Documente Academic
Documente Profesional
Documente Cultură
XII Congreso
Latinoamericano de
Auditora Interna
Implementacin de Gobierno de TI
utilizando COBIT
Negocio
del
CobiT y VAL IT
Mapa de implementacin
Implementacin de Gobierno de TI
Conductores del
Gobierno
Marco de Trabajo
Historia
TI utilizando COBIT
Implementacin de Gobierno de
CobiT 2
1998
CobiT 1
1996
Auditora
Control
Administracin
2000
CobiT 3
Gobierno
2005
CobiT 4
Historia
Integrado con
Suite herramientas administrativas
Sofisticadas herramientas de medicin
Modelos de madurez
Mtricas
Lineamientos detallados
Prcticas de Control
Gua de Implementacin
Gua de Aseguramiento
Herramientas en lnea
COBIT
Hacia qu se enfoc la
actualizacin?
Objetivos del
Negocio
Objetivos
de la TI
Procesos
de TI
CRITERIOS
DE LA
INFORMACION
Ef
e
c
t
ivid
ad
E
f
i
c
ienc
ia
Con
fide
n
c
i
a
lida
d
In
t
e
g
rida
d
Dis
p
o
n
ibili
dad
Cum
p
l
i
m
ient
o
Con
fi
a
b
i
lida
d
Infraestructura
Informacin
Aplicaciones
Objetivos de TI
Procesos de TI
Personas
dirigen
dirigen
Objetivos
de TI
(incluyendo
responsabilidades)
Procesos TI
Arquitectura
Empresarial
para TI
mtricas
Criterios de
Informacin
Influencian
Requerimientos
Del Gobierno
Servicios de
Informacin
Implican
mtricas
Requieren
Objetivos del
Negocio para TI
Estrategia Empresarial
Requerimientos
Del Negocio
Infraestructura
y personas
Aplicaciones
Informacin
BSC de TI
requieren
ejecutan
entregan
3
5
10
1
7
6
6
10
11
12
19
13
8
25
2
2
2
7
5
2
9
Transparencia
15
16
17
18
16
24
23
14
14
14
13
24
18
Perspectiva
19
Aprendizaje
y Crecimiento 20
Perspectiva
Interna
Perspectiva
Cliente
Perspectiva
Financiera
28
25
28
25
12
28
11
20
13
11
10
25
22
17
20
13
21
15
11
24
23
18
26
22
24
19
Objetivos de TI
26
20
27
21
22
Ef e
ctiv
idad
Efic
ienc
ia
Con
f
i
d
enc
ialid
ad
Inte
grid
ad
Dis
p
o
nibi
lida
d
C
u
m
plim
ient
o
C
o
n
f iab
ilida
d
PO2 DS11
PO2 PO4 PO7 AI3
AI1 AI2 AI6
PO3 AI2 AI5
AI3 AI5
PO7 AI5
DS2
PO2 AI4 AI7
PO5 PO6 DS1 DS2 DS6 ME1 ME4
PO6 AI4 AI7
5 Crear Agilidad de TI
PO8 AI4
AI7 DS10
DS7 DS8
Procesos
Objetivos de TI
P
S
P
P
S
P
P
P
P
P
S
P
P
Ef e
ctiv
idad
Efic
ienc
ia
Con
f
i
d
enc
ialid
ad
Inte
grid
ad
Dis
p
o
nibi
lida
d
C
u
m
plim
ient
o
idad
abil
S
Con
fi
Marco de Trabajo
Tomado
de
CobiT
4.0
Pg. 10
Prcticas de
Control
Objetivos de
Control *
Guas de
Aseguramiento
De Ti
TomadoObjetivos
de
de Control de TI
CobiT 4.0para Sarbanes Oxley
Pg. 10
Marco de Trabajo
CobiT *
Directrices Gerenciales *
Cmo implantarlo
en la empresa?
CobiT Security
Baseline
CobiT Quickstart
Gua de
Implementacin
del Gobierno de TI
Qu es el marco de
trabajo de control de TI?
Medidas de desempeo
Metas y actividades
Modelos de madurez
Ejecutivos y consejos
Prcticas
Responsabilidades
Resumen para el
Consejo sobre el
Gobierno de TI 2da ed.
Indicadores
clave
metas
ra
Indicadores
clave
desempeo
M
e
Informacin
Procesos TI
Objetivos TI
Requerimientos
Negocio
Objetivos
Madurez
Modelos
Pruebas
Control
Resultados
s por
Diagramas
RACI
en
sados
lo
g
s
e
D
Para resultados
Derivadas
de
Pruebas
Diseo
Controles
Basados
en
Im
Control
Objetivos
os
Prcticas
Control
pl
em
co enta
n
d
Conductores
Riesgo
Por qu
Conductores
Valor
Componentes e interrelaciones
pe
o
or
di
d
o
sp
Pa
Pa
ra
Actividades
clave
Realizados por
COBIT
A
u
di
t
po ado
s
r
do
Audita
d
e
se
m
r
po
s
do
a
l
o
ntr
o
C
z
re
u
ad
m
Enfocado al Negocio
Orientado a los Procesos
Basado en los Controles
Guiado por la Medicin
Principales Caractersticas de
CobiT
Requieren
Implican
Criterios de
Informacin
Influencian
Requerimientos
Del Gobierno
Servicios de
Informacin
Requerimientos
Del Negocio
dirigen
Objetivos del
Negocio para TI
Estrategia Empresarial
dirigen
Objetivos
de TI
mtricas
Arquitectura
Empresarial
para TI
mtricas
(incluyendo
responsabilidades)
Procesos TI
Infraestructura
y personas
Aplicaciones
Informacin
BSC de TI
requieren
ejecutan
entregan
Administrar la
calidad
Gobierno TI
Cumplimiento
regulaciones
Controles de
Aplicaciones
Obtener TI
Administracin
de versiones
Desarrollo de Sistemas
Administracin de Cambios
Seguridad
Operacin del Computador
Controles Generales de TI
Modelos de Madurez
EN RESUMEN
EN RESUMEN
EN RESUMEN
Implementacin de Gobierno de TI
Este programa educativo es propiedad de Information Systems Audit and Control Association .
ADMINISTRACIN
DE LOS RECURSOS
www.itgi.org
AG
VA RE
LO G A
R R
ADM
INI
DEL STRAC
R
I
ESG IN
O
N
I ICA
C
A G
NE AT
I
AL TR
ES
EL
NDO
I
IC
E
MEDSEMP
E
D
Un conjunto de responsabilidades y
prcticas ejecutadas por la junta
directiva y la administracin ejecutiva
con el fin de proveer direccin
estratgica,
Gobierno Corporativo es
Este programa educativo es propiedad de Information Systems Audit and Control Association .
ADMINISTRACIN
DE LOS RECURSOS
www.itgi.org
AG
VA RE
LO G A
R R
ADM
INI
DEL STRAC
R
I
ESG IN
O
N
I ICA
C
A G
NE AT
I
AL TR
ES
Gobierno de TI es:
EL
NDO
I
IC
E
MEDSEMP
E
D
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Administracin
del Desempeo
Administracin
del Riesgo
Administracin de
los Recursos
Agregar Valor
Alineacin
Estratgica
Auditora de TI
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Gerencia de TI
Gerencia de
Riesgo y
cumplimiento
Gerencia de
Negocios
Junta y
ejecutivos
Stakeholders en el Gobierno de TI
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Junta
ISO 17799
ITIL
COBIT
CAMPO DE COBERTURA
Este programa educativo es propiedad de Information Systems Audit and Control Association .
QU
COSO
CMO
ISO 9000
Monitorear y Evaluar el
desempeo de TI.
Monitorear y Evaluar el
control interno.
Garantizar el
cumplimiento
regulatorio.
Proveer Gobierno de TI.
O B I
Aplicaciones
Informacin
Infraestructura
Personas
RECURSOS
DE
TI
Confiabilidad
Integridad
ADQUIRIR
E
IMPLEMENTAR
PLANEAR
Y
ORGANIZAR
Disponibilidad
Confidencialidad
INFORMACION
Efectividad
Cumplimiento
Eficiencia
ENTREGAR
Y DAR
SOPORTE
MONITOREAR
Y
EVALUAR
MARCO DE REFERENCIA
Este programa educativo es propiedad de Information Systems Audit and Control Association .
ME4
ME3
ME2
ME1
Fomentar la
conciencia y
obtener
compromiso
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Definir el
Alcance
CONSTRUIR
SUSTENTABILIDAD
Definir
proyectos
Implementar
las mejoras
Desarrollar
un plan de
mejora
Analizar
inconsistencias
e identificar
mejoras
Analizar
riesgos
Definir
objetivos de
mejora
Seleccionar
procesos y
controles
Definir el
desempeo
actual
Analizar
objetivos
del negocio y de TI
IMPLEMENTAR LA
SOLUCIN
PLANEAR LA
SOLUCIN
PREVER LA
SOLUCIN
IDENTIFICAR
NECESIDADES
Desarrollar
Estructura y
Procesos del
Gobierno de TI
Integrar
medidas en
el ITBSC
Revisin
Post
implementacin
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Paso 4: Analizar los riesgos que puedan impactar el logro de estas metas de TI
Definir los requerimientos del negocio con respecto a TI y proveer insumos para
comprender los riesgos y prioridades. Establecer el alcance con los proveedores de
TI. Proporcionar los recursos apropiados y el compromiso para dar soporte a la
iniciativa.
Gerente de
Negocios
Aceptar los acuerdos de participacin de auditora con respecto a los roles y reporte.
Proporcionar asesora y cuestionar las actividades y acciones propuestas,
asegurando que se tomen decisiones objetivas y balanceadas. Proveer asesora con
respecto a las prcticas y propuestas de control y administracin del riesgo.
Garantizar un adecuado nivel de participacin de la auditora a travs de la duracin
de la iniciativa.
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Gerente de Riesgo y
Cumplimiento
Auditor de TI
Establecer la direccin, aprobar las propuestas, designar los roles clave de los
proyectos y definir las responsabilidades, brindar soporte y compromiso visibles.
Proveer lineamientos sobre las prioridades del negocio y la actitud con respecto a
los riesgos. Patrocinar, comunicar y promover el plan acordado.
Junta y
Ejecutivo
Gerente
de TI
Cuando usted es
Paso 7:
Paso 8:
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Paso 6:
Asegurar que las metas de negocio estn entendidas por TI, y revisa la
razonabilidad de las metas y prioridades de TI. Ayuda a TI a definir el
nivel objetivo de capacidad.
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Gerente de
riesgo y
cumplimiento
Auditor de TI
Gerente de TI
Gerente de
negocios
Junta y Ejecutivo
Cuando usted
es
Defina proyectos
Desarrolle e implemente un plan de cambio
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Paso 9:
Paso 10:
Asegrese usted mismo que los temas identificados son vlidos, que los
casos de negocio [business cases] estn subjetivamente y precisamente
presentados y que los planes son alcanzables. Disponga del consejo y
asesoramiento de expertos cuando sea apropiado.
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Administrador de
riesgo y
cumplimiento
Auditor de TI
Administrador de TI
Gerente de negocio
De la Junta Directiva
y Ejecutivo
Asegrese
de que los requerimientos del negocio hayan sido
planteados de manera precisa, que las acciones de mejora propuestas
estn alineadas con las prioridades del negocio, y que cualquier
actividad que requiera gastos del negocio estn respaldadas.
Cuando Usted es
Revisin Post-implementacin
Paso 12:
Paso 13:
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Paso 11:
Definir los requerimientos de TI por parte del negocio, y proveer insumos para la
comprensin de los riesgos y prioridades. Establecer el alcance con los
proveedores de TI. Proveer recursos apropiados y confianza para apoyar la
iniciativa.
Marcar una direccin, aprobar, proponer, nominar los roles clave de los
proyectos y definir responsabilidades, dar apoyo visible y confianza. Proveer
asesoramiento con respecto a las prioridades del negocio y actitud hacia los
riesgos. Ser patrocinador, comunicar y promover el plan acordado.
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Gerente de Riesgo y
Cumplimiento
Auditor de TI
Gerente de TI
Gerente de
Negocio
Junta Directiva y
Ejecutivo
Cuando usted es
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Gerente de
Riesgo y
Cumplimiento
Auditor de TI
Gerente de TI
Marcar una direccin, establecer objetivos y asignar roles y responsabilidades para el enfoque progresivo del gobierno de TI de la empresa. Dictar la
pauta, desarrollar estructuras organizacionales y promover una cultura de
buen gobierno y responsabilidad por la rendicin de cuentas para TI entre el
negocio y los ejecutivos de TI
Junta Directiva y
Ejecutivo
Gerente de
Negocio
Cuando usted es
Fomentar la
conciencia y
obtener
compromiso
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Definir el
Alcance
CONSTRUIR
SUSTENTABILIDAD
Definir
proyectos
Implementar
las mejoras
Desarrollar
un plan de
mejora
Analizar
inconsistencias
e identificar
mejoras
Analizar
riesgos
Definir
objetivos de
mejora
Seleccionar
procesos y
controles
Definir el
desempeo
actual
Analizar
objetivos
del negocio y de TI
IMPLEMENTAR LA
SOLUCIN
PLANEAR LA
SOLUCIN
PREVER LA
SOLUCIN
IDENTIFICAR
NECESIDADES
Desarrollar
Estructura y
Procesos del
Gobierno de TI
Integrar
medidas en
el ITBSC
Revisin
Post
implementacin
Ausencia de relacin
cercana TI/negocio
Este programa educativo es propiedad de Information Systems Audit and Control Association .
TI evita soluciones
demasiado complejas y
difciles
Administracin de TI carece
de liderazgo
Ejecutivos senior no
apoyan TI
TI no comprende el negocio
TI no prioriza bien
Inhibidores
Facilitadores
Enfoque integrado a la
estrategia TI/Negocio
Proceso colaborativo entre
TI & Negocio
Direccionado desde arriba
por la Estrategia de TI y el
Comit Directivo de TI
Responsabilidades
compartidas
Bsqueda de Ganancias
rpidas
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Audiencia
Objetivo
Quin
Ejecutivos & Juntas
Administracin
Profesionales
Qu
Dirigir y proveer liderazgo
Evaluar y priorizar
Implementar
Misin
Visin
Valores
Compartir conocimiento
Apalancamiento de la
experiencia
Influenciar buenas prcticas
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Estrategia
Misin
Visin
Valores
Objetivos de Control de TI
para Sarbanes - Oxley
Fundamentos de COBIT
E learning
COBIT On Line
Gua de Aseguramiento de TI
Este programa educativo es propiedad de Information Systems Audit and Control Association .
Prcticas de Control
Objetivos de Control
Resumen Ejecutivo
Directrices
Gerenciales
COBIT QuickStart
Gua de Implementacin
de Gobierno de TI
Cmo presentarlo en
la Organizacin?
Qu es el marco de
referencia del Control
de TI?
Medidas de Desempeo
Metas por Actividad e Insumos
Modelos de Madurez
Ejecutivos y Juntas
Prcticas
Responsabilidades
Familia de Productos
COBIT Y VAL IT
La pregunta de
arquitectura es si la
inversin:
Est alineada con nuestra
arquitectura?
Es consistente con
nuestros principios de
arquitectura?
Contribuye a la poblacin
de nuestra arquitectura?
Est alineada con las
otras iniciativas?
La pregunta estratgica es
si la inversin:
Est alineada con nuestra
visin?
Es consistente con
nuestros principios de
negocio?
Contribuye a nuestros
objetivos estratgicos?
Provee el valor ptimo a
un costo asequible y con
un nivel de riesgo
aceptable?
Las
hacemos en
la forma
adecuada?
Hacemos
las cosas
correctas?
Logramos
hacerlas
bien
hechas?
La pregunta de entrega es
si tenemos:
Administracin efectiva y
disciplinada y procesos de
entrega y administracin
de cambios?
Recursos tcnicos y del
negocio competentes y
disponibles para entregar
Las capacidades
requeridas?
Los cambios
organizacionales
requeridos para apoyar
los cambios?
Diapositiva 51
La pregunta de valor es si
tenemos:
Un entendimiento claro y
compartido de los
beneficios esperados?
Responsabilidad clara por
la obtencin de
beneficios?
Mtricas relevantes?
Un proceso efectivo de
obtencin de beneficios?
y Val IT
Obtenemos
los
beneficios?
Y es dirigido por
Un conjunto de principios aplicados a los procesos de
administracin de valor
Val IT
Proceso: Gobierno del Valor
Val IT
Proceso: Administracin del
Portafolio
Val IT
Proceso: Administracin de Inversiones
Val IT
Proceso: Administracin de Inversiones
Beneficios de Val IT
Consideraciones de Adopcin
Usted se va a sorprender!
CONCLUSIONES
Conclusiones
Correo Electrnico:
tsancho@racsa.co.cr
Mvil (506) 828-8614
Gracias!