GOBIERNO CORPORATIVO TIC

Objetivos y Metodologa para su implantacin

AUREN
Francisco Rover 4 Entresuelo
07003 Palma Mallorca
Avda. General Pern, 38 3
28020 Madrid

GOBIERNO CORPORATIVO TIC

NDICE
1.
2.
3.
4.
5.
6.
6.
7.

Introduccin
Coso Internal Control Integrated Framework
Balance Scorecard Cumplimiento Legal
ISO 38500 - COBIT / ValIT
ISO 27000 ISO 20000 (ITIL V3) - ISO 24762
Metodologa.
Desarrollo del proyecto.
Fases de desarrollo del proyecto

ALGUNA INFORMACIN PERSONAL

Jos Manuel Ballester Fernndez
mballester@temanova.com
Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT
Consejero Delegado TEMANOVA
Socio ALINTEC
Director Estratgia Fundacin DINTEL
Director Postgrado Buen Gobierno Universidad Deusto
Director Ctedra Buen Gobierno Universidad Deusto
Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
Former President de ASIA / ISACA Madrid Chapter
CobiT Foundation Certificate
Certified Information Systems Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Governance Enterprise IT (CGEIT)
Accredited CobiT Trainer

Introduccin
Complejidad social
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones
que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o
terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier
sistema.

Texto men 2

Las organizaciones requieren una aproximacin estructurada para abordar stos y otros desafos.

Seguridad

Alineamiento de TI
con el Negocio

Valor/Costo

Administrar los
servicios de TI
Manejar
la complejidad

Cumplir con
requerimientos
regulativos

Introduccin
Gobierno Corporativo TIC es

AG
VA REG
LO A
R R

DEL
N
ICI PEO
MED
EM
DES

www.itgi.org

ADMINISTRACIN
DE LOS RECURSOS

Texto men 2

ADM
INI
STR
DEL ACIN
RIE
SG O

NCA
I
C I
EA TG
N
I A
AL TR
ES

Un conjunto de responsabilidades y
prcticas ejecutadas por la junta
directiva y la administracin ejecutiva
con el fin de proveer direccin
estratgica,
garantizando que los objetivos sean
alcanzados,
estableciendo que los riesgos son
administrados apropiadamente y
verificando que los recursos de la
empresa son usados
responsablemente.

Introduccin
Niveles de gobernanza
Gobernanza corporativa (COSO)
La provisin de la estructura que permita determinar los objetivos de la
Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
Gobernanza de SI

Gobernanza de la TIC ISO 38500 COBIT / Val IT

La especificacin del marco de derechos a la toma de decisiones y la alta responsabilidad
para favorecer un comportamiento deseable en el uso de las TIC.
MIT/Sloan School of Management (2004)

Gobernanza de TIC

Gobernanza
Corporativa

Niveles de Gobernanza

Texto men 2

No obstante, la Gobernanza no tiene que ver con qu decisiones son tomadas - eso
es Gestin -; sino que tiene que ver con quin toma las decisiones y con cmo se toman.

Gobernanza de la Seguridad de la Informacin y Tecnologas afines

El establecimiento y mantenimiento de un marco que provea garanta de que las
estrategias de seguridad de la informacin estn alineadas con los objetivos del negocio y
son conformes a las leyes y regulaciones aplicables
ISACA/CISM BoK (2002)

Introduccin
Marcos de Control
En la actualidad existe diferentes metodologas orientadas al control de las organizaciones, cada una de
ellas abarca diferentes mbitos, de forma que se complementan.

COSO Cumplimiento Legal

ISO38500 COBIT / Val IT

QUE

Texto men 2

ISO 20000
ITIL

CAMPO DE COBERTURA

ISO 24762

ISO 27000

COMO

Introduccin
Niveles de gobernanza

Directrices

Gobierno Corporativo

Balanced Scorecard

Texto men 2Procesos y Procedimientos

COSO

ISO38500 COBIT / Val IT

Gobierno de TI

Estndares de mejores prcticas

CONFORMIDAD
Basilea II, SarbanesOxley Act,LOPD, etc

DESEMPEO:
Metas del negocio

ISO
24762

Continuidad de
Negocio

ISO
27000

ISO
20000

Principios
de
Seguridad

ITIL

Coso Internal Control Integrated Framework

En 1992, COSO public el Sistema Integrado de Control Interno, un informe
que establece una definicin comn de control interno y proporciona un
estndar mediante el cual las organizaciones pueden evaluar y mejorar sus
sistemas de control.

Control Interno

OBJETIVOS DE COSO

Mejorar la calidad de la informacin financiera

concentrndose en el manejo corporativo, las normas ticas
y el control interno.
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el control
interno.

Coso Internal Control Integrated Framework

El Gobierno Corporativos incluye las
siguientes capacidades:

Alinear el riesgo aceptado y la estrategia

Mejorar las decisiones de respuesta a los riesgos.
Reducir las sorpresas y prdidas operativas
Identificar y gestionar la diversidad de riesgos para toda la entidad
Aprovechar las oportunidades
Mejorar la dotacin de capital

Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de

rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
Con el Gobierno Corporativo permite asegurar una informacin eficaz y el
cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.

Coso Internal Control Integrated Framework

Definicin de la Gobierno Corporativo
El Gobierno Corporativo es un proceso efectuado por el consejo de
administracin de una entidad, su direccin y restante personal,
aplicable a la definicin de estrategias en toda la empresa y diseado
para identificar eventos potenciales que puedan afectar a la
organizacin, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos.

El marco de Gobierno Corporativo est orientado a alcanzar

los objetivos de la entidad, que se pueden clasificar en cuatro
categoras:

Estrategia:

objetivos a alto nivel, alineados con la misin de la entidad y

dndole apoyo
Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos
Informacin: objetivos de fiabilidad de la informacin suministrada.
Cumplimiento: objetivos relativos al cumplimiento de leyes y normas
aplicables.

Componentes del Gobierno Corporativo

EL Gobierno Corporativo consta de ocho componentes relacionados
entre s, que se derivan de la manera en que la direccin conduce la
empresa y cmo estn integrados en el proceso de gestin.

Ambiente

interno: establece la base de cmo el personal de la entidad

percibe y trata los riesgos.
Establecimiento de objetivos: los objetivos deben de existir antes de que la
direccin pueda identificar potenciales eventos que puedan afectar a su
consecucin.
Identificacin de eventos: tanto internos como externos que afectan a los
objetivos de la entidad.
Evaluacin de riesgos: se analizan considerando su probabilidad e impacto
como base para determinar como deben de ser gestionados.
Respuesta al riesgo: las posibles respuestas evitar, aceptar, reducir o
compartir los riesgos.
Actividades de control: las polticas y procedimientos se establecen e
implantan para ayudar a asegurar que las respuestas a los riesgos son
eficaces.
Informacin y comunicacin: la informacin relevante se identifica, capta y
comunica para que el personal pueda afrontar sus responsabilidades.
Supervisin: la supervisin se lleva a cabo mediante actividades de la
direccin o evaluaciones independientes.

Componentes de la gestin de Buen Gobierno Corporativo

Coso Internal Control Integrated Framework

Funciones y responsabilidades
La Alta Gerencia es la responsable ltima del sistema de control. La integridad y la tica
deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los
gerentes que a su vez son los responsables en sus respectivas reas.
El Consejo de Administracin fija las pautas y la visin global del negocio. El Consejo
debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas
financieras, legales y de auditora interna.
La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y
permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica
adecuada.
Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar
el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de
trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los cdigos
de conducta, a las polticas establecidas o la legalidad de las acciones realizadas.

Coso Internal Control Integrated Framework

Evaluacin de riesgos

Determinacin de los

Objetivos.

Objetivos globales (tales como
la Misin).

Objetivos especficos de las
diversas actividades (por ej.
Produccin), estos subobjetivos medibles a travs de
metas deben ser coherentes.

Los objetivos deben ser:

Definidos de modo de

identificar los criterios para

medir el rendimiento y
establecer factores crticos de
xito (que pueden ser a nivel
de actividad o unidad
operacional).

Coherentes y compatibles.

Como ejemplo se puede
considerar: efectuar pagos
slo para compras
autorizadas, que los sistemas
informticos se encuentren
disponibles segn los
requerimientos del negocio,
etc.

Informacin y comunicacin

Debe asegurase que se obtenga

informacin de calidad y no meros

datos.

La informacin debe ser protegida
ya que se trata de un activo valioso.

Las vas de comunicacin interna
deben asegurar que el personal
conozca los elementos suficientes
para cumplir con su tarea.

Supervisin

Las actividades de supervisin

continua y evaluaciones puntuales.

Las deficiencias detectadas deben

ser oportunamente comunicadas.

Marcos Regulatorios del Buen Gobierno

Legislacin extranjera de implantacin en "branch offices".

Decisiones del Consejo Europeo (emergentes).

Pretender preparar un marco para el desarrollo nacional.

Agencias Gubernamentales:
AGPD.
Ministerio de Industria.
Ministerio del Interior.

Foros sectoriales:
Asociaciones Profesionales.
Basilea II

Utilidad del Cuadro de Mando Integral

BalancedScoredCard:
Lenguaje comn entre entornos diferentes.
Establecimiento de un mapa estratgico con
"dnde queremos estar".
Estudio del impacto de determinadas
acciones:
Seleccionar acciones.
Estudiar el impacto en el BSC.
Elaborar una regla.

 ISO/IEC 38500. Corporate Governance of IT

URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639

20

ISO/IEC 38500:2008
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologas de la informacin de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:

Generar

confianza en los stakeholders (empleados, clientes, proveedores,

socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organizacin.

Informar y guiar a la alta direccin en el gobierno TIC en su organizacin.

Proveer de bases para la evaluacin objetiva del Gobierno Corporativo TIC
ISO 38500

ISO/IEC 38500:2008
BENEFICIOS DE LA IMPLANTACIN DEL ESTNDAR:

Adecuada aplicacin y operacin de activos de TIC.

Asignacin de responsabilidades.
Continuidad del negocio
Sostenibilidad.
Alineacin de TIC con los objetivos del negocio.
Asignacin eficiente de recursos.
Innovacin en los servicios, los mercados y las empresas.
Mejora de imagen y reputacin en el mercado frente a los reguladores,
agentes sociales y con los stakeholders.

Optimizacin en los costes de una organizacin

Inversin efectiva en TIC.

Cumplimiento legal.
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
Con el Gobierno Corporativo permite asegurar una informacin eficaz y el
cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.

ISO38500

MODELO

ISO/IEC 38500:2008

La Norma establece los principios para el buen gobierno

corporativo de TIC:

Responsabilidad

Estrategia

Inversin

Rendicin de Resultados

Cumplimiento

Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar
estas tres tareas principales:

EVALUAR el uso actual y futuro de las TIC.

DIRIGIR la preparacin y ejecucin de planes

y polticas para
garantizar que el uso de TIC cumple los objetivos empresariales.

MONITORIZAR la conformidad con las polticas, y los resultados
de los planes.

 ISO/IEC 38500. Corporate Governance of IT

Independencia de las herramientas
Definicin clara del concepto y sus lmites
Identificacin de los destinatarios del mensaje
Sencillez del propio mensaje a travs de la proclamacin
de unos principios
25

 ISO/IEC 38500. Principios

Claro establecimiento de responsabilidades sobre las TIC
Planificacin de las TIC para un mejor soporte de la
organizacin
Adquisicin de TIC de forma vlida
Garanta de unas TIC que funcionan bien y cuando son
requeridas
Garanta de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
Garanta de unas TIC cuyo uso respeta los factores humanos

26

 ISO/IEC 38500. Cuestiones comprensibles

Los individuos de su organizacin entienden y aceptan su
responsabilidad sobre las TIC?
Sus planes tecnolgicos soportan los planes corporativos de su
organizacin y cubren las necesidades presentes y futuras de la misma?
Las adquisiciones de TIC se realizan por razones aprobadas y de la
forma aprobada?
Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad
de su organizacin?
Su marco TIC es conforme a regulaciones externas y/o internas?
Su entorno TIC cumple con las necesidades de la gente involucrada en
el proceso?

27

ISO38500 COBIT

Control Objetives for Information and Related Tecnology

Cales son sus
Responsabilidades?

Resumen Ejecutivo

Consejos de Administracin y
Altos Ejecutivos
Indicadores Clave de Rendimiento
Indicadores Clave de Objetivo
Modelos de Madurez

Directrices
de Gestin

Gerencias de Lnea y de TI
Qu es el Marco de
Referencia para la
Gobernanza de TI?

Cmo evaluarlo?

Como presentarlo e
implantarlo?

Profesionales de la Gobernanza, la Evaluacin de Garanta, el Control y la Seguridad

Marco de Referencia

Objetivos de Control
Prcticas de Control

Gua de
Evaluacin de Garanta de TI

Gua de Implantacin de
Gobernanza de TI

ISO38500 COBIT
MARCO DE REFERENCIA

La principal cualidad de CobiT es su orientacin hacia los

OBJETIVOS de la ACTIVIDAD de la Organizacin y cmo TIC
apoya su logro

ISO38500 COBIT
MARCO DE REFERENCIA EL CUBO DE COBIT

TI

INFRAESTRUCTURA

de

APLICACIONES

PROCESOS

PERSONAS

DOMINIOS

ACTIVIDADES

R
EC
U
R
SO

Conjunto estrucutrado de
PROCESOS de TI

D
AD
A
A
AD
D
IA
I
D
I
D
D
I
D
C
L
C
I
A
A
M
A
IL
IA
ID
D
C
EN OR
I
I
I
B
C
R
I
IL
N
G
N
EF FIC NF
B
E
E
O
A
D
T
E
P
O
FI
FI
IN
C
IS
N
D
O
C

INFORMACI
N
INFORMACI

REQUISITOS de la ORGANIZACIN
para la INFORMACIN

ISO38500 COBIT
El conjunto estructurado de 34 PROCESOS
[objetivos de control de alto nivel] se agrupa de forma
natural en 4 DOMINIOS.

OBJETIVOS DE CONTROL

[PO]

PLANIFICAR y ORGANIZAR

10 Procesos de TI

[AI]

ADQUIRIR e IMPLANTAR

07 Procesos de TI

[DS]

ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI

[ME]

MONITORIZAR y EVALUAR

04 Procesos de TI

ISO38500 COBIT
OBJETIVOS DE LA ENTIDAD
OBJETIVOS DE GOBIERNO CORPORATIVO

Todos los procesos han de evaluarse

peridicamente para verificar su
calidad y suficiencia en cuanto a
los requisitos de control.

Cubre las estrategias y las

tcticas para identificar la
forma en la que la TI puede
contribuir de la mejor
manera al logro de los
objetivos de la
Organizacin.

MARCO DE REFERENCIA

O B I

T
INFORMACION

Advierte a la Direccin sobre la

necesidad de garantizar
procesos de control
independientes (auditoras).

Integridad

Eficiencia
Eficacia
Conformidad

Disponibilidad
Confidencialidad

Fiabilidad
PLANIFICAR
Y

MONITORIZAR
Y
EVALUAR

Trata la entrega o la prestacin de

los servicios requeridos desde las operaciones
tradicionales, hasta la
formacin; pasando por la
seguridad en los sistemas y
las continuidad de las
operaciones -.
Debern establecerse los procesos
necesarios para la provisin
de los servicios.

RECURSOS
DE
TI

OBJETIVOS DE CONTROL

ORGANIZAR

Personas
Aplicaciones
Infraestructura
Informacin
ENTREGAR
Y

ADQUIRIR
E

SOPORTAR

IMPLANTAR

La consecucin de la visin
estratgica debe planearse,
comunicarse y gestionarse
desde diferentes
perspectivas.
Es necesario establecer una
organizacin e
infraestructura tecnolgica
apropiada.

Para llevar a cabo la estrategia de

TI, stas deben identificarse,
construirse o adquirirse,
implantndose e
integrndose en el proceso
de la Organizacin.
Contempla, asimismo, los cambios
y mantenimiento de
sistemas existentes, para
garantizar su continuidad.

ISO38500 COBIT
OBJETIVOS DE LA ENTIDAD
OBJETIVOS DE GOBIERNO CORPORATIVO

ME1
ME2
ME3

ME4

Monitorear y Evaluar el
desempeo de TI.
Monitorear y Evaluar el
control interno.
Garantizar el
cumplimiento
regulatorio.
Proveer Gobierno de TI.

MARCO DE REFERENCIA

O B I

T
INFORMACION
Integridad

Eficiencia
Eficacia
Conformidad

Disponibilidad
Confidencialidad

Fiabilidad

DS1 Definir y administrar niveles

de servicio.
DS2 Administrar servicios de
terceros.
DS3 Administrar desempeo y
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de
apoyo e incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente
fsico.
DS13 Administrar operaciones.

PLANIFICAR
Y

MONITORIZAR
Y
EVALUAR

RECURSOS
DE
TI

ORGANIZAR

Personas
Aplicaciones
Infraestructura
Informacin
ENTREGAR
Y

ADQUIRIR
E

SOPORTAR

IMPLANTAR

OBJETIVOS DE CONTROL
PO1 Definir un plan estratgico
de TI.
PO2 Definir la arquitectura de
informacin.
PO3 Determinar la direccin
tecnolgica.
PO4 Definir los procesos de TI,
la organizacin y sus
relaciones.
PO5 Administrar las inversiones
en TI.
PO6 Comunicar la direccin y
objetivos de la gerencia.
PO7 Administrar los recursos
humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar
riesgos de TI.
PO10 Administrar proyectos.

AI1 Identificar soluciones de

automatizacin.
AI2 Adquirir y mantener
software de aplicacin.
AI3 Adquirir y mantener la
infraestructura tecnolgica.
AI4 Permitir la operacin y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar
soluciones y cambios.

ISO38500 COBIT
DIRECTRICES DE GESTIN

Entradas y Salidas del Proceso

Actividades y Matriz RACI

Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades

KGI - Indicadores clave de objetivos

KPI - Indicadores clave de rendimiento

ISO 38500 COBIT

DIRECTRICES DE GESTIN. MODELOS DE MADUREZ

Val IT y CobiT, complementarios; dos planos distintos

Val IT ofrece un marco complementario al de CobiT; pero con un enfoque

estratgico y de gobernanza, al ms alto nivel.

Procesos y prcticas clave de Gobernanza de Valor

Val IT consta de tres (3) PROCESOS,

soportados en un total de cuarenta (40) PRCTICAS clave de gobernanza

ISO 20000 - ITIL V3

Gestin y Calidad del Servicio TIC

ISO27000
Gestin y Seguridad TIC

ISO/IEC 17799:2005, Code of Practice for Information Security Management

Ao:

2005 (primera edicin, 2000)

Editor:

International Organization for Standardization (ISO)

URL:

http://www.iso.ch

11 reas de Control
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad

Continuidad de Negocio

Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC

Estrategia
Empresarial

Objetivos de
la Entidad

Metas de
TIC

Arquitectura
Empresarial
TIC

Cuadro de
Mando Integral
TIC

RECURSOS DE TI

requieren

aportan

Requisitos de
Gobierno Corp.

Requisitos de la
Organizacin
Servicios de
Informacin
implican

Informacin

influencian

ejecutan

Procesos TIC

Aplicaciones

Criterios de
Informacin
necesitan

Objetivos de la Entidad

Infraestructura y
Gente

Arquitectura Empresarial para TIC

Objetivos e indicadores
Objetivo
Mantener la reputacin y
el liderazgo empresarial

KPI (Key Performance Indicator / Indicador Clave de Rendimiento):

Indican cmo se est desarrollando el proceso, cul est

Lo
alcanzaremos?

siendo su comportamiento.
Predicen la probabilidad es xito o fracaso en el futuro. Son
Hacer el
trabajo

indicadores gua.

Actuar

KPI

Ayudarn a mejorar el proceso de Seguridad de la Informacin

Nmero de accesos no autorizados

en el ltimo mes

cuando sean medidos y se acte sobre ellos.

KGI
Nmero de incidentes que han afectado
a la imagen pblica
Lo hemos
alcanzamos?

KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo):

Indican, despus del hecho, si un determinado objetivo se ha

alcanzado.

Cuadro de Mando Integral TIC

Financiera

Qu objetivos
financieros se deben
alcanzar

El Cuadro de Mando Integral (BSC,

Balanced ScoreCard)

presenta el

rendimiento desde cuatro

Interna

Cliente

En qu
procesos internos
debe
distinguirse la Organizacin

Qu necesidades
del cliente deben
ser servidas

perspectivas.

Los KGI hacen referencia a las

vertientes financiera y del cliente,
dentro del BSC.

Aprendizaje
Cmo debe
aprender e innovar
la Organizacin

Los KPI se enfocan hacia el proceso

y la dimensin del aprendizaje.

Cuadro de Mando Integral. Un ejemplo

Perspectiva Financiera
KGI

KPI

Reducir el tiempo y
esfuerzo requeridos
para hacer cambios.

Perspectiva del cliente

KGI

Reducir el nmero de
interrupciones
causadas por errores
de gestin de
cambios.

KPI

Objetivos de negocio / Preocupaciones de TI

KGI
Objetivo de TI
Mayor direccin al neg. Implantar la nueva
infraestructura de red

Aprender e innovar
KGI

KPI

Formacin
completada en cuatro
(4) meses.

Perspectiva Interna
KGI

KPI

Reducir el nmero de
soluciones de emergencia.
Reducir el trabajo adicional
causado por
especificaciones de
cambio inadecuadas.

Las directrices de auditora de COBIT Orientan en la preparacin

de programas de auditora, a travs de una estructura comnmente
aceptada del PROCESO de AUDITORA

ADQUIRIR

EVALUAR

VALORAR

PROCESO DE AUDITORA

JUSTIFICAR

basada en:
[ADQUIRIR] conocimiento, a travs de:
- entrevistando
- obteniendo
[EVALUAR] la conveniencia de los controles establecidos:
- considerando
[VALORAR] la suficiencia:
- probando que
[JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen:
- ejecutando
- identificando

Camino hacia la implantacin

Una secuencia de
actividades para
construir un Gobierno
TIC sostenible en la
Organizacin

Desarrollar
Desarrollar
organizacin
organizacin
de Gobierno
de Gobierno
de TI
de TI

Actividad
Actividad
Normal del
Normal del
Negocio
Negocio

Evaluacin
Evaluacin

Proyectos de
Proyectos de
Mejoramiento
Mejoramiento

Anlisis
Anlisis
de
de
Brechas
Brechas
Anlisis de
Anlisis de
Necesidades
Necesidades
Concienciacin
Concienciacin

Nada
Nada

Un mapa de ruta genrico ayuda a las

organizaciones a disear los esfuerzos de
implementacin del Gobierno TIC

Camino hacia la implantacin (y II)

xito
xito

Una secuencia de
actividades para
construir un Gobierno
TIC sostenible en la
Organizacin

Cmo podemos
Cmo podemos
mantener el
mantener el
control?
control?
Ya lo hemos
Ya lo hemos
arreglado?
arreglado?
Qu lograr?
Qu lograr?

Qu se
Qu se
est
est
olvidando?
olvidando?

Qu es
Qu es
critico?
critico?
Existen
Existen
problemas?
problemas?
Qu debe
Qu debe
Entregar TIC?
Entregar TIC?

Un mapa de ruta genrico ayuda a las

organizaciones a disear los esfuerzos de
implementacin del Gobierno TIC

Hoja de Ruta de Implantacin Gobernanza TIC

IDENTIFICAR
NECESIDADES

Analizar
metas del
negocio &
TI

Fomentar la
conciencia y
obtener
compromiso

PREVER LA
SOLUCIN

Seleccionar
procesos y
controles

Definir el
desempeo
actual

Analizar
riesgos

Definir
objetivos de
mejora

Definir el
Alcance

Analizar
inconsistencias
e identificar
mejoras

PLANEAR LA
SOLUCIN
Definir
proyectos

IMPLEMENTAR LA
SOLUCIN

Desarrollar
un plan de
mejora

Implementar
las mejoras

CONSTRUIR
SOSTENIBILIDAD

Integrar
medidas en
el ITBSC

Desarrollar
Estructura &
Procesos del
Gobierno de TI

Revisin
Post
implementacin

Procesos de Negocio Asignacin de Responsables

Relacin Procesos de Negocio Objetivos de Negocio Objetivos de TI

Relacin Objetivos de TI Recursos y Atributos de TI

Evaluacin de Objetivos de TI por Criterios de Informacin y Recursos de TI

Mapa de Calor (Heat Map) de Procesos de TI -> Procesos de COBIT seleccionados

Anlisis de Riesgos de procesos TI

Mapa de Riesgos de Procesos de TI

Evaluacin de procesos por Madurez (Gap Anlisis)

Evaluacin y Anlisis de Recomendaciones

Proyectos basadas en la Recomendaciones

Prioridades y seleccin de proyectos (Quick Win)

Balance Scorecard TI (Indicadores y Mtricas)

Desarrollo del proyecto

FASES DE DESARROLLO
FASE 1. DEFINICIN Y PLANIFICACIN DEL PROYECTO.
FASE 2. CONOCIMIENTO DEL ENTORNO:

Anlisis de los objetivos del negocio.

Anlisis del control interno.

Anlisis de la estructura organizativa y de los procesos de negocio.

Anlisis de cumplimiento legal.

Implantacin de las Herramientas de Buen Gobierno

Anlisis de riesgos.

Anlisis de impacto en el negocio (BIA).

Anlisis de polticas y procedimientos.
FASE 3: DEFINICIN:

Gestin del riesgo.

Polticas y procedimientos.

Gestin de continuidad del negocio.

Plan de proyectos.

Plan de formacin.

Plan de comunicacin a los rganos rectores de la compaa.

Desarrollo del proyecto

FASES DE DESARROLLO
FASE 4. IMPLANTACIN:

Implantacin del plan de tratamiento del riesgo y de las medidas elegidas.

Formacin y concienciacin al personal.

Cuadro de mando (BSC)

Implantacin de mtricas y registros.

Implantacin de oficina de control interno.
FASE 5: REVISIN

Auditora del sistema.

Apoyo a la certificacin.

Metodologa
METODOLOGA EMPLEADA

proponemos una metodologa para abarcar cada uno de los requisitos del
proyecto

COSO Committee of Sponsoring Organizations.

UNE ISO/IEC 27001:2005: certificacin de los SGSI

ISO/IEC 27002 : cdigo de buenas prcticas de seguridad.

UNE ISO/IEC 20000 Tecnologa de la informacin. Gestin del servicio.

ITIL V3

ISO38500 - COBIT / Val IT publicado por IT GOBERNANCE INSTITUTE:
Objetivos de control de informacin y tecnologas relacionadas.

ISO24762 - BUSSINES CONTINUITY MANAGEMENT GOOD PRACTICE
GUIDELINES (2006) publicado por THE BUSINESS CONTINUITY
INSTITUTE: gua de buenas prcticas de planes de continuidad del
negocio.

COSO-ERM , MAGERIT, NIST, UNE 71504 : metodologas de anlisis de
riesgos.