Control Objectives for Information and
related Technology

Gobierno de TI es responsabilidad de
ejecutivos y consejo de administración (junta
directiva) y consiste en el liderazgo, estructuras
de organización y procesos que aseguren que el
área de TI de la empresa soporta y extiende las
estrategias y objetivos de la organización.

(IT Governance Institute)

Dirección y control – hacia donde va TI para apoyar
el negocio y asegurar que los objetivos son alcanzables



Responsabilidad
Rendición de cuentas
Actividades

Investigar, desarrollar, hacer público y
promover un marco de control de gobierno de
TI autorizado, actualizado y aceptado
internacionalmente para su adopción por parte
de las empresas para el uso diario de gerentes de
negocio, profesionales de TI y responsables de la
seguridad
Marco de referencia de buenas prácticas para gobierno de TI
•No estándar o metodología
Reconocido mundialmente
Representa el consenso
•Revisión por miembros de “Information Systems Audit & Control Association”
Entrega una visión de punta a punta de TI
•A lo largo del ciclo de vida
Integrador de buenas prácticas
•Marco de trabajo de alto nivel
•Se alinea con otros marcos como ITIL, ISO
Enfoca en el control mas que en la ejecución
•No impone como hacerlo
Flexible
•Puede implementarse acorde a las necesidades
COBIT
Administración
de servicios
Desarrollo de
aplicaciones
Planeación de
TI
Admin de
proyectos
…….
Seguridad de TI
ITIL
CMM
?
?
?
Risk - IT




Enfocado al negocio
Orientado a procesos
Basado en controles
Impulsado por mediciones
Estrategia de
la empresa
Metas de
negocio para
TI
Metas de TI
Scorecard
para TI
Arquitectura
para TI
Financiero
Cliente
Interno
Aprendizaje y
crecimiento

Financiero



Proporcionar un buen retorno de la inversión en TI
Administrar los riesgos de negocio relacionados con
TI
Mejorar el gobierno y transparencia corporativos

Cliente






Mejorar el servicio y orientación al negocio
Ofrecer productos y servicios competitivos
Establecer la continuidad y disponibilidad en el
servicio
Generar agilidad (ante a los requerimientos del
negocio)
Optimización de costos en la entrega del servicio
Obtener información útil y confiable para toma
de decisiones estratégicas

Internas






Mejorar y mantener la funcionalidad de los
procesos
Disminuir costo de los procesos
Cumplimiento - normas y regulaciones externas
Cumplimiento – políticas internas
Administrar cambio en el negocio
Mejorar y mantener la productividad
operacional y del staff

Aprendizaje y crecimiento


Administrar innovación del negocio y de productos
Adquirir y mantener personas capacitadas y
motivadas
Estrategia de
la empresa
Metas de
negocio para
TI
Metas de TI
Scorecard
para TI
Arquitectura
para TI

Establecen 28 Metas de TI
1. Responder a los requerimientos de negocio en
alineación con la estrategia de negocio
…..
3. Asegurar la satisfacción del usuario con los
servicios ofertados y los niveles de servicio
……
28 . Asegurar que TI muestra un servicio de calidad
eficiente en costo, en mejora continua y listo
para cambios futuros
1
Financiero
Cliente /
usuario
2 Adm los riesgos de
negocio relacionados con
TI
2
14
3 Mejorar la transparencia
y gobernabilidad
4 Mejorar la orientación y
corporativa
servicio al usuario
2
18
3
23
17
18
19
20
21
22
Estrategia de
la empresa
Metas de
negocio para
TI
Metas de TI
Scorecard
para TI
Arquitectura
para TI

El área de TIC administra mediante procesos
infraestructura para generar una salida de valor
para al área de negocios de la empresa

Para obtener la información que requiere la
empresa para obtener sus objetivos, esta
necesita invertir en, administrar y controlar
recursos de TI utilizando un conjunto de
procesos para proporcionar los servicios que
entreguen esa información requerida


COBIT administra los procesos
considerando 3 niveles:
Dominios
Procesos
Actividades
Dominios
4
Procesos 34
Actividades
{PO,AI,DS,ME}
Procesos




Planear y Organizar [PO]
Adquirir e Implementar [AI]
Entregar y soportar [DS]
Monitorear y evaluar [ME]



Pasos iniciales en pos de un buen gobierno
Proporciona un marco de trabajo
Permite la asignación de propiedad de
procesos (R y A)
Estrategia de
la empresa
Metas de
negocio para
TI
Metas de TI
Scorecard
para TI
Arquitectura
para TI

COBIT define objetivos de control

Políticas, procedimientos, practicas y estructuras
organizaciones diseñados para proporcionar un
aseguramiento razonable del cumplimiento de los
objetivos institucionales

Cada proceso tiene:

objetivo de control de alto nivel
Identificado como PCn



n = {1, …, 6}
objetivos de control específicos
Identificados como: siglas del dominio + num de
proceso + . num de objetivo
PO8.4, AI3.2, DS1.2, etc.







Objetivos de control genéricos aplicables a
todos los procesos
PC1: Metas y objetivos de proceso
PC2 – Propietario del proceso
PC3 – Repetibilidad de los proceso
PC4 – Roles y responsabilidades
PC5 – Políticas, planes y procedimientos
PC6 – Mejora del desempeño de los procesos

Conjunto completo de requerimientos



Enunciados de acciones para incrementar el valor o
reducir el riesgo
Consisten de políticas, procedimientos, practicas y
estructuras organizacionales
Diseñados para proporcionar un aseguramiento
razonable de que :
 Se logran los objetivos institucionales
 Se evitan eventos no deseados ó se detectan y corrigen

Decisión sobre
Seleccionar los que son aplicables
 Decidir cuales se implementarán
 Determinar como se implementaran
 Aceptar el riesgo de no implementar

Estrategia de
la empresa
Metas de
negocio para
TI
Metas de TI
Scorecard
para TI
Arquitectura
para TI


Forma de medición a través del uso de un
modelo de madurez
Permite comparación




Como estamos en relación a buenas prácticas
aceptadas
Como estamos frente a similares
Se realiza lo necesario?
Identificar que se necesita realizar para lograr el
nivel de procesos
Nivel de
madurez
Descripción
0- No existe
Carencia de reconocimiento del proceso
1- Inicial
Procesos no estandarizados
2- Repetible
No existe entrenamiento o comunicación forma
3 - Definido
Estandarizado y documentado
4.
Administrado
5. Optimizado
Procesos siguiendo las mejores practicas






Conciencia y comunicación
Políticas, estándares y procedimientos
Herramientas y automatización
Habilidades y experiencia
Responsabilidad y rendición de cuentas
Establecimiento de objetivos y medición
Políticas estándares y procedimientos
1
Hay acercamiento ad hoc a los procesos y prácticas. Los procesos y
prácticas no están definidos
2
Emergen procesos comunes y similares, pero son altamente intuitivos por
la experiencia individual. Algunos aspectos del proceso son repetibles
3
Emerge el uso de mejores prácticas. Los procesos, políticas y
procedimientos están definidos y documentados para todas las actividades
clave
4
El proceso es sano y está completo, se aplican las mejores prácticas
internas. Todos los aspectos delos procesos están documentados y son
repetibles
5
Se aplican las mejores prácticas y estándares externos. La documentación
de procesos ha evolucionado a flujos de trabajo evolucionado

Se definen tres niveles de métricas:




Metas de TI y métricas
Procesos y métricas
Actividades y métricas
Dos tipos de métricas
Mediciones de salida
 Indicadores de desempeño




La implementación del MAAGTIC supone un
gran reto para los CPI.
Es mejor aprovechar este reto y el esfuerzo que
conlleva para generar el conocimiento interno
mediante el entendimiento de estos marcos.
Ganancia adicional obtener la certificación
Descargar

Metas de TI