(PD) Presentaciones - Cobit en TI

Cobit Un estndar Global
en Tecnologa de Informacin (TI)

Lucio Augusto Molina Focazzio Certified Information Systems Auditor, CISA
1 Derechos reservados Lucio Augusto Molina Focazzio
Agenda
Introduccin Problemtica Cmo reducir el problema Cobit introduccin Objetivos de Control en los procesos de TI Directrices Gerenciales Cmo utilizar Cobit Estrategias para la implementacin de Cobit Conclusiones
Agenda
Introduccin Problemtica
Derechos reservados Lucio Augusto Molina Focazzio
Nuevo ambiente de negocios

Competencia global sin proteccionismo Mayor poder de negociacin de clientes y proveedores Encarecimiento de recursos Demanda de valor agregado Exigencia de mayor velocidad en servicios Adelgazamiento de mrgenes de utilidad Nuevas oportunidades de negocios internacionales
Que hay en la mente de los directores......

Utilidades Competencia Tipos de cambio Productividad Clientes Proveedores Costos Proteccin del patrimonio Crecimiento Acreedores Impuestos Accionistas Nuevos mercados
Respuesta de la administracin
Aseguramiento de Calidad Reingeniera (orientacin a procesos)
Mejoramiento enfocado Rediseo procesos
Innovacin
Administracin del cambio cultural Medicin del desempeo Costeo basado en actividades (ABC)
Espectativas de la Gerencia
Right Sizing (Organizacines altamente competitivas) Procesamiento Distribuido Organizaciones aplanadas Outsourcing
El rol de la tecnologa de informacin

Como habilitador de las mejoras derivadas de reingeniera Por el valor de la informacin para las empresas Por el empleo competitivo de la tecnologa de informacin Como piedra angular en iniciativas de:
Incremento de velocidad en operaciones
Incremento de la calidad del servicio

Reduccin de los costos de operacin
Responsabilidades del rea de TI

Salvaguarda de los activos
La informacin es el activo ms valioso
Una relacin de dependencia
RIESGOS
Nivel de dependencia
A mayor utilizacin mayor dependencia en TI y mayores riesgos..
Nivel de utilizacin de TI
Cual es la realidad
Expectativas de las Empresas
BRECHA
Nivel
Capacidad de TI (resultados)
Tiempo
Los proyectos de TI
Proyectos que no terminan a tiempo Proyectos que exceden su presupuesto Proyectos que nunca se concluyen Proyectos que se concluyen y nunca son utilizados Proyectos que no satisfacen las expectativas de los usuarios Proyectos que son un prodigio tecnolgico pero nada que ver con las necesidades de negocio
12
Origen del Problema

100
80
60
40
20 0
Recursos dedicados
13
Impacto de errores
La efectividad de TI
Entonces, me dijo que la pantalla la quera con o sin la ventanita de Windows?
Competencia
YO
14
Insatisfaccin con los Sistemas de Inf.

71 77 84 65 66 84 67 73 82 36 52 71
90 80 70
60 50 40 30 20 10 0
1998 1999 2000
Fuente: Encuesta anual 500 empresas.
A B C D A. Falta de acceso a informacin gerencial B. Dificultad para modificarse C. Falta de respuesta a nuevas necesidades de negocio D. Inconsistentes con nuevas tecnologas
Agenda
Introduccin Problemtica Cmo reducir el problema
16
Control interno
Es un conjunto de elementos de administracin Incluye estructuras, procedimientos, polticas, personas, etc. Apoya el logro de metas y objetivos de negocio Evita la ocurrencia de eventos negativos
17
Control Interno
Conjunto de procesos, funciones, actividades, subsistemas y personas que se encuentran agrupados o segregados conscientemente para asegurar el logro efectivo de metas y objetivos.
Instituto Norteamericano de Auditores Internos
18
Control Interno
Proceso establecido por el Consejo de Direccin, la Administracin y otro personal de una empresa, designado para proporcionar certeza razonable sobre el cumplimiento de objetivos en las siguientes categoras: Efectividad y eficiencia de las operaciones; Confiabilidad de informacin financiera y Cumplimiento con leyes y regulaciones aplicables
Committee of Sponsoring Organizations of the Treadway Comission (COSO)
19
Control Interno
Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proporcionar una certeza razonable de que los objetivos de negocio sern alcanzados y que eventos indeseables sern prevenidos o detectados y corregidos.
ISACA Governance, Control Objectives for Information and Related Technology (CobiT)
ISACA: Information Systems Audit and Control Association
20
Objetivo de Control
Es una sentencia de los resultados esperados o propsitos que se desea alcanzar mediante la implementacin de controles y procedimientos en una actividad en particular.
ISACA -Control Objectives for Information and Related Technology (CobiT)
21
Apoyo a los objetivos de negocio

Crecimiento Institucional
Rentabilidad Imagen Posicionamiento Competitivo
EMPRESA
Calidad
Productos o Servicios Productividad Clientes
RH
Impacto en la comunidad
22
Agenda
Introduccin Problemtica Cmo reducir el problema Cobit introduccin
23
COBIT
Un estndar global
COBIT sus antecedentes

La comunidad de profesionales relacionados con TI mostr preocupacin por la falta de una gua estndar sobre control en TI, que sirviera para diferentes grupos de inters La ISACF, como rgano que agrupa a profesionales de distintas reas de actuacin interesadas en el control de TI se di a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia
ISACF Information Systems Audit and Control Foundation
25

Integra y concilia normas y reglamentaciones existentes Estndares tcnicos de ISO, EDIFACT Cdigos de conducta Consejo Europeo, OECD Criterios de calificacin para sistemas y procesos ITSEC, ISO 9000-3, TCSEC Estndares profesionales COSO, GAO, IFAC, IIA, ISACA, AICPA, etc

Integra y concilia normas y reglamentaciones existentes Prcticas y requerimientos de la Industria ESF-4 Requerimientos gubernamentales IBAG, NIST, DTI Requerimientos especficos de nuevas tendencias E-banking, EDI, Comercio Electrnico
27
COBIT su definicin
C OB I T
28
Control OBjectives for Information and Related Technology

COBIT su definicin
COBIT es en realidad un acrnimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la informacin y las tecnologas relacionadas).
29
COBIT su definicin
Ahora COBIT es: Governance indica que el Cobit tambin incluye directrices gerenciales
Control and
Audit for Information and Related Technology
COBIT su misin
Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnologa de informacin generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.
31
COBIT sus usuarios

La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas Los usuarios de TI pueden obtener una garanta sobre la seguridad y el control de productos adquiridos en forma externa Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa Los responsables de TI pueden identificar los controles que requieren establecer en su rea
32
COBIT sus caractersticas

Orientacin al negocio Alineacin con estndares y regulaciones de jure y de facto Basado en una revisin critica de tareas y actividades en tecnologa de informacin. Alineamiento con estndares de control y auditora: COSO, IFAC, IIA, ISACA, AICPA
33
COBIT Marco referencial

Orientado a los controles Alineando objetivos de control especficos con estndares, regulaciones y prcticas existentes en la Organizacin Utilizado por la Administracin, los Auditores y los usuarios
34
COBIT los productos

Resumen ejecutivo Para la Alta Gerencia Marco referencial (framework) Para los gerentes de Sistemas y Auditores de Sistemas Objetivos de control Para la Gerencia media Guas de auditora Para los Auditores de Sistemas Directrices Gereciales Para la alta Direccin
35
Resumen Ejecutivo
Estructura
Resumen con Objetivos de Control de Alto Nivel
COBIT
Herramientas de Implementacin
Resumen Ejecutivo Estudio de casos FAQs Presentaciones en Power point Guas de Implementacin
+ Diagnstico de la Administracin + Diagnstico de Control en TI
Directrices Gerenciales
Objetivos de Control detallados
Guas de Auditora
Factores Crticos de xito

36
Indicadores clave de desempeo

Ind. clave por Objetivo
COBIT Resumen ejecutivo

El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura bsica de COBIT. Hace un descripcin general de los procesos, los recursos y los criterios de informacin que determinan la columna vertebral de COBIT.
37
COBIT Marco referencial

El marco referencial incluye la introduccin presentada en el resumen ejecutivo, presentando las guas de navegacin que orientan al lector en la exploracin del material de COBIT. El Marco Referencial hace una presentacin ms detallada de los objetivos de control de alto nivel para los cuatro dominios.
38
COBIT Objetivos de Control

Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel.
39
COBIT Guas de Auditora

Las guas de auditra tambin incorporan el resumen ejecutivo y el marco referencial. Hacen una presentacin del proceso generalmente aceptado de auditora (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos). Algunas son Guas genricas que identifican varias tareas que se realizan en el anlisis de cualquier proceso dentro de un objetivo de control Otras son tareas orientadas a procesos especficos para proveer a la Gerencia la seguridad que los controles funcionan
40
COBIT Directrices Gerenciales

Dirigidas a la Alta gerencia Genricas y orientadas a la accin con el propsito de responder las siguientes preguntas: Qu tan lejos debemos ir y el costo estar justificado por el beneficio? Cules son los indicadores de mejor rendimiento? Cules son los factores Crticos de xito? Cuales son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar?
41
La Gerencia necesita COBIT

Tomar decisiones relacionadas con la inversin en TI Balancear los riesgos y los controles de las inversiones en TI Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnologa vipersonas y futuro
42
Los usuarios necesitan COBIT

Obtener garanta del retorno de inversin sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente.
43
Los Auditores necesitan COBIT

Soportar ante la Gerencia la opinin sobre los controles internos. Preguntarse y responder: cules son los controles mnimos necesarios?
44
Principios de la Infraestructura
E V E N T O S
PERSONAS OBJETOS
Datos
Sistemas de Aplicacin
mensaje entrada
TECNOLOGIA INSTALACIONES PERSONAS
servicio salida
I N F O R M A C I O N
45
Marco referencial
PROCESOS DE NEGOCIO
Criterios
INFORMACION
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
RECURSOS DE TI
46 datos sistemas de aplicacin tecnologa instalaciones personas
Concuerdan ?
PROCESOS DE NEGOCIO
Criterios efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
En resumen ..
INFORMACION
COBIT
RECURSOS DE TI
datos sistemas de aplicacin tecnologa instalaciones personas
PLANEACON Y ORGANIZACION
MONITOREO ADQUISICION E IMPLEMENTACION
PRESTACION DE SERVICIOS Y SOPORTE

Procesos de TI y sus dominios
Monitoreo del procesos Obtencin de aseguramiento independiente
RECURSOS DE TI

Definicin de un Plan Estratgico de Tecnologa de Informacin Definicin de la Arquitectura de Informacin Determinacin de la direccin tecnolgica Definicin de la Organizacin y de las Relaciones de TI Manejo de la Inversin en Tecnologa de Informacin Comunicacin de la direccin y aspiraciones de la gerencia Administracin de Recursos Humanos Aseguramiento del Cumplimiento de Requerimientos Externos Evaluacin de Riesgos Administracin de proyectos Administracin de Calidad
datos sistemas de aplicacin tecnologa instalaciones personas
PLANEACON Y ORGANIZACION
MONITOREO ADQUISICION E IMPLEMENTACION
Definicin de Niveles de Servicio Administracin de Servicios prestados por Terceros Administracin de Desempeo y Capacidad Aseguramiento de Servicio Continuo Garantizar la Seguridad de Sistemas Identificacin y Asignacin de Costos Educacin y Entrenamiento de Usuarios Apoyo y Asistencia a los Clientes de Tecnologa de Informacin Administracin de la Configuracin Administracin de Problemas e Incidentes Administracin de Datos Administracin de Instalaciones Administracin de Operaciones
PRESTACION DE SERVICIOS Y SOPORTE

Identificacin de Soluciones Adquisicin y Mantenimiento de Software de Aplicacin Adquisicin y Mantenimiento de Arquitectura de Tecnologa Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin Instalacin y Acreditacin de Sistemas Administracin de Cambios
48
El Cubo de COBIT
Criterios de informacin
Relaciones vs componentes
Dominios Procesos de TI
Procesos
Actividades
49
Estructura de COBIT
El control de
Proceso de TI
Que satisface Es habilitado por
Requerimiento de Negocio
Declaracin de Control
Considerando
Prcticas de control
50
Ayudas de Navegacin
S
Criterios de Informacin Dominios de TI
P
Planeacin y Organizacin
Adquisicin e Implementacin
Prestacin de servicios y soporte
Tres puntos de posicin
Ayudas de Navegacin
Monitoreo
51
Como se relacionan
Recursos de TI Datos Sistemas de Informacin Tecnologa Instalaciones Recursos humanos Procesos de trabajo Planeacin y organizacin Adquisicin e implementacin Prestacin de servicios y soporte Monitoreo Requerimientos de negocio Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la informacin
52
Recursos
Sistemas de informacin
Tecnologa Datos Instalaciones personas
Efectividad Eficiencia Confidencialidad Integridad

El proceso de planeacin debe tomar en consideracin los requerimientos de integridad de datos
Requerimientos
Disponibilidad
Cumplimiento
Confiabilidad de la informacin
Monitoreo Prestacin de servicio y soporte Adquisicin e implementacin
Planeacin y organizacin
Recursos de TI
Datos: Incluye a los objetos de informacin en su sentido ms amplio, considerando informacin interna y externa, estructurada y no estructurada, grficas, sonidos, etc. Sistemas: Este concepto se entiende como los sistemas de informacin (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnologa)
Tecnologa: Incluye hardware (equipos), sistemas operativos, sistemas de administracin de bases de datos, de redes y de telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de informacin.
54
Procesos de TI
Dominios
Agrupacin natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional
Procesos
Series de actividades unidas con cortes naturales de control.
Actividades o tareas
55
Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas.
Dominios
Planeacin y Organizacin - Planning and organization Adquisicin e Implementacin - Acquisition and implementation Prestacin de Servicios y Soporte - Delivery and support Monitoreo - Monitoring -
56
Procesos
Planeacin y Organizacin
Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la Direccin tecnolgica Definir la Organizacin y las Relaciones con TI Administrar la Inversin en Tecnologa de Informacin Comunicar la Direccin y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad
57
Procesos
Adquisicin e Implementacin:
Identificar Soluciones Adquirir y Mantener Software de Aplicacin Adquirir y Mantener la Arquitectura de Tecnologa
Desarrollar
y Mantener Procedimientos relacionados con Tecnologa de Informacin Instalar y Acreditar Sistemas Administrar Cambios
58
Prestacin de Servicios y Soporte:

Procesos
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnologa de Informacin Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
Procesos
Monitoreo:
Monitorear el proceso Obtener aseguramiento independiente
60
Objetivos de control
3. Prestacin de servicio y soporte (dominio) DS.2 Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea).
Objetivo de control: La gerencia debe definir procedimientos especficos para asegurar que un contrato formal sea definido y acordado para cada relacin de servicios con un proveedor.
61
Objetivos de Control
Encadena los procesos a los Objetivos de Control
Controles sobre los procesos de TI sobre el establecimiento
de un Plan Estratgico de Sistemas Que satisfacen los requerimientos del negocio establecidos para lograr un balance ptimo entre las oportunidades de TI y los requerimientos del negocio as como asegurar su cumplimiento Teniendo en consideracin la definicin de los objetivos del negocio y las necesidades de TI
62
Requerimientos de negocio
Efectividad: Se refiere a que la informacin debe ser relevante y pertinente para los procesos de negocio as como ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se refiere a proveer informacin mediante el empleo ptimo (la forma ms productiva y econmica) de recursos. Confidencialidad: Se refiere a la proteccin de informacin sensitiva contra divulgacin no autorizada. Integridad: Se refiere a lo exacto y completo de la informacin as como a su validez de acuerdo a los valores y expectativas de la empresa
63
Requerimientos de negocio
Disponibilidad: Se refiere a la accesibilidad a la informacin cuando sea requerida por los procesos de negocio ahora y en el futuro. Tambin se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos. Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa Confiabilidad de la informacin: Se refiere a proveer la informacin apropiada para que la administracin maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas.
64
Como se relacionan los elementos

Recursos de TI Procesos de trabajo Requerimientos de negocio
Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos controles no sean efectivos los requerimientos de negocio se vern afectados
66

(PD) Presentaciones - Cobit en TI

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

(PD) Presentaciones - Cobit en TI

Încărcat de

Drepturi de autor:

Formate disponibile

Cobit Un estndar Global

en Tecnologa de Informacin (TI)

Derechos reservados Lucio Augusto Molina Focazzio

Nuevo ambiente de negocios

Derechos reservados Lucio Augusto Molina Focazzio

Que hay en la mente de los directores......

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

El rol de la tecnologa de informacin

Incremento de la calidad del servicio

Derechos reservados Lucio Augusto Molina Focazzio

Responsabilidades del rea de TI

Derechos reservados Lucio Augusto Molina Focazzio

Una relacin de dependencia

Derechos reservados Lucio Augusto Molina Focazzio

Origen del Problema

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

Insatisfaccin con los Sistemas de Inf.

1998 1999 2000

Fuente: Encuesta anual 500 empresas.

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

ISACA: Information Systems Audit and Control Association

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

Apoyo a los objetivos de negocio

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

COBIT sus antecedentes

Derechos reservados Lucio Augusto Molina Focazzio

COBIT sus antecedentes

COBIT sus antecedentes

Derechos reservados Lucio Augusto Molina Focazzio

Control OBjectives for Information and Related Technology

Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio

COBIT sus usuarios

Derechos reservados Lucio Augusto Molina Focazzio

COBIT sus caractersticas

Derechos reservados Lucio Augusto Molina Focazzio

COBIT Marco referencial

Derechos reservados Lucio Augusto Molina Focazzio

COBIT los productos

Derechos reservados Lucio Augusto Molina Focazzio

Objetivos de Control detallados

Factores Crticos de xito

Indicadores clave de desempeo

Ind. clave por Objetivo

COBIT Resumen ejecutivo

Derechos reservados Lucio Augusto Molina Focazzio

COBIT Marco referencial

Derechos reservados Lucio Augusto Molina Focazzio

COBIT Objetivos de Control

Derechos reservados Lucio Augusto Molina Focazzio

COBIT Guas de Auditora

Derechos reservados Lucio Augusto Molina Focazzio

COBIT Directrices Gerenciales

Derechos reservados Lucio Augusto Molina Focazzio

La Gerencia necesita COBIT