
olvidando?
Qu lograr?
Qu lograr?
Ya lo hemos
arreglado?
Ya lo hemos
arreglado?
Cmo podemos
mantener el
control?
Cmo podemos
mantener el
control?
xito
xito
Un mapa de ruta genrico ayuda a las
organizaciones a disear los esfuerzos de
implementacin del Gobierno TIC
Hoja de Ruta de Implantacin Gobernanza TIC
IMPLEMENTAR LA
SOLUCIN
PLANEAR LA
SOLUCIN
PREVER LA
SOLUCIN
IDENTIFICAR
NECESIDADES
Fomentar la
conciencia y
obtener
compromiso
Analizar
metas del
negocio &
TI
Seleccionar
procesos y
controles
Definir el
desempeo
actual
Definir
objetivos de
mejora
Analizar
inconsistencias
e identificar
mejoras
Definir
proyectos
Desarrollar
un plan de
mejora
Implementar
las mejoras
Integrar
medidas en
el ITBSC
Revisin
Post
implementacin
Analizar
riesgos
CONSTRUIR
SOSTENIBILIDAD
Definir el
Alcance
Desarrollar
Estructura &
Procesos del
Gobierno de TI
Procesos de Negocio Asignacin de Responsables
Relacin Procesos de Negocio Objetivos de Negocio Objetivos de TI
Relacin Objetivos de TI Recursos y Atributos de TI
Evaluacin de Objetivos de TI por Criterios de Informacin y Recursos de TI
Mapa de Calor (Heat Map) de Procesos de TI -> Procesos de COBIT seleccionados
Anlisis de Riesgos de procesos TI
Mapa de Riesgos de Procesos de TI
Evaluacin de procesos por Madurez (Gap Anlisis)
Evaluacin y Anlisis de Recomendaciones
Proyectos basadas en la Recomendaciones
Prioridades y seleccin de proyectos (Quick Win)
Balance Scorecard TI (Indicadores y Mtricas)
FASES DE DESARROLLO
FASE 1. DEFINICIN Y PLANIFICACIN DEL PROYECTO.
FASE 2. CONOCIMIENTO DEL ENTORNO:
Anlisis de los objetivos del negocio.
Anlisis del control interno.
Anlisis de la estructura organizativa y de los procesos de negocio.
Anlisis de cumplimiento legal.
Implantacin de las Herramientas de Buen Gobierno
Anlisis de riesgos.
Anlisis de impacto en el negocio (BIA).
Anlisis de polticas y procedimientos.
FASE 3: DEFINICIN:
Gestin del riesgo.
Polticas y procedimientos.
Gestin de continuidad del negocio.
Plan de proyectos.
Plan de formacin.
Plan de comunicacin a los rganos rectores de la compaa.
Desarrollo del proyecto
FASES DE DESARROLLO
FASE 4. IMPLANTACIN:
Implantacin del plan de tratamiento del riesgo y de las medidas elegidas.
Formacin y concienciacin al personal.
Cuadro de mando (BSC)
Implantacin de mtricas y registros.
Implantacin de oficina de control interno.
FASE 5: REVISIN
Auditora del sistema.
Apoyo a la certificacin.
Desarrollo del proyecto
METODOLOGA EMPLEADA
COSO Committee of Sponsoring Organizations.
UNE ISO/IEC 27001:2005: certificacin de los SGSI
ISO/IEC 27002 : cdigo de buenas prcticas de seguridad.
UNE ISO/IEC 20000 Tecnologa de la informacin. Gestin del servicio.
ITIL V3
ISO38500 - COBIT / Val IT publicado por IT GOBERNANCE INSTITUTE:
Objetivos de control de informacin y tecnologas relacionadas.
ISO24762 - BUSSINES CONTINUITY MANAGEMENT GOOD PRACTICE
GUIDELINES (2006) publicado por THE BUSINESS CONTINUITY
INSTITUTE: gua de buenas prcticas de planes de continuidad del
negocio.
COSO-ERM , MAGERIT, NIST, UNE 71504 : metodologas de anlisis de
riesgos.
Metodologa
proponemos una metodologa para abarcar cada uno de los requisitos del
proyecto