1. Educación

Latinoamericana CACS/ISRM 2014
CONEXIONES
DE HOY.
SOLUCIONES
DE MAÑANA.
6‐7 de Octubre ‐ Ciudad de Panamá, Panamá
112. Control Self
Assessment para Inducir el Gobierno de TI
Rodolfo Szuster, CISA CIA CBA
Account Manager – Argentina
CaseWare IDEA Inc.
https://www.linkedin.com/in/rodolfoszuster
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Después de completar esta sesión, será capaz de:
•
•
•
•
Desarrollar un cuestionario para un CSA de gobierno de TI
Establecer un proceso para evaluar diversas organizaciones (o sectores)
Crear índice de madurez de gobierno de TI, propio en base a Cobit‐PAM
Conocer la evolución de la madurez de gobierno de TI en diferentes mercados objetivos (benchmark)
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Conceptos sobre Gobierno de TI
La información es un recurso clave para todas las empresas, y en todo el ciclo de vida de la información corporativa existe una enorme dependencia de la tecnología. La información y las tecnologías relacionadas con la información, están omnipresentes en las empresas y necesitan ser gobernadas y administradas de manera integral, teniendo en cuenta el proceso completo de negocios y las áreas de responsabilidad funcional de la TI .
Hoy, más que nunca, las empresas necesitan para la realización de sus metas, incrementar: •
•
•
La creación de valor a través de TI
La satisfacción de los usuarios a través del compromiso de TI y sus servicios
El cumplimiento con las leyes relevantes, las regulaciones y las políticas.
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Conceptos sobre Gobierno de TI
© COBIT® 5: The Framework ‐ 2011 ISACA. All rights reserved
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Cobit y el Gobierno de TI
COBIT 5 Family of Products
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina COBIT 5 Enterprise Enablers
La voz del mercado:
•Posicionarse como líderes ... •Madurez requeridas por normativas ... •Speed to market: precisión y rapidez de la mano ... •Igualarse a la competencia para después diferenciarse ... •Excelencia en la calidad de servicio ... •Productos en “góndola” ... •Política de flexibilidad ... •Etc. Etc. Etc.
La voz de TI:
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina COBIT PAM Assessment
 El COBIT PAM assessment es un proceso de evaluación de capacidades basado en la
ISO 15504 que incorpora el COBIT 5 como el Modelo de Refencia de Procesos (PRM)
y la ISO/IEC 15504 como el proceso metodológico base de medición y evaluación.
 ISO/IEC 15504 clarifica la evaluación de procesos como una actividad ejecutada ya
sea como un proceso de iniciativa de mejora contínua sobre la eficiencia y eficacia,
o como parte de una evaluación para identificar fortalezas, debilidades y riesgos de
un proceso determinado respecto a un requerimiento particular alineado con las
necesidades del negocio
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Process Capability Levels
Level 5
Optimizing
The process is continuously improved to meet relevant current and projected business goals.
Predictable
The process is enacted consistently within defined limits.
Established
A defined process is used based on a standard process.
Level 2
PA 2.1
PA 2.2
Level 1
PA 1.1
PA 5.1
PA 5.2
Level 4
PA 4.1
PA 4.2
Level 3
PA 3.1
PA 3.2
Process measurement attribute
Process control attribute
Established process
Process definition attribute
Process deployment attribute
Performance management attribute
Work product management attribute
Process performance attribute
Process innovation attribute
Process optimization attribute
Predictable process
Managed process
Performed process
Optimizing process
Managed
The process is managed and work products are established, controlled and maintained.
Performed
The process is implemented and achieves its process purpose.
Incomplete
The process is not implemented or fails to achieve its purpose.
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Level 0
Incomplete process
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina ISO
COBIT 5
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina A trabajar !!
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA
1 Iniciación
2 Planeando el assessment
3 Reunión informativa – kick off - briefing
4 Trabajo de campo – recolectar evidencia
5 Validación de evidencia
6 Valorar los atributos de los procesos
7 Reportar los resultados
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA:
1. Iniciación: •
Identificar al Sponsor y definir el proposito del proceso de assessment: – Por que decidimos llevarlo adelante ?
•
Definir el alcance del proceso de assessment:
– Que procesos serán evaluados?
– Que limitaciones, de existir, aplican al proceso de assessment?
•
•
•
Identificar información adicional que requiera ser recopilada.
Seleccione los participantes del proceso de assessment, el equipo
de evaluación y defina los roles de cada uno de sus miembros.
Defina los inputs y outputs del proceso de assessment: – Hagalos aprobar por el sponsor.
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA:
2. Planeando el assessment :
•
Un plan para el proceso de assessment que describa todas las
actividades desarrolladas en su ejecución:
– Es desarrollado
– Es documentado
– Contiene la agenda del proceso de assessment
•
•
•
•
Identifique el alcance del proyecto.
Asegure la disponibilidad de los recursos necesarios para ejecutar el
proceso de assessment.
Determine el método de recopilar, revisar, validar y documentar la
información requerida por el proceso de assessment.
Coordine las actividades del proceso de assessment con la unidad
organizacional a ser evaluada.
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA:
3. Reunión informativa – kick off ‐ briefing:
•
El lider de equipo del proceso de assessment se asegura que
cada colaborador del equipo entienda lo siguiente sobre el proceso de assessment: –
–
–
•
Input
Proceso
Output Informe a la o las unidades organizacionales sobre el funcionamiento del proceso de assessment: – PAM, alcance del assessment, agendas, limitaciones, restricciones, roles y responsabilidades, requerimientos de recursos, etc.
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA:
4. Trabajo de campo – recolectar evidencia:
•
•
•
•
El evaluador obtiene (y documenta) el entendimiento del/os proceso/s incluyendo su propósito, inputs, outputs y el producido del trabajo, suficiente para facilitar y soportar el proceso de assessment.
Los datos requeridos para la evaluación de los procesos dentro del alcance de la evaluación se recogen de manera sistemática.
La estrategia y las técnicas para la selección, recopilación y análisis de datos y la justificación de las calificaciones se identifican de forma explícita y demostrable
Cada proceso identificado en el alcance de la evaluación se determina sobre la base de pruebas y evidencia objetivas:
– La evidencia objetiva recopilada para cada atributo de cada proceso evaluado debe ser suficiente para cumplir con el propósito y el alcance de la evaluación,
– La evidencia objetiva que soporta el criterio de los evaluadores utilizado en la calificación de los atributos de los procesos se registra y se mantiene resguardado:
• Este registro proporciona pruebas para justificar las calificaciones y para verificar el cumplimiento de los requisitos del proceso
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA:
5. Validación de evidencia:
•
Se toman acciones para segurar que los datos sean exactos y
suficientes para cubrir el alcance del proceso de assessment, como
por ejemplo:
– Buscando información de primera mano, directa, de fuentes
independientes,
– Utilizando resultados de procesos de evaluacion anteriores,
– Efectuar sesiones de feedback para validar la información recolectada
•
Cierta validación de datos puede ocurrir al mismo tiempo que la misma es recolectada, mediante “rechequeos”. Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA:
6. Valorar los atributos de los procesos:
•
Para cada proceso evaluado, se asigna una calificación para cada
atributo del proceso hasta e incluyendo el nivel de capacidad más alta
definida en el alcance de la evaluación.
•
La calificación se basa en datos validados en la actividad anterior.
•
La trazabilidad debe mantenerse entre la evidencia objetiva
recolectada y las calificaciones asignadas a los atributos de cada
proceso.
•
Para cada atributo de cada proceso evaluado, se registrala relación
entre los indicadores y las evidencias objetivas.
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Pasos sugeridos para desarrollar un CSA:
7. Reportar los resultados :
•
•
Los resultados de la evaluación se analizan y se presentan en un
informe.
El informe también abarca las principales cuestiones planteadas
durante la evaluación, tales como:
– Áreas observadas de fortaleza y debilidad
– Los hallazgos de alto riesgo, por ejemplo, la magnitud de la brecha
entre la capacidad evidenciada en el analisis y la capacidad deseada
/ requerida
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Los individuos e interacciones son mas importantes que Los procesos y herramientas
... Si se gestionan personas como componentes ...
... No se trata a personas como individuos ...
... Se reduce la motivación .... Baja la productividad ... ... La gente buena se va ...
... Solo quedan “componentes” que “operan y cumplen” ...
... Los riesgos de baja calidad aumentan ...
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Comentarios de participantes en sesiones de CSA:
“Muy buena experiencia de aprendizaje, conocimos otra dimensión
del departamento”
“Fue de gran ayuda el trabajo del facilitador”
“Copada tecnología”
“Capacidad de sacar ideas, capturadas en tiempo real”
“Capacidad para ver los desvíos con un acuerdo real del grupo”
“Capacidad de revisar la totalidad de temas y priorizarlos del mas
riesgoso al mejor controlado según su importancia”
“un ritmo cansador”
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Claves para un resultado espectacular:
• Involucre un auditor líder familiarizado y entusiasta con la metodología CSA,
• un facilitador capaz,
• un cliente/usuario receptivo,
• una adecuada combinación de participantes,
•
•
•
•
tecnología de votación electrónica,
buen planeamiento de sesiones validado,
un espacio confortable,
estacionamiento pago y … mucha comida !!!
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina ¿Inquietudes, Consultas, Debate, Preguntas ?
Rodolfo Szuster, CISA CIA CBA Account Manager – Argentina [email protected]
Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina Rodolfo Szuster, CISA CIA CBA | Account Manager – Argentina