COBIT 5. Niveles de Capacidad Desafío de formalización de procesos Costos y Beneficios. A/P Cristina Borrazás, CISA, CRISC, PMP

Transcripción

1 COBIT 5. Niveles de Capacidad Desafío de formalización de procesos Costos y Beneficios A/P Cristina Borrazás, CISA, CRISC, PMP

2 AGENDA Presentación del tema Contextualización Cobit 5 Gestión de la Documentación Implementación Costos Beneficios 2

3 3

4 Para que la Organización tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo Cobit contribuye a esas necesidades Provee a las empresas de un marco de trabajo integral que ayuda a alcanzar sus objetivos para el gobierno y la gestión de TI Manteniendo el equilibrio entre: Generación de beneficios, Optimización de niveles de riesgo y Uso de recursos 4

5 Es un marco de trabajo basado en Objetivos de Control para la Información y la Tecnología relacionada (COBIT ), que se ilustra con un modelo de procesos basado en las áreas de responsabilidad de planear, construir, ejecutar y monitorear 5

6 Se basa en cinco principios clave 5. Separar el Gobierno de la Administración 1. Satisfacer las necesidades de las partes interesadas Principios de COBIT 5 2. Cubrir la Organización de forma integral 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado Fuente: COBIT 5, Figura ISACA Todos los derechos reservados 6

7 Fuente: COBIT 5, Figura ISACA Todos los derechos reservados 7

8 Gobierno Dominios Procesos Evaluar, Orientar y Supervisar (EDM) 5 Gestión Dominios Procesos Alinear, Planificar y Organizar (APO) 13 Construir, Adquirir e Implementar (BAI) 10 Entregar, dar Servicio y Soporte (DSS) 6 Supervisar, Evaluar y Valorar (MEA) 3 8

9 (Tomada por Cobit 5 como marco de referencia a la hora del diagnóstico e implementación de los niveles de capacidad de los procesos) Porqué medir nuestros procesos en el marco de los niveles de capacidad propuesto por esta norma? Disponer de un sistema de medición único aplicable a todos los procesos de las empresa Medirnos con otras entidades externas bajo estándares aprobados internacionalmente De acuerdo a las herramientas que provee diagnosticar en qué nivel de capacidad está cada uno de los procesos y qué debemos hacer para alcanzar el nivel de capacidad deseado 9

10 10

11 El proceso está gestionado (planificado, supervisado y ajustado), resultados establecidos, controlados y mantenidos apropiadamente Se recogen y analizan los datos para demostrar su adecuación y eficacia, y para evaluar donde hacer la mejora continua del proceso La organización obtiene los resultados esperados Nivel 1 Nivel 3 11

12 12

13 La documentación no tiene valor en sí misma La documentación adquiere valor en tanto: Establece un lenguaje común de intercambio y comunicación Vehiculiza el entendimiento entre los diferentes actores internos y externos Existe como soporte de un proceso o actividad del negocio permitiendo que sea: definido, repetible, medible, optimizable y transferible 13

14 14

15 El punto de partida NUNCA es CERO Gestionar la documentación capitalizando lo existente Ordenar Estandarizar Completar Actualizar Apoyándose en marcos de referencia existentes reconocidos, probados y aprobados 15

16 Si bien hay varias modos de gestionar la documentación, nosotros proponemos trabajar con el marco de referencia que presenta la UNIT en su diploma de Manuales y Documentos de Gestión Por lo tanto proponemos implementar un Sistema de Gestión de la Documentación que permita administrarla: De forma estándar De acuerdo a las necesidades del negocio Contemplando los requerimientos actuales Alineada con los objetivos a alcanzar Con la posibilidad de utilizar aplicativos específicos que sin ser obligatorios su uso facilita la gestión 16

17 Marco de estructura referencial Marco de estructura referencial Ciclo de Vida Definición Revisión Planear Construir Ejecutar Monitorear 17

18 Marco de estructura referencial: Estándares a aplicar (plantillas por tipo de documento) Revisiones Caducidad 18

19 Marco de estructura referencial: Definir el lugar donde se guardará la documentación Cuál será el criterio de clasificación de la documentación Cómo se accederá a la documentación guardada Metodología de: Responsables Versionado Respaldos Revisiones 19

20 Planificar Nace junto con el proceso al que apoya Se consideran los recursos necesarios Se definen los responsables Construir Se aplican las definiciones del marco de estructura referencial 20

21 Ejecutar Uso del documento Las políticas marcan los lineamientos Los procedimientos determinan la vida del proceso Los registros evidencian lo actuado Monitorear Se puede dar En la dinámica de la ejecución Durante una revisión programada Contraste con la realidad cambiante 21

22 Es recomendable realizarlo en forma gradual Gradual desde dos enfoque igualmente importantes: Se recomienda comenzar por un número acotado de áreas de la organización, para luego ir incorporando gradualmente otras Se sugiere liberar la primera versión, aún cuando la sepamos perfectible, para luego ir mejorando las versiones sucesivas 22

23 Definir el alcance : Qué áreas serán las primeras en implementar? A qué nivel de capacidad se va a alinear la organización/área? 23

24 Tener en cuenta además que la documentación es un activo de TI Integrarla el inventario de activos Determinar sus propietarios Definir su criticidad de acuerdo a los tres conceptos: Confidencialidad, Integridad y Disponibilidad Integrar el Análisis de Riesgos 24

25 Recursos necesarios para: la definición del marco de estructura referencial Horas Hombre Capacitación Asesoría Cumplir con el ciclo de vida Considerarlos en el ciclo de vida del proceso Utilizar los documentos definidos durante el ciclo de vida del proceso 25

26 Lenguaje común Repetibilidad Trazabilidad Disolución de controversias Evidencia de lo actuado Independencia de actores Dónde buscar Qué buscar Cómo interpretar Proyecciones, simulaciones, estadísticas 26

27 Dar repuesta a las auditorías, organismos reguladores Estar al nivel requerido para acceder a las certificaciones Otros 27

28 De acuerdo a nuestra experiencia podemos decir que los casos exitosos en la implementación de un sistema de gestión de la documentación han puesto foco en mayor o menor medida en: Contar con el Compromiso de la Dirección Considerar la documentación existente, tomándola como punto de partida Realizar un proceso gradual: en el alcance de la organización y grado de madurez de la primera versión A la medida de la organización: recursos asignables, nivel de detalle Contar con el canal de aprobación definido/negociado de los procedimientos que se van documentando Realizar Capacitación y Concientización de todos los involucrados 28

29 29

30 A/P Cristina Borrazás, CISA, CRISC, PMP 30