COBIT 5.

Niveles de Capacidad
Desafío de formalización de procesos
Costos y Beneficios

A/P Cristina Borrazás, CISA, CRISC, PMP

 AGENDA

 Presentación del tema

 Contextualización Cobit 5
 Gestión de la Documentación
 Implementación
 Costos
 Beneficios

2014 © Copyright Stavros Moyal y Asociados

2
2014 © Copyright Stavros Moyal y Asociados
3
 Para que la Organización tenga éxito en satisfacer los
requerimientos del negocio, la dirección debe implementar un
sistema de control interno o un marco de trabajo

Cobit contribuye a esas necesidades

 Provee a las empresas de un marco de trabajo integral

que ayuda a alcanzar sus objetivos para el gobierno y la
gestión de TI
 Manteniendo el equilibrio entre:
 Generación de beneficios,
 Optimización de niveles de riesgo y
 Uso de recursos
2014 © Copyright Stavros Moyal y Asociados
4
Es un marco de trabajo basado
en Objetivos de Control para
la Información y la Tecnología
relacionada (COBIT®), que se
ilustra con un modelo de
procesos basado en las áreas
de responsabilidad de
planear, construir, ejecutar y
monitorear

2014 © Copyright Stavros Moyal y Asociados

5
 1.
Se basa en cinco Satisfacer
las
principios clave necesidades
de las
partes
interesadas
5. Separar el 2. Cubrir la
Gobierno de la Organización
Administración de forma
integral
Principios
de COBIT
5

4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado

2014 © Copyright Stavros Moyal y Asociados

Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados 6

 2014 © Copyright Stavros Moyal y Asociados

7
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
Gobierno
Dominios Procesos
 Evaluar, Orientar y Supervisar (EDM) 5

Gestión
Dominios Procesos
 Alinear, Planificar y Organizar (APO) 13
 Construir, Adquirir e Implementar (BAI) 10
 Entregar, dar Servicio y Soporte (DSS) 6
 Supervisar, Evaluar y Valorar (MEA) 3

2014 © Copyright Stavros Moyal y Asociados

8
 (Tomada por Cobit 5 como marco de referencia a la hora
del diagnóstico e implementación de los niveles de
capacidad de los procesos)

¿Porqué medir nuestros procesos en el marco de los niveles de

capacidad propuesto por esta norma?

 Disponer de un sistema de medición único aplicable a todos los

procesos de las empresa
 Medirnos con otras entidades externas bajo estándares
aprobados internacionalmente
 De acuerdo a las herramientas que provee diagnosticar en qué
nivel de capacidad está cada uno de los procesos y qué
debemos hacer para alcanzar el nivel de capacidad deseado
2014 © Copyright Stavros Moyal y Asociados
9
2014 © Copyright Stavros Moyal y Asociados
10
 El proceso está gestionado (planificado,
supervisado y ajustado), resultados
establecidos, controlados y mantenidos
apropiadamente
Nivel 3
Se recogen y analizan los datos para
demostrar su adecuación y eficacia, y
para evaluar donde hacer la mejora
continua del proceso

 La organización obtiene Nivel 1

los resultados esperados

2014 © Copyright Stavros Moyal y Asociados

11
2014 © Copyright Stavros Moyal y Asociados
12
 La documentación no tiene valor en sí misma

La documentación adquiere valor en tanto:

 Establece un lenguaje común de  Existe como soporte de un

intercambio y comunicación proceso o actividad del negocio
 Vehiculiza el entendimiento entre permitiendo que sea: definido,
los diferentes actores internos y repetible, medible, optimizable y
externos transferible

2014 © Copyright Stavros Moyal y Asociados

13
2014 © Copyright Stavros Moyal y Asociados
14
 El punto de partida NUNCA es CERO
Gestionar la documentación capitalizando lo existente

 Ordenar Apoyándose en marcos

 Estandarizar de referencia existentes
reconocidos, probados y
 Completar aprobados
 Actualizar

2014 © Copyright Stavros Moyal y Asociados

15
Si bien hay varias modos de gestionar la documentación, nosotros
proponemos trabajar con el marco de referencia que presenta la
UNIT en su diploma de Manuales y Documentos de Gestión

Por lo tanto proponemos implementar un Sistema de Gestión de

la Documentación que permita administrarla:
 De forma estándar
 De acuerdo a las necesidades del negocio
 Contemplando los requerimientos actuales
 Alineada con los objetivos a alcanzar
 Con la posibilidad de utilizar aplicativos específicos que
sin ser obligatorios su uso facilita la gestión
2014 © Copyright Stavros Moyal y Asociados
16
Marco de
estructura Ciclo de
Marco de
referencial Vida
estructura
referencial

 Definición  Planear
 Revisión  Construir
 Ejecutar
 Monitorear
2014 © Copyright Stavros Moyal y Asociados
17
Marco de estructura
referencial:

 Estándares a aplicar
(plantillas por tipo de
documento)

 Revisiones
 Caducidad

2014 © Copyright Stavros Moyal y Asociados

18
Marco de estructura referencial:
 Definir el lugar donde se guardará la documentación
 Cuál será el criterio de clasificación de la documentación
 Cómo se accederá a la documentación guardada

 Metodología de:
 Versionado
 Respaldos
 Revisiones
 Responsables

2014 © Copyright Stavros Moyal y Asociados

19
Planificar
• Nace junto con el proceso al que apoya
• Se consideran los recursos necesarios
• Se definen los responsables

Construir
 Se aplican las definiciones del marco de estructura referencial

2014 © Copyright Stavros Moyal y Asociados

20
Ejecutar
 Uso del documento
 Las políticas marcan los lineamientos
 Los procedimientos determinan la vida del proceso
 Los registros evidencian lo actuado

Monitorear
 Se puede dar
 En la dinámica de la ejecución
 Durante una revisión programada
 Contraste con la realidad cambiante

2014 © Copyright Stavros Moyal y Asociados

21
 Es recomendable realizarlo en forma gradual

Gradual desde dos enfoque igualmente importantes:

 Se recomienda comenzar por un número acotado de

áreas de la organización, para luego ir incorporando
gradualmente otras

 Se sugiere liberar la primera versión, aún cuando la

sepamos perfectible, para luego ir mejorando las
versiones sucesivas
2014 © Copyright Stavros Moyal y Asociados
22
Definir el alcance :
 ¿Qué áreas serán las primeras en implementar?
 ¿A qué nivel de capacidad se va a alinear la organización/área?

2014 © Copyright Stavros Moyal y Asociados

23
Tener en cuenta además que la documentación es un
activo de TI

Integrarla el inventario de activos

Determinar sus propietarios
Definir su criticidad de acuerdo a los tres
conceptos: Confidencialidad, Integridad y
Disponibilidad

Integrar el Análisis de Riesgos

2014 © Copyright Stavros Moyal y Asociados

24
Recursos necesarios para:

 la definición del marco de estructura referencial

 Horas Hombre
 Capacitación
 Asesoría
 Cumplir con el ciclo de vida
 Considerarlos en el ciclo de vida del proceso

 Utilizar los documentos definidos durante el ciclo de vida del

proceso

2014 © Copyright Stavros Moyal y Asociados

25
 Lenguaje común
 Dónde buscar
 Qué buscar
 Cómo interpretar
 Repetibilidad
 Trazabilidad
 Disolución de controversias
 Evidencia de lo actuado
 Independencia de actores
 Proyecciones, simulaciones, estadísticas
2014 © Copyright Stavros Moyal y Asociados
26
 Dar repuesta a las auditorías,
organismos reguladores
 Estar al nivel requerido para
acceder a las certificaciones
 Otros

2014 © Copyright Stavros Moyal y Asociados

27
 De acuerdo a nuestra experiencia podemos decir que los casos
exitosos en la implementación de un sistema de gestión de la
documentación han puesto foco en mayor o menor medida en:

 Contar con el Compromiso de la Dirección

 Considerar la documentación existente, tomándola como punto de partida
 Realizar un proceso gradual: en el alcance de la organización y grado de
madurez de la primera versión
 A la medida de la organización: recursos asignables, nivel de detalle
 Contar con el canal de aprobación definido/negociado de los
procedimientos que se van documentando
 Realizar Capacitación y Concientización de todos los involucrados

2014 © Copyright Stavros Moyal y Asociados

28
2014 © Copyright Stavros Moyal y Asociados
29
A/P Cristina Borrazás, CISA, CRISC, PMP
cristinaborrazas@moyal.com.uy

30