Auditoria Informtica Unidad IV

     N o e x is te

Modelos de Madurez para el control sobre los procesos TI consisten en el desarrollo de un mtodo de puntaje que una organizacin puede graduar desde un no existente a un optimizado, es decir, de 0 a 5. Esta aproximacin ha sido derivada desde el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la capacidad de desarrollo del Software (CMM): Contra estos niveles se desarroll para cada uno de los 34 objetivos de procesos de Cobit que la administracin puede mapear: El estado actual de la organizacin es decir donde la organizacin est hoy da. El estado actual de (los mejores en su clase) la industria comparacin El estado actual de los estndares internacionales comparacin adicional Y la estrategia de la organizacin para mejorar es decir, donde la organizacin desea estar.
I n ic ia l 1 R e p e tib le D e fin id o 2 3 A d m in is -tr a d o 4 O p tim iz a d o 5

0 E s ta d o A c tu a l d e la E m p r e s a E s t n d a r I n te r n a c io n a l 1 2 M e jo r P r c tic a d e la 3 I n d u s tr ia E s tr a te g a d e la E m p r e s a 4 5

N o e x is te

-- N o s e a p lic a a d m in is tr a c i n a l p r o c e so I n ic ia l -- P r o c e s o H a d -H o c y d e s o r g a n iz a d o R e p e tib le -- P r o c e s o s ig u e u n p a tr n r e g u la r D e fin id o -- P r o c e so D o c u m e n ta d o y c o m u n ic a d o A d m in is tr a d o --P r o c e s o m o n ito r e a d o y m d id o O p tim iz a d o -- M e jo r e s P r c tic a s s o n s e g u id a s y a u to m a tiz a d a s

Auditoria Informtica Unidad IV

 

MODELO GENERICO DE MADUREZ 0 No-Existente. Falta completa de cualquier proceso reconocible. La organizacin no ha reconocido an que hay un elemento a ser dirigido. 1 Inicial. No hay procesos estndares y en su reemplazo hay aproximaciones que tienden a ser aplicadas en forma individual o caso a caso. El enfoque general es desorganizado. 2 Repetible. Los procesos se han desarrollados en la etapa donde procedimientos similares son seguidos por diferentes personas que realizan la misma tarea. No existe capacitacin formal o comunicacin de procedimientos estndares y la responsabilidad recae en el individuo. Hay un alto grado de confianza en los conocimientos individuales y por lo tanto, los errores son probables. 3 Definido. Los procedimientos han sido estandarizados y documentados y comunicados a travs de capacitacin. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones sern detectadas. Los procedimientos no son terminados.

Auditoria Informtica Unidad IV

 

MODELO GENERICO DE MADUREZ (Continuacin) 4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando stos no estn trabajando efectivamente. Los procesos estn bajo constante mejoramiento y proveen de buenas practicas. La automatizacin y herramientas son utilizadas en forma limitada. 5 Optimizado. Los procesos se han refinado al nivel de mejores prcticas , basado en el resultado de mejoramiento continuo y modelamiento de madurez. La TI es usada como una forma integrada para automatizar los flujos de trabajo, entregando herramientas para mejorar la calidad y la efectividad, permitiendo a la empresa adaptarse rpdamente.

Auditoria Informtica Unidad IV

Cobit es un marco de referencia general orientado a la administracin de TI, y como tal, stas escalas necesitan ser prcticas para aplicarse y deben ser razonablemente fciles de entender. Sin embargo, los tpicos de riesgo y controles apropiados en el proceso de administracin de TI son inherentemente subjetivos y no necesitan ms mecanismos de aproximacin que el encontrado en los modelos de madurez para la ingeniera de software. La ventaja de la visin del modelo de madurez es que es relativamente fcil para los administradores ubicarse ellos mismos en la escala y apreciar que ellos estn involucrados y si ellos necesitan mejorar el desempeo. La escala incluye de 0 - 5 debido a que es muy posible que los procesos no existan necesariamente. La escala de 0 a 5 est basada en una escala de madurez simple, mostrando cmo un proceso evoluciona desde un no existente a un optimizado. Debido que hay proceso administrado, el incremento de la madurez y capacidad es tambin sinnimo del incremento de administracin de riesgo y del incremento de la eficiencia.

Auditoria Informtica Unidad IV

El Modelo de Madurez es una forma de medir cuan bien desarrollado est el proceso, lo que depender de las necesidades del negocio como lo mencionamos anteriormente, Las escalas son slo ejemplos prcticos para dar al proceso de administracin algunos esquemas tpicos para cada nivel de madurez. El criterio de informacin contenido en el marco de referencia de Cobit , ayuda a la organizacin a enfocarse en los aspectos correctos de la administracin tal cual lo describen las prcticas actuales. Por ej: planificacin y organizacin se enfoca en los objetivos de administracin de efectividad y eficiencia, mientras que para asegurar la seguridad de los sistemas se enfocar en la administracin de la confiabilidad y la integridad.

Auditoria Informtica Unidad IV

La escala del Modelo de Madurez ayudar a los profesionales a explicar a los Gerentes dnde existen anomalas en la administracin de TI y definir los objetivos donde fuera ello necesario, ser comparados con las prcticas de control de sus organizaciones y con los ejemplos de mejores prcticas. El adecuado nivel de madurez ser influenciado por los objetivos de negocio de la empresa y por el ambiente operativo. Especficamente, el nivel de madurez de control depender de la dependencia de la empresa del TI, de la sofisticacin de la tecnologa y lo ms importante, del valor de su informacin. Un punto de referencia estratgica para una organizacin para mejorar la seguridad y control podra tambin consistir en mirar los estndares internacionales emergentes o las mejores prcticas en su clase. Las prcticas emergentes de hoy da podran llegar a ser el nivel esperado de desempeo de maana, y es por lo tanto, til para planificar donde una organizacin desea estar en el tiempo.

Auditoria Informtica Unidad IV

En resumen, los Modelos de Madurez:
y y y y y y y y

Se refieren al requerimiento del negocio y a los aspectos relacionados a los diferentes niveles de madurez. Es una escala que presta una comparacin prctica. Es una escala donde la diferencia puede ser medible de una manera fcil. Son reconocibles como perfil de la empresa relativa al Gobierno de IT, seguridad y control. Ayuda a definir el cmo y el dnde relativo al Gobierno de IT, en la seguridad y modelos de control. Ella misma permiten realizar un anlisis de brecha para determinar que se necesita hacer para alcanzar el objetivo elegido. Incrementalmente aplican factores crticos de xitos. No son especficos para una industria o siempre aplicables, el tipo de industria definir qu es apropiado.

Auditoria Informtica Unidad IV

FACTORES CRTICOS DE XITO
Los Factores Crticos de xito proveen a la administracin de directrices para implementar control sobre la tecnologa de informacin y sus procesos. Ellos son lo ms importante que debe hacerse, ya que contribuyen a que el proceso de TI alcance sus objetivos. Estas son actividades que pueden ser ya sea de naturaleza estratgica, tcnica, organizacional, o procedural. Ellas son generalmente ligadas con capacidades y fortalezas y tienen que ser cortas, enfocadas y orientadas a la accin, apoyando los recursos que son de primera importancia en el proceso bajo consideracin. Este modelo y sus principios identifican un nmero de Factores Crticos de xito que usualmente se aplican a todos los procesos. Adicionalmente, este modelo indica cul es el estndar, quin define, quin controla o necesita actuar, etc.:
y y y y y y

Un proceso definido y documentado Polticas definidas y documentadas Responsabilidades claras Un fuerte apoyo y compromiso de la administracin Comunicacin apropiada relativa a las personas internas e externas Prcticas de medicin consistentes.

Auditoria Informtica Unidad IV

1.

Aplicando a la tecnologa de informacin en general El proceso de TI est definido y alineado con la estrategia de TI y los objetivos del negocio Los clientes de los procesos y sus expectativas son conocidas Existe la calidad requerida del equipo de apoyo (entrenamiento, transferencia de informacin, tica, etc.) y disponibilidad de fortalezas (reclutamiento, retencin, recontratos, etc.). El desempeo de TI es medido en trminos financieros en relacin a la situacin de los clientes, por efectividad y proceso y por capacidad futura. La administracin de TI es recompensada en base a estas mediciones. Un esfuerzo de mejoramiento continuo de la idea es aplicado.

y y y

Auditoria Informtica Unidad IV

Aplicacin a la mayora de los procesos de IT
1.

2.

3.

4.

5. 6.

Todos los stakeholders del proceso (clientes, administradores, etc.) estn conscientes de los riesgos, de la importancia de la TI y de la oportunidad que ellos pueden ofrecer y proveer un fuerte compromiso y apoyo. Metas y objetivos son comunicados a travs de todas las disciplinas y son entendidos; se conoce cmo los procesos son implementados y monitoreados los objetivos y quin es responsable por el desempeo del proceso. La personas estn enfocadas en metas y tienen la informacin adecuada de los clientes, de los procesos internos y de todas las consecuencias de sus decisiones. Se establece una cultura de negocios, alentando la cooperacin a travs de las divisiones, el trabajo en equipo y el mejoramiento continuo del proceso. Existe integracin y alineacin de los grandes procesos, es decir, cambios, problemas y administracin de la configuracin. Las prcticas de control son aplicadas para incrementar el uso eficiente y ptimo de los recursos y mejorar la efectividad del proceso.

Auditoria Informtica Unidad IV

En resumen los Factores Crticos de xito son:
j j j j j j j

Los posibilitadores esenciales enfocados en el proceso o en el ambiente de apoyo Una condicin requerida para un xito ptimo o una actividad recomendada para un ptimo xito Lo ms importante para hacer incrementar la probabilidad de xito en el proceso Caractersticas observables de la organizacin y de los procesos (Usualmente medibles) De naturaleza estratgico, tecnolgico, organizacional y procedural Enfocados en obtener, mantener y apalancar las capacidades y fortalezas Expresados en trminos de procesos, no necesariamente de negocios

Auditoria Informtica Unidad IV

Cobit y las Directrices de Auditora

Auditoria Informtica Unidad IV

Cobit y las Directrices de Auditora (continuacin)

Auditoria Informtica Unidad IV

Las directrices de Cobit permiten al auditor