Evaluacion de Capacidad de Procesos Con Cobit 5 Goierno de Ti
Evaluacion de Capacidad de Procesos Con Cobit 5 Goierno de Ti
TITULO
Presentado por
Asesor
1. Título:
Modelo para la evaluación del nivel de capacidad de los procesos de TI, mediante el marco
de referencia COBIT PAM. Caso de estudio empresa Deltron SA – Sucursal Piura
2. Código
(Posteriormente será asignado por el centro de investigación de la FICSA)
3. Personal investigador
Responsable : Manuel Enrique Agreda Abanto
[email protected]
Asesor : Ernesto Karlo Celi Arévalo
[email protected]
4. Escuela Profesional
Ingeniería de Sistemas
5. Área de investigación
Desarrollo de tecnologías e innovación
6. Línea de investigación:
Desarrollo informático y de sistemas
8. Fecha de presentación
Abril del 2016
Bach. Manuel Enrique Agreda Abanto Ing. M.Sc. Ernesto K. Celi Arévalo
INDICE
DATOS INFORMATIVOS DEL TRABAJO DE SUFICIENCIA PROFESIONAL ........... 2
1. Título : ............................................................................................................................... 2
2. Código .............................................................................................................................. 2
3. Personal investigador ........................................................................................................ 2
4. Escuela Profesional ........................................................................................................... 2
5. Área de investigación ........................................................................................................ 2
6. Línea de investigación:...................................................................................................... 2
7. Localidad e institución donde se realizará el proyecto...................................................... 2
8. Fecha de presentación ....................................................................................................... 2
INDICE ........................................................................................................................................ 3
RESUMEN ................................................................................................................................... 6
INTRODUCCIÓN....................................................................................................................... 8
CAPÍTULO I: MARCO REFERENCIAL ............................................................................. 10
1.1. Gobierno TI .................................................................................................................. 10
1.1.1.El Gobierno Corporativo................................................................................. 10
1.1.2.Importancia del Gobierno de TI ..................................................................... 11
1.1.3.Enfoque del Gobierno de TI .......................................................................... 12
1.2. El Programa de Evaluación de COBIT .......................................................................... 14
1.3. Propósito de la autoevaluación COBIT ........................................................................ 15
1.4. El Programa de Evaluación COBIT-Información general ............................................. 15
1.5. Arquitectura COBIT 5................................................................................................... 15
1.6. Marco de medición ..................................................................................................... 16
1.7. El proceso de autoevaluación COBIT........................................................................... 20
1.7.1.Paso 1. Decidir sobre el (los) procesos a evaluar (alcance) ........................... 21
1.7.2.Paso 2. Determinar si el proceso seleccionado está en el Nivel 1 de
Capacidad ................................................................................................................ 23
1.7.3.Paso 3. Determinar cuáles de los niveles de capacidad del 2 a 5 para los
procesos seleccionados se están cumpliendo......................................................... 25
1.7.4.Paso 4. Resumen de los resultados de la evaluación de los niveles de
capacidad ................................................................................................................ 27
1.7.5.Paso 5 Desarrollar un Plan de Mejora de Acción ........................................... 27
CAPÍTULO II: ANÁLISIS DE LA EMPRESA CASO DE ESTUDIO ............................... 29
2.1. Descripción de la empresa........................................................................................... 29
2.2. Estructura organizativa de Deltrón SA – Sucursal Piura............................................. 29
3.1.1.Definición de indicadores de éxito para los cinco dominios de CobiT 5.0 .... 40
3.1.2.Determinación de niveles de madurez para cada proceso de los cinco
dominios de CobiT 5.0 ............................................................................................ 41
3.1.3.Determinación de brechas para cada proceso de los cinco dominios de CobiT
5.0 ............................................................................................................................ 41
3.2. Determinación de niveles de madurez y brechas existentes en el Área de Sistemas .. 42
Tabla N° 11: Dominio analizado: Evaluar, Orientar y Supervisar (EDM) ............... 42
Tabla N° 12: Dominio analizado: Alinear, Planificar y Organizar (APO)................ 44
Tabla N° 13: Dominio analizado: Construir, Adquirir e Implementar (BAI) ........... 48
Tabla N° 14: Dominio analizado: Entregar, dar Servicio y Soporte (DSS) .............. 52
Tabla N° 15: Dominio analizado: Supervisar, Evaluar y Valorar (MEA) ................ 55
3.3. Discusión de los resultados de la determinación de niveles de madurez y brechas
existentes en el Área de Sistemas ................................................................................ 57
CAPITULO IV. UTOEVALUACIÓN DE LOS PROCESOS DE TI................................... 60
4.1. Definir el alcance de la evaluación de procesos .......................................................... 60
Tabla N° 16: Selección de procesos COBIT para evaluación piloto, de acuerdo a las
exigencias de la SBS ................................................................................................. 60
4.2. Determinar el nivel de capacidad 1 de los procesos seleccionados............................. 67
4.3. Determinar los niveles de capacidad del 2 a 5 para los procesos seleccionados ......... 67
4.4. Identificación de los impactos de los resultados observados en los procesos
seleccionados............................................................................................................... 74
CAPITULO V. PLANES DE ACCIÓN ..................................................................................... 75
5.1. Definición de planes de acción general para atender las debilidades encontradas ...... 75
5.2. Definición de planes de acción específicos para atender las debilidades encontradas en
los procesos seleccionados .......................................................................................... 86
CONCLUSIONES Y RECOMENDACIONES ...................................................................... 91
CONCLUSIONES ................................................................................................................... 911
RECOMENDACIONES ......................................................................................................... 922
REFERENCIAS DE CONSULTA ........................................................................................ 933
TABLAS
Tabla N° 01. Resumen de componente, objetivos y herramientas más difundidas de gob. de TI
Tabla N° 02: Niveles de Capacidad de Procesos
Tabla N° 03: Escala de niveles
Tabla N° 04: Niveles y puntuaciones necesarias
Tabla N° 06: Consecuencias adicionales del funcionamiento eficaz y eficiente de los procesos
Tabla N° 07: Plantilla ejemplo de evaluación
Tabla N° 08: Documentos del sistema integrado de gestión del Grupo
Tabla N° 09: Contenido de los documentos generados en los diferentes proyectos del Grupo
Tabla N° 10: Criterios de evaluación y determinación de brechas
Tabla N° 11: Dominio analizado: Evaluar, Orientar y Supervisar (EDM)
Tabla N° 12: Dominio analizado: Alinear, Planificar y Organizar (APO)
Tabla N° 13: Dominio analizado: Construir, Adquirir e Implementar (BAI)
Tabla N° 14: Dominio analizado: Entregar, dar Servicio y Soporte (DSS)
Tabla N° 15: Dominio analizado: Supervisar, Evaluar y Valorar (MEA)
Tabla N° 16: Selección de procesos COBIT para evaluación piloto, de acuerdo exigencias SBS
Tabla N° 17. Diagnóstico del proceso COBIT 5.0 EDM03 - Asegurar la optimización de riesgo
Tabla N° 18. Diagnóstico del proceso COBIT 5.0 BAI01 Gestionar programas y proyectos
Tabla N° 19. Diagnóstico del proceso COBIT 5.0 APO13 - Gestionar la seguridad
Tabla N° 20. Diagnóstico del proceso COBIT 5.0 DSS04 - Gestionar la continuidad
Tabla N° 21. Diagnóstico del proceso COBIT 5.0 MEA02 - Supervisar, Evaluar y Valorar el
Sistema de Control Interno
Tabla N° 22: Evaluación del nivel de capacidad 1 de los procesos seleccionados
Tabla N° 23: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso EDM03: Asegurar la
optimización del riesgo
Tabla N° 24: Evaluación del nivel de capacidad 2, 3, 4 y 5 proceso APO13: Gestionar la segur.
Tabla N° 25: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso BAI01: Gestionar los
programas y proyectos
Tabla N° 26: Evaluación nivel de capacidad 2, 3, 4 y 5 proceso DSS04: Gestionar continuidad
Tabla N° 27: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso MEA02: Supervisar,
Evaluar y Valorar el Sistema de Control Interno
Tabla N° 28: Consolidado de Niveles de Capacidad Actual de los procesos seleccionados
Tabla N° 29: Consolidado de Niveles Objetivo de Capacidad de los procesos seleccionados
Tabla N° 30: Plan de acción 1: Definir el Plan Estratégico de TI
Tabla N° 31: Plan de acción 2: Difundir el enfoque de administración de proyectos
Tabla N° 32: Plan de acción 3: Definir y aplicar SLA’s y OLA’s
Tabla N° 33: Plan de acción 4: Asegurar el entrenamiento y soporte a usuarios
Tabla N° 34: Plan de acción 5: Definir el modelo de Gobierno de TI
Tabla N° 35: Plan de acción 6: Definir políticas y procedimientos de TI
Tabla N° 36: Plan de acción 7: Implementar la gestión de riesgos de TI
Tabla N° 37: Plan de acción 8: Desarrollar el modelo de arquitectura empresarial
Tabla N° 38: Plan de acción 9: Implementar la gestión de continuidad de negocio
Tabla N° 39: Plan de acción 10: Implementar herramientas automatizadas de TI
Tabla N° 40: Plan de acción específico para proceso EDM03: Asegurar la optimización riesgo
Tabla N° 41: Plan de acción específico para el proceso APO13: Gestionar la seguridad
Tabla N° 42: Plan de acción específico para el proceso BAI01: Gestionar programas y proyectos
Tabla N° 43: Plan de acción específico para el proceso DSS04: Gestionar la continuidad
RESUMEN
Este proyecto tiene como principal objetivo la evaluación de los procesos de Tecnologías de
Información (TI) de la empresa Deltron SA – Sucursal Piura, como una actividad parte de una
iniciativa de mejora de procesos y como un enfoque para la determinación de capacidades, a
través de la aplicación del marco de referencia COBIT PAM; que es una metodología
promovida por la Asociación de Control y Auditoría de Sistemas de Información (ISACA) a
nivel mundial.
Se inicia con una evaluación del grado de capacidad para determinar el estado actual de los
procesos de TI, según COBIT 5.0. A continuación se determina en forma cuantitativa el impacto
en los niveles de los servicios que el Área de TI ofrece a la organización, bajo los parámetros
definidos por COBIT.
Con estos resultados se definen los requerimientos de mejora, como planes de acción, que
permitan superar las debilidades encontradas, tanto a nivel genérico como a nivel específico de
los procesos seleccionados en la evaluación piloto.
INTRODUCCIÓN
Las empresas y organizaciones actualmente dependen cada vez más de la información y por
consecuencia de Tecnologías de Información (TI), dicha información en la totalidad de los casos
representan los activos más importantes a considerar dependiendo del giro del negocio.
Adicionalmente, las empresas mejoran su ambiente tecnológico relacionado con la
infraestructura tecnológica, software, seguridad con la finalidad de tener una adecuada Área de
Tecnología de Información.
El gran potencial que posee una adecuada gestión de las tecnologías de información permite y
contribuye para el logro de objetivos muy grandes e importantes para cualquier tipo de empresa
pero por el contrario pueden sufrir consecuencias, que pueden ir desde retrasos en los procesos
hasta pérdidas económicas.
Hoy en día una correcta y aplicada gestión del área de información tecnológica permite no solo
el aseguramiento y aprovechamiento de los diferentes recursos que la misma posee sino
también, como por ejemplo controlar el acceso no apropiado y autorizado de personas que estén
hábiles de manipular intencionalmente o no datos e información significativa de cualquier
organización o empresa.
Es por eso que Cobit 5.0 brinda un marco de trabajo integro que ayuda a las organizaciones a
lograr sus objetivos basados en la gestión de Gobierno y de las TI corporativas, creando valores
óptimos desde TI generando beneficios y optimizando el riesgo y uso de recursos.
Adicionalmente Cobit 5.0 permite una gestión completa de las TI involucrando a la
organización por completo, es decir permitiendo la interacción de todas las unidades funcionales
y considerando sus intereses relacionados con TI.
Por esta razón el principal objetivo de este proyecto es la evaluación de las capacidades de los
procesos de Tecnologías de Información en la empresa Deltron SA – Sucursal Piura; utilizando
la nueva metodología, conocida como COBIT PAM, para desplegar servicios de alta calidad
que apoyen a cumplir los metas de la empresa. COBIT es un marco de referencia creado por la
Asociación de Control y Auditoría de Sistemas de Información, ISACA, que ha enmarcado
dentro de esta metodología las guías y políticas necesarias para alcanzar procesos efectivos y
eficientes que brinden un nivel de definición, administración y monitoreo de las distintas
actividades de TI.
A continuación se procedió al plantear planes de mejora, como planes de acción a seguir, donde
se describen los lineamientos para superar las debilidades encontradas, teniendo en cuenta los
requerimientos de COBIT para incrementar el grado de capacidad de los procesos evaluados.
Este trabajo permitió comprobar que COBIT PAM es un marco de referencia válido para la
evaluación de procesos de TI, que aporta de manera significativa a que le gerencia identifique
debilidades críticas en los procesos que gestiona el Área de TI y por consiguiente, tenga control
sobre las actividades, y recursos de las tecnologías de la información.
1.1. Gobierno TI
En un mundo globalizado, dinámico e incierto como el de hoy, las Tecnologías de
Información y Comunicaciones TIC juegan un papel preponderante y fundamental
para el desarrollo de las organizaciones desde diferentes ámbitos como el
tecnológico, económico, financiero, de servicios y de producción entre otros, es
fundamental una adecuada preparación y formación desde una óptica corporativa,
hasta una enfoque de lo que llamamos hoy gobierno de Tecnología de Información
(Gobierno TI), con el fin de dar a respuesta a los innumerables requerimientos de
estas, porque más allá de los elementos puramente técnicos y tecnológicos, es
primordial reconocer la organización como un todo, integral, holístico y con una
sinergia propia que procura el cumplimiento de sus objetivos enmarcados en
aumentar la rentabilidad y las ganancias al máximo. Según (Universidad
Tecnológica de Pereira, 2009)
1
Stand alone: independiente
Nivel de capacidad
Capacidad
del proceso
El proceso no se ejecuta o no lograr su propósito. En este nivel, hay poca o ninguna
0 (Incompleto)
evidencia de los logros de la finalidad proceso.
1 (Realizado) El proceso implementado logra su propósito.
El proceso realizado ahora se implementa de una manera administrada (planeada,
2 (Administrado) monitoreada y ajustada) y sus productos o resultados se establecen adecuadamente,
se controlan y mantienen.
El proceso gestionado ahora se implementa mediante un proceso definido que es
3 (Establecido)
capaz de lograr los resultados definidos del proceso.
El proceso establecido ahora opera dentro de los límites definidos para lograr sus
4 (Predecible)
resultados del proceso (se mide).
El proceso predecible se mejora continuamente para satisfacer los objetivos de
5 (Optimizado)
negocio actual y proyectado.
- Capacidad del nivel 1: los indicadores son específicos para cada proceso y se
evalúa si el siguiente atributo se ha logrado. Lograr el “proceso
implementado” es el propósito proceso.
Para cada uno de los 37 procesos del COBIT PRM hay un contenido
detallado.
Nivel 5: Optimizado
PA 5.1. Innovación del proceso
PA 5.2. Optimización del proceso
Nivel 4: Predecible
6 Niveles de
PA 4.1. Medida del proceso
Capacidad de PA 4.2. Control del proceso
Procesos
Nivel 3: Establecido
PA 3.1. Definición del proceso
PA 3.2. Despliegue del proceso
Nivel 2: Administrado
PA 2.1. Rendimiento de la gestión 9 Atributos de
PA 2.2. Producto del trabajo de la gestión
Procesos
Nivel 1: Realizado
PA 1.1. Rendimiento del proceso
Nivel 0: Incompleto
Los evaluadores deben definir estas escalas antes de la evaluación para guiar su
juicio en la calificación del logro de una capacidad determinada.
En esta etapa, se establece el nivel de capacidad requerida del proceso. Al establecer los
niveles de capacidad destino, se debe considerar cuál es el impacto en los objetivos de
negocio de la empresa si no se alcanza un nivel determinado de capacidad. La primera
consideración es el impacto en la empresa si el proceso no existe o no funciona con eficacia
o eficiencia. La segunda consideración se refiere a las consecuencias adicionales de la
operación eficaz y eficiente de los procesos en los distintos niveles de capacidad, como se
muestra en la tabla 5 de la norma ISO / IEC 15.504-4.
Tabla N° 06: Consecuencias adicionales del funcionamiento eficaz y eficiente de los procesos
EDM 01:
Proceso
Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno
Evaluar si los El criterio, Logrado Logrado en Logrado
No logrado
Nivel resultados se Criterio se cumple? Comentario parcialmente gran parte totalmente
(0 – 15%)
logran. (Y/N) (>15-50%) (>50-85%) (>85-100%)
El proceso no
se ha
Nivel 0 implementado,
Incompleto o falla para
lograr su
propósito.
Se están logrando los siguientes resultados del proceso.
EDM01-O1 Se consigue un modelo de toma de
decisiones estratégicas óptima para TI, alineados con
PA 1.1 El
los requisitos del entorno y de los grupos de interés
proceso
Nivel 1 internos y externos de la empresa.
implementado
Realizado EDM01-O2 El sistema de gobernanza de TI está
logra su
integrado en la empresa.
propósito
EDM01-O2 El aseguramiento está logrando que el
sistema de gobernanza de TI esté funcionando con
eficacia.
Como resultado de la plena consecución de este
atributo:
a. Los objetivos para el desempeño del proceso están
identificados.
PA 2.1 b. Se organizó y se controló el rendimiento del proceso.
Rendimiento c. El rendimiento del proceso están ajustados para
de la gestión. satisfacer los planes.
Nivel 2 Medida del d. Las responsabilidades y autoridad para la realización
Administrado grado en que del proceso están definidos, asignados y
se gestiona el comunicados.
rendimiento e. Los recursos y la información necesarios para
del proceso. realizar el proceso están identificados, disponibles,
asignados y utilizados.
f. Las interfaces entre las partes involucradas se las
arreglaron para garantizar tanto la comunicación
efectiva y clara asignación de responsabilidades.
1.7.3. Paso 3. Determinar cuáles de los niveles de capacidad del 2 a 5 para los
procesos seleccionados se están cumpliendo
Para el nivel 2, los criterios de evaluación son genéricos, es decir, los criterios son
los mismos para todos y cada proceso.
Proceso
Logrado Logrado en Logrado
Evaluar si los No logrado
Nivel Criterio Comentario parcialmente gran parte totalmente
resultados se logran. (0 – 15%)
(>15-50%) (>50-85%) (>85-100%)
Como resultado de la plena consecución de este
atributo:
g. Los objetivos para el desempeño del proceso
están identificados.
h. Se organizó y se controló el rendimiento del
proceso.
i. El rendimiento del proceso están ajustados
PA 2.1 Rendimiento de
para satisfacer los planes.
la gestión.
Nivel 2 j. Las responsabilidades y autoridad para la
Medida del grado en que
Administrado
se gestiona el
realización del proceso están definidos, Hacer un juicio sobre el número de
asignados y comunicados.
rendimiento del proceso.
k. Los recursos y la información necesarios para
criterios se han cumplido como base
realizar el proceso están identificados, para la calificación
disponibles, asignados y utilizados.
l. Las interfaces entre las partes involucradas se
las arreglaron para garantizar tanto la
comunicación efectiva y clara asignación de
responsabilidades.
Los productos de trabajo (salidas del proceso) se
definen y controlan:
a) Los requisitos para los productos de trabajo
PA 2.2 Trabajo del proceso se definen.
gestionado. Se realiza b) Se definen los requisitos para la
medición sobre el grado documentación y el control de los productos de
Nivel 2
en el que el resultado trabajo.
Administrado
del trabajo del proceso c) Los productos de trabajo están debidamente
se gestionan identificados, documentados y controlados.
adecuadamente. d) Los productos de trabajo se revisan de
acuerdo con las disposiciones planificadas y se
ajusta, si es necesario, para cumplir con los
requisitos.
Nombre del
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
proceso
EDM01 PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2
Clasificación
por criterios F F L P N
Nivel de
capacidad 2
alcanzado
Leyenda:
N (No logrado, 0-15%), P (Parcialmente logrado,> 15% -50%), L (En gran parte conseguido, 50% -85%), F (Totalmente Conseguido,>
85 a 100%)
Una opción sería centrarse en mejorar las áreas donde existen brechas entre
los niveles de capacidad "actuales" y el "objetivo" de un proceso.
Su Misión está declarada de la siguiente manera: “Ser líder del sector informático
peruano, buscando exceder las expectativas de sus clientes en los servicios de
Desarrollo, Comercialización y Post Venta dentro de un ambiente que propicia el trabajo
en equipo y la realización de nuestro personal”. Del mismo modo, su Visión está
declarada como: “Orientar el mercado informático hacia productos de calidad para
contribuir al desarrollo de la región con el apoyo de nuestros clientes y proveedores,
brindando un servicio de excelencia”
GERENTE GENERAL
ADMINISTRADOR
DESARROLLADOR DE
PROYECTOS
PROYECTOS ESPECIALES
Requerimiento Diseño
CLIENTES
CLIENTES
Instalación
s
Implementación
Actualización
Prueba
a. Requisitos de documentación
La documentación del sistema de gestión de la calidad de Grupo Deltron S.A
incluye:
Política de la calidad
Objetivos de la calidad
b. Políticas de calidad
Todos los procesos del Grupo Deltron debe basarse en las siguientes
políticas de calidad:
c. Objetivos de calidad
La alta dirección de Grupo Deltron S.A, en consulta y coordinación con todo
el personal, ha establecido los siguientes objetivos de la calidad:
Esta guía establece los lineamientos que deben acatar los funcionarios de la
compañía del Grupo Deltron S.A para la elaboración de documentos del
SGC.
e. Comunicación interna
Los medios de comunicación interna que ha establecido el Grupo Deltron
son los siguientes:
E-mail
Teléfono (fijo, celular)
Comunicación Verbal
e. Control de diseño
f. Control del proceso
g. Auditorías internas de calidad
1. Especificación de requisitos
2. Diseño del software
3. Construcción o Implementación del software
4. Integración
5. Pruebas (o validación)
6. Despliegue (o instalación)
7. Mantenimiento
2.3.5.2. Contrato
Grupo Deltron S.A. estipula en el contrato un periodo, donde incluye:
Se han identificado falencias en la gestión de los procesos de TI para cumplir con los
niveles de calidad que se ha propuesto lograr la empresa, en cuanto a las estrategias de
desarrollo, implementación, mantenimiento de los sistemas de información y los servicios
informáticos, esto debido a que los procesos no están bien definidos y/o formalizados y
en algunos casos porque no son bien administrados. La causa de estos problemas podría
deberse a una pobre definición y documentación donde se detalle las actividades de los
procesos de TI a ejecutarse, o simplemente porque no están debidamente formalizado y
basado en buenas prácticas.
Los problemas que acarrea y que se perciben a partir de estas falencias detectadas, se
mencionan a continuación:
estándares a nivel internacional que recogen las mejores prácticas para alinear los
objetivos de TI con los de la organización.
COBIT PAM es una herramienta perfectamente aplicable para el presente estudio, dado
que la administración de Grupo Deltron requiere de prácticas generalmente aplicables y
aceptadas de Control y Gobierno en TI, para tener un mejor control de sus procesos y
para medir en forma efectiva el ambiente existente y planeado, para este estudio se
realizará el diagnostico a los 37 procesos enmarcados en los 5 dominios, para
posteriormente plantear la implantación del Marco de referencia COBIT en Grupo
Deltron.
2
Obtenido de: http://www.eniac.com/documentos-pdf/
Ficha_Técnica_Introducción_e_Implantación_del_Gobierno_Corporativo_TIC.pdf
Adicionalmente una vez identificado los niveles de madurez determinamos las brechas
existentes para cada uno de los procesos de Cobit 5.0. Es decir, determinamos para cada
proceso evaluado si la diferencia de la situación actual observada respecto al nivel
mínimo acordado (nivel que, sin ser necesariamente el óptimo deseado, al menos asegura
cubrir los requerimientos clave del negocio) es mínima, moderada o significativa.
3.1.1. Definición de indicadores de éxito para los cinco dominios de CobiT 5.0
Se han establecido acuerdos conjuntamente con del Grupo Deltron, que para el
análisis y determinación de los niveles de madurez y brechas existentes en los
procesos de cada dominio Cobit 5. En razón a ello, se definieron los siguientes
indicadores de éxito para la evaluación:
3.1.3. Determinación de brechas para cada proceso de los cinco dominios de CobiT
5.0
Una vez identificado el nivel de madurez para cada proceso de los cinco dominios
de Cobit determinamos las brechas existentes para cada uno de los procesos de
Cobit. Es decir, determinamos para cada proceso evaluado, si la diferencia de la
situación actual observada respecto al nivel mínimo acordado (nivel que, sin ser
necesariamente el óptimo deseado, al menos asegura cubrir los requerimientos
clave del negocio) es mínima, moderada o significativa.
Optimizar la contribución al valor del negocio desde Hay un control de presupuestos pero no se
los procesos de negocio, de los servicios TI y activos proyectan ni controlan beneficios.
de TI resultado de la inversión hecha por TI a unos
costes aceptables No existe un portafolio de iniciativas de TI
Asegurar que el apetito y la tolerancia al riesgo de la No existe en la organización una visión de riesgo,
empresa son entendidos, articulados y comunicados y no se han tomado decisiones respecto a riesgos y
que el riesgo para el valor de la empresa relacionado no se han evaluado todos los riesgos a los que la TI
con el uso de las TI es identificado y gestionado de la institución está expuesta.
Asegurar que las adecuadas y suficientes capacidades No existe una planificación detallada de recursos
relacionadas con las TI (personas, procesos y de TI pero la institución respalda las iniciativas
tecnologías) están disponibles para soportar propuestas por el Área.
eficazmente los objetivos de la empresa a un coste
óptimo Las aprobaciones de inversión se realizan desde la
Alta Gerencia, existe un control presupuestario, los
recursos asignados a los proyectos no son
suficientes.
EDM01 Asegurar el
establecimiento y
mantenimiento del
marco de referencia de
gobierno.
5
4
3
Nivel observado
EDM05 Asegurar la
2 EDM02 Asegurar la
transparencia hacia las Nivel esperado
entrega de beneficios
partes interesadas. 1
0 Nivel máximo
EDM04 Asegurar la
EDM03 Asegurar la
optimización de
optimización del riesgo.
recursos
Proporcionar una visión holística del negocio actual y La gestión de la estrategia no está alineada a los
del entorno de TI, la dirección futura, y las iniciativas objetivos y la estrategia empresarial.
necesarias para migrar al entorno deseado.
No existe un plan estratégico de TI alineado con el
Aprovechar los bloques y componentes de la plan estratégico de la organización.
estructura empresarial, incluyendo los servicios
externalizados y las capacidades relacionadas que No existe una clara conciencia de la estrategia de
permitan una respuesta ágil, confiable y eficiente a TI y una clara asignación de responsabilidades para
los objetivos estratégicos su entrega
Establecer una arquitectura común compuesta por los Existe una comunicación esporádica e
procesos de negocio, la información, los datos, las inconsistente de la necesidad de una arquitectura
aplicaciones y las capas de la arquitectura tecnológica de información.
de manera eficaz y eficiente para la realización de las
estrategias de la empresa y de TI mediante la creación No existe una arquitectura empresarial para el
de modelos clave y prácticas que describan las líneas apoyo eficaz de la empresa.
de partida y las arquitecturas objetivo.
No existe un repositorio de arquitectura integrado
Definir los requisitos para la taxonomía, las normas, con el fin de permitir la reutilización de eficiencias
las directrices, los procedimientos, las plantillas y las dentro de la empresa
herramientas y proporcionar un vínculo para estos
componentes. Planes de Acción Relacionados
5. Definir el modelo de Gobierno de TI
Mejorar la adecuación, aumentar la agilidad, mejorar 8.Desarrollar el modelo de Arquitectura
la calidad de la información y generar ahorros de empresarial
costes potenciales mediante iniciativas tales como la
reutilización de bloques de componentes para los
procesos de construcción
APO04. Gestionar la innovación: 1: Proceso Ejecutado
Gestionar las actividades financieras relacionadas con Hay conciencia general de la necesidad de
las TI tanto en el negocio como en las funciones de identificar y asignar presupuestos y costos.
TI, abarcando presupuesto, coste y gestión del
beneficio, y la priorización del gasto mediante el uso La asignación de costos está basada en
de prácticas presupuestarias formales y un sistema suposiciones informales o rudimentarias, por
justo y equitativo de reparto de costes a la empresa. ejemplo, costos de hardware, y prácticamente no
hay relación con los generadores de valor. Los
Consultar a las partes interesadas para identificar y procesos de asignación de costos pueden repetirse.
controlar los costes totales y los beneficios en el
contexto de los planes estratégicos y tácticos de TI, e No hay habilitación o comunicación formal sobre
iniciar acciones correctivas cuando sea necesario la identificación de costos estándar y sobre los
procedimientos de asignación.
Proporcionar un enfoque estructurado para garantizar Existe una sola persona en el área de sistemas en la
una óptima estructuración, ubicación, capacidades de organización, si este recurso clave faltaría no se
decisión y habilidades de los recursos humanos. Esto tendría todo el conocimiento de sus funciones para
incluye la comunicación de las funciones y mitigar algún riesgo en las operaciones de la
responsabilidades definidas, la formación y planes de organización
desarrollo personal y las expectativas de desempeño,
con el apoyo de gente competente y motivada No existe un plan de capacitación/entrenamiento
para el área de TI
Gestionar las relaciones entre el negocio y TI de Las relaciones entre el negocio y TI se basan en la
modo formal y transparente, enfocándolas hacia el confianza mutua. Sin embargo las actividades y
objetivo común de obtener resultados empresariales funciones de TI son reactivas y se considera como
exitosos apoyando los objetivos estratégicos y dentro una función de soporte, sin una perspectiva de
de las restricciones del presupuesto y los riesgos negocio o estratégica.
tolerables.
Los roles y las responsabilidades no están
Basar la relación en la confianza mutua, usando difundidas ni reforzadas.
términos entendibles, lenguaje común y voluntad de
asumir la propiedad y responsabilidad en las Planes de Acción Relacionados
decisiones claves 5. Definir el modelo de Gobierno de TI
6. Definir Políticas y Procedimientos de TI
APO09. Gestionar los acuerdos de servicio: 0: Proceso Incompleto
Alinear los servicios basados en TI y los niveles de No existen acuerdos de niveles de servicio, por tal
servicio con las necesidades y expectativas de la motivo no existen reportes, supervisión y proceso
empresa, incluyendo identificación, especificación, para el cumplimiento de los acuerdos de niveles de
diseño, publicación, acuerdo y supervisión de los servicio.
servicios TI, niveles de servicio e indicadores de
rendimiento Planes de Acción Relacionados
3. Definir y Aplicar SLA’s y OLA’s
5. Definir el modelo de Gobierno de TI
6. Definir políticas y procedimientos de TI
APO10. Gestionar los Proveedores: 1: Proceso Ejecutado
Administrar todos los servicios de TI prestados por El proceso de supervisión de los proveedores de
todo tipo de proveedores para satisfacer las servicios de terceros, de los riesgos asociados y de
necesidades del negocio, incluyendo la selección de la prestación de servicios es informal.
Identificar, evaluar y reducir los riesgos relacionados La evaluación de riesgos para los procesos y las
con TI de forma continua, dentro de niveles de decisiones de negocio no ocurre.
tolerancia establecidos por la dirección ejecutiva de la
empresa La organización no toma en cuenta los impactos en
el negocio asociados a las vulnerabilidades de
seguridad y a las incertidumbres del desarrollo de
proyectos.
Definir, operar y supervisar un sistema para la gestión No se tiene implementado un sistema que
de la seguridad de la información considere y trate efectivamente los requerimientos
de seguridad de la información de la empresa
APO01 Gestionar el
marco de gestión de
TI.
APO13 Gestionar la 5 APO02 Gestionar la
seguridad. 4,5 estrategia.
4
3,5 APO03 Gestionar la
APO12 Gestionar el
3 arquitectura
riesgo. 2,5 empresarial.
2
1,5
APO11 Gestionar la 1 APO04 Gestionar la Nivel observado
calidad. 0,5 innovación.
0 Nivel esperado
Nivel máximo
APO10 Gestionar los APO05 Gestionar el
proveedores. portafolio.
APO06 Gestionar el
APO09 Gestionar los
presupuesto y los
acuerdos de servicio.
costes.
APO08 Gestionar las APO07 Gestionar los
relaciones. recursos humanos.
Gestionar todos los programas y proyectos del La alta dirección no ha obtenido y comunicado la
portafolio de inversiones de forma coordinada y en conciencia de la necesidad de la administración de
línea con la estrategia corporativa. los proyectos de TI.
Identificar soluciones y analizar requerimientos antes No hay consistencia entre enfoques tácticos al
de la adquisición o creación para asegurar que estén adquirir y dar mantenimiento a la infraestructura de
en línea con los requerimientos estratégicos de la TI.
organización y que cubren los procesos de negocios,
aplicaciones, información/datos, infraestructura y La adquisición y mantenimiento de las
servicios. aplicaciones, información/datos, infraestructura y
servicios de TI no se basa en una estrategia
Coordinar con las partes interesadas afectadas la definida y no considera las necesidades de las
revisión de las opciones viables, incluyendo costes y aplicaciones del negocio que se deben respaldar.
beneficios relacionados, análisis de riesgo y
aprobación de los requerimientos y soluciones Algunos mantenimientos se programan, pero no se
propuestas coordinan en su totalidad.
Equilibrar las necesidades actuales y futuras de Los responsables del negocio y la gerencia de TI
disponibilidad, rendimiento y capacidad con una están conscientes del impacto de no administrar el
provisión de servicio efectiva en costes. Incluye la desempeño y la capacidad.
evaluación de las capacidades actuales, la previsión
de necesidades futuras basadas en los requerimientos Algunas herramientas individuales pueden
del negocio, el análisis del impacto en el negocio y la utilizarse para diagnosticar problemas de
evaluación del riesgo para planificar e implementar desempeño y de capacidad, pero la consistencia de
acciones para alcanzar los requerimientos los resultados depende de la experiencia de
identificados que soportan los requerimientos del individuos clave.
negocio están disponibles de manera continua.
No hay una evaluación general de la capacidad de
desempeño de TI o consideración sobre situaciones
de carga pico y peor-escenario.
Gestionar todos los cambios de una forma controlada, Existe un proceso de administración de cambio
incluyendo cambios estándar y de mantenimiento de informal y la mayoría de los cambios siguen este
emergencia en relación con los procesos de negocio, enfoque; sin embargo, el proceso no está
aplicaciones e infraestructura. Esto incluye normas y estructurado
procedimientos de cambio, análisis de impacto,
priorización y autorización, cambios de emergencia, Los cambios autorizados no son realizados de
seguimiento, reporte, cierre y documentación acuerdo a cronogramas respectivos y con errores
mínimos.
Definir y mantener las definiciones y relaciones entre La gerencia está consciente de la necesidad de
los principales recursos y capacidades necesarios para controlar la configuración de TI y entiende los
la prestación de los servicios proporcionados por TI, beneficios de mantener información completa y
incluyendo la recopilación de información de precisa sobre las configuraciones, pero hay una
configuración, el establecimiento de líneas de dependencia implícita del conocimiento y
referencia, la verificación y auditoría de la experiencia del Gerente de Sistemas.
información de configuración y la actualización del
repositorio de configuración No existen herramientas para la administración de
configuraciones. Además no se han definido
prácticas estandarizadas de trabajo.
Figura N° 11: Resultados de la evaluación del dominio: Construir, Adquirir e Implementar (BAI)
BAI01 Gestionar
programas y proyectos.
5
BAI10 Gestionar la 4,5 BAI02 Gestionar la
configuración. 4 definición de requisitos.
3,5
3
2,5 BAI03 Gestionar la
BAI09 Gestionar los 2
1,5 identificación y
activos. Nivel observado
1 construcción de…
0,5
0 Nivel esperado
BAI04 Gestionar la Nivel máximo
BAI08 Gestionar el
disponibilidad y la
conocimiento.
capacidad.
Coordinar y ejecutar las actividades y los La organización está consciente del rol clave que
procedimientos operativos requeridos para entregar las actividades de operaciones de TI juegan en
servicios de TI tanto internos como externos, brindar funciones de soporte de TI.
incluyendo la ejecución de procedimientos operativos
estándar predefinidos y las actividades de Las operaciones de soporte de TI son informales e
monitorización requeridas intuitivas.
Recuperar el servicio normal; registrar y completar Se reconoce y se acepta la necesidad de contar con
las peticiones de usuario; y registrar, investigar, una función de mesa de servicio y un proceso para
diagnosticar, escalar y resolver incidentes la administración de incidentes.
Identificar y clasificar problemas y sus causas raíz y Se acepta la necesidad de un sistema integrado de
proporcionar resolución en tiempo para prevenir administración de problemas y se evidencia con el
incidentes recurrentes. apoyo de la gerencia y la asignación de
presupuesto para personal y habilitación.
Proporcionar recomendaciones de mejora
No se estandarizan procesos de escalamiento y
resolución de problemas.
DSS01 Gestionar
operaciones.
5
4
DSS06 Gestionar DSS02 Gestionar
3
controles de procesos peticiones e
de negocio. 2 incidentes de servicio.
1 Nivel observado
0 Nivel esperado
Nivel máximo
DSS05 Gestionar
DSS03 Gestionar
servicios de
problemas.
seguridad.
DSS04 Gestionar la
continuidad.
MEA01 Supervisar,
evaluar y valorar el
rendimiento y la
conformidad.
5
4
3
2 Nivel observado
1 Nivel esperado
0 Nivel máximo
MEA03 Supervisar,
MEA02 Supervisar,
evaluar y valorar la
evaluar y valorar el
conformidad con los
sistema de control
requerimientos
interno
externos.
Esto quiere decir que los procesos no están implementados y no alcanzan con su
propósito. Adicionalmente encontramos una brecha significativa para todos los procesos
de este dominio, es decir la diferencia del nivel observado respecto al nivel esperado
(NMA) es igual a 3.
Esto quiere decir que los procesos no están implementados y no alcanzan con su
propósito. Adicionalmente existe una brecha significativa para todos los procesos de este
dominio, esto es una diferencia del nivel observado respecto al nivel esperado (NMA) es
igual a 3.
(NMA – NO = 3) Brecha significativa
Significa que los procesos como están implementados alcanzan su propósito, sin embargo
no se encuentran implementados de una forma planificada, supervisada y los resultados
de su ejecución no están controlados y mantenidos apropiadamente.
Esto quiere decir que los procesos no están implementados y no alcanzan con su
propósito. Adicionalmente, se encontró una brecha significativa para todos los procesos
de este dominio, es decir la diferencia del nivel observado respecto al nivel esperado
(NMA) es igual a 3.
(NMA – NO = 3) Brecha significativa.
Esto quiere decir que los procesos no están implementados y no alcanzan con su
propósito. Adicionalmente, e encontró una brecha significativa para todos los procesos de
este dominio, es decir la diferencia del nivel observado respecto al nivel esperado (NMA)
es igual a 3.
(NMA – NO = 3) Brecha significativa.
Esto quiere decir que el proceso como está implementado alcanza su propósito, sin
embargo no se encuentra implementado de una forma planificada, supervisada y los
resultados de su ejecución no están controlados y mantenidos apropiadamente.
Esto quiere decir que los procesos no están implementados y no alcanzan con su
propósito. Adicionalmente, se encontró una brecha significativa para todos los procesos
de este dominio, es decir la diferencia del nivel observado respecto al nivel esperado
(NMA) es igual a 3.
(NMA – NO = 3) Brecha significativa.
Esto quiere decir que el proceso como está implementado alcanza su propósito, sin
embargo no se encuentra implementado de una forma planificada, supervisada y los
resultados de su ejecución no están controlados y mantenidos apropiadamente.
Por último se ve una brecha moderada para este proceso, es decir la diferencia del nivel
observado respecto al nivel esperado (NMA) es igual a 2.
(NMA – NO = 2) Brecha moderada.
Tabla N° 16: Selección de procesos COBIT para evaluación piloto, de acuerdo a las
exigencias de la SBS
N° Proceso COBIT Sustento
Por la naturaleza del negocio se requiere de una visión
holística de los riesgos y dentro de los parámetros
EDM03 - Asegurar la permisibles y equilibrados entre lo requerido por los entes
1
optimización de riesgo regulatorios y los deseados por la alta dirección, según la
Resolución 2116-2009-SBS - Reglamento para la gestión de
riesgo de operación.
Gestión adecuada de la información que garantice su
APO13 - Gestionar la seguridad y disponibilidad en los niveles aceptables y
2
seguridad definidos por la alta dirección, según la Circular G-140-
2009-SBS - Gestión de la seguridad de la información
Asegurar el alineamiento de los proyectos TI con los
proyectos estratégicos de la institución. Además, gestión en
BAI01 - Gestionar los todo el ciclo de vida de un proyecto para el logro de los
3
programas y proyectos resultados esperados en términos de inversión y satisfacción
de las partes interesadas, según la Circular G-105-2002-SBS
- Riesgos de tecnología de informacion.
Asegurar la operatividad de las actividades y disponibilidad
de la información de los procesos críticos del negocio
DSS04 - Gestionar la
4 dentro de los niveles aceptables y definidos por la alta
continuidad
dirección, según la Circular G-139-2009-SBS - Gestión de
la continuidad del negocio.
La relevancia de este proceso radica en que al establecer
mecanismos de monitoreo y seguimiento centrados en el
MEA02 - Supervisar,
giro del negocio, permite el eficaz y eficiente
5 Evaluar y Valorar el
funcionamiento de los recursos y procesos de la
Sistema de Control Interno
organización, según la Circular G-161-2012-SBS -
Evaluaciones interna y externas de Auditoria.
Los resultados del diagnóstico de los procesos COBIT 5.0 seleccionados se muestran a
continuación:
Continuidad.
Gerente TI
seguridad
Riesgos.
Unidad
Unidad
Oficial
N° Ítems evaluados del Proceso 1 2 3 4 5
Tabla N° 18. Diagnóstico del proceso COBIT 5.0 BAI01 Gestionar programas y proyectos
Continuidad
Gerente TI
seguridad
Riesgos.
Unidad
Unidad
Oficial
N° Ítems evaluados del Proceso 1 2 3 4 5
Tabla N° 19. Diagnóstico del proceso COBIT 5.0 APO13 - Gestionar la seguridad
Continuidad
Gerente TI
seguridad
Riesgos.
Unidad
Unidad
Oficial
N° Ítems evaluados del Proceso 1 2 3 4 5
Tabla N° 20. Diagnóstico del proceso COBIT 5.0 DSS04 - Gestionar la continuidad
Continuidad
Gerente TI
seguridad
Riesgos.
Unidad
Unidad
Oficial
N° Ítems evaluados del Proceso 1 2 3 4 5
Tabla N° 21. Diagnóstico del proceso COBIT 5.0 MEA02 - Supervisar, Evaluar y Valorar el Sistema de Control Interno
Continuidad
Gerente TI
seguridad
Riesgos.
Unidad
Unidad
Oficial
N° Ítems evaluados del Proceso 1 2 3 4 5
Para determinar si en realidad se está realizando el proceso y está logrando sus resultados,
se utilizará como criterio particular de evaluación de cada proceso seleccionado, los
indicadores del nivel de capacidad 1 específicos que se detallan en la columna
Lineamientos y prácticas asociadas al componente y para la calificación se tomará como
referencia el detalle descrito en la columna Nivel de madurez observado de las tablas N°
9, 10, 11, 12 y 13.
Para la evaluación de los procesos se utilizó como referencia las Escalas de niveles
mostrada en la tabla N° 03 y como formato se utilizó la figura N° 4, como se muestra a
continuación:
4.3. Determinar los niveles de capacidad del 2 a 5 para los procesos seleccionados
Para esta evaluación se utilizarán los Niveles y puntuaciones necesarias para cada uno de
los “Atributos de proceso genéricos” que se muestran en la tabla N° 4. Puede ser una
clasificación F para "plenamente logrado"; si se logran sólo dos resultados, puede ser
clasificado de L 'logrado en gran medida'; si se logra sólo un resultado, puede ser
clasificado P para 'logrado parcialmente ", y si no se logra, puede ser clasificado N para"
no logrado ". En algunos casos, algunos de los resultados se están cumpliendo, en cuyo
caso se calificará L (en gran medida) o P (parcialmente) logrado.
Evaluación de Capacidad de Procesos con COBIT 5 | Gobierno de TI 2016
Tabla N° 23: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso EDM03: Asegurar la
optimización del riesgo
Evaluar si lo Se cumple el
siguiente es Criterio criterio? Comentario N P L F
alcanzado (Si/No)
Proceso no
A este nivel existe poca o
Nivel 0 implementado o no
inexistente evidencia de
Incompleto alcanza su
algún logro del propósito
propósito
EDM03-O1. Se han
definido y comunicado los
umbrales de riesgo y se
conocen los riesgos claves
de TI.
EDM03-O2. La empresa
PA1.1.
Nivel 1 está administrando los Solo se cumple
Rendimiento del Parcialmente 30%
Ejecutado riesgos críticos de TI de EDM03-O1
proceso
manera eficaz y eficiente.
Tabla N° 24: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso APO13: Gestionar la
seguridad
Evaluar si lo Se cumple el
siguiente es Criterio criterio? Comentario N P L F
alcanzado (Si/No)
Proceso no
A este nivel existe poca o
Nivel 0 implementado o no
inexistente evidencia de
Incompleto alcanza su
algún logro del propósito
propósito
APO13-01 Está en
marcha un sistema que
considera y trata
efectivamente los
requerimientos de
seguridad de la
información de la
empresa.
PA1.1. APO13-02 Se ha
Nivel 1 Solo se cumple APO13-
Rendimiento del establecido, aceptado y Parcialmente 30%
Ejecutado O1
proceso comunicado por toda la
empresa un plan de
seguridad.
Tabla N° 25: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso BAI01: Gestionar los
programas y proyectos
Evaluar si lo Se cumple el
siguiente es Criterio criterio? Comentario N P L F
alcanzado (Si/No)
Proceso no
A este nivel existe poca o
Nivel 0 implementado o no
inexistente evidencia de
Incompleto alcanza su
algún logro del propósito
propósito
BAI01-01. Las partes
interesadas relevantes
están comprometidas con
los programas y los
proyectos.
BAI01-02. El alcance y
los resultados de los
programas y proyectos
son viables y están
alineados con los
PA1.1.
Nivel 1 objetivos. Solo se cumple BAI01-
Rendimiento del No alcanzado 30%
Ejecutado 02
proceso
BAI01-03. Los planes de
programas y proyectos
tienen probabilidades de
lograr los resultados
esperados.
BAI01-04. Las
actividades de los
programas y proyectos se
ejecutan de acuerdo a los
planes.
Tabla N° 26: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso DSS04: Gestionar la
continuidad
Evaluar si lo Se cumple el
siguiente es Criterio criterio? Comentario N P L F
alcanzado (Si/No)
Proceso no
A este nivel existe poca o
Nivel 0 implementado o no
inexistente evidencia de
Incompleto alcanza su
algún logro del propósito
propósito
DSS04-01. La
información crítica para el
negocio está disponible
para el negocio en línea
con los niveles de servicio
mínimos requeridos.
DSS04-04. Un plan de
continuidad actualizado
refleja los requisitos de
negocio actuales.
Tabla N° 27: Evaluación del nivel de capacidad 2, 3, 4 y 5 del proceso MEA02: Supervisar,
Evaluar y Valorar el Sistema de Control Interno
Evaluar si lo Se cumple el
siguiente es Criterio criterio? Comentario N P L F
alcanzado (Si/No)
Proceso no
A este nivel existe poca o
Nivel 0 implementado o no
inexistente evidencia de
Incompleto alcanza su
algún logro del propósito
propósito
MEA02-01 Los procesos,
recursos e información
cumplen con los
requisitos del sistema de
control interno de la
empresa.
MEA02-04 El control
interno está establecido y
las deficiencias son
identificadas y
comunicadas
Nivel de capacidad
alcanzado 0
APO13 30%
Puntuación de los
criterios P
Nivel de capacidad
alcanzado 0
BAI01 30%
Puntuación de los
criterios P
Nivel de capacidad
alcanzado 0
DSS04 60%
Puntuación de los
criterios L
Nivel de capacidad
alcanzado 0
MEA02 50%
Puntuación de los
criterios L
Nivel de capacidad
alcanzado 0
Con respecto al incumplimiento de los atributos genéricos del nivel 3, que es el nivel objetivo:
5.2. Definición de planes de acción específicos para atender las debilidades encontradas
en los procesos seleccionados
Para superar las debilidades encontradas en cada uno de los procesos seleccionados en la
evaluación piloto, al incumplir con los atributos genéricos, según la metodología COBIT
PAM, se plantea el siguiente conjunto de planes de acción específicos, para alcanzar el
nivel objetivo 3:
Tabla N° 40: Plan de acción específico para el proceso EDM03: Asegurar la optimización del
riesgo
Número Descripción
Evaluar la gestión de riesgos.
Examinar y evaluar continuamente el efecto del riesgo sobre el uso actual
EDM03 – BP1 y futuro de las TI en la empresa. Considerar si el apetito de riesgo de la
empresa es apropiado y el riesgo sobre el valor de la empresa relacionado
con el uso de TI es identificado y gestionado.
Orientar la gestión de riesgos.
Orientar el establecimiento de prácticas de gestión de riesgos para
EDM03 – BP2 proporcionar una seguridad razonable de que son apropiadas para
asegurar que riesgo TI actual no excede el apetito de riesgo del Consejo
de seguridad.
Supervisar la gestión de riesgos.
Supervisar los objetivos y las métricas clave de los procesos de gestión
EDM03 – BP3
de riesgo y establecer cómo las desviaciones o los problemas serán
identificados, seguidos e informados para su resolución.
Tabla N° 41: Plan de acción específico para el proceso APO13: Gestionar la seguridad
Número Descripción
Establecer y mantener un SGSI.
Establecer y mantener un SGSI que proporcione un enfoque estándar,
formal y continuo a la gestión de seguridad para la información,
APO13 – BP1
tecnología y procesos de negocio que esté alineados con los
requerimientos de negocio y la gestión de seguridad en la empresa
Tabla N° 42: Plan de acción específico para el proceso BAI01: Gestionar los programas y
proyectos
Número Descripción
Mantener un enfoque estándar para la gestión de programas y
proyectos.
Mantener un enfoque estándar para la gestión de programas y proyectos
BAI01– BP1
que posibilite revisiones y tomas de decisión de gobierno y de gestión y
actividades de gestión de la entrega, enfocadas en la consecución de valor
y de objetivos (requisitos, riesgos, costes, cronograma
Iniciar un programa.
Iniciar un programa para confirmar los beneficios esperados y para
obtener la autorización para proceder. Esto incluye los acuerdos sobre el
patrocinio del programa, confirmar el mandato del programa a través de
BAI01– BP2 la aprobación del caso de negocio conceptual, designar a los consejeros o
los miembros del comité del programa, generar el expediente del
programa, revisar y actualizar el caso de negocio, desarrollar un plan de
realización de beneficios y obtener la aprobación de los patrocinadores
para empezar.
Gestionar el compromiso de las partes interesadas.
Gestionar el compromiso de las partes interesadas para asegurar un
intercambio activo de información precisa, consistente y oportuna, que
BAI01– BP3
llegue a todos las partes interesadas relevantes. Esto incluye la
planificación, identificación y el compromiso de las partes interesadas y
la gestión de sus expectativas.
Desarrollar y mantener el plan de programa.
Formular un programa para definir las bases iniciales y posicionarlo para
una ejecución exitosa mediante la formalización del alcance del trabajo a
ser efectuado e identificando los entregables que satisfarán sus objetivos
BAI01– BP4
y la entrega de valor. Mantener y actualizar el plan del programa y el
caso de negocio a lo largo del ciclo de vida económico completo del
programa, asegurando el alineamiento con los objetivos estratégicos y
reflejando el estad
Lanzar y ejecutar el programa.
Lanzar y ejecutar el programa para adquirir y dirigir los recursos
necesarios para lograr las metas y beneficios definidos en el plan del
programa. De acuerdo con los criterios de revisión de lanzamiento o
BAI01– BP5
cambio de fase (stage-gate), preparar los cambios de fase, las revisiones
de las iteraciones o versiones para informar del progreso del programa y
ser capaz de establecer los fundamentos para la financiación de la
siguiente etapa después de la
Supervisar, controlar e informar de los resultados del programa.
Supervisar y controlar el rendimiento del programa (entrega de
BAI01– BP6 soluciones) y de la organización (valor/resultado) versus el plan durante
el ciclo de vida económico completo de la inversión. Informar del
rendimiento al comité estratégico del programa y a los patrocinadores.
Lanzar e iniciar proyectos dentro de un programa.
Definir y documentar la naturaleza y alcance para confirmar y
desarrollar entre las partes interesadas un entendimiento común o el
BAI01– BP7
alcance y cómo se relaciona con otros proyectos dentro del programa
general de inversiones de TI. La definición debería estar formalmente
aprobada por el patrocinador del programa y .
Planificar proyectos.
Establecer y mantener un plan de proyecto formal, aprobado e integrado
(que cubra los recursos del negocio y de TI), para guiar la ejecución y
BAI01– BP8
controlarlo durante toda su vida. El alcance de los proyectos debería estar
claramente definido y vinculado claramente a la construcción o aumento
de la capacidad del negocio.
Tabla N° 43: Plan de acción específico para el proceso DSS04: Gestionar la continuidad
Número Descripción
Definir la política de continuidad de negocio, objetivos y alcance.
DSS04– BP1 Definir la política y alcance de continuidad de negocio alineada con los
objetivos de negocio y de las partes interesadas.
Mantener una estrategia de continuidad.
Evaluar las opciones de gestión de la continuidad de negocio y escoger
DSS04– BP2 una estrategia de continuidad viable y efectiva en coste, que pueda
asegurar la continuidad y recuperación de la empresa frente a un desastre
u otro incidente mayor o disrupción.
Desarrollar e implementar una respuesta a la continuidad del
negocio.
DSS04– BP3 Desarrollar un plan de continuidad de negocio (BCP) basado en la
estrategia que documente los procedimientos y la información lista para
el uso en un incidente para facilita
Ejercitar, probar y revisar el BCP.
Probar los acuerdos de continuidad regularmente para ejercitar los planes
DSS04– BP4 de recuperación respecto a unos resultados predeterminados, para
permitir el desarrollo de soluciones innovadoras y para ayudar a verificar
que el plan funcionará, en el tiempo, como se espera.
Revisar, mantener y mejorar el plan de continuidad.
Realizar una revisión por la Dirección de la capacidad de continuidad a
intervalos regulares para asegurar su continua idoneidad, adecuación y
DSS04– BP5 efectividad. Gestionar los cambios en el plan de acuerdo al proceso de
control de cambios para asegurar que el plan de continuidad se mantiene
actualizado y refleja continuamente los requerimientos actuales del
negocio.
Proporcionar formación en el plan de continuidad.
Proporcionar a todas las partes implicadas, internas y externas, de
DSS04– BP6
sesiones formativas regulares que contemplen los procedimientos y sus
roles y responsabilidades en caso de disrupción.
Gestionar acuerdos de respaldo.
DSS04– BP7
Mantener la disponibilidad de la información crítica del negocio.
Efectuar revisiones post-reanudación.
Evaluar la adecuación del Plan de Continuidad de Negocio (BCP)
DSS04– BP8
después de la reanudación exitosa de los procesos de negocio y servicios
después de una disrupción.
Tabla N° 44: Plan de acción específico para el proceso MEA02: Supervisar, Evaluar y
Valorar el Sistema de Control Interno
Número Descripción
Supervisar el control interno.
Realizar, de forma continua, la supervisión, los estudios comparativos y
MEA02 – BP1
la mejora el entorno de control de TI y el marco de control para alcanzar
los objetivos organizativos.
Revisar la efectividad de los controles sobre los procesos de negocio.
Revisar la operación de controles, incluyendo la revisión de las
evidencias de supervisión y pruebas, para asegurar que los controles
incorporados en los procesos de negocio operan de manera efectiva.
Incluir actividades de mantenimiento de evidencias de la operación
MEA02 – BP2
efectiva de controles a través de mecanismos como la comprobación
periódica de controles, supervisión continua de controles, evaluaciones
independientes, centros de mando y control y centros de operación de
red. Esto proporciona al negocio de la seguridad de la efectividad del
control para satisfacer los requisitos relativos al negocio y
Realizar autoevaluaciones de control.
Estimular a la Dirección y a los propietarios de los procesos a tomar
posesión de manera firme del procedimiento de mejora del control, a
MEA02 – BP3
través de programas continuos de autoevaluación que valoren la
completitud y efectividad del control de la Dirección sobre los procesos,
políticas y contratos.
Identificar y comunicar las deficiencias de control.
Identificar deficiencias de control y analizar e identificar las causas raíz
MEA02 – BP4
subyacente. Escalar las deficiencias de control y comunicarlas a las partes
interesadas.
Garantizar que los proveedores de aseguramiento son
independientes y están Cualificados.
Asegurar que las entidades que realizan el aseguramiento son
independientes de la función, grupo u organización en el alcance. Las
MEA02 – BP5
entidades que realizan el aseguramiento deberían demostrar una actitud y
apariencia apropiadas y adecuada competencia en las habilidades y
conocimientos que son necesarios para realizar el aseguramiento y la
adherencia a los códigos de ética y los estándares profesionales.
Planificar iniciativas de aseguramiento.
Planificar las iniciativas de aseguramiento basándose en los objetivos
MEA02 – BP6
empresariales y las prioridades estratégicas, riesgo inherente,
restricciones de recursos y suficiente conocimiento de la compañía.
Estudiar las iniciativas de aseguramiento.
MEA02 – BP7 Definir y acordar con la dirección el ámbito de la iniciativa de
aseguramiento, basándose en los objetivos de aseguramiento.
Ejecutar las iniciativas de aseguramiento.
Ejecutar la iniciativa de aseguramiento planificada, informar de los
hallazgos identificados. Proveer opiniones de aseguramiento positivo,
MEA02 – BP8
cuando sea oportuno, y recomendaciones de mejora relativas a los riesgos
residuales identificados en el desempeño operacional, el cumplimiento
externo y el sistema de control interno.
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
1. Se evaluó los distintos niveles de madurez para cada uno de los procesos de los cinco
dominios de Cobit 5 (37 en total).
3. En la evaluación de los atributos específicos para cada uno los procesos seleccionados
como piloto, se observó que ninguno logra superar el nivel 0, es decir los procesos son
incompletos y no alcanza su propósito. En este nivel existe muy poca o ninguna evidencia
de ningún logro sistemático del propósito del proceso.
4. En la evaluación de los atributos específicos para cada uno los procesos seleccionados
como piloto, se observó que solo los procesos DSS04 y MEA02 logran cierto nivel de
capacidad (capacidad parcial) en el nivel 1. Los demás procesos, como son EDM03,
APO13 y BAI01, no lograr alcanzar el mínimo requerido de capacidad para el nivel 1.
5. Ninguno de los procesos alcanza el nivel mínimo aceptado (3) acordado conjuntamente con
los usuarios clave de del Grupo Deltron.
RECOMENDACIONES
1. Se definieron diez planes de acción y mejoras genéricas enfocadas para atender y cubrir las
debilidades detectadas y que permitirán a la empresa Deltron orientar la implementación de
prácticas recomendadas de Gestión de Tecnología de la Información. Por tanto, se
recomienda seguir sus lineamientos para su implementación.
2. Se dieron planes de acción específicos para cada uno de los procesos seleccionados en la
evaluación piloto, los cuales deberán planificarse para su implementación y poder superar
las debilidades específicas de cada uno de los procesos mencionados.
REFERENCIAS DE CONSULTA
1. IFC Corporate Governance. (2013). Definicion de Gobierno Corporativo. Recuperado el
25 de Noviembre de 2015, de
http://mexico.smetoolkit.org/mexico/es/content/es/6739/Definici%C3%B3n-de-
Gobierno-Corporativo
2. Álvarez, J. R. (02 de Julio de 2012). Respositorio Digital de Tesis PUCP. Recuperado el
05 de Mayo de 2015, de http://tesis.pucp.edu.pe/repositorio/handle/123456789/1433:
http://tesis.pucp.edu.pe/repositorio/handle/123456789/1433
3. Aranda Software. (20 de Marzo de 2013). Recuperado el 14 de Noviembre de 2015, de
Facilitando el Gobierno Corporativo de TI mediante Soluciones Aranda Software:
http://www.slideshare.net/ArandaSoftware/memorias-webcast-17426946
4. Centro de Excelencia en Gobierno Corportivo. (2013). Centro de Excelencia de
Gobierno Corporativo UDEM. Recuperado el 23 de Noviembre de 2015, de
http://www.centrodegobiernocorporativo.org/
5. COBIT. (2000). IT Governance Institute. En COBIT, Directrices de Auditoria (pág. 05).
EEUU.
6. COBIT 5.0. (2012). IT Gobernance Institute. En COBIT (pág. 18). EEUU.
7. COBIT 5.0. (2012). IT Governance Institute. En COBIT, COBIT (pág. 9). EEUU:
Governance Institute.
8. COBIT 5.0. (2012). IT Governance Institute. En COBIT, COBIT (pág. 12). EEUU:
Governance Institute.
9. Dominguez, P. R. (Mayo de 2010). Instituto Europeo de Gestion Empresarial.
Recuperado el 10 de Septiembre de 2015, de http://www.eumed.net/:
http://www.eumed.net/libros-gratis/ebooks/contemporaneos/01-
Introduccion_a%20la_Gestion_Empresarial/Introduccion_a%20la_Gestion_Empresarial
%20-%20Pedro%20Rubio%20Dominguez.pdf
10. Fernandez, J. M. (11 de Diciembre de 2006). Gobierno Corporativo TIC. Recuperado el
10 de Noviembre de 2015, de
http://www.isacamty.org.mx/archivo/Standard_ISO38500.pdf
11. ISACA - COBIT5. (2012). Un Marco de Negocio para el Gobierno y la Gestion de las
TI en la empresa. EE.UU.