8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

1/14

Auditoria Informtica Unidad IV Modelos de Madurez para el control sobre los procesos TI

consisten en el desarrollo de un mtodo de puntaje que unaorganizacin puede graduar desde un no existente a un optimizado,es decir, de 0 a 5. Esta aproximacin ha sido derivada desde elModelo de Madurez que el Software Engineering Institute definipara la madurez de la capacidad de desarrollo del Software (CMM):Contra estos niveles se desarroll para cada uno de los 34 objetivosde procesos de Cobit que la administracin puede mapear:

El estado actual de la organizacin es decir donde la organizacinest hoy da.

El estado actual de (los mejores en su clase) la industria comparacin

El estado actual de los estndares internacionales comparacinadicional

Y la estrategia de la organizacin para mejorar es decir, donde laorganizacin desea estar.

0

1 2 3 4 5

N o

e x i s t eI n i c i a l R e p e t i b l e D e f i n i d o A d m i n i s

- t r a d o

O p t i m i z a d o

E s t a d o A c t u a l d e l a E m p r e s a

E s t n d a r I n t e r n a c i o n a l

M e j o r P r c t i c a d e l a

I n d u s t r i a

E s t r a t e g a d e l a E m p r e s a

0 N o e x i s t e - - N o s e a p l i c a a d m i n i s t r a c i n a l

p r o c e s o

1 I n i c i a l - - P r o c e s o H a d - H o c y d e s o r g a n i z a d o

2 R e p e t i b l e - - P r o c e s o s i g u e u n p a t r n r e g u l a r

3 D e f i n i d o - - P r o c e s o D o c u m e n t a d o y

c o m u n i c a d o4 A d m i n i s t r a d o - - P r o c e s o m o n i t o r e a d o y m d i d o

5 O p t i m i z a d o - - M e j o r e s P r c t i c a s s o n s e g u i d a s y

a u t o m a t i z a d a s

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

2/14

Auditoria Informtica Unidad IV MODELO GENERICO DE MADUREZ

0 No-Existente. Falta completa de cualquier proceso reconocible. Laorganizacin no ha reconocido an que hay un elemento a ser dirigido.

1 Inicial. No hay procesos estndares y en su reemplazo hayaproximaciones que tienden a ser aplicadas en forma individual o caso a

caso. El enfoque general es desorganizado.

2 Repetible.Los procesos se han desarrollados en la etapa dondeprocedimientos similares son seguidos por diferentes personas que realizanla misma tarea. No existe capacitacin formal o comunicacin deprocedimientos estndares y la responsabilidad recae en el individuo. Hayun alto grado de confianza en los conocimientos individuales y por lotanto, los errores son probables.

3 Definido.Los procedimientos han sido estandarizados y documentadosy comunicados a travs de capacitacin. Sin embargo, los individuos dejande cumplir los procesos y es improbable que las desviaciones serndetectadas. Los procedimientos no son terminados.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

3/14

Auditoria Informtica Unidad IV MODELO GENERICO DE MADUREZ (Continuacin)

4 Administrado.Es posible monitorear y medir el cumplimiento con losprocedimientos y tomar acciones cuando stos no estn trabajandoefectivamente. Los procesos estn bajo constante mejoramiento y proveende buenas practicas. La automatizacin y herramientas son utilizadas enforma limitada.

5 Optimizado.Los procesos se han refinado al nivel de mejores prcticas, basado en el resultado de mejoramiento continuo y modelamiento demadurez. La TI es usada como una forma integrada para automatizar losflujos de trabajo, entregando herramientas para mejorar la calidad y laefectividad, permitiendo a la empresa adaptarse rpdamente.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

4/14

Auditoria Informtica Unidad IVCobit es un marco de referencia general orientado a la administracin de TI, y

como tal, stas escalas necesitan ser prcticas para aplicarse y deben serrazonablemente fciles de entender. Sin embargo, los tpicos de riesgo ycontroles apropiados en el proceso de administracin de TI soninherentemente subjetivos y no necesitan ms mecanismos deaproximacin que el encontrado en los modelos de madurez para la

ingeniera de software.

La ventaja de la visin del modelo de madurez es que es relativamente fcilpara los administradores ubicarse ellos mismos en la escala y apreciar queellos estn involucrados y si ellos necesitan mejorar el desempeo. Laescala incluye de 0 - 5 debido a que es muy posible que los procesos noexistan necesariamente. La escala de 0 a 5 est basada en una escala demadurez simple, mostrando cmo un proceso evoluciona desde un no

existente a un optimizado. Debido que hay proceso administrado, elincremento de la madurez y capacidad es tambin sinnimo delincremento de administracin de riesgo y del incremento de la eficiencia.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

5/14

Auditoria Informtica Unidad IVEl Modelo de Madurez es una forma de medir cuan bien desarrollado est el

proceso, lo que depender de las necesidades del negocio como lomencionamos anteriormente, Las escalas son slo ejemplos prcticos paradar al proceso de administracin algunos esquemas tpicos para cada nivelde madurez. El criterio de informacin contenido en el marco de referenciade Cobit , ayuda a la organizacin a enfocarse en los aspectos correctos

de la administracin tal cual lo describen las prcticas actuales. Por ej:planificacin y organizacin se enfoca en los objetivos de administracinde efectividad y eficiencia, mientras que para asegurar la seguridad de lossistemas se enfocar en la administracin de la confiabilidad y laintegridad.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

6/14

Auditoria Informtica Unidad IVLa escala del Modelo de Madurez ayudar a los profesionales a explicar a los

Gerentes dnde existen anomalas en la administracin de TI y definir losobjetivos donde fuera ello necesario, ser comparados con las prcticas decontrol de sus organizaciones y con los ejemplos de mejores prcticas. Eladecuado nivel de madurez ser influenciado por los objetivos de negociode la empresa y por el ambiente operativo.

Especficamente, el nivel de madurez de control depender de la dependenciade la empresa del TI, de la sofisticacin de la tecnologa y lo msimportante, del valor de su informacin.

Un punto de referencia estratgica para una organizacin para mejorar laseguridad y control podra tambin consistir en mirar los estndaresinternacionales emergentes o las mejores prcticas en su clase. Lasprcticas emergentes de hoy da podran llegar a ser el nivel esperado de

desempeo de maana, y es por lo tanto, til para planificar donde unaorganizacin desea estar en el tiempo.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

7/14

Auditoria Informtica Unidad IVEn resumen, los Modelos de Madurez:

y Se refieren al requerimiento del negocio y a los aspectos relacionados alos diferentes niveles de madurez.

y Es una escala que presta una comparacin prctica.y Es una escala donde la diferencia puede ser medible de una manera fcil.y Son reconocibles como perfil de la empresa relativa al Gobierno de IT,seguridad y control.y Ayuda a definir el cmo y el dnde relativo al Gobierno de IT, en la

seguridad y modelos de control.y Ella misma permiten realizar un anlisis de brecha para determinar que se

necesita hacer para alcanzar el objetivo elegido.y Incrementalmente aplican factores crticos de xitos.y No son especficos para una industria o siempre aplicables, el tipo de

industria definir qu es apropiado.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

8/14

Auditoria Informtica Unidad IVFACTORES CRTICOS DE XITO

Los Factores Crticos de xito proveen a la administracin de directrices paraimplementar control sobre la tecnologa de informacin y sus procesos.Ellos son lo ms importante que debe hacerse, ya que contribuyen a queel proceso de TI alcance sus objetivos. Estas son actividades que pueden

ser ya sea de naturaleza estratgica, tcnica, organizacional, oprocedural. Ellas son generalmente ligadas con capacidades y fortalezasy tienen que ser cortas, enfocadas y orientadas a la accin, apoyando losrecursos que son de primera importancia en el proceso bajoconsideracin.

Este modelo y sus principios identifican un nmero de Factores Crticos de xitoque usualmente se aplican a todos los procesos. Adicionalmente, este

modelo indica cul es el estndar, quin define, quin controla o necesitaactuar, etc.:

y Un proceso definido y documentadoy Polticas definidas y documentadasy Responsabilidades clarasy Un fuerte apoyo y compromiso de la administracin

y Comunicacin apropiada relativa a las personas internas e externasy Prcticas de medicin consistentes.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

9/14

Auditoria Informtica Unidad IV1. Aplicando a la tecnologa de informacin en general

y El proceso de TI est definido y alineado con la estrategia de TI y losobjetivos del negocio

y Los clientes de los procesos y sus expectativas son conocidasy Existe la calidad requerida del equipo de apoyo (entrenamiento,

transferencia de informacin, tica, etc.) y disponibilidad de fortalezas(reclutamiento, retencin, recontratos, etc.).y El desempeo de TI es medido en trminos financieros en relacin a la

situacin de los clientes, por efectividad y proceso y por capacidadfutura. La administracin de TI es recompensada en base a estasmediciones.

y Un esfuerzo de mejoramiento continuo de la idea es aplicado.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

10/14

Auditoria Informtica Unidad IVAplicacin a la mayora de los procesos de IT

1. Todos los stakeholders del proceso (clientes, administradores, etc.)estn conscientes de los riesgos, de la importancia de la TI y de laoportunidad que ellos pueden ofrecer y proveer un fuerte compromiso yapoyo.

2.

Metas y objetivos son comunicados a travs de todas las disciplinas yson entendidos; se conoce cmo los procesos son implementados ymonitoreados los objetivos y quin es responsable por el desempeo delproceso.

3. La personas estn enfocadas en metas y tienen la informacinadecuada de los clientes, de los procesos internos y de todas lasconsecuencias de sus decisiones.

4. Se establece una cultura de negocios, alentando la cooperacin a travsde las divisiones, el trabajo en equipo y el mejoramiento continuo delproceso.

5. Existe integracin y alineacin de los grandes procesos, es decir,cambios, problemas y administracin de la configuracin.

6. Las prcticas de control son aplicadas para incrementar el uso eficientey ptimo de los recursos y mejorar la efectividad del proceso.

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

11/14

Auditoria Informtica Unidad IVEn resumen los Factores Crticos de xito son:

j Los posibilitadores esenciales enfocados en el proceso o en el ambientede apoyo

j Una condicin requerida para un xito ptimo o una actividadrecomendada para un ptimo xito

j

Lo ms importante para hacer incrementar la probabilidad de xito en elprocesoj Caractersticas observables de la organizacin y de los procesos

(Usualmente medibles)j De naturaleza estratgico, tecnolgico, organizacional y proceduralj Enfocados en obtener, mantener y apalancar las capacidades y

fortalezasj Expresados en trminos de procesos, no necesariamente de negocios

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

12/14

Auditoria Informtica Unidad IV

Cobit y las Directrices de Auditora

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

13/14

Auditoria Informtica Unidad IV

Cobit y las Directrices de Auditora (continuacin)

8/6/2019 Auditoria Informatica-Clases-13 Unidad IV

14/14

Auditoria Informtica Unidad IV

Las directrices de Cobit permiten al auditor