cobit 5 - niveles de capacidad
TRANSCRIPT
COBIT 5. Niveles de Capacidad
Desafío de formalización de procesos
Costos y Beneficios
A/P Cristina Borrazás, CISA, CRISC, PMP
2014 © Copyright Stavros Moyal y Asociados
AGENDA
Presentación del tema
Contextualización Cobit 5
Gestión de la Documentación
Implementación
Costos
Beneficios
2
2014 © Copyright Stavros Moyal y Asociados 3
2014 © Copyright Stavros Moyal y Asociados
Para que la Organización tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un
sistema de control interno o un marco de trabajo
Cobit contribuye a esas necesidades
Provee a las empresas de un marco de trabajo integral que ayuda a alcanzar sus objetivos para el gobierno y la gestión de TI
Manteniendo el equilibrio entre: Generación de beneficios, Optimización de niveles de riesgo y Uso de recursos
4
2014 © Copyright Stavros Moyal y Asociados
Es un marco de trabajo basado en Objetivos de Control para la Información y la Tecnología relacionada (COBIT®), que se ilustra con un modelo de procesos basado en las áreas de responsabilidad de planear, construir, ejecutar y monitorear
5
2014 © Copyright Stavros Moyal y Asociados
Se basa en cinco principios clave
Principios
de COBIT
5
1.
Satisfacer
las
necesidades
de las
partes
interesadas 2. Cubrir la
Organización
de forma
integral
3. Aplicar un
solo marco
integrado
4. Habilitar
un enfoque
holistico
5. Separar el
Gobierno de la
Administración
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados 6
2014 © Copyright Stavros Moyal y Asociados
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
7
2014 © Copyright Stavros Moyal y Asociados
Gestión
Dominios Procesos
Alinear, Planificar y Organizar (APO) 13 Construir, Adquirir e Implementar (BAI) 10 Entregar, dar Servicio y Soporte (DSS) 6 Supervisar, Evaluar y Valorar (MEA) 3
Gobierno
Dominios Procesos
Evaluar, Orientar y Supervisar (EDM) 5
8
2014 © Copyright Stavros Moyal y Asociados 9
¿Porqué medir nuestros procesos en el marco de los niveles de capacidad propuesto por esta norma?
(Tomada por Cobit 5 como marco de referencia a la hora del diagnóstico e implementación de los niveles de capacidad de los procesos)
Disponer de un sistema de medición único aplicable a todos los procesos de las empresa
Medirnos con otras entidades externas bajo estándares aprobados internacionalmente
De acuerdo a las herramientas que provee diagnosticar en qué nivel de capacidad está cada uno de los procesos y qué debemos hacer para alcanzar el nivel de capacidad deseado
2014 © Copyright Stavros Moyal y Asociados 10
2014 © Copyright Stavros Moyal y Asociados
Nivel 1
Nivel 3
La organización obtiene los resultados esperados
El proceso está gestionado (planificado, supervisado y ajustado), resultados establecidos, controlados y mantenidos apropiadamente
Se recogen y analizan los datos para demostrar su adecuación y eficacia, y para evaluar donde hacer la mejora continua del proceso
11
2014 © Copyright Stavros Moyal y Asociados 12
2014 © Copyright Stavros Moyal y Asociados
La documentación no tiene valor en sí misma
Establece un lenguaje común de intercambio y comunicación
Vehiculiza el entendimiento entre los diferentes actores internos y
externos
La documentación adquiere valor en tanto:
Existe como soporte de un proceso o actividad del negocio permitiendo que sea: definido,
repetible, medible, optimizable y transferible
13
2014 © Copyright Stavros Moyal y Asociados
14
2014 © Copyright Stavros Moyal y Asociados
El punto de partida NUNCA es CERO
Ordenar
Estandarizar
Completar
Actualizar
Gestionar la documentación capitalizando lo existente
Apoyándose en marcos de referencia existentes reconocidos, probados y aprobados
15
2014 © Copyright Stavros Moyal y Asociados
Por lo tanto proponemos implementar un Sistema de Gestión de la Documentación que permita administrarla:
De forma estándar De acuerdo a las necesidades del negocio Contemplando los requerimientos actuales Alineada con los objetivos a alcanzar Con la posibilidad de utilizar aplicativos específicos que
sin ser obligatorios su uso facilita la gestión
Si bien hay varias modos de gestionar la documentación, nosotros proponemos trabajar con el marco de referencia que presenta la UNIT en su diploma de Manuales y Documentos de Gestión
16
2014 © Copyright Stavros Moyal y Asociados
Marco de estructura referencial
Marco de estructura referencial
Ciclo de Vida
Definición Revisión
Planear Construir Ejecutar Monitorear
17
2014 © Copyright Stavros Moyal y Asociados
Marco de estructura referencial: Estándares a aplicar
(plantillas por tipo de documento)
Revisiones Caducidad
18
2014 © Copyright Stavros Moyal y Asociados
Marco de estructura referencial:
Definir el lugar donde se guardará la documentación Cuál será el criterio de clasificación de la documentación Cómo se accederá a la documentación guardada
Metodología de: Versionado Respaldos Revisiones
Responsables
19
2014 © Copyright Stavros Moyal y Asociados
Construir Se aplican las definiciones del marco de estructura referencial
Planificar • Nace junto con el proceso al que apoya
• Se consideran los recursos necesarios • Se definen los responsables
20
2014 © Copyright Stavros Moyal y Asociados
Monitorear
Se puede dar En la dinámica de la ejecución Durante una revisión programada Contraste con la realidad cambiante
21
Ejecutar
Uso del documento Las políticas marcan los lineamientos Los procedimientos determinan la vida del proceso Los registros evidencian lo actuado
2014 © Copyright Stavros Moyal y Asociados
Es recomendable realizarlo en forma gradual
Gradual desde dos enfoque igualmente importantes: Se recomienda comenzar por un número acotado de
áreas de la organización, para luego ir incorporando gradualmente otras
Se sugiere liberar la primera versión, aún cuando la sepamos perfectible, para luego ir mejorando las versiones sucesivas
22
2014 © Copyright Stavros Moyal y Asociados
Definir el alcance :
¿Qué áreas serán las primeras en implementar?
¿A qué nivel de capacidad se va a alinear la organización/área?
23
2014 © Copyright Stavros Moyal y Asociados
Tener en cuenta además que la documentación es un activo de TI
Integrarla el inventario de activos
Determinar sus propietarios
Definir su criticidad de acuerdo a los tres
conceptos: Confidencialidad, Integridad y
Disponibilidad
Integrar el Análisis de Riesgos
24
2014 © Copyright Stavros Moyal y Asociados
la definición del marco de estructura referencial
Horas Hombre Capacitación Asesoría
Cumplir con el ciclo de vida
Considerarlos en el ciclo de vida del proceso
Utilizar los documentos definidos durante el ciclo de vida del proceso
Recursos necesarios para:
25
2014 © Copyright Stavros Moyal y Asociados
Lenguaje común Dónde buscar Qué buscar Cómo interpretar
Repetibilidad
Trazabilidad
Disolución de controversias
Evidencia de lo actuado
Independencia de actores
Proyecciones, simulaciones, estadísticas
26
2014 © Copyright Stavros Moyal y Asociados
Dar repuesta a las auditorías, organismos reguladores
Estar al nivel requerido para acceder a las certificaciones
Otros
27
2014 © Copyright Stavros Moyal y Asociados
De acuerdo a nuestra experiencia podemos decir que los casos exitosos en la implementación de un sistema de gestión de la documentación han puesto foco en mayor o menor medida en:
28
Contar con el Compromiso de la Dirección
Considerar la documentación existente, tomándola como punto de partida
Realizar un proceso gradual: en el alcance de la organización y grado de madurez de la primera versión
A la medida de la organización: recursos asignables, nivel de detalle
Contar con el canal de aprobación definido/negociado de los procedimientos que se van documentando
Realizar Capacitación y Concientización de todos los involucrados
2014 © Copyright Stavros Moyal y Asociados
29