COBIT 5 - Niveles de Capacidad - Isaca

COBIT 5. Niveles de Capacidad
Desafío de formalización de procesos
Costos y Beneficios
A/P Cristina Borrazás, CISA, CRISC, PMP
AGENDA
 Presentación del tema
 Contextualización Cobit 5
 Gestión de la Documentación
 Implementación
 Costos
 Beneficios
2014 © Copyright Stavros Moyal y Asociados
2
2014 © Copyright Stavros Moyal y Asociados
3
Para que la Organización tenga éxito en satisfacer los
requerimientos del negocio, la dirección debe implementar un
sistema de control interno o un marco de trabajo
Cobit contribuye a esas necesidades
 Provee a las empresas de un marco de trabajo integral
que ayuda a alcanzar sus objetivos para el gobierno y la
gestión de TI
 Manteniendo el equilibrio entre:
 Generación de beneficios,
 Optimización de niveles de riesgo y
 Uso de recursos
2014 © Copyright Stavros Moyal y Asociados
4
Es un marco de trabajo basado
en Objetivos de Control para
la Información y la Tecnología
relacionada (COBIT®), que se
ilustra con un modelo de
procesos basado en las áreas
de responsabilidad de
planear, construir, ejecutar y
monitorear
2014 © Copyright Stavros Moyal y Asociados
5
1.
Se basa en cinco
principios clave
5. Separar el
Gobierno de la
Administración
Satisfacer
las
necesidades
de las
partes
interesadas
2. Cubrir la
Organización
de forma
integral
Principios
de COBIT
5
4. Habilitar
un enfoque
holistico
3. Aplicar un
solo marco
integrado
2014 © Copyright Stavros Moyal y Asociados
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
6
2014 © Copyright Stavros Moyal y Asociados
7
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
Gobierno
Dominios
Procesos
 Evaluar, Orientar y Supervisar (EDM)
5
Gestión
Dominios




Procesos
Alinear, Planificar y Organizar (APO)
Construir, Adquirir e Implementar (BAI)
Entregar, dar Servicio y Soporte (DSS)
Supervisar, Evaluar y Valorar (MEA)
13
10
6
3
2014 © Copyright Stavros Moyal y Asociados
8
(Tomada por Cobit 5 como marco de referencia a la hora
del diagnóstico e implementación de los niveles de
capacidad de los procesos)
¿Porqué medir nuestros procesos en el marco de los niveles de
capacidad propuesto por esta norma?
 Disponer de un sistema de medición único aplicable a todos los
procesos de las empresa
 Medirnos con otras entidades externas bajo estándares
aprobados internacionalmente
 De acuerdo a las herramientas que provee diagnosticar en qué
nivel de capacidad está cada uno de los procesos y qué
debemos hacer para alcanzar el nivel de capacidad deseado
2014 © Copyright Stavros Moyal y Asociados
9
2014 © Copyright Stavros Moyal y Asociados
10
 El proceso está gestionado (planificado,
supervisado y ajustado), resultados
establecidos, controlados y mantenidos
apropiadamente
Se recogen y analizan los datos para
demostrar su adecuación y eficacia, y
para evaluar donde hacer la mejora
continua del proceso
 La organización obtiene
los resultados esperados
Nivel 3
Nivel 1
2014 © Copyright Stavros Moyal y Asociados
11
2014 © Copyright Stavros Moyal y Asociados
12
La documentación no tiene valor en sí misma
La documentación adquiere valor en tanto:
 Establece un lenguaje común de
intercambio y comunicación
 Vehiculiza el entendimiento entre
los diferentes actores internos y
externos
 Existe como soporte de un
proceso o actividad del negocio
permitiendo que sea: definido,
repetible, medible, optimizable y
transferible
2014 © Copyright Stavros Moyal y Asociados
13
2014 © Copyright Stavros Moyal y Asociados
14
El punto de partida NUNCA es CERO
Gestionar la documentación capitalizando lo existente
 Ordenar
 Estandarizar
 Completar
Apoyándose en marcos
de referencia existentes
reconocidos, probados y
aprobados
 Actualizar
2014 © Copyright Stavros Moyal y Asociados
15
Si bien hay varias modos de gestionar la documentación, nosotros
proponemos trabajar con el marco de referencia que presenta la
UNIT en su diploma de Manuales y Documentos de Gestión
Por lo tanto proponemos implementar un Sistema de Gestión de
la Documentación que permita administrarla:





De forma estándar
De acuerdo a las necesidades del negocio
Contemplando los requerimientos actuales
Alineada con los objetivos a alcanzar
Con la posibilidad de utilizar aplicativos específicos que
sin ser obligatorios su uso facilita la gestión
2014 © Copyright Stavros Moyal y Asociados
16
Marco de
estructura
Marco de
referencial
Ciclo de
Vida
estructura
referencial


Definición
Revisión




Planear
Construir
Ejecutar
Monitorear
2014 © Copyright Stavros Moyal y Asociados
17
Marco de estructura
referencial:
 Estándares a aplicar
(plantillas por tipo de
documento)
 Revisiones
 Caducidad
2014 © Copyright Stavros Moyal y Asociados
18
Marco de estructura referencial:
 Definir el lugar donde se guardará la documentación
 Cuál será el criterio de clasificación de la documentación
 Cómo se accederá a la documentación guardada
 Metodología de:
 Versionado
 Respaldos
 Revisiones
 Responsables
2014 © Copyright Stavros Moyal y Asociados
19
Planificar
• Nace junto con el proceso al que apoya
• Se consideran los recursos necesarios
• Se definen los responsables
Construir
 Se aplican las definiciones del marco de estructura referencial
2014 © Copyright Stavros Moyal y Asociados
20
Ejecutar
 Uso del documento
 Las políticas marcan los lineamientos
 Los procedimientos determinan la vida del proceso
 Los registros evidencian lo actuado
Monitorear
 Se puede dar
 En la dinámica de la ejecución
 Durante una revisión programada
 Contraste con la realidad cambiante
2014 © Copyright Stavros Moyal y Asociados
21
Es recomendable realizarlo en forma gradual
Gradual desde dos enfoque igualmente importantes:
 Se recomienda comenzar por un número acotado de
áreas de la organización, para luego ir incorporando
gradualmente otras
 Se sugiere liberar la primera versión, aún cuando la
sepamos perfectible, para luego ir mejorando las
versiones sucesivas
2014 © Copyright Stavros Moyal y Asociados
22
Definir el alcance :
 ¿Qué áreas serán las primeras en implementar?
 ¿A qué nivel de capacidad se va a alinear la organización/área?
2014 © Copyright Stavros Moyal y Asociados
23
Tener en cuenta además que la documentación es un
activo de TI
Integrarla el inventario de activos
Determinar sus propietarios
Definir su criticidad de acuerdo a los tres
conceptos: Confidencialidad, Integridad y
Disponibilidad
Integrar el Análisis de Riesgos
2014 © Copyright Stavros Moyal y Asociados
24
Recursos necesarios para:
 la definición del marco de estructura referencial
 Horas Hombre
 Capacitación
 Asesoría
 Cumplir con el ciclo de vida
 Considerarlos en el ciclo de vida del proceso
 Utilizar los documentos definidos durante el ciclo de vida del
proceso
2014 © Copyright Stavros Moyal y Asociados
25
 Lenguaje común
 Dónde buscar
 Qué buscar
 Cómo interpretar
 Repetibilidad
 Trazabilidad
 Disolución de controversias
 Evidencia de lo actuado
 Independencia de actores
 Proyecciones, simulaciones, estadísticas
2014 © Copyright Stavros Moyal y Asociados
26
 Dar repuesta a las auditorías,
organismos reguladores
 Estar al nivel requerido para
acceder a las certificaciones
 Otros
2014 © Copyright Stavros Moyal y Asociados
27
De acuerdo a nuestra experiencia podemos decir que los casos
exitosos en la implementación de un sistema de gestión de la
documentación han puesto foco en mayor o menor medida en:
 Contar con el Compromiso de la Dirección
 Considerar la documentación existente, tomándola como punto de partida
 Realizar un proceso gradual: en el alcance de la organización y grado de
madurez de la primera versión
 A la medida de la organización: recursos asignables, nivel de detalle
 Contar con el canal de aprobación definido/negociado de los
procedimientos que se van documentando
 Realizar Capacitación y Concientización de todos los involucrados
2014 © Copyright Stavros Moyal y Asociados
28
2014 © Copyright Stavros Moyal y Asociados
29
A/P Cristina Borrazás, CISA, CRISC, PMP
cristinaborrazas@moyal.com.uy
30