Quito - Ecuador

XII Congreso
Latinoamericano de
Auditora Interna

Auditora en Tecnologa de Informacin

Banco HSBC Costa Rica

CobiT Accredited Trainer

Tatiana Sancho Vargas

Implementacin de Gobierno de TI
utilizando COBIT

Negocio

del

CobiT y VAL IT

Mapa de implementacin

Implementacin de Gobierno de TI

Conductores del
Gobierno
Marco de Trabajo

Historia

TI utilizando COBIT

Implementacin de Gobierno de

CobiT 2
1998

CobiT 1
1996

Auditora

Control

Administracin

2000

CobiT 3

Gobierno

2005

CobiT 4

CobiT ha evolucionado de una herramienta para auditora a un

marco de referencia para el Gobierno de TI, utilizado cada vez ms
por la Administracin de TI

Historia


Integrado con
Suite herramientas administrativas
Sofisticadas herramientas de medicin

Modelos de madurez

Mtricas
Lineamientos detallados

Prcticas de Control

Gua de Implementacin

Gua de Aseguramiento
Herramientas en lnea

UNICO marco de referencia para el Gobierno de TI que abarca el ciclo de vida

de la Inversin de TI completo

COBIT


Retroalimentacin Responde a los comentarios de los usuarios.

Lenguaje y Presentacin Ms conciso, orientado a la accin y consolidado en

un libro.

Definiciones y Flujos de Procesos Optimizacin en las descripciones de

procesos, actividades, entradas y salidas.

Arquitectura Empresarial Estructura de procesos y recursos.

Creacin de Valor Enfoque extendido hacia inversiones de TI ajustadas al

riesgo.

Armonizacin Mejor integracin con otras prcticas importantes.

Requerimientos del Negocio Mejores enlaces entre el negocio y la TI mediante

objetivos en modelo de cascada y mtricas que los respaldan.

Gobierno de TI Mejor cobertura con las prcticas de gobierno en los procesos

clave, permitiendo a los ejecutivos y al negocio asumir sus responsabilidades.

Hacia qu se enfoc la
actualizacin?


Marco de Gobierno de TI completo y mejores prcticas de TI para fomentar el

cumplimiento e incrementar el valor de la TI.

Enfoque hacia el negocio ms robusto y ms especfico en la propiedad de los
procesos y responsabilidades, permitiendo el alineamiento estratgico y
haciendo la implementacin ms sencilla.

Adiciones a CobiT 3 basado en los mismos principios bsicos y estructuras.

Parte del compromiso continuo de mejorar la consistencia, mantenerlo al da y
armonizado con los principales estndares.

Material ms robusto sobre objetivos y mtricas que hace ms sencillo el
diseo de BSC de TI, con un mayor enfoque en el desempeo de los procesos
via las actividades clave.

Definiciones de procesos, relaciones, actividades y responsabilidades para
entender mejor y administrar el alcance y propsito de los procesos de TI.

Cul es el Impacto en los usuarios?

Conductores del Negocio y

del Gobierno

Objetivos del
Negocio

Objetivos
de la TI

Procesos
de TI

Cmo es que el Gobierno y el

Negocio guan la TI?

Informacin til/confiable para toma de decisiones estratgicas

Innovacin de productos y servicios

Transparencia en inversiones y entrega de servicios



Agilidad en responder a requerimientos de cambio en el negocio

Cumplimiento de leyes y regulaciones externas

Ofrecer productos y servicios competitivos

Administrar los riesgos del negocio

Optimizar costos para entrega de servicios

Optimizar la utilizacin de activos

Aumentar los ingresos

Retorno sobre la inversin

Compartir la expansin de mercado

OBJETIVOS DEL NEGOCIO

CRITERIOS
DE LA
INFORMACION

Cmo es que el Gobierno y el

Negocio guan la TI?

Ef
e
c
t
ivid
ad
E
f
i
c
ienc
ia
Con
fide
n
c
i
a
lida
d
In
t
e
g
rida
d
Dis
p
o
n
ibili
dad
Cum
p
l
i
m
ient
o
Con
fi
a
b
i
lida
d

Impulsores del Gobierno

Resultados del Negocio

Objetivos del Negocio

Cmo es que el Gobierno y el

Negocio guan la TI?

Infraestructura

Informacin

Aplicaciones

Objetivos de TI

Procesos de TI

Personas

dirigen

dirigen

Objetivos
de TI

(incluyendo
responsabilidades)

Procesos TI

Arquitectura
Empresarial
para TI

mtricas

Criterios de
Informacin

Influencian

Requerimientos
Del Gobierno

Servicios de
Informacin
Implican

mtricas

Requieren

Objetivos del
Negocio para TI

Estrategia Empresarial

Requerimientos
Del Negocio

Infraestructura
y personas

Aplicaciones

Informacin

BSC de TI

requieren

ejecutan

entregan

CobiT : Enfocado al Negocio

3
5
10
1
7
6
6

Mejorar orientacin y servicio al cliente

Ofrecer servicios y productos competitivos

Disponibilidad del servicio

Agilidad en responder a requerimientos de cambio en negocio

Optimizar costos para entrega de servicios

Automatizar e integrar cadena valor de la empresa

Mejorar/mantener funcionalidad proceso negocio

10

11

12

19
13
8
25

2
2
2
7
5
2
9

Cumplimiento con leyes y regulaciones externas

Transparencia

Cumplimiento con polticas internas

Mejorar/mantener productividad operacional y del personal

Innovacin de productos y del negocio

Informe til/confiable para toma de decisiones estratgicas

Adquirir/mantener personal motivado y con destrezas

15

16

17

18

16

24

23

14

14

Administrar riesgos del negocio

Reducir costos de proceso

14

Optimizar la utilizacin de activos

13

24

Retorno sobre la inversin

18
Perspectiva
19
Aprendizaje
y Crecimiento 20

Perspectiva
Interna

Perspectiva
Cliente

Perspectiva
Financiera

28

25

Aumentar los ingresos

28

25

Compartir la expansin de mercado

12

28

11

20

13

11

10

25

22

17

20

13

21

15

11

24

23

18

26

22

24

19

Objetivos de TI

Objetivos del Negocio

Enlazando los Objetivos del Negocio y los Objetivos

de TI

26

20

27

21

22

Criterios de Informacin de CobiT

Cmo es que el Gobierno y el

Negocio guan la TI?










Ef e
ctiv
idad
Efic
ienc
ia
Con
f
i
d
enc
ialid
ad
Inte
grid
ad
Dis
p
o
nibi
lida
d
C
u
m
plim
ient
o
C
o
n
f iab
ilida
d

PO2 DS11
PO2 PO4 PO7 AI3
AI1 AI2 AI6
PO3 AI2 AI5
AI3 AI5
PO7 AI5
DS2
PO2 AI4 AI7
PO5 PO6 DS1 DS2 DS6 ME1 ME4
PO6 AI4 AI7

PO9 DS5 DS9 DS12 ME2

PO3 AI3 DS3 DS7 DS9
PO8 AI4 AI6
PO9 DS10 ME2
PO9
PO6 DS5 DS11 DS12
PO6 AI7 DS5
PO6 AI7 DS4 DS5 DS12 DS13 ME2
PO6 AI6 DS4 DS12
DS3 DS4 DS8 DS13
PO5 AI5 DS6
PO8 PO10
AI6 DS5
DS11 ME2 ME3 ME4
PO5 DS6 ME1 ME4

4 Optimizar uso de la informacin

5 Crear Agilidad de TI

6 Cmo requer. funcionales de negocio/ control se traducen en soluciones

7 Adquirir/mantener sistemas de aplicacin integrados y estandarizados

8 Adquirir/mantener infraestructura de TI integrada y estandarizada

9 Adquirir/mantener destrezas de TI que respondan a la estrategia de TI

10 Garantizar satisfaccin mutua en relaciones con terceros

11 Integrar soluciones de tecnologa y aplicaciones en procesos de negocio

12 Transparenc/entendim costos, beneficios, estrategia, polticas, niveles serv

13 Uso apropiado y desempeo de las soluciones de tecnologa y aplicaciones

14 Responsabilidad sobre y proteccin de todos los activos de TI

15 Optimizar infraestructura, recursos y capacidades de TI

16 Reducir defectos y reprocesos en las soluciones y entrega del servicio

17 Proteger el logro de los objetivos de TI

18 Establecer impacto s/negocio de riesgos de los objetivos y recursos de TI

19 Informacin crtica/confidencial se oculta a los que no deben tener acceso

20 Transacciones automatizadas/intercambios de informacin son confiables

21 Servs/infraestruct TI pueden /recuperarse de errores/ataques/desastres

22 Mnimo impacto en negocio en caso de interrupcin o cambio en serv de TI

23 Asegurarse que los servicios de TI estn disponibles tal y como se requiere

24 Mejorar eficiencia en costos TI y contribucin a rentabilidad del negocio

26 Mantener integridad de informacin e infraestructura de procesamiento

27 Asegurar el cumplimiento por parte de TI con las leyes y regulaciones

28 TI demuestra servicio de calidad, costo-eficiente, mejoramiento continuo

25 Proyectos a tiempo, dentro de presupuesto y estndares de calidad

PO8 AI4

3 Satisfaccin usuarios finales con servs ofrecidos y niveles de servicio

AI7 DS10

DS7 DS8

DS1 DS2 DS7 DS8 DS10 DS13

PO1 PO4 PO10 ME1 ME4

2 Responder a requerim de gobierno en lnea con direccin de la Junta

AI6 AI7 DS1 DS3 ME1

PO1 PO2 PO4 PO10 AI1

Procesos

1 Responder a requerim del negocio en alineamiento con estrategia negocio

Objetivos de TI

Enlazando los Objetivos de TI con los Procesos

Cmo es que el Gobierno y el

Negocio guan la TI?

P
S

P
P

S
P
P
P
P

P
S
P
P

Ef e
ctiv
idad
Efic
ienc
ia
Con
f
i
d
enc
ialid
ad
Inte
grid
ad
Dis
p
o
nibi
lida
d
C
u
m
plim
ient
o

idad
abil
S

Con
fi

Marco de Trabajo

Tomado
de
CobiT
4.0
Pg. 10
Prcticas de
Control

Objetivos de
Control *

Guas de
Aseguramiento
De Ti

*Ahora integrado en COBIT 4.0

TomadoObjetivos
de
de Control de TI
CobiT 4.0para Sarbanes Oxley
Pg. 10

Marco de Trabajo
CobiT *

Cmo evaluar el marco

de control de TI?

Directrices Gerenciales *

Cmo implantarlo
en la empresa?

CobiT Security
Baseline

CobiT Quickstart

Gua de
Implementacin
del Gobierno de TI

Profesionales de gobierno, aseguramiento, control y seguridad

Qu es el marco de
trabajo de control de TI?

Administracin del negocio y de la tecnologa

Medidas de desempeo
Metas y actividades
Modelos de madurez

Ejecutivos y consejos

Prcticas
Responsabilidades

Resumen para el
Consejo sobre el
Gobierno de TI 2da ed.

Los productos CobiT

Indicadores
clave
metas

ra

Indicadores
clave
desempeo

M
e

Informacin

Procesos TI

Objetivos TI

Requerimientos

Negocio

Objetivos

Madurez

Modelos

Pruebas
Control
Resultados

s por

Diagramas
RACI

en
sados
lo
g
s
e
D

Para resultados

Derivadas
de

Pruebas
Diseo
Controles

Basados
en

Im

Control

Objetivos

os

Prcticas
Control

pl
em
co enta
n
d

Conductores
Riesgo

Por qu

Conductores
Valor

Componentes e interrelaciones

pe
o

or
di
d
o
sp
Pa

Pa
ra

Actividades
clave

Realizados por

COBIT

A
u
di
t
po ado
s
r

do
Audita

d
e
se
m

r
po
s
do
a
l
o
ntr
o
C

z
re
u
ad
m



Enfocado al Negocio
Orientado a los Procesos
Basado en los Controles
Guiado por la Medicin

Principales Caractersticas de
CobiT

Requieren

Implican

Criterios de
Informacin

Influencian

Requerimientos
Del Gobierno

Servicios de
Informacin

Requerimientos
Del Negocio

dirigen

Objetivos del
Negocio para TI

Estrategia Empresarial

dirigen

Objetivos
de TI

mtricas

Arquitectura
Empresarial
para TI

mtricas

(incluyendo
responsabilidades)

Procesos TI

Infraestructura
y personas

Aplicaciones

Informacin

BSC de TI

requieren

ejecutan

entregan

CobiT: Enfocado al Negocio

Administrar la
calidad

Gobierno TI

Cumplimiento
regulaciones

Controles de
Aplicaciones

Obtener TI

Referencia cruzada: De COBIT 3 a COBIT 4.0 pgs 187-191

De COBIT 4.0 a COBIT 3 pgs 192-194

Administracin
de versiones

Cambios en los procesos

CobiT : Orientado a los Procesos

A nivel de direccin ejecutiva

A nivel de los Procesos de Negocio
A nivel de Soporte de los Procesos de Negocio

Desarrollo de Sistemas
Administracin de Cambios
Seguridad
Operacin del Computador

Origen de Datos /Autorizacin

Controles de Entrada de Datos
Controles en el Procesamiento de Datos
Controles de Salida de Datos
Controles de Lmites

Controles de las Aplicaciones

Controles Generales de TI

Controles del Negocio y Controles de TI

CobiT : Basado en los Controles

Modelos de Madurez

CobiT : Guiado por la Medicin


CobiT 4.0 es una evolucin de la tercera edicin,

basado en los mismos principios estructurales

CobiT 4.0 constituye una ampliacin de la tercera
edicin con fuerte enfoque en el negocio en las
prcticas de gobierno

Un solo documento integrado (Marco de Trabajo,
Objetivos de Control y Directrices Gerenciales)

Mayor claridad de los conceptos que facilitan al nuevo
usuario el acercamiento al modelo

EN RESUMEN


Se mantienen 4 Dominios y 34 Procesos

Dominio M es ME abarca responsabilidades de TI nicamente

Los recursos de TI se reducen a 4, los cuales junto con los
Objetivos y Procesos de TI forman el modelo de Arquitectura
Empresarial

Objetivos de Control abarcando Gobierno de TI en forma ms
completa, mejor armonizado, con lenguaje ms conciso y
reducidos en un 30% aproximadamente

Antiguo AI5 es ahora AI7 )Instalar y acreditar soluciones y
cambios) y est alineado con ITIL

DS8 (Administrar la mesa de servicio y los incidentes) y DS10
(Administrar los problemas) alineados con ITIL

DS11 solo con administracin de datos

EN RESUMEN


Cada proceso tiene una descripcin, entradas y salidas

primarias con enlaces a los procesos, actividades y
responsabilidades

Controles de proceso y aplicacin a nivel del marco de trabajo

Las mtricas creadas bajo los mismos principios estn
integradas con los objetivos y proveen ms y mejores ejemplos
que ayudan a los usuarios a disear mtricas propias

Las mtricas se enlazan en el mapeo de Objetivos del Negocio
con Objetivos de TI con Procesos de TI, son menos, ms
medibles y con ms detalle

Las mtricas dan apoyo a la cascada de TI, procesos y objetivos
de actividades, suministrando un sistema integrado

Directrices Gerenciales ahora con grficas RACI

Descripciones del Modelo de Madurez ms precisas y medibles

EN RESUMEN

Implementacin de Gobierno de TI

Este programa educativo es propiedad de Information Systems Audit and Control Association .

ADMINISTRACIN
DE LOS RECURSOS

www.itgi.org

AG
VA RE
LO G A
R R

ADM
INI
DEL STRAC
R
I
ESG IN
O

N
I ICA
C
A G
NE AT
I
AL TR
ES

La Necesidad del Gobierno de TI

EL
NDO

I
IC
E
MEDSEMP
E
D

verificando que los recursos de la

empresa
son
usados
responsablemente.

estableciendo que los riesgos son

administrados apropiadamente y

garantizando que los objetivos sean

alcanzados,

Un conjunto de responsabilidades y
prcticas ejecutadas por la junta
directiva y la administracin ejecutiva
con el fin de proveer direccin
estratgica,

Gobierno Corporativo es

Este programa educativo es propiedad de Information Systems Audit and Control Association .

ADMINISTRACIN
DE LOS RECURSOS

www.itgi.org

AG
VA RE
LO G A
R R

ADM
INI
DEL STRAC
R
I
ESG IN
O

N
I ICA
C
A G
NE AT
I
AL TR
ES

Una parte integral del gobierno

corporativo y consta del liderazgo,
estructuras
organizacionales
y
procesos que garantizan que TI de la
empresa sustenta y extiende las
estrategias
y
objetivos
organizacionales.

responsabilidad de la junta directiva y

la administracin ejecutiva.

Gobierno de TI es:

Gobierno de TI, como est definido por ITGI

EL
NDO

I
IC
E
MEDSEMP
E
D

Sigue y monitorea la implementacin de la estrategia, la finalizacin

de los proyectos, el uso de los recursos, el desempeo de los
procesos y la entrega de servicios, usando, por ejemplo, balanced
scorecards que traduzcan la estrategia en accin para alcanzar
metas que sean medibles ms all de la simple contabilizacin.

Requiere la concientizacin del riesgo por parte de los oficiales

corporativos senior, un claro entendimiento del apetito de riesgo
corporativo, un entendimiento de los requerimientos de obligatorio
cumplimiento, transparencia sobre el riesgo significativo para la
empresa y una distribucin de las responsabilidades de la
administracin del riesgo en la organizacin.

Se relaciona con la inversin ptima en, y la administracin adecuada

de recursos crticos de TI: aplicaciones, informacin, infraestructura
y personas. Los aspectos clave se relacionan con la optimizacin
del conocimiento y la infraestructura.

Se relaciona con la ejecucin de la propuesta de valor a travs del

ciclo de entrega, garantizando que TI entregue el beneficio
prometido contra la estrategia, concentrndose en la optimizacin
de costos y proporcionando el valor intrnseco de TI.

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Administracin
del Desempeo

Administracin
del Riesgo

Administracin de
los Recursos

Agregar Valor

Alineacin
Estratgica

Se centra en garantizar el enlace de los planes de negocio y TI,

con base en la definicin, mantenimiento y validacin de la
propuesta de valor de TI y sobre la alineacin de las operaciones
de TI con las operaciones corporativas.

Principales reas del Gobierno de TI

Proporciona aseguramiento independiente

de que TI entrega lo que se necesita

Auditora de TI

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Mide que las polticas obedecen a y estn

enfocadas en alertar nuevos riesgos

Entrega y mejora los servicios de TI tal

como los requiere el negocio

Gerencia de TI

Gerencia de
Riesgo y
cumplimiento

Define los requerimientos del negocio para

TI y garantiza que se agrega valor y que los
riesgos son administrados

Fijan la direccin de TI, monitorean los

resultados e insisten en las medidas
correctivas

Gerencia de
Negocios

Junta y
ejecutivos

Stakeholders en el Gobierno de TI

Este programa educativo es propiedad de Information Systems Audit and Control Association .

COBIT proporciona tanto el marco de referencia de control

como las herramientas de medicin del desempeo.

Informacin total sobre conformidad y desempeo de TI

Gerencia Ejecutiva
Obtener valor a partir de las inversiones de TI
Balancear el riesgo y el control de la inversin en un ambiente de TI que frecuentemente es
impredecible
Establecer puntos de referencia (benchmark) de ambientes de TI existentes y futuros
Ayudar a dar respuesta a los crecientes requerimientos regulatorios
Gerencia de Riesgo y Cumplimiento
Validar que tanto el negocio como TI cumplan con los requerimientos internos y externos
Gerencia de Negocios
Obtener garantas sobre la seguridad y los controles de los productos y servicios provistos
internamente y por terceras partes
Auditores de TI
Confirmar opiniones a la administracin sobre los controles internos
Responder a la pregunta: Qu controles mnimos son necesarios?

Junta

Qu necesitan los stakeholders?

Requerimientos de los Stakeholders

ISO 17799

ITIL

COBIT

CAMPO DE COBERTURA

Este programa educativo es propiedad de Information Systems Audit and Control Association .

QU

COSO

CMO

Las organizaciones debern considerar y usar una variedad de modelos, estndares y

mejores prcticas de TI por lo tanto asegrese de que entiende esto con el fin de
considerar como pueden usarse juntos, con COBIT actuando como consolidador
(Sombrilla) e.g.

COBIT y otros Marcos de Referencia de Administracin de TI

ISO 9000

Monitorear y Evaluar el
desempeo de TI.
Monitorear y Evaluar el
control interno.
Garantizar el
cumplimiento
regulatorio.
Proveer Gobierno de TI.
O B I

Aplicaciones
Informacin
Infraestructura
Personas

RECURSOS
DE
TI

Confiabilidad

Integridad

ADQUIRIR
E
IMPLEMENTAR

PLANEAR
Y
ORGANIZAR

Disponibilidad
Confidencialidad

INFORMACION

Efectividad
Cumplimiento

Eficiencia

ENTREGAR
Y DAR
SOPORTE

MONITOREAR
Y
EVALUAR

MARCO DE REFERENCIA

Este programa educativo es propiedad de Information Systems Audit and Control Association .

DS1 Definir y administrar niveles

de servicio.
DS2 Administrar servicios de
terceros.
DS3 Administrar desempeo y
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de
apoyo e incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente
fsico.
DS13 Administrar operaciones.

ME4

ME3

ME2

ME1

OBJETIVOS DEL NEGOCIO

OBJETIVOS DE GOBIERNO

AI1 Identificar soluciones de

automatizacin.
AI2 Adquirir y mantener
software de aplicacin.
AI3 Adquirir y mantener la
infraestructura tecnolgica.
AI4 Permitir la operacin y uso.
AI5 obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar
soluciones y cambios.

PO1 Definir un plan estratgico

de TI.
PO2 Definir la arquitectura de
informacin.
PO3 Determinar la direccin
tecnolgica.
PO4 Definir los procesos de TI,
la organizacin y sus
relaciones.
PO5 Administrar las inversiones
en TI.
PO6 Comunicar la direccin y
objetivos de la gerencia.
PO7 Administrar los recursos
humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar
riesgos de TI.
PO10 Administrar proyectos.

COBIT Proporciona un Enlace Claro entre los Requerimientos

del Gobierno de TI, los Procesos de TI y los Controles de TI

Fomentar la
conciencia y
obtener
compromiso

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Definir el
Alcance

CONSTRUIR
SUSTENTABILIDAD

Definir
proyectos

Implementar
las mejoras

Desarrollar
un plan de
mejora

Analizar
inconsistencias
e identificar
mejoras

Analizar
riesgos

Definir
objetivos de
mejora

Seleccionar
procesos y
controles

Definir el
desempeo
actual

Analizar
objetivos
del negocio y de TI

IMPLEMENTAR LA
SOLUCIN

PLANEAR LA
SOLUCIN

PREVER LA
SOLUCIN

IDENTIFICAR
NECESIDADES

Desarrollar
Estructura y
Procesos del
Gobierno de TI

Integrar
medidas en
el ITBSC

Revisin
Post
implementacin

El mapa a seguir para la Implementacin del Gobierno de TI

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Casos de Estudio de CobiT disponibles en el website www.itgi.org

Paso 5: Con base en las tareas previas, determinar el alcance de la iniciativa de

Gobierno de TI e identificar y priorizar los procesos crticos de TI que sern
direccionados

Paso 4: Analizar los riesgos que puedan impactar el logro de estas metas de TI

Paso 3: Analizar los objetivos del negocio y convertirlos en metas de TI

Paso 2: Despertar conciencia, obtener compromiso y definir la organizacin del

proyecto

Paso 1: Comprender los antecedentes de la iniciativa de Gobierno de TI y establecer

objetivos de negocio medibles para el proyecto de implementacin del
Gobierno de TI

El comienzo del proyecto de implementacin del Gobierno de TI seala que las

necesidades del Gobierno de TI tienen que ser reconocidas. Es importante
reconfirmar y comunicar esta necesidad, e ir ms all de perfeccionarla y definirla
hasta el punto en que se seleccionen los procesos de TI y el modelo de control

Fase 1 Identificar las Necesidades

Definir los requerimientos del negocio con respecto a TI y proveer insumos para
comprender los riesgos y prioridades. Establecer el alcance con los proveedores de
TI. Proporcionar los recursos apropiados y el compromiso para dar soporte a la
iniciativa.

Gerente de
Negocios

Proveer asesora y direccionamiento sobre asuntos relacionados con el riesgo y el

cumplimiento. Garantizar que la propuesta hecha est a muy cerca de cumplir con el
riesgo esperado y los requerimientos de cumplimiento. Garantizar un adecuado nivel
de participacin a travs de la duracin de la iniciativa.

Aceptar los acuerdos de participacin de auditora con respecto a los roles y reporte.
Proporcionar asesora y cuestionar las actividades y acciones propuestas,
asegurando que se tomen decisiones objetivas y balanceadas. Proveer asesora con
respecto a las prcticas y propuestas de control y administracin del riesgo.
Garantizar un adecuado nivel de participacin de la auditora a travs de la duracin
de la iniciativa.

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Gerente de Riesgo y
Cumplimiento

Auditor de TI

Recopilar los requerimientos y objetivos de todas las partes, obteniendo el consenso

sobre las propuestas y el alcance. Proveer asesora y lineamientos especializados
sobre los asuntos de TI y garantizar que el negocio y los ejecutivos comprenden y
son conscientes de los aspectos claves.

Establecer la direccin, aprobar las propuestas, designar los roles clave de los
proyectos y definir las responsabilidades, brindar soporte y compromiso visibles.
Proveer lineamientos sobre las prioridades del negocio y la actitud con respecto a
los riesgos. Patrocinar, comunicar y promover el plan acordado.

Junta y
Ejecutivo

Gerente
de TI

Su rol en esta fase es

Cuando usted es

Fase 1 Identificar las Necesidades

Definir el objetivo de la empresa para mejorar.

Analizar las brechas e identificar mejoramientos potenciales.

Paso 7:

Paso 8:

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Definir el desempeo actual de la empresa.

Paso 6:

Finalmente, las brechas entre la posicin actual (as-is) y la objetivo (to-be)

deben ser analizadas y traducidas en oportunidades de mejoramiento.

Primero, usted debe definir dnde se est (as-is), evaluando la capacidad y

madurez actuales de los procesos de TI seleccionados. Despus, para cada
uno de esos procesos debe definir los niveles objetivo (to-be) de madurez y
capacidad apropiados y razonables.

La fase 2 del mapa prev la solucin y est compuesta de tres pasos.

Fase 2 - Prever la Solucin

Revisar la evaluacin para asegurar que los aspectos de riesgo y

cumplimiento han sido direccionados adecuadamente.

Proveer asesora y ayuda en la evaluacin del estado actual,

posicionamiento del estado objetivo y prioridades de brechas. Si se
requiere, verifica independientemente los resultados de las evaluaciones.

Aplicar el juicio profesional en la formulacin de planes e iniciativas de

prioridades de mejora. Asegura una evaluacin abierta y justa de las
actividades de TI. Gua la evaluacin de la prctica actual. Obtiene
consenso acerca del objetivo requerido de capacidad.

Asegurar que las metas de negocio estn entendidas por TI, y revisa la
razonabilidad de las metas y prioridades de TI. Ayuda a TI a definir el
nivel objetivo de capacidad.

Interpretar los resultados/conclusiones de las evaluaciones. Define

prioridades, escalas de tiempo y expectativas en cuanto a la capacidad
futura requerida de TI.

Su rol en esta fase es

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Gerente de
riesgo y
cumplimiento

Auditor de TI

Gerente de TI

Gerente de
negocios

Junta y Ejecutivo

Cuando usted
es

Fase 2 Prever la Solucin

Defina proyectos
Desarrolle e implemente un plan de cambio

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Paso 9:
Paso 10:

Los objetivos de TI y del negocio de este proyecto de mejora deberan

traducirse en un conjunto de medidas.

Luego de la aprobacin de estos proyectos individuales, stos deberan

ser integrados en una nica estrategia de mejora y en un programa
prctico y detallado para llevar a cabo la solucin.

La tercera fase del mapa de ruta identifica las iniciativas de mejora

prioritarias y factibles y las traduce en proyectos justificables, alineados
con el valor de negocio original y los factores de riesgo.

Fase 3 Planee la Solucin

Asegrese de que cualquiera de los riesgos identificados o asuntos de

cumplimiento [compliance issues] estn siendo abordados, y que las
propuestas se ajusten a las polticas relevantes o regulaciones.

Asegrese usted mismo que los temas identificados son vlidos, que los
casos de negocio [business cases] estn subjetivamente y precisamente
presentados y que los planes son alcanzables. Disponga del consejo y
asesoramiento de expertos cuando sea apropiado.

Asegrese de la viabilidad y racionalidad de las propuestas. Asegrese

de que los planes son alcanzables y que los recursos para ejecutar la
estrategia propuesta se encuentran disponibles.

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Administrador de
riesgo y
cumplimiento

Auditor de TI

Administrador de TI

Gerente de negocio

Considere y desafe las propuestas, apoye las acciones justificadas,

provea presupuestos y establezca prioridades segn sean apropiadas.

De la Junta Directiva
y Ejecutivo

Asegrese
de que los requerimientos del negocio hayan sido
planteados de manera precisa, que las acciones de mejora propuestas
estn alineadas con las prioridades del negocio, y que cualquier
actividad que requiera gastos del negocio estn respaldadas.

Su rol en esta fase es

Cuando Usted es

Fase 3 Planee la Solucin

Integrar las medidas en BSC TI y monitorear la implementacin

Revisin Post-implementacin

Paso 12:

Paso 13:

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Implementar las mejoras

Paso 11:

Mientras el plan de mejora se lleva a cabo, gobernado por proyectos establecidos y

metodologas de administracin del cambio, la obtencin exitosa de los resultados de
negocio deseados se asegura mediante:

La retroalimentacin y las lecciones aprendidas, que surge de la revisin postimplementacin

El monitoreo de las mejoras sobre el desempeo de la corporacin y Balanced
Scorecard de TI

Fase 4 Implementar la Solucin

Proveer consejos y asesoramiento acerca de las cuestiones de riesgo y

cumplimiento. Asegurar que la propuesta postulada tenga probabilidad de reunir
los requerimientos de riesgo y cumplimiento. Asegurar un nivel adecuado de
participacin a travs de la duracin de la iniciativa.

Consensuar medidas acerca de los roles e informes para la participacin de

auditoria. Proveer consejos y desafiar las actividades y acciones propuestas,
asegurando que se tomen objetivos y decisiones equilibradas. Proveer consejos
y propuestas acerca de los controles y prcticas de la administracin del riesgo.
Asegurar que se provea el nivel adecuado de participacin de auditoria a lo
largo de la duracin de la iniciativa.

Recolectar los requerimientos y objetivos de todas las partes, ganando

consenso sobre el enfoque y el alcance. Proveer consejos de expertos,
asesoramiento acerca de los problemas de TI y asegurarse de que el negocio y
los ejecutivos comprenden y aprecian todos los temas clave.

Definir los requerimientos de TI por parte del negocio, y proveer insumos para la
comprensin de los riesgos y prioridades. Establecer el alcance con los
proveedores de TI. Proveer recursos apropiados y confianza para apoyar la
iniciativa.

Marcar una direccin, aprobar, proponer, nominar los roles clave de los
proyectos y definir responsabilidades, dar apoyo visible y confianza. Proveer
asesoramiento con respecto a las prioridades del negocio y actitud hacia los
riesgos. Ser patrocinador, comunicar y promover el plan acordado.

Su rol en esta fase es

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Gerente de Riesgo y
Cumplimiento

Auditor de TI

Gerente de TI

Gerente de
Negocio

Junta Directiva y
Ejecutivo

Cuando usted es

Fase 4 Implementar la Solucin

La retroalimentacin y las lecciones aprendidas, que surgen de la revisin postimplementacin

El monitoreo de las mejoras sobre el desempeo de la corporacin y los Balanced
Scorecard de TI

Integrar el Gobierno de TI con el Gobierno de la Empresa

Responsabilidad de TI a travs de la empresa
Estructuras organizacionales apropiadas
Determinar claramente las polticas de comunicacin, estndares y procedimientos de
Gobierno de TI y control
Cambio cultural (confianza en todos los niveles de la organizacin desde la Junta
Directiva hasta el ltimo nivel operativo)
Mejora continua de los procesos y cultura
ptimo monitoreo y estructuras de informes

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Paso 14: Desarrollar la estructura y procesos del Gobierno de TI

Construir sustentabilidad implica:

Mientras el plan de mejora se lleva a cabo, la sustentabilidad es apoyada

por:

Fase 5 Construir sustentabilidad

Trabajar con TI y el negocio para anticipar los requerimientos legales y

regulatorios e identificar y responder a los riesgos de TI relacionados, como
una actividad normal en el gobierno de TI.

Proveer objetivos e insumos constructivos, alentar la auto-evaluacin y

proveer certeza a la administracin de que el gobierno est funcionando
efectivamente construyendo confianza en TI. Proveer auditoras continuas
basadas en un enfoque de gobierno integrado usando un criterio compartido
con TI y con el negocio basado en el marco COBIT.

Comprometerse en las actividades del gobierno de TI como parte de una

prctica de negocio normal. Crear polticas, estndares y procedimientos
para traducir los proyectos de iniciativas de gobierno en negocio habitual.

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Gerente de
Riesgo y
Cumplimiento

Auditor de TI

Gerente de TI

Proveer apoyo y confianza trabajando positivamente con TI para mejorar y

hacer del gobierno de TI algo habitual para el negocio

Marcar una direccin, establecer objetivos y asignar roles y responsabilidades para el enfoque progresivo del gobierno de TI de la empresa. Dictar la
pauta, desarrollar estructuras organizacionales y promover una cultura de
buen gobierno y responsabilidad por la rendicin de cuentas para TI entre el
negocio y los ejecutivos de TI

Junta Directiva y
Ejecutivo

Gerente de
Negocio

Su rol en esta fase es

Cuando usted es

Fase 5 Construir sustentabilidad

Fomentar la
conciencia y
obtener
compromiso

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Definir el
Alcance

CONSTRUIR
SUSTENTABILIDAD

Definir
proyectos

Implementar
las mejoras

Desarrollar
un plan de
mejora

Analizar
inconsistencias
e identificar
mejoras

Analizar
riesgos

Definir
objetivos de
mejora

Seleccionar
procesos y
controles

Definir el
desempeo
actual

Analizar
objetivos
del negocio y de TI

IMPLEMENTAR LA
SOLUCIN

PLANEAR LA
SOLUCIN

PREVER LA
SOLUCIN

IDENTIFICAR
NECESIDADES

Desarrollar
Estructura y
Procesos del
Gobierno de TI

Integrar
medidas en
el ITBSC

Revisin
Post
implementacin

El mapa a seguir para la Implementacin del Gobierno de TI

 Ausencia de relacin
cercana TI/negocio

 Apoyo de los ejecutivos

senior para TI
 TI involucrada en el
desarrollo de la
estrategia
 TI que comprende el
negocio
 Asociacin Negocio-TI
 Proyectos de TI bien
priorizados
 Liderazgo demostrado
de TI

Este programa educativo es propiedad de Information Systems Audit and Control Association .

 TI evita soluciones
demasiado complejas y
difciles

 Administracin de TI carece
de liderazgo

 Ejecutivos senior no
apoyan TI

 TI no comprende el negocio

 TI falla en cumplir los

compromisos

 TI no prioriza bien

Inhibidores

Facilitadores

 Enfoque integrado a la
estrategia TI/Negocio
 Proceso colaborativo entre
TI & Negocio
 Direccionado desde arriba
por la Estrategia de TI y el
Comit Directivo de TI
 Responsabilidades
compartidas
 Bsqueda de Ganancias
rpidas

COBIT facilita las

Soluciones de Gobierno

Implementar las mejores prcticas de COBIT est relacionado

con maximizar los facilitadores y minimizar los inhibidores

Consideraciones para la Implementacin

Cultura y Comunicacin

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Audiencia
Objetivo

Quin
Ejecutivos & Juntas
Administracin
Profesionales

Qu
Dirigir y proveer liderazgo
Evaluar y priorizar
Implementar

A travs de un conjunto de productos coherentes y

actualizados, fortalecer la influencia y soporte a
una audiencia objetivo en expansin, con un
conocimiento en lnea continuamente actualizado
sobre Control de TI, Aseguramiento y Gobierno.

Ser un estndar internacionalmente aceptado

para buenas prcticas en Gobierno y Control de
TI y apoyar a los usuarios desde la
implementacin hasta la evaluacin.

Misin

Visin

Valores

Compartir conocimiento
Apalancamiento de la
experiencia
Influenciar buenas prcticas

Estrategia de Desarrollo de COBIT



Capturar y compartir conocimiento

Medir
Establecer puntos de referencia (Benchmarking)
Autoevaluacin
Anlisis de brechas e Implementacin

Construir herramientas en lnea que apoyen

Expandir la asesora en implementacin

Alinearse con los requerimientos del Gobierno

de TI

Ampliar la audiencia a travs de iniciativas

enfocadas en la academia, el sector pblico,
empresas pequeas y medianas

Establecer un ciclo efectivo y eficiente de

actualizacin

Apalancar la experiencia del Comit Directivo de

COBIT & de otros para aumentar la base de
conocimiento.

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Estrategia

Misin

Visin

Valores

Estrategia de Desarrollo de COBIT

Objetivos de Control de TI
para Sarbanes - Oxley

Fundamentos de COBIT
E learning

COBIT On Line

Gua de Aseguramiento de TI

Este programa educativo es propiedad de Information Systems Audit and Control Association .

Prcticas de Control

Objetivos de Control

Marco de referencia de COBIT

Cmo evaluar el marco de

referencia del Control de
TI?

Resumen Ejecutivo

Directrices
Gerenciales

COBIT Security Baseline

COBIT QuickStart

Gua de Implementacin
de Gobierno de TI

Cmo presentarlo en
la Organizacin?

Auditora, Seguridad y Profesionales de TI

Qu es el marco de
referencia del Control
de TI?

Administracin del Negocio y de Tecnologa

Medidas de Desempeo
Metas por Actividad e Insumos
Modelos de Madurez

Ejecutivos y Juntas

Prcticas
Responsabilidades

Familia de Productos

COBIT Y VAL IT

La pregunta de
arquitectura es si la
inversin:
Est alineada con nuestra
arquitectura?
Es consistente con
nuestros principios de
arquitectura?
Contribuye a la poblacin
de nuestra arquitectura?
Est alineada con las
otras iniciativas?

La pregunta estratgica es
si la inversin:
Est alineada con nuestra
visin?
Es consistente con
nuestros principios de
negocio?
Contribuye a nuestros
objetivos estratgicos?
Provee el valor ptimo a
un costo asequible y con
un nivel de riesgo
aceptable?

Las
hacemos en
la forma
adecuada?

Hacemos
las cosas
correctas?

Logramos
hacerlas
bien
hechas?

La pregunta de entrega es
si tenemos:
Administracin efectiva y
disciplinada y procesos de
entrega y administracin
de cambios?
Recursos tcnicos y del
negocio competentes y
disponibles para entregar
Las capacidades
requeridas?
Los cambios
organizacionales
requeridos para apoyar
los cambios?
Diapositiva 51

La pregunta de valor es si
tenemos:
Un entendimiento claro y
compartido de los
beneficios esperados?
Responsabilidad clara por
la obtencin de
beneficios?
Mtricas relevantes?
Un proceso efectivo de
obtencin de beneficios?

y Val IT

Obtenemos
los
beneficios?

Lo que persigue CobiT

Val IT se enfoca en:

La decisin de la inversin
(las cosas correctas)

La realizacin de beneficios
(obtener los beneficios)

CobiT se enfoca en:

La Ejecucin
(la forma correcta y hacerlo bien)

Los principios de Val IT

Y son medidos por

Mtricas clave de desempeo y
resultados

Que son habilitados por

Referencia cruzada entre prcticas
administrativas clave y los controles clave
de CobiT

Y es dirigido por
Un conjunto de principios aplicados a los procesos de
administracin de valor

Val IT apoya los objetivos del negocio al

Obtener el valor ptimo de las inversiones del negocio habilitadas por la
tecnologa a un costo asequible con un nivel de riesgo aceptable

Val IT y su relacin con CobiT


Gobierno del Valor (VG)

Administracin del Portafolio (PM)

Administracin de las Inversiones (IM)

Los tres procesos de Val IT


El objetivo del Gobierno del Valor es optimizar el valor

de las inversiones de una organizacin que han sido
posibles por la TI, por medio de:
Establecer el marco de trabajo de Gobierno,
Monitoreo y Control
Proveer direccin estratgica para las inversiones
Definir las caractersticas del portafolio de
inversiones

Val IT
Proceso: Gobierno del Valor


El objetivo de la Administracin del Portafolio es asegurar que el

portafolio completo de inversiones de una organizacin que han
sido posibles por la TI, est alineado con y contribuye con valor
ptimo a los objetivos estratgicos de la organizacin, por medio
de:
Establecer y administrar los perfiles de recursos
Definir los lmites de inversin
Evaluar, priorizar y seleccionar, aplazando o rechazando
nuevas inversiones
Administrar el portafolio completo
Monitorear e informar sobre el desempeo del portafolio

Val IT
Proceso: Administracin del
Portafolio


El objetivo de la Administracin de las Inversiones es asegurar que los

programas individuales de inversin habilitados por la TI, entregan el valor
ptimo a un costo asequible con un nivel de riesgo conocido y aceptado, por
medio de:
Identificar los requerimientos del negocio
Desarrollar un entendimiento claro de programas de inversin candidatos
Analizar las alternativas
Definir el programa y documentar un caso de negocio detallado,
incluyendo detalle de los beneficios
Asignar responsabilidades y propiedades claras
Analizar el programa a travs del ciclo econmico completo
Monitorear e informar sobre el desempeo del programa

Val IT
Proceso: Administracin de Inversiones


Tres componentes clave de la administracin de las

inversiones
Desarrollo de casos de negocio (como apoyo a la
seleccin de los programas de inversin correctos)
Administracin del programa (administrar la
ejecucin de los programas)
Realizacin de beneficios (administracin activa de
la realizacin de beneficios desde los programas)

Val IT
Proceso: Administracin de Inversiones


Aumenta el entendimiento y transparencia de costos,

riesgos y beneficios con el resultado de decisiones
administrativas basadas en mayor informacin

Aumenta la probabilidad de seleccionar inversiones que
tienen el potencial de generar el mayor retorno

Aumenta la posibilidad de xito de realizar inversiones
seleccionadas, tales que alcancen o excedan su
potencial de retorno

Beneficios de Val IT


Reduce los riesgos al no hacer cosas que no se

deberan estar haciendo y tomar acciones correctivas
tempranas y suspender inversiones que no estn
entregando el potencial esperado

Reduce el riesgo de fallos, especialmente los de alto
impacto

Reduce las sorpresas relacionadas con costos y
entregas de TI, y por ello incrementa el valor del
negocio, reduce costos innecesarios e incrementa el
nivel de confianza en la TI

Beneficios de Val IT(cont)

Objetivos de Control actualizados

Objetivos y Mtricas actualizados
Controles de Aplicacin revisados
Gua de Implementacin utilizando CobiT y
Val IT, 2da edicin (aumentada e incluye
las Prcticas de Control)

Directrices de Aseguramiento de TI
(sustituye y ampla las Guas de Auditora)

Qu adiciona CobiT 4.1?


Consolida la evolucin de CobiT de una

herramienta de auditora a un marco de trabajo
de Gobierno de TI

CobiT habla lo suficiente a cada una de sus
audiencias:
Gerencia Ejecutiva
Gerencia del Negocio
Gerencia de TI
Auditora

Importancia CobiT 4.1

 Lidere con Gobierno en lugar de Cumplimiento

Asegrese que todos los procesos y controles estn balanceados
por la estrategia organizacional y la medicin (considere un
enfoque de BSC)
Utilice todos los recursos de CobiT, especialmente la Gua de
Implementacin
Cultura, Cultura, Cultura!

Consideraciones de Adopcin

Usted se va a sorprender!

Una amplia gama de buenas prcticas est disponible a travs

de todo el ciclo de vida de la inversin en TI

TI no debe reinventar la rueda

Un marco de control integral debe ser aplicado

Buenas y Mejores Prcticas deben estar integradas

Es posible y factible

Soporte externo e independiente es beneficioso

COBIT no es solo para los auditores, visite www.isaca.org

CONCLUSIONES

Los Ejecutivos concuerdan

Alineada con el Negocio y provee valor en

forma transparente

Tiene la atencin de la Alta Gerencia por
medio de los mecanismos apropiados de
Gobierno de TI

Comprometida con la medicin del
desempeo

Comprometida con el mejoramiento continuo

Conclusiones

San Jos, Costa Rica

Correo Electrnico:
tsancho@racsa.co.cr
Mvil (506) 828-8614

Ing. Tatiana Sancho Vargas

Gracias!