Autoevaluándonos Con el PAM de Rómulo Lomparte, CISA, CISM, CGEIT, CRISC, CRMA, ISO 27002, IRCA, COBIT 5 Foundations A
Views 368 Downloads 6 File size 1MB
Autoevaluándonos Con el PAM de Rómulo Lomparte, CISA, CISM, CGEIT, CRISC, CRMA, ISO 27002, IRCA, COBIT 5 Foundations
Agenda 1.
Repaso
2.
COBIT 5 y sus dimensiones
3.
PAM
4.
Diferencias entre modelos
5.
Componentes del PAM
6.
Indicadores de capacidades
7.
Proceso de autoevaluación
8.
Conclusiones
1 Repaso
La Información • La Información constituye un recurso clave para las organizaciones. • La Información se crea, usa, retiene, divulga y destruye. • La Tecnología se está convirtiendo en parte integral de todos los aspectos de la vida.
Buscando brindar valor a las partes interesadas •Para brindar valor a las partes interesadas, se requiere un buen gobierno y una buena administración de los activos de TI. •COBIT5 proporciona un marco integral que ayuda a las organizaciones a lograr su metas y entregar valor mediante el gobierno.
Matriz RACI – COBIT 4.1
Matriz RACI – COBIT 5
2 COBIT 5 y sus dimensiones
Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración
2. Cubrir la Organización de forma integral
Principios de COBIT 5
4. Habilitar un enfoque holistico
3. Aplicar un solo marco integrado
Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.
Habilitadores de COBIT 5 2. Procesos
3. Estructuras Organizacionales
4. Cultura, Ética y Comportamiento
1. Principios, Políticas y Marcos
5. Información
6. Servicios, Infraestructura y Aplicaciones
RECURSOS Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados
7. Personas, Habilidades y Competencias
3 PAM
ISACA presenta el nuevo modelo de evaluación de procesos de COBIT Luego de una encuesta global en el 2010, ISACA descubre que el 89 por ciento de los 1,400 entrevistados expresa la necesidad de una evaluación de la capacidad de los proceso de TI que fuera más rigurosa y confiable. Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
ISO/IEC 15504 Conocido como Software Process Improvement Capability
Determination (SPICE), en español, «Determinación de la Capacidad de Mejora del Proceso de Software».
Modelo para la mejora y evaluación de los procesos.
ISO/IEC 15504: Características • Establece un marco y requisitos para cualquier proceso de evaluación de procesos. • Proporciona requisitos para evaluación de organizaciones.
cualquier
modelo
de
• Proporciona guías para la definición de las competencias de un evaluador de procesos.
ISO/IEC 15504: Niveles Niveles para determinar la capacidad de cualquier proceso: •Nivel 0: Incompleto •Nivel 1: Ejecutado •Nivel 2: Gestionado •Nivel 3: Establecido •Nivel 4: Predecible •Nivel 5: Optimizado
4 Diferencia entre modelos
Modelo de madurez de Cobit 4.1
Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
Modelo de capacidad de procesos de COBIT 5
Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
Modelo de madurez de Cobit 4.1
Fuente: COBIT 4.1 ISACA® Todos los Derechos Reservados
Comparando niveles de madurez
Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
¿Ya no tenemos modelos de madurez? Buscamos alinear COBIT a un modelo de evaluación estándar e internacional, basándonos en la norma ISO 15504 ; A un nivel de detalle que incrementa la objetividad sobre cada atributo evaluado. Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
Comparando atributos Los atributos de madurez de COBIT 4.1 y los atributos de capacidad de los procesos de COBIT 5 no son idénticos:
Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
Comparando atributos Si ya tenías identificados atributos en COBIT 4.1,
¡LOS PUEDES REUTILIZAR EN
!
Beneficios del cambio • Enfoque mejorado • Contenido simplificado.
• Confiabilidad y repetitividad mejorada. • Incremento de la usabilidad de los resultados
• Cumplimiento con un estándar generalmente aceptado.
5 Componentes del PAM
Modelo de capacidad de procesos de COBIT 5 Existen seis niveles de capacidad que puede alcanzar un proceso:
• (0) Proceso incompleto: Proceso no implementado o no alcanza su propósito.
• (1 ) Proceso ejecutado: Proceso implementado alcanza su propósito.
• (2) Proceso gestionado: Proceso implementado de forma gestionada.
Modelo de capacidad de procesos de COBIT 5 • (3) Proceso establecido: Proceso gestionado y alcanza sus resultados.
• (4) Proceso predecible: Proceso establecido y ejecutado dentro de límites definidos para alcanzar sus resultados.
• (5) Proceso optimizado: Proceso predecible y mejorado de forma continua para cumplir con los metas empresariales presentes y futuros.
Modelo de capacidad de procesos de COBIT 5 Uso de escalas y ratios de la ISO/IEC 15504.Esta escala consiste en los siguientes ratios: • N (No alcanzado): Poca o ninguna evidencia de que se alcanza el atributo (0 al 15 por ciento) • P (Parcialmente alcanzado): Alguna evidencia de aproximación y algún logro del atributo. Algunos aspectos del logro del atributo pueden ser impredecibles. (15 a 30 por ciento)
Modelo de capacidad de procesos de COBIT 5 • L (Ampliamente alcanzado): Evidencias de un enfoque sistemático y de un logro significativo del atributo. Pueden encontrarse algunas debilidades. (50 a 85 por ciento) • F (Completamente alcanzado): Evidencia de un completo y sistemático enfoque y un logro completo del atributo. No existen debilidades significativas. (85 a 100 por ciento)
6 Indicadores de capacidad
Modelo de capacidad de procesos de COBIT 5
Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
Modelo de capacidad de procesos de COBIT 5
Fuente: COBIT® 5. © 2012 ISACA® Todos los Derechos Reservados
Modelo de capacidad de procesos de COBIT 5
7 Proceso de autoevaluación
Fases de la autoevaluación IV I Decidir qué proceso se evaluará
III II Determinar capacidad en nivel 1
Determinar capacidad en niveles 2-5
Registrar y consolidar niveles de capacidad
V Plan de mejora del proceso
FASE I: Cuadro consolidado de evaluación Nivel de Capacidad del Proceso Nombre del Proceso
A ser evaluado
Nivel objetivo
0
1
2
F
L
Evaluar, Dirigir y Supervisar (EDM) EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno EDM02 Asegurar la Entrega de Beneficios EDM03 Asegurar la Optimización del Riesgo EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia hacia las Partes Interesadas
Alinear, Planear y Organizar (APO) APO01 Gestionar el Marco de Gestión de TI APO02 Gestionar la Estrategia
3
4
5
FASE II: Determinar capacidad en nivel 1
EDM01
Evaluar si lo siguiente es alcanzado
Criterio
Nivel 0 Incompleto
Proceso no implementado o no alcanza su propósito
A este nivel existe poca o inexistente evidencia de algún logro del propósito
Nivel 1 Ejecutado
PA 1.1 Proceso implementado alcanza su propósito
Se están logrando los siguientes resultados del proceso.
Nivel 2 Gestionado
PA 2.1 Gestión del desempeño - Medida del nivel de gestión del rendimiento del proceso
EDM01-01 Un modelo óptimo de toma de decisiones estratégicas para TI, alineados con el entorno interno y externo de la empresa y las necesidades de las partes interesadas. EDM01-O2 El sistema de gobierno de TI está integrado en la empresa. EDM01-O2 Aseguramiento de que el sistema de gobernanza de TI está funcionando eficazmente.
Como resultado de la plena consecución de este atributo: a) Se identifican objetivos para la ejecución del proceso. b) El desempeño del proceso es planificado y monitoreado. c) La ejecución del proceso se ajusta a los planes. d) Las responsabilidades y autoridades en el proceso están definidas, asignadas y comunicadas. e) Los recursos y la información necesarias están identificados, disponibles, asignados y son utilizados. f) Las interfaces entre las partes involucradas se gestionan para garantizar una comunicación efectiva y una clara asignación de responsabilidades.
¿Se cumple el criterio? (Si/No)
Comentario
No Alcanzado (0-15%)
Parcialmente Alcanzado (15%-50%)
Ampliamente Alcanzado (50%-85%)
Completamente Alcanzado (85%-100%)
FASE III: Determinar capacidad en niveles 2-5 EDM01
Nivel 2 Gestionado
Nivel 2 Gestionado
Evaluar si lo siguiente es alcanzado
Criterio
PA 2.1 Gestión del desempeño Medida del nivel de gestión del rendimiento del proceso
Como resultado de la plena consecución de este atributo: a) Se identifican objetivos para la ejecución del proceso. b) El desempeño del proceso es planificado y monitoreado. c) La ejecución del proceso se ajusta a los planes. d) Las responsabilidades y autoridades en el proceso están definidas, asignadas y comunicadas. e) Los recursos y la información necesarias están identificados, disponibles, asignados y son utilizados. f) Las interfaces entre las partes involucradas se gestionan para garantizar una comunicación efectiva y una clara asignación de responsabilidades.
PA 2.2 Gestión del trabajo Medida del grado en que los productos del proceso son gestionados de manera apropiada
Los productos de trabajo (o salidas del proceso) se definen y controlan: a) Los requisitos para los productos de trabajo del proceso están definidos. b) los requisitos para la documentación y el control de los productos de trabajo están definidos. c) Los productos del trabajo están debidamente identificados, documentados y controlados. d) Los productos del trabajo son revisados de acuerdo a lo planificado y ajustados si es necesario para cumplir con los requisitos.
¿Se cumple el criterio? (Si/No)
Comentario
No Alcanzado (0-15%)
Parcialmente Alcanzado (15%-50%)
Ampliamente Alcanzado (50%-85%)
Hacer un juicio sobre el número de criterios que se cumplen como base para la clasificación.
Completamente Alcanzado (85%-100%)
FASE IV: Registrar y consolidar niveles de capacidad Nombre del Proceso
Nivel 0 Nivel 1
EDM01
Nivel 2
Nivel 3
Nivel 4
Nivel 5
PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2
Puntuación de los Criterios
F
Nivel de Capacidad Alcanzado
F
L
P
N
2
No Alcanzado (0-15%)
Parcialmente Alcanzado (15%-50%)
Ampliamente Alcanzado (50%-85%)
Completamente Alcanzado (85%-100%)
N
P
L
F
FASE IV: Registrar y consolidar niveles de capacidad Nivel de Capacidad del Proceso Nombre del Proceso
A ser evaluado
Nivel objetivo
0
1
2
3
Evaluar, Dirigir y Supervisar (EDM) EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno EDM02 Asegurar la Entrega de Beneficios EDM03 Asegurar la Optimización del Riesgo EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia hacia las Partes Interesadas
Alinear, Planear y Organizar (APO) APO01 Gestionar el Marco de Gestión de TI APO02 Gestionar la Estrategia
Registrar el nivel de capacidad alcanzado
4
5
FASE V: Plan de mejora del proceso Ejemplos: • Iniciar un plan de mejora, abordando las áreas de mayor importancia para el negocio y las brechas entre lo "actual" y el "objetivo“.
• Llevar a cabo una evaluación independiente más formal, basado en el COBIT PAM.
FASE V: Plan de mejora del proceso ¿Me ayudan a proponer otros planes de acción para alcanzar el nivel 3 en el proceso EDM03?
FASE V: Plan de mejora del proceso Proceso: EDM03 - Asegurar de Optimización de Riesgos Descripción: Asegurar que el apetito y tolerancia al riesgo se entienden, están articulados y comunicados; y que el riesgo relacionado al uso de TI está identificado y gestionado. Propósito: Asegurar que el riesgo relacionado a TI no supera el apetito y tolerancia al riesgo, el impacto está identificado y administrado, y el incumplimiento está minimizado.
FASE V: Plan de mejora del proceso Prácticas Básicas (BPs) Número Descripción EDM03 – BP1 Evaluar la gestión de riesgo. Examinar continuamente y hacer un juicio sobre el efecto de los riesgos en el uso de las TI. Considerar si el apetito de riesgo es adecuado y que el riesgo relacionado a las TI está identificado y gestionado. EDM03 – BP2 Dirigir la gestión del riesgo. Dirigir el establecimiento de prácticas de gestión de riesgos para una seguridad razonable de la gestión de riesgos de TI, garantizando que el riesgo de TI actual no supera el apetito de riesgo. EDM03 – BP3 Supervisar la gestión de riesgo. Monitorear las metas y las métricas de los procesos de gestión de riesgos clave y establecer cómo las desviaciones o problemas se identificarán, supervisarán y reportarán para su remediación.
FASE V: Plan de mejora del proceso Atributos del proceso para el nivel 3 (sus brechas y consecuencias): PA 3.1 - Definición del proceso: • Mejores prácticas y lecciones aprendidas no están identificadas publicadas y disponibles dentro de la organización • No hay fundamentos para mejorar procesos en toda la organización
FASE V: Plan de mejora del proceso Atributos del proceso para el nivel 3 (sus brechas y consecuencias): PA 3.2 – Despliegue del proceso: • Proceso de Implementación no incorpora mejores prácticas y lecciones aprendidas • Oportunidades perdidas para entender el proceso y mejorarlo
FASE V: Plan de mejora del proceso Si esto es lo que debemos mejorar, ¿qué me proponen?
FASE V: Plan de mejora del proceso Verificar sus respuestas en “Process Assessment Model (PAM): Using COBIT® 5” Paginas 117 - 119
8 Conclusiones
Conclusiones • No es complejo,… ¡es COMPLETO! • Oportunidad de evaluar con una herramienta estándar • Aprovechemos esta nueva etapa del gobierno de TI
Sitios Recomendados http://www.isaca.org/COBIT/Pages/COBIT-5-PAM.aspx
http://www.isaca.org/COBIT/Pages/Assessor-Guide.aspx http://www.isaca.org/COBIT/Pages/Self-Assessment-Guide.aspx http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Assessment-Programme.aspx
Lecturas Recomendadas •Process Assessment Model (PAM): Using COBIT® 5 •Self-assessment Guide: Using COBIT® 5 •COBIT® 5 - Un Marco de Negocio para el Gobierno y la Gestión de la Empresa
¡Gracias! [email protected] [email protected]