cobit

COBITControl Objectives for Information

and related Technology

Gobierno de TI Gobierno de TI es responsabilidad de

ejecutivos y consejo de administración (junta directiva) y consiste en el liderazgo, estructuras de organización y procesos que aseguren que el área de TI de la empresa soporta y extiende las estrategias y objetivos de la organización.

(IT Governance Institute)

Principios de gobierno de TI

Dirección y control – hacia donde va TI para apoyar el negocio y asegurar que los objetivos son alcanzables

Responsabilidad Rendición de cuentas Actividades

Misión de COBIT

Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado y aceptado internacionalmente para su adopción por parte de las empresas para el uso diario de gerentes de negocio, profesionales de TI y responsables de la seguridad

Características de COBIT

•No estándar o metodología

Marco de referencia de buenas prácticas para gobierno de TI

Reconocido mundialmente

•Revisión por miembros de “Information Systems Audit & Control Association”Representa el consenso

•A lo largo del ciclo de vida Entrega una visión de punta a punta de TI

•Marco de trabajo de alto nivel•Se alinea con otros marcos como ITIL, ISO

Integrador de buenas prácticas

•No impone como hacerloEnfoca en el control mas que en la ejecución

•Puede implementarse acorde a las necesidadesFlexible

CoBIT como integrador

COBITAdministración de servicios

ITIL

Desarrollo de aplicaciones

CMM

Planeación de TI

?

Admin de proyectos

?

…….

?

Seguridad de TI

Risk - IT

Características principales Enfocado al negocio Orientado a procesos Basado en controles Impulsado por mediciones

Enfocado al negocio

Definiendo metas de TI y arquitectura de la institución para TI

Estrategia de la

empresa

Metas de negocio para TI

Metas de TI

Arquitectura para TI

Scorecard para TI

Metas de negocio para TI(17 metas en 4 grupos)

Financiero Cliente

InternoAprendizaje

y crecimiento

Metas de negocio para TI Financiero

Proporcionar un buen retorno de la inversión en TI

Administrar los riesgos de negocio relacionados con TI

Mejorar el gobierno y transparencia corporativos

Metas de negocio para TI (Cont.)

Cliente Mejorar el servicio y orientación al negocio Ofrecer productos y servicios competitivos Establecer la continuidad y disponibilidad en

el servicio Generar agilidad (ante a los requerimientos

del negocio) Optimización de costos en la entrega del

servicio Obtener información útil y confiable para

toma de decisiones estratégicas


Internas Mejorar y mantener la funcionalidad de los

procesos Disminuir costo de los procesos Cumplimiento - normas y regulaciones

externas Cumplimiento – políticas internas Administrar cambio en el negocio Mejorar y mantener la productividad

operacional y del staff


Aprendizaje y crecimiento

Administrar innovación del negocio y de productos

Adquirir y mantener personas capacitadas y motivadas


Estrategia de la

empresa


Metas de TI


Scorecard para TI

Metas de TI Establecen 28 Metas de TI

1. Responder a los requerimientos de negocio en alineación con la estrategia de negocio

…..3. Asegurar la satisfacción del usuario con los

servicios ofertados y los niveles de servicio……28 . Asegurar que TI muestra un servicio de

calidad eficiente en costo, en mejora continua y listo para cambios futuros

Relación metas de negocio para TI y metas de TI

Financiero

Cliente / usuario

12 Adm los riesgos de

negocio relacionados con TI

2 14

17

18

19

20

21

22

3 Mejorar la transparencia y gobernabilidad corporativa

2 184 Mejorar la

orientación y servicio al usuario

3 23


Estrategia de la

empresa


Metas de TI


Scorecard para TI

Arquitectura

El área de TIC administra mediante procesos infraestructura para generar una salida de valor para al área de negocios de la empresa

Orientado a procesos

Principio básico de COBIT Para obtener la información que requiere

la empresa para obtener sus objetivos, esta necesita invertir en, administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios que entreguen esa información requerida

Manejo de procesos en COBIT

COBIT administra los procesos considerando 3 niveles:

DominiosProcesosActividades

Manejo de procesos en COBIT

{PO,AI,DS,ME}

Procesos

Dominios 4

Procesos 34

Actividades

Dominios de COBIT Planear y Organizar [PO] Adquirir e Implementar [AI] Entregar y soportar [DS] Monitorear y evaluar [ME]

Orientación a procesos Pasos iniciales en pos de un buen

gobierno Proporciona un marco de trabajo Permite la asignación de propiedad de

procesos (R y A)

Planear y organizar


Estrategia de la

empresa


Metas de TI


Scorecard para TI

Basado en controles

C COBIT define objetivos de control

Políticas, procedimientos, practicas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos institucionales

Cada proceso tiene: objetivo de control de alto nivel

Identificado como PCn n = {1, …, 6}

objetivos de control específicos Identificados como: siglas del dominio + num

de proceso + . num de objetivo PO8.4, AI3.2, DS1.2, etc.

Objetivos de control genéricos aplicables a todos los procesos

PC1: Metas y objetivos de proceso PC2 – Propietario del proceso PC3 – Repetibilidad de los proceso PC4 – Roles y responsabilidades PC5 – Políticas, planes y procedimientos PC6 – Mejora del desempeño de los

procesos

Conjunto completo de requerimientos Enunciados de acciones para incrementar el

valor o reducir el riesgo Consisten de políticas, procedimientos,

practicas y estructuras organizacionales Diseñados para proporcionar un

aseguramiento razonable de que : Se logran los objetivos institucionales Se evitan eventos no deseados ó se detectan y

corrigen

Adopción de controles de los procesos

Decisión sobre Seleccionar los que son aplicables Decidir cuales se implementarán Determinar como se implementaran Aceptar el riesgo de no implementar


Estrategia de la

empresa


Metas de TI


Scorecard para TI

Dirigido por mediciones

Modelo de madurez Forma de medición a través del uso de un

modelo de madurez Permite comparación

Como estamos en relación a buenas prácticas aceptadas

Como estamos frente a similares Se realiza lo necesario? Identificar que se necesita realizar para lograr

el nivel de procesos

Nivel de madurez

Descripción

0- No existe Carencia de reconocimiento del proceso1- Inicial Procesos no estandarizados2- Repetible No existe entrenamiento o comunicación forma3 - Definido Estandarizado y documentado4. Administrado5. Optimizado

Procesos siguiendo las mejores practicas

Atributos de madurez Conciencia y comunicación Políticas, estándares y procedimientos Herramientas y automatización Habilidades y experiencia Responsabilidad y rendición de cuentas Establecimiento de objetivos y medición

Valor del atributo

Políticas estándares y procedimientos1 Hay acercamiento ad hoc a los procesos y prácticas. Los procesos

y prácticas no están definidos2 Emergen procesos comunes y similares, pero son altamente

intuitivos por la experiencia individual. Algunos aspectos del proceso son repetibles

3 Emerge el uso de mejores prácticas. Los procesos, políticas y procedimientos están definidos y documentados para todas las actividades clave

4 El proceso es sano y está completo, se aplican las mejores prácticas internas. Todos los aspectos delos procesos están documentados y son repetibles

5 Se aplican las mejores prácticas y estándares externos. La documentación de procesos ha evolucionado a flujos de trabajo evolucionado

Medición de desempeño Se definen tres niveles de métricas:

Metas de TI y métricas Procesos y métricas Actividades y métricas

Dos tipos de métricas Mediciones de salida Indicadores de desempeño

La implementación del MAAGTIC supone un gran reto para los CPI.

Es mejor aprovechar este reto y el esfuerzo que conlleva para generar el conocimiento interno mediante el entendimiento de estos marcos.

Ganancia adicional obtener la certificación

cobit

Documents

ti cont

negociodefiniendo metas

profesionales de ti

staff metas de negocio

timetas de negocio

requerimientos de negocio

gerentes de negocio

gruposmetas de negocio