Auditoria Informática Unidad IV Modelos de Madurez para el control sobre los procesos TI consisten en el desarrollo de un método de puntaje que una organización puede graduar desde un no existente a un optimizado, es decir, de 0 a 5. Esta aproximación ha sido derivada desde el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo del Software (CMM): Contra estos niveles se desarrolló para cada uno de los 34 objetivos de procesos de Cobit que la administración puede mapear: El estado actual de la organización – es decir donde la organización está hoy día. El estado actual de (los mejores en su clase) la industria – comparación El estado actual de los estándares internacionales – comparación adicional Y la estrategia de la organización para mejorar – es decir, donde la organización desea estar.

Auditoria Informática Unidad IV MODELO GENERICO DE MADUREZ 0 No-Existente. Falta completa de cualquier proceso reconocible. La organización no ha reconocido aún que hay un elemento a ser dirigido. 1 Inicial. No hay procesos estándares y en su reemplazo hay aproximaciones que tienden a ser aplicadas en forma individual o caso a caso. El enfoque general es desorganizado. 2 Repetible. Los procesos se han desarrollados en la etapa donde procedimientos similares son seguidos por diferentes personas que realizan la misma tarea. No existe capacitación formal o comunicación de procedimientos estándares y la responsabilidad recae en el individuo. Hay un alto grado de confianza en los conocimientos individuales y por lo tanto, los errores son probables. 3 Definido. Los procedimientos han sido estandarizados y documentados y comunicados a través de capacitación. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones serán detectadas. Los procedimientos no son terminados.

Auditoria Informática Unidad IV MODELO GENERICO DE MADUREZ (Continuación…) 4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando éstos no estén trabajando efectivamente. Los procesos están bajo constante mejoramiento y proveen de buenas practicas. La automatización y herramientas son utilizadas en forma limitada. 5 Optimizado. Los procesos se han refinado al nivel de mejores prácticas , basado en el resultado de mejoramiento continuo y modelamiento de madurez. La TI es usada como una forma integrada para automatizar los flujos de trabajo, entregando herramientas para mejorar la calidad y la efectividad, permitiendo a la empresa adaptarse rápídamente.

Auditoria Informática Unidad IV Cobit es un marco de referencia general orientado a la administración de TI, y como tal, éstas escalas necesitan ser prácticas para aplicarse y deben ser razonablemente fáciles de entender. Sin embargo, los tópicos de riesgo y controles apropiados en el proceso de administración de TI son inherentemente subjetivos y no necesitan más mecanismos de aproximación que el encontrado en los modelos de madurez para la ingeniería de software. La ventaja de la visión del modelo de madurez es que es relativamente fácil para los administradores ubicarse ellos mismos en la escala y apreciar que ellos están involucrados y si ellos necesitan mejorar el desempeño. La escala incluye de 0 - 5 debido a que es muy posible que los procesos no existan necesariamente. La escala de 0 a 5 está basada en una escala de madurez simple, mostrando cómo un proceso evoluciona desde un no existente a un optimizado. Debido que hay proceso administrado, el incremento de la madurez y capacidad es también sinónimo del incremento de administración de riesgo y del incremento de la eficiencia.

Auditoria Informática Unidad IV El Modelo de Madurez es una forma de medir cuan bien desarrollado está el proceso, lo que dependerá de las necesidades del negocio como lo mencionamos anteriormente, Las escalas son sólo ejemplos prácticos para dar al proceso de administración algunos esquemas típicos para cada nivel de madurez. El criterio de información contenido en el marco de referencia de Cobit , ayuda a la organización a enfocarse en los aspectos correctos de la administración tal cual lo describen las prácticas actuales. Por ej: planificación y organización se enfoca en los objetivos de administración de efectividad y eficiencia, mientras que para asegurar la seguridad de los sistemas se enfocará en la administración de la confiabilidad y la integridad.

Auditoria Informática Unidad IV La escala del Modelo de Madurez ayudará a los profesionales a explicar a los Gerentes dónde existen anomalías en la administración de TI y definir los objetivos donde fuera ello necesario, ser comparados con las prácticas de control de sus organizaciones y con los ejemplos de mejores prácticas. El adecuado nivel de madurez será influenciado por los objetivos de negocio de la empresa y por el ambiente operativo. Específicamente, el nivel de madurez de control dependerá de la dependencia de la empresa del TI, de la sofisticación de la tecnología y lo más importante, del valor de su información. Un punto de referencia estratégica para una organización para mejorar la seguridad y control podría también consistir en mirar los estándares internacionales emergentes o las mejores prácticas en su clase. Las prácticas emergentes de hoy día podrían llegar a ser el nivel esperado de desempeño de mañana, y es por lo tanto, útil para planificar donde una organización desea estar en el tiempo.

Auditoria Informática Unidad IV En resumen, los Modelos de Madurez: Se refieren al requerimiento del negocio y a los aspectos relacionados a los diferentes niveles de madurez. Es una escala que presta una comparación práctica. Es una escala donde la diferencia puede ser medible de una manera fácil. Son reconocibles como “perfil” de la empresa relativa al Gobierno de IT, seguridad y control. Ayuda a definir el cómo y el dónde relativo al Gobierno de IT, en la seguridad y modelos de control. Ella misma permiten realizar un análisis de brecha para determinar que se necesita hacer para alcanzar el objetivo elegido. Incrementalmente aplican factores críticos de éxitos. No son específicos para una industria o siempre aplicables, el tipo de industria definirá qué es apropiado.

Auditoria Informática Unidad IV FACTORES CRÍTICOS DE ÉXITO Los Factores Críticos de Éxito proveen a la administración de directrices para implementar control sobre la tecnología de información y sus procesos. Ellos son lo más importante que debe hacerse, ya que contribuyen a que el proceso de TI alcance sus objetivos. Estas son actividades que pueden ser ya sea de naturaleza estratégica, técnica, organizacional, o procedural. Ellas son generalmente ligadas con capacidades y fortalezas y tienen que ser cortas, enfocadas y orientadas a la acción, apoyando los recursos que son de primera importancia en el proceso bajo consideración. Este modelo y sus principios identifican un número de Factores Críticos de Éxito que usualmente se aplican a todos los procesos. Adicionalmente, este modelo indica cuál es el estándar, quién define, quién controla o necesita actuar, etc.: Un proceso definido y documentado Políticas definidas y documentadas Responsabilidades claras Un fuerte apoyo y compromiso de la administración Comunicación apropiada relativa a las personas internas e externas Prácticas de medición consistentes.

Auditoria Informática Unidad IV Aplicando a la tecnología de información en general El proceso de TI está definido y alineado con la estrategia de TI y los objetivos del negocio Los clientes de los procesos y sus expectativas son conocidas Existe la calidad requerida del equipo de apoyo (entrenamiento, transferencia de información, ética, etc.) y disponibilidad de fortalezas (reclutamiento, retención, recontratos, etc.). El desempeño de TI es medido en términos financieros en relación a la situación de los clientes, por efectividad y proceso y por capacidad futura. La administración de TI es recompensada en base a estas mediciones. Un esfuerzo de mejoramiento continuo de la idea es aplicado.

Auditoria Informática Unidad IV Aplicación a la mayoría de los procesos de IT Todos los stakeholders del proceso (clientes, administradores, etc.) están conscientes de los riesgos, de la importancia de la TI y de la oportunidad que ellos pueden ofrecer y proveer un fuerte compromiso y apoyo. Metas y objetivos son comunicados a través de todas las disciplinas y son entendidos; se conoce cómo los procesos son implementados y monitoreados los objetivos y quién es responsable por el desempeño del proceso. La personas están enfocadas en metas y tienen la información adecuada de los clientes, de los procesos internos y de todas las consecuencias de sus decisiones. Se establece una cultura de negocios, alentando la cooperación a través de las divisiones, el trabajo en equipo y el mejoramiento continuo del proceso. Existe integración y alineación de los grandes procesos, es decir, cambios, problemas y administración de la configuración. Las prácticas de control son aplicadas para incrementar el uso eficiente y óptimo de los recursos y mejorar la efectividad del proceso.

Auditoria Informática Unidad IV En resumen los Factores Críticos de Éxito son: Los posibilitadores esenciales enfocados en el proceso o en el ambiente de apoyo Una condición requerida para un éxito óptimo o una actividad recomendada para un óptimo éxito Lo más importante para hacer incrementar la probabilidad de éxito en el proceso Características observables de la organización y de los procesos (Usualmente medibles) De naturaleza estratégico, tecnológico, organizacional y procedural Enfocados en obtener, mantener y apalancar las capacidades y fortalezas Expresados en términos de procesos, no necesariamente de negocios

Auditoria Informática Unidad IV Cobit y las Directrices de Auditoría

Auditoria Informática Unidad IV Cobit y las Directrices de Auditoría (continuación…)

Auditoria Informática Unidad IV Las directrices de Cobit permiten al auditor