DIRECTRICES GERENCIALES DE GOBIERNO / GOBERNABILIDAD DE TI

Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Críticos de Éxito (Critical Success Factors — CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators—KGIs), Indicadores Claves de Desempeño (Key Performance Indicators—KPIs) para la Gobernabilidad de TI. Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuación, los criterios de información relacionados con la Gobernabilidad de TI son identificados. Las necesidades del negocio son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indicadores Clave de desempeño - KPIs los cuales consideran los Factores críticos de Éxito - CSFs.

El modelo de madurez se utiliza para evaluar el nivel de la organización para cumplir con lo establecido por la Gobernabilidad de TI—desde el mas bajo nivel donde no existe, pasando por un estado inicial/adhoc, ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabilidad de TI, una organización debe estar al menos en el nivel optimizado del dominio de Monitoreo y al menos estar en el nivel de medir y administrar los demás dominios.

Gobierno sobre la tecnología de información y los procesos con las metas del negocio para añadir valor, mientras se balancean los riesgos y el retorno

Asegurar la entrega de información al Negocio el cual establece los Criterios de Información requeridos y es medido por Indicadores Clave de Resultados/Logros

Se hace posible a través de la creación y mantenimiento de un sistema de procesos y controles apropiados para el negocio, el cual dirige y monitorea el valor del negocio proporcionado por TI

Considera Factores Críticos de Éxito que tiene en cuenta todos los Recursos de TI y es medido por Indicadores Clave de Desempeño

Factores Críticos de Éxito – CSFs

• Las actividades del gobierno de TI son integradas dentro del proceso de gobierno de la empresa y las conductas de liderazgo
• El gobierno de TI se enfoca en los objetivos y metas de la empresa, en las iniciativas estratégicas y el uso de tecnología para mejorar el negocio, con base en la disponibilidad de recursos y capacidades suficientes para soportar las demandas del negocio.
• Las actividades del Gobierno de TI están definidas sobre propósitos claros, documentados e implementados, basados en las necesidades de la empresa y con responsabilidades concretas.
• Las prácticas gerenciales son implementadas para incrementar la eficiencia y el uso óptimo de los recursos así como incrementar la efectividad de los procesos de TI.
• Se establecen prácticas organizacionales para: evitar descuidos; una cultura/ ambiente de control; análisis de riesgos como práctica estándar; grado de adherencia a estándares establecidos; monitoreo y seguimiento a los riesgos y a las deficiencias de control.
• Se definen prácticas de control para evitar el incumplimiento o mal uso de controles internos.
• Hay integración e interoperabilidad transparente de los procesos de TI mas complejos como podrían ser: problemas, cambios y administración de la configuración.
• Se establece un comité de auditoría para designar y supervisar un auditor independiente enfocado sobre TI cuando dirige la ejecución de planes de auditoría y revisa los resultados de las auditorías y revisiones de terceros.

Indicadores Clave de Resultados / Logros — KGIs

• Incrementar el desempeño y la administración de costos
• Mejorar el retorno de la inversión sobre las mayores inversiones de TI
• Mejorar el tiempo de comercialización
• Incrementar la calidad, la innovación y la administración de riesgos
• Procesos del negocio apropiadamente integrados y estandartizados
• Búsqueda de nuevos clientes y satisfacer los existentes
• Disponibilidad de apropiado ancho de banda, poder de cómputo y mecanismos para la entrega de servicios de TI
• Satisfacer los requerimientos y las expectativas de los clientes de los procesos con base en un presupuesto y a tiempo
• Cumplir con las leyes, regulaciones, estándares de la industria y compromisos contractuales.
• Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del perfil de riesgo organizacional.
• Comparaciones mediante Benchmarking sobre el nivel de madurez de TI
• Creación de nuevos canales de distribución y entrega de servicios

Indicadores Clave de Desempeño – KPIs

• Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios)
• Incrementare el número de planes de acción de TI para las iniciativas de mejoramiento de procesos
• Incrementar la utilización de la infraestructura de TI
• Incrementar la satisfacción de los socios y accionistas (encuestas y número de reclamaciones).
• Incrementar la productividad de los funcionarios de TI (número de entregables) y su moral (encuesta)
• Incrementar la disponibilidad de conocimiento e información para administrar la empresa.
• Incrementar las relaciones entre el gobierno de la empresa y el gobierno de TI
• Incrementar el desempeño mediante mediciones utilizando tarjetas de medición (Balanced Scorecards).

Modelo de Madurez del Gobierno de TI

El Gobierno sobre la tecnología de información es un proceso que tiene como finalidad proveer valor agregado al negocio mientras balancea riesgos versus retorno.

0. No existe. Hay una completa falta de cualquier proceso de gobierno de TI identificable. La organización no ha reconocido aun que hay aspectos que deben ser identificados y por lo tanto no hay comunicación al respecto.
1. Inicial / Ad Hoc. Hay evidencia de que la organización ha reconocido que existen aspectos del gobierno de TI que deben ser considerados. Hay, sin embargo, procesos no estandarizados, pero en su lugar, hay procedimientos ad hoc aplicados sobre un caso individual o sobre bases de caso a caso. El enfoque Gerencial es caótico y hay una esporádica e inconsistente comunicación sobre aspectos y enfoques que deban ser considerados. Puede haber algún reconocimiento para utilizar el valor de TI en el desempeño orientado al resultado de los procesos relacionados de la empresa. No hay procesos de análisis estándar. El monitoreo de TI está implementado en una forma reactiva a incidentes que han causado algunas pérdidas o apuros a la organización.
2. Repetible pero Intuitiva. Hay una conciencia global sobre los aspectos del gobierno de TI. Las actividades del gobierno de TI y los indicadores de desempeño están en desarrollo, incluyendo la planeación de TI y los procesos de entrega y monitoreo. Como parte de los esfuerzos, las actividades del gobierno de TI están formalmente establecidas dentro del proceso de administración del cambio con el involucramiento activo de la alta gerencia. Procesos seleccionados de TI son identificados para mejorar y/o controlar el núcleo de los procesos de la empresa, son efectivamente planeados y monitoreados como si fueran inversiones y son derivados en el contexto de un marco de referencia de la arquitectura de TI. La gerencia ha identificado los métodos y técnicas básicos de análisis y medición del gobierno de TI, sin embargo, el proceso no ha sido adoptado a través la organización. No hay entrenamiento y comunicación sobre los estándares de gobernabilidad y las responsabilidades son dejadas a los individuos. Los individuos direccionan los procesos de gobernabilidad como si no fueran procesos y proyectos de TI. Las herramientas de gobernabilidad son limitadas, escogidas e implementadas para lograr métricas de gobernabilidad pero puede que no se usen en toda su capacidad debido a la falta de experiencia en su funcionalidad.
3. Procesos Definidos. La necesidad de actuar con respecto al gobierno de TI es entendida y aceptada. Se desarrolla un grupo básico de indicadores de Gobierno de TI, donde el encadenamiento entre medidas de ingresos y controladores de desempeño es definido, documentado e integrado dentro de la planeación operacional y estratégica. Los procedimientos han sido estandarizados, documentados e implementados. La Gerencia ha comunicado los procedimientos estandarizados y se establece un entrenamiento informal. Los indicadores de desempeño sobre las actividades de gobernabilidad de TI son registrados y monitoreados generando mejoras a todo lo largo de la empresa. Aunque medidos, los procedimientos no son sofisticados pero son la formalización de prácticas existentes. Las herramientas están estandarizadas, utilizando técnicas disponibles y modernas. La idea de utilizar tarjetas de medición que balancean el negocio y TI son adoptadas por la organización. Esto, sin embargo, deja que el individuo, de acuerdo con su entrenamiento, siga y aplique los estándares. El análisis de causa efecto es ocasionalmente aplicado. La mayoría de los procesos son monitoreados sobre métricas (bases), pero cualquier desviación, debido a que generalmente se basa en las iniciativas de los individuos, probablemente no serían detectadas por la Gerencia. De todas maneras, el registro total del desempeño de los procesos claves es realizado y la gerencia es recompensada basada en mediciones clave de desempeño.
4. Administrado y Medible. Hay un completo entendimiento de los aspectos de Gobierno de TI a todos los niveles de la organización, soportado por un entrenamiento formal. Hay un claro entendimiento de quien es el cliente y sus responsabilidades están definidas y monitoreadas a través de acuerdos de nivel de servicio. Las responsabilidades son claras y el proceso de "propiedad" está establecido. Los procesos de TI están alineados con el negocio y con la estrategia de TI. El mejoramiento de los procesos de TI está basado primariamente sobre un entendimiento cuantitativo y por ello es posible monitorear y medir el cumplimiento con procesos y con métrica de procesos. Todos los responsables o propietarios de los procesos son advertidos sobre los riesgos, la importancia de TI y las oportunidades que TI puede ofrecer. La Gerencia ha definido una tolerancia bajo la cual los procesos deben operar. Se toman acciones en la mayoría, pero no en todos los casos, donde parece que los procesos no están operando efectiva o eficientemente. Los procesos se mejoran ocasionalmente y se refuerzan las mejores prácticas internas. Se estandariza el uso de análisis causa-efectos. Hay un limitado, primario y táctico uso de la tecnología, basado en técnicas de madurez y reforzado con herramientas estándar. Hay involucramiento de todos los expertos internos requeridos. El gobierno de TI involucra los procesos a todo lo ancho de la empresa. Las actividades del gobierno de TI están llegando a integrarse con los procesos de gobierno de la empresa.
5. Optimizado. En esta fase hay un entendimiento avanzado y hacia futuro de los aspectos y soluciones del gobierno de TI. El entrenamiento y las comunicaciones son soportadas por conceptos y técnicas de vanguardia. Los procesos han sido refinados a un nivel de mejores prácticas externas basadas sobre resultados de mejoramiento contínuo y modelos de madurez con otras organizaciones. La implementación de esas políticas han permitido a la organización, a la gente y a los procesos que se adapten rápidamente y por completo a los requerimientos de gobierno de TI. Todos los problemas y desviaciones son analizados de raíz y con base en ese análisis se identifican e inician acciones eficientes y oportunas. La Tecnología de Información es utilizada de una manera extensiva y optimizada para automatizar el flujo de trabajo y proporcionar herramientas para mejorar la calidad y la efectividad. Los riesgos y el retorno de los procesos de TI son definidos, balanceados y comunicados a través de toda la empresa. Se aprovechan expertos externos y se utilizan benchmarks como guías. El monitoreo y el autoanálisis de riesgos y las comunicaciones acerca de las expectativas del gobierno influencian la organización y hay un óptimo uso de la tecnología para soportar la medición, el análisis, las comunicaciones y el entrenamiento. El gobierno de la empresa y el gobierno de TI están estratégicamente conectados empujando a los recursos humanos y financieros a incrementar la ventaja competitiva de la empresa.

APÉNDICE II – DESCRIPCIÓN DEL PROYECTO COBIT

El proyecto continua siendo supervisado por un Comité de Dirección formado por representantes internacionales de la academia, industria, gobierno y la profesión de auditoría. El Comité de Dirección del Proyecto intervino en el desarrollo del Marco Referencial ("Framework") COBIT y en la aplicación de los resultados de la investigación. Se establecieron grupos de trabajo internacionales con el propósito de asegurar la calidad y contar con una revisión experta de la investigación y los elementos entregables del desarrollo del proyecto. El IT Governance Institute proporcionó toda la dirección del proyecto.

INVESTIGACION Y ENFOQUE PARA EL DESARROLLO INICIAL

Empezando con el Marco Referencial de Cobit, definido en la primera edición, la aplicación de estándares y directrices internacionales y la investigación dentro de mejores prácticas ha permitido el desarrollo de los Objetivos de Control. Las Guías o Directrices de Auditoría fueron desarrolladas a continuación para analizar si esos objetivos de control son apropiadamente implementados.

La investigación de la primera y segunda edición incluyó la recolección y el análisis de fuentes identificadas y fue llevada a cabo por equipos de investigación en Europa (Free University of Amsterdam), Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de investigación fueron encargados de la compilación, revisión, análisis y apropiada incorporación de estándares técnicos internacionales, códigos de conducta, estándares de calidad, estándares profesionales en prácticas y requerimientos de la auditoría y de la industria, en cuanto a su relación con el Marco de Referencia y con los Objetivos de Control individuales. Después de la colección y análisis los investigadores fueron encargados de examinar cada dominio y cada proceso en profundidad y sugerir nuevos o modificados objetivos de control aplicables a los procesos particulares de TI. La Consolidación de los resultados fue llevada a cabo por el Comité de Dirección de Cobit y por el Director de Investigaciones de ISACF.

INVESTIGACION Y ENFOQUE PARA LA 3a EDICION

El proyecto de la 3a edición de Cobit consistió en desarrollar las Directrices Gerenciales y actualizar la 2ª Edición de Cobit basado en nuevas y revisadas referencias internacionales.

Adicionalmente, el Marco de Referencia de Cobit fue revisado y mejorado para soportar el incremento de controles gerenciales, introducir gerencia de desempeño y también desarrollar el Gobierno de TI. Con el fin de proporcionarle a la gerencia una aplicación del Marco de Referencia para que pueda analizar y efectuar cambios para la implementación de controles y el mejoramiento sobre la información y las tecnologías relacionadas, así como medir el desempeño, las Directrices Gerenciales incluyen Modelos de Madurez, Factores Críticos de Éxito, Indicadores Clave de Logros/resultados e Indicadores Clave de Desempeño relacionados con los Objetivos de Control.

Las Directrices Gerenciales fueron desarrolladas para ser utilizadas por un grupo de 40 expertos de todo el mundo, pertenecientes a la industria, la academia, el gobierno y profesionales en control y seguridad de TI. Esos expertos participaron en talleres de trabajo guiados por facilitadores profesionales que utilizaron guías definidas por el Comité de Dirección del Proyecto Cobit. Los talleres fueron fuertemente apoyados por el Gartner Group y PricewaterhouseCoopers, quienes no solo proporcionaron liderazgo de pensamiento sino que también enviaron varios de sus expertos en control, gerencia del desempeño y seguridad de la información. Los resultados de los talleres generaron los borradores de los Modelos de Madurez, los Factores Críticos de Éxito, los Indicadores Clave de Logros y los Indicadores Clave de Desempeño para cada uno de los 34 objetivos de control de alto nivel. El aseguramiento de calidad de los entregables iniciales fue dirigido por el Comité de Dirección del Proyecto y el resultado de este trabajo fue colocado a disposición en la web site de ISACA. El documento de las Directrices Gerenciales fue finalmente preparado para ofrecer un nuevo grupo de herramientas orientadas a la gerencia, mientras que ofrecía integración y consistencia con el Marco de Referencia de Cobit.

La actualización de los Objetivos de Control, basada en nuevos y revisados estándares internacionales fue conducida por miembros de los Capítulos de ISACA, bajo la coordinación de los miembros del Comité de Dirección de Cobit. La intención no fue llevar a cabo un análisis global de todo el material o volver a desarrollar los Objetivo de Control, sino generar un proceso de actualización incremental.

El resultado del desarrollo de las Directrices Gerenciales fue utilizado para revisar el Marco de Referencia de Cobit, especialmente en lo que tiene que ver con las consideraciones, objetivos y sentencias que configuran los objetivos de control de alto nivel.

APÉNDICE III - MATERIAL DE REFERENCIA PRIMARIA

COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.

OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992.

DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.

ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991.

An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology, U.S. Department of Commerce. Washington, DC, 1995.

ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.

IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.

NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques: Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South Wales, Australia, 1990 through 1994.

Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.

EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.

PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the president's Council on Management Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987.

Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo Audit Corporation, Tokyo, August 1994.

CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition, Rolling Meadows, IL, 1992.

CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.

CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.

IFAC International Guidelines for Managing Security of Information and Communications: International Federation of Accountants, New York, NY, 1997.

IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998.

Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington, DC, 1983.

Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988.

Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.

Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994.

SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995.

DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.

IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.

IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997.

E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.

C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.

ISO IEC JTC1/SC27 Information Technology – Security: International Organisation for Standardisation (ISO) Technical Committee on Information Technology Security, Switzerland, 1998.

ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.

ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997.

CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft, Washington, DC, 1997.

Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.

TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and Industry (DTI), London, 1994

ESF Baseline Control – Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.

ESF Baseline Control – Microcomputers: European Security Forum, London. Baseline Controls Microcomputers Attached to Network, June 1990.

Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.

Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998

Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999.

BS7799-Information Security Management: British Standards Institute, London, 1999.

CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants, Toronto, 1998

ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organisation for Standardisation, Switzerland, 1998.

AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.

APÉNDICE IV - GLOSARIO DE TERMINOS