View
18
Download
4
Category
Preview:
Citation preview
EUROSAI IT Working Group Metodología ITSA versión 4.0 1
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Informe de Auditoría de Sistemas de Información en los OCEX: Experiencias prácticasy su aportación a la función fiscalizadora de los OCEX. Alejandro Salom.
Auditoría de Sistemas de Información como apoyo a las fiscalizaciones; Metodologíasde trabajo. Cómo organizar un Departamento de Auditoría Informática como apoyo a
los equipos de fiscalización. Ignacio Calleja.
Metodología para la autoevaluación de los Sistemas de Información de las Entidades Fiscalizadoras Superiores. Alberto Rubio.
Metodología para la Auto-evaluación de los Sistemas de
Información de las EFS
Un proyecto de
Versión 4.0
Enero 2007
Basada en
EUROSAI IT Working Group Metodología ITSA versión 4.0 3
El Grupo de Trabajo de EUROSAI IT• La primera reunión del Grupo de Trabajo de EUROSAI IT
tuvo lugar en La Haya del 30 de septiembre al 1 de octubre de 2002. Se decidió una lista de proyectos a ejecutar en 2003.
• El primer proyecto fue diseñar una herramienta de evaluación de los Sistemas de Información de las EFS mediante el método CobiT.
• En este proyecto participamos Suiza(líder), Eslovenia, Holanda, Noruega, Lituania y España.
EUROSAI IT Working Group Metodología ITSA versión 4.0 4
Contenido
• El problema • Por qué una metodología de autoevaluación?
(Beneficios para las EFS)• Qué información debe producir ? • Cómo desarrollar la autoevaluación?: • Preparación
– Fase 1: explicación y discusión – Fase 2: consolidación de resultados – Fase 3: plan de acciones a tomar
• Conclusión: evaluación del método
EUROSAI IT Working Group Metodología ITSA versión 4.0 5
Existe un problema? IT son críticas para el “negocio”? IT son parte de la gestión de las EFS? Coinciden expectativas y realidades? Dedicamos la atención que requieren las IT? IT suponen grandes inversiones y riesgos
El problema
EUROSAI IT Working Group Metodología ITSA versión 4.0 6
Objetivos del proyecto
Contribuir al trabajo de las EFS asegurando la
calidad y desarrollo de las Tecnologías de la
Información y su gestión
Adquirir experiencia con CobiT como herramienta
de auditoría de Sistemas de Información
Mejorar el intercambio de experiencias entre
auditores y personal de IT
EUROSAI IT Working Group Metodología ITSA versión 4.0 7
Por qué dedicar tiempo a este proyecto?• Formación (de los auditores de la EFS y del
personal de IT)• Primera experiencia con la auto-evaluación y
CobiT( uso futuro en la auditoría)• Comparación con otras EFS, conocimiento de
otras prácticas, identificación de oportunidades (las EFS también pueden ser autocríticas!)
EUROSAI IT Working Group Metodología ITSA versión 4.0 8
Ejemplo de análisis comparativo
EFS grande
EFS media
EFS pequeña
EUROSAI IT Working Group Metodología ITSA versión 4.0 9
Quién debe participar en la auto-evaluación?1. Personal de IT de la EFS
2. Técnicos de auditoría
3. Otros (gestión de la EFS)
4. El moderador (no debe considerarse la evaluación como una auditoría)
EUROSAI IT Working Group Metodología ITSA versión 4.0 10
Por qué CobiT?
• Control Objetives for Information Technology• Norma internacionalmente aceptada para el
control y las buenas prácticas de las IT• En línea con ISO, ITIL, COSO• Asumido por las Normas de auditoría de INTOSAI
(Apartados 51b), 86, 144 y 153) y Guía de implementación nº 22
EUROSAI IT Working Group Metodología ITSA versión 4.0 11
Resumen ejecutivo- Principales conceptos
Metodología- estructura de análisis de los procesos
Objetivos de control- organizados en 34 niveles
Guías de auditoría- revisión de los procesos
Guías de gestión- modelos de madurez, indicadores de
objetivos y de seguimiento
www.isaca.org
Componentes de CobiT
EUROSAI IT Working Group Metodología ITSA versión 4.0 12
EUROSAI IT Working Group Metodología ITSA versión 4.0 13
Cúal es el proceso?
Fase 22 semanas antes Fase 1 Fase 3
Recepción de la documentación para su estudio (CobiT, auto-evaluación, cuestionarios,étc)
Explicación del método. Discusión en grupo de la
estructura de la organización.Completar los cuestionarios
Consolidación de resultados y discusión Preparación del plan de
acciones y evaluación del ejercicio
EUROSAI IT Working Group Metodología ITSA versión 4.0 14
Fase 1
• Explicación del método• Las dos dimensiones del
análisis• Discusión en grupo• Completar cuestionarios
EUROSAI IT Working Group Metodología ITSA versión 4.0 15
Las dos dimensiones del análisis
Proceso de gestión 2
Proceso de gestión 3
Proceso de gestión 4
Proceso de gestión 5
Proceso de gestión 6
Proceso de gestión 1
Proceso de gestión 7
PO
1
AI1
AI2
PO
2
Planificación organización
Adquisición Implement.
Etc...
Etc…
Etc…
2 = IT
1 =
NE
GO
CIO
EUROSAI IT Working Group Metodología ITSA versión 4.0 16
Primera dimensión del análisis
Proceso de gestión 2
Proceso de gestión 3
Proceso de gestión 4
Proceso de gestión 5
Proceso de gestión 6
Proceso de gestión 1
Proceso de gestión 7
1 =
NE
GO
CIO
EUROSAI IT Working Group Metodología ITSA versión 4.0 17
La cadena de valor de la gestión de una EFS• Cuáles son sus objetivos estratégicos?• Cuáles son sus principales funciones?• Cuáles son las principales funciones para
alcanzar los objetivos?
En el cuestionario 1 llamamos procesos de gestión a las funciones…
EUROSAI IT Working Group Metodología ITSA versión 4.0 18
Ejemplo de procesos de la gestión• Planificación y organización del trabajo de la EFS • Gestión del riesgo de auditoría• Organización de las fiscalizaciones• Analisis de datos• Evaluación de las IT mediante auditoría• Informes de resultados a los auditados• Comunicación con los auditados, con el Parlamento y otras EFS• Publicación de los informes• Seguimiento de la implantación de las recomendaciones• Gestión del conocimiento• Administración de finanzas y recursos humanos• Contratación y formación de personal • Actividad administrativa• Etc…
EUROSAI IT Working Group Metodología ITSA versión 4.0 19
Nivel de satisfacción del usuario
• Importancia ACTUAL de las IT?
• Importancia FUTURA de las IT?
• Están soportados los procesos por las IT?
• Proporcionan las IT los resultados esperados?
EUROSAI IT Working Group Metodología ITSA versión 4.0 20
El cuestionario 1 identifica los procesos de gestión
no
ap
plica
tio
n s
oft
wa
re (
0)
low
(1
)
imp
ort
an
ce
le
ve
l (2
)
imp
ort
an
ce
le
ve
l (3
)
imp
ort
an
ce
le
ve
l (4
)
hig
h (
5)
no
ap
plica
tio
n s
oft
wa
re (
0)
low
(1
)
imp
ort
an
ce
le
ve
l (2
)
imp
ort
an
ce
le
ve
l (3
)
imp
ort
an
ce
le
ve
l (4
)
hig
h (
5)
ve
ry lo
w (
0)
qu
ality
le
ve
l (1
)
qu
ality
le
ve
l (2
)
qu
ality
le
ve
l (3
)
qu
ality
le
ve
l (4
)
ve
ry h
igh
(5
)
B1 Gestión del riesgo de auditoría software o proyecto relacionado
B2 Documentación de las fiscalizaciones software o proyecto relacionado
B3 Análisis de datos software o proyecto relacionado
B4 Evaluación de IT mediante auditoría de IT software o proyecto relacionado
B5 Informe de resultados a los auditados software o proyecto relacionado
B6 Seguimiento de recomendaciones software o proyecto relacionado
B7 Gestión del conocimiento software o proyecto relacionado
B8 Gestión de finanzas y recursos humanos software o proyecto relacionado
B9 Administración y archivo de informes software o proyecto relacionado
B10 Publicación de informes de fiscalizaciones software o proyecto relacionado
B11 Comunicación interna software o proyecto relacionado
B12 Otros software o proyecto relacionado
B13 Otros software o proyecto relacionado
B14 Otros software o proyecto relacionado
Importancia ACTUAL de las IT para este proceso?
Qué tipo de problemas IT existen en este nivel (especialmente si el nivel es 0-1)?
Calidad ACTUAL de la informatización de este proceso?
Importancia FUTURA de las IT para este proceso?
Cuestionario 1: Ayudan las IT a alcanzar los objetivos de las EFS?
version 4.0
EUROSAI IT Working Group Metodología ITSA versión 4.0 21
Segunda dimensión del análisis
PO
1
AI1
AI2
PO
2
Planning and Organisation
Acquisition and implementation
Etc...
Etc…
Etc…
2 = IT
EUROSAI IT Working Group Metodología ITSA versión 4.0 22
La segunda dimensión está basada en los niveles de madurez definidos en CobiT
• CobiT identifica 34 procesos
• Cuáles son los procesos más importantes en la EFS?
• Cuáles son los niveles del modelo de madurez?
EUROSAI IT Working Group Metodología ITSA versión 4.0 23
Modelo de madurez Ejemplo: “DS4 Asegurar la continuidad del servicio”0 No existe.
No se conocen los riesgos, vulnerabilidades y amenazas de las operaciones de IT o el impacto de la pérdida de los servicios de IT. La continuidad del servicio no se considera con la necesaria atención por los gestores.
5 Optimizado El servicio contínuo está integrado, automatizado, y se autoanaliza teniendo en cuenta su comparación con las mejores prácticas conocidas. Existen planes de continuidad integrados en los planes de gestión. La continuidad del servicio está asegurada por los suministradores. Se realizan tests de resultados incluidos en el proceso de mantenimiento. El coste de la continuidad del servicio se optimiza por medio de la innovación y la integración. El análisis de los datos se utiliza para la identificación de oportunidades de mejora.
EUROSAI IT Working Group Metodología ITSA versión 4.0 24
Ejemplo 2: “PO10 Gestión de proyectos”0 No existe.
Las técnicas de gestión de proyectos no se utilizan. La organización no considera los impactos asociados a la mala gestión de proyectos ni los fallos de desarrollo.
5 Optimizado Está implementada y probada una metodología que comprende el ciclo completo de los proyectos, y se integra en la cultura de la organización. Existe un programa de seguimiento para identificar e institucionalizar las buenas prácticas. Una oficina integrada de gestión de proyectos es responsable de los mismos desde su inicio hasta su completa instalación, bajo la dirección de las unidades de gestión y proporciona los recursos de IT para completar los proyectos.
EUROSAI IT Working Group Metodología ITSA versión 4.0 25
Cuestionario 2n
ot
kn
ow
n
no
t im
porta
nt (1)
imp
orta
nce
le
ve
l (2)
imp
orta
nce
le
ve
l (3)
imp
orta
nce
le
ve
l (4)
very im
po
rta
nt (5
)
Areas y procesos según CobiT 4.0 no
n-e
xis
ten
t (0)
initia
l /
ad
ho
c (
1)
re
pe
ata
ble
but
intu
itiv
e (
2)
de
fine
d p
roce
ss (
3)
man
ag
ed a
nd m
ea
sura
ble
(4
)
op
tim
ised
(5
)
no
n-e
xis
ten
t (0)
initia
l /
ad
ho
c (
1)
re
pe
ata
ble
but
intu
itiv
e (
2)
de
fine
d p
roce
ss (
3)
man
ag
ed a
nd m
ea
sura
ble
(4
)
op
tim
ised
(5
)
Planificación y OrganizaciónPO1 Existe un Plan estratégico de IT
PO2 Existe una arquitectura de la información
PO3 Se determina la dirección tecnológica
PO4 Existe una organización de IT y sus relaciones
PO5 Gestión de inversiones en IT
PO6 Comunicación de fines y dirección de la gestión
PO7 Gestión de recursos humanos
PO8 Cumplimiento con requisitos externos
PO9 Evaluación de riesgos
PO10 Gestión de proyectos
Adquisición e implementaciónAI1 Identificación de soluciones automatizadas
AI2 Adquisición y mantenimiento adquisiciones SW
AI3 Adquisición y mantenimiento infraestructuras
AI4 Desarrollo y mantenimiento de procedimientos
AI5 Instalación y acreditación de sistemas
AI6 Gestión de cambios
AI7 Instalar y acreditar soluciones y cambios
Instalación y mantenimientoDS1 Definir y gestionar niveles de servicio
DS2 Gestionar servicios de terceros o externos
DS3 Gestionar ejecución y capacidad
DS4 Asegurar la continuidad del servicio
DS5 Asegurar la seguridad del sistema
DS6 Previsión y asgnación de costes
DS7 Formación de usuarios
DS8 Asistencia a usuarios
DS9 Gestionar la configuración
DS10 Gestión de problemas e incidencias
DS11 Gestión de datos
DS12 Gestión de programas y accesos
DS13 Gestión de operaciones
Monitorización y controlM1 Control de los procesos
M2 Evaluar la adecuación del control interno
M3 Obtener certificaciones independientes
M4 Realizar auditorias independientes
Qué procesos del negocio(ver Cuestionario 1) están afectados (especialmente si el nivel =0-1)?
Nivel de madurez DESEADO para este proceso?
IMPORTANCIA de este proceso?
Cuestionario 2. Cúal es el nivel de madurez de los procesos de IT?
Nivel de madurez ACTUAL de este proceso?
version 4.0
EUROSAI IT Working Group Metodología ITSA versión 4.0 26
no
t kn
ow
n
no
t im
po
rta
nt
(1)
imp
ort
an
ce
le
ve
l (2
)
imp
ort
an
ce
le
ve
l (3
)
imp
ort
an
ce
le
ve
l (4
)
ve
ry im
po
rta
nt
(5)
Areas y procesos según CobiT 4.0 no
n-e
xis
ten
t (0
)
initia
l /
ad
ho
c (
1)
rep
ea
tab
le b
ut
intu
itiv
e (
2)
de
fin
ed
pro
ce
ss (
3)
ma
na
ge
d a
nd
me
asu
rab
le (
4)
op
tim
ise
d (
5)
no
n-e
xis
ten
t (0
)
initia
l /
ad
ho
c (
1)
rep
ea
tab
le b
ut
intu
itiv
e (
2)
de
fin
ed
pro
ce
ss (
3)
ma
na
ge
d a
nd
me
asu
rab
le (
4)
op
tim
ise
d (
5)
Planificación y OrganizaciónPO1 Existe un Plan estratégico de IT
PO2 Existe una arquitectura de la información
PO3 Se determina la dirección tecnológica
PO4 Existe una organización de IT y sus relaciones
PO5 Gestión de inversiones en IT
PO6 Comunicación de fines y dirección de la gestión
PO7 Gestión de recursos humanos
PO8 Cumplimiento con requisitos externos
PO9 Evaluación de riesgos
PO10 Gestión de proyectos
Adquisición e implementaciónAI1 Identificación de soluciones automatizadas
Qué procesos del negocio(ver Cuestionario 1) están afectados (especialmente si el nivel =0-1)?
Nivel de madurez DESEADO para este proceso?
IMPORTANCIA de este proceso?
Cuestionario 2. Cúal es el nivel de madurez de los procesos de IT?
Nivel de madurez ACTUAL de este proceso?
version 4.0
Cuestionario 2
. . .
Importancia de los procesos
de IT?
Calidad de los
procesos de IT?
EUROSAI IT Working Group Metodología ITSA versión 4.0 27
Business added-value chain
fully
auto
mate
d (5)
auto
matiz
atio
n le
vel (
4)
auto
matiz
atio
n le
vel (
3)
auto
matiz
atio
n le
vel (
2)
auto
matiz
atio
n le
vel (
1)
no a
pplic
atio
n s
oftw
are
(0)
unusa
ble
(0)
satis
fact
ion le
vel
(1)
satis
fact
ion le
vel (
2)
satis
fact
ion le
vel (
3)
satis
fact
ion le
vel (
4)
fully
satis
fied (5)
B1 Audit Risk Management
B2 Organise the missions
B3 Analyse the data
B4 Test the IT by the IT-Audit
B5 Report the results to the auditee
B6 Track the implementation of the recommandations
B7 Manage the knowledge
B8 Manage finances and human ressources
B9 Administer and archive the dossiers
B10 Publish the results of the audits
B11 Communicate
B12 other …
B13 other…
In which IT-process (see above in Form 1) is the problem (especially if satisfaction level = 0 or 1)?
Does IT bring the results we're excepting?
Does IT support this process
Form 2 (for the owners of the business value-added chain processes). Does the IT help to achieve the SAI's strategic goals?
very
im
port
ant
(2)
import
ant
(1)
not
import
ant
(0)
not
sure
(0)
COBIT's Domains and Processes non-e
xis
tent
(0)
initia
l /
ad h
oc (
1)
repeata
ble
but
intu
itiv
e (
2)
defined p
rocess (
3)
managed a
nd m
easura
ble
(4)
optim
ised (
5)
Planning and OrganisationPO1 Define a Strategic IT Plan
PO2 Define the information architecture
PO3 Determine the technological direction
PO4 Define the IT Organisation and Relationships
PO5 Manage the IT investment
PO6 Communicate management aims and direction
PO7 Manage human resources
PO8 Ensure compliance with external requirements
PO9 Assess risks
PO10 Manage projects
PO11 Manage quality
Acquisition and ImplementationAI1 Identify automated solutions
AI2 Acquire and maintain application SW
AI3 Acquire and maintain technology infrastructure
AI4 Develop and maintain procedures
AI5 Install and accredit systems
AI6 Manage changes
Delivery and SupportDS1 Define and manage service levels
DS2 Manage third-party services
DS3 Manage performance and capacity
DS4 Ensure continuous service
DS5 Ensure system security
DS6 Identify and allocate costs
DS7 Educate and train users
DS8 Assist and advise customers
DS9 Manage the configuration
DS10 Manage problems and incidents
DS11 Manage data
DS12 Manage facilities
DS13 Manage operations
MonitoringM1 Monitor the processes
M2 Assess internal control adequacy
M3 Obtain independent assurance
M4 Provide for independent audit
Which business processes (see below in Form 2) are affected by this problem (especially if level = 0 or 1)?
Maturity level of the process
Importance of the process
Form 1 (for IT-people): What is the maturity level of the IT-processes?
Relación entre usuarios y IT
En qué procesos está el problema (especialmente si = 0 or 1)?
Qué procesos de gestión están
afectados (si nivel = 0 or 1)?
EUROSAI IT Working Group Metodología ITSA versión 4.0 28
Fase 2Consolidación de resultados
Asuntos para la discusión
• Diferencias de valoración
• Discusión de resultados, especialmente los peores…
EUROSAI IT Working Group Metodología ITSA versión 4.0 29
Consolidación de resultadosCuestionario 1
pa
rtcip
ant
1
pa
rtcip
ant
2
pa
rtcip
ant
3
pa
rtcip
ant
4
pa
rtcip
ant
5
pa
rtcip
ant
6
pa
rtcip
ant
7
pa
rtcip
ant
8
pa
rtcip
ant
9
pa
rtcip
ant
10
pa
rtcip
ant
11
pa
rtcip
ant
12
pa
rtcip
ant
13
tota
l
va
lor
med
io
pa
rtcip
ant
1
pa
rtcip
ant
2
pa
rtcip
ant
3
pa
rtcip
ant
4
pa
rtcip
ant
5
pa
rtcip
ant
6
pa
rtcip
ant
7
pa
rtcip
ant
8
pa
rtcip
ant
9
pa
rtcip
ant
10
pa
rtcip
ant
11
pa
rtcip
ant
12
pa
rtcip
ant
13
tota
l
va
lor
med
io
pa
rtcip
ant
1
pa
rtcip
ant
2
pa
rtcip
ant
3
pa
rtcip
ant
4
pa
rtcip
ant
5
B1 Gestión del riesgo de auditoría 1 2 3 4 1 2 0 13 1,9 5 5 3 4 1 2 0 20 2,9 2 3 4 5 1B2 Documentación de las fiscalizaciones 2 3 4 5 1 3 1 19 2,7 2 3 4 5 1 3 5 23 3,3 3 4 5 0 2B3 Análisis de datos 3 4 5 0 2 4 1 19 2,7 5 4 5 0 2 4 1 21 3 1 1 1 1 1B4 Evaluación de IT mediante auditoría de IT 4 5 0 0 3 5 1 18 2,6 4 5 5 0 3 5 1 23 3,3 2 2 2 2 2B5 Informe de resultados a los auditados 0 0 0 0 0 0 1 1 0,1 0 0 0 0 0 0 1 1 0,1 3 4 5 0 2B6 Seguimiento de recomendaciones 0 1 2 3 4 5 1 16 2,3 0 5 2 3 5 5 1 21 3 4 5 0 0 3B7 Gestión del conocimiento 1 2 3 4 1 2 1 14 2 1 2 3 4 1 2 1 14 2 5 1 1 0 4B8 Gestión de finanzas y recursos humanos 2 3 4 5 1 3 1 19 2,7 2 3 4 5 1 3 1 19 2,7 0 1 2 3 4B9 Administración y archivo de informes 3 4 5 0 2 4 1 19 2,7 3 4 5 5 2 4 1 24 3,4 1 2 3 4 1B10 Publicación de informes de fiscalizaciones 1 1 1 1 1 1 1 7 1 1 5 5 5 5 1 1 23 3,3 5 5 5 5 5B11 Comunicación interna 2 2 2 2 2 2 2 14 2 2 2 2 2 2 5 2 17 2,4 2 2 2 2 2B12 Otros 3 3 3 3 3 3 3 21 3 3 3 3 3 3 3 3 21 3 1 1 1 1 1B13 Otros 4 4 5 5 5 5 5 33 4,7 4 4 5 5 5 5 5 33 4,7 1 1 0 0 0
Consolidación Cuestionario 1. Procesos de gestión
Cúal es la importancia FUTURA de los procesos IT ?Cúal es la importancia ACTUAL de los procesos IT ? Cúal es la calidad ACTUAL de los procesos IT ?
EUROSAI IT Working Group Metodología ITSA versión 4.0 30
Consolidación de resultadosGráfico 1
0
1
2
3
4
5
6
B 1 B 3 B 5 B 7 B 9 B 1 1 B 1 3
p r o c e s s
W h a t i s t h e i m p o r t a n c e o ft h e c u r r e n t IT s y s t e m s ?
W h a t i s t h e i m p o r t a n c e o ft h e fu t u r e IT s y s t e m s ?
W h a t i s t h e q u a l i t y o f t h ec u r r e n t IT s y s t e m s ?
EUROSAI IT Working Group Metodología ITSA versión 4.0 31
Consolidación de resultadosCuestionario 2
Process pa
rtcip
an
t 1
pa
rtcip
an
t 2
pa
rtcip
an
t 3
pa
rtcip
an
t 4
pa
rtcip
an
t 5
pa
rtcip
an
t 6
pa
rtcip
an
t 7
pa
rtcip
an
t 8
pa
rtcip
an
t 9
pa
rtcip
an
t 1
0
pa
rtcip
an
t 1
1
pa
rtcip
an
t 1
2
pa
rtcip
an
t 1
3
tota
l
va
lor m
ed
io
pa
rtcip
an
t 1
pa
rtcip
an
t 2
pa
rtcip
an
t 3
pa
rtcip
an
t 4
pa
rtcip
an
t 5
pa
rtcip
an
t 6
pa
rtcip
an
t 7
pa
rtcip
an
t 8
pa
rtcip
an
t 9
pa
rtcip
an
t 1
0
pa
rtcip
an
t 1
1
pa
rtcip
an
t 1
2
pa
rtcip
an
t 1
3
tota
l
va
lor m
ed
io
pa
rtcip
an
t 1
pa
rtcip
an
t 2
pa
rtcip
an
t 3
pa
rtcip
an
t 4
pa
rtcip
an
t 5
pa
rtcip
an
t 6
pa
rtcip
an
t 7
pa
rtcip
an
t 8
pa
rtcip
an
t 9
pa
rtcip
an
t 1
0
pa
rtcip
an
t 1
1
pa
rtcip
an
t 1
2
pa
rtcip
an
t 1
3
PO1 3 4 5 0 2 4 1 19 2,7 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1PO2 4 5 0 0 3 5 1 18 2,6 1 0 0 0 0 0 0 1 0,1 1 1 2 3 4 3 0PO3 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 1 2 3 4 3 1PO4 1 0 0 0 0 0 0 1 0,1 3 4 5 0 2 4 1 19 2,7 3 1 2 3 4 4 1PO5 2 3 4 5 1 3 1 19 2,7 4 5 0 0 3 5 1 18 2,6 4 1 2 3 4 5 1PO6 3 4 5 0 2 4 1 19 2,7 5 1 1 0 4 0 1 12 1,7 5 1 2 3 4 0 1PO7 4 5 0 0 3 5 1 18 2,6 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1PO8 5 1 1 0 4 0 1 12 1,7 1 2 3 4 1 2 1 14 2 1 1 2 3 4 2 1PO9 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 1 2 3 4 3 1
PO10 1 2 3 4 1 2 1 14 2 3 4 5 0 2 4 1 19 2,7 3 1 2 3 4 4 1AI1 3 4 5 0 2 4 1 19 2,7 3 4 5 0 2 4 1 19 2,7 3 4 5 0 5 4 1AI2 4 5 0 0 3 5 1 18 2,6 4 5 0 0 3 5 1 18 2,6 4 5 0 0 5 5 1AI3 3 4 5 0 2 4 1 19 2,7 5 5 5 5 5 5 5 35 5 5 5 5 1 5 5 5AI4 4 5 0 0 3 5 1 18 2,6 0 1 2 3 4 5 1 16 2,3 0 1 2 1 5 5 1AI5 5 5 5 5 5 5 5 35 5 1 2 3 4 1 2 1 14 2 1 2 3 1 5 2 1AI6 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 3 4 1 5 3 1AI7 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 3 4 1 5 3 1DS1 1 2 3 4 1 2 1 14 2 3 4 5 0 2 4 1 19 2,7 3 4 5 1 5 4 1DS2 2 3 4 5 1 3 1 19 2,7 4 5 0 0 3 5 1 18 2,6 4 5 0 1 5 5 1DS3 3 4 5 0 2 4 1 19 2,7 5 1 1 0 4 0 1 12 1,7 5 1 1 1 5 0 1DS4 4 5 0 0 3 5 1 18 2,6 0 1 2 3 4 5 1 16 2,3 0 1 2 1 5 5 1DS5 5 1 1 0 4 0 1 12 1,7 1 2 3 4 1 2 1 14 2 1 2 3 1 5 2 1DS6 4 5 0 0 3 5 1 18 2,6 2 3 4 5 1 3 1 19 2,7 2 3 4 1 5 3 1DS7 5 1 1 0 4 0 1 12 1,7 0 0 0 0 0 0 1 1 0,1 0 0 0 1 5 0 1DS8 0 1 2 3 4 5 1 16 2,3 0 0 0 0 0 0 0 0 0 0 0 0 0 5 5 0DS9 1 2 3 4 1 2 1 14 2 5 1 1 0 4 0 1 12 1,7 5 1 1 0 4 5 1
DS10 2 3 4 5 1 3 1 19 2,7 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1DS11 3 4 5 0 2 4 1 19 2,7 1 2 3 4 1 2 1 14 2 1 2 3 4 1 5 1DS12 4 5 0 0 3 5 1 18 2,6 2 2 2 2 2 2 2 14 2 2 2 2 2 2 5 2DS13 3 4 5 0 2 4 1 19 2,7 3 3 3 3 3 3 3 21 3 3 3 3 3 3 5 3
M1 4 5 0 0 3 5 1 18 2,6 3 4 5 0 2 4 1 19 2,7 3 4 5 0 2 5 1M2 5 5 5 5 5 5 5 35 5 4 5 0 0 3 5 1 18 2,6 4 5 0 0 3 5 1M3 0 1 2 3 4 5 1 16 2,3 5 1 1 0 4 0 1 12 1,7 5 1 1 0 4 5 1M4 1 0 0 0 0 0 0 1 0,1 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1
Consolidación de resultados. Cuestionario 2.
Importancia del proceso IT ? Nivel de madurez ACTUAL del proceso IT? Nivel de madurez DESEADO del proceso?
EUROSAI IT Working Group Metodología ITSA versión 4.0 32
Consolidación de resultadosGráfico 2. Procesos IT CobiT
0
1
2
3
4
5
6
P O 1 P O 4 P O 7 P O 1 0 A I2 A I5 D S 2 D S 5 D S 8 D S 1 1 M 1 M 4
p r o c e s s
Im p o r t a n c e o f t h e p r o c e s s ?
C u r r e n t m a t u r i t y le v e l o f t h e p r o c e s s?
D e s ir e d m a t u r i t y le v e l o f t h e p r o c e s s?
EUROSAI IT Working Group Metodología ITSA versión 4.0 33
Fase 3Conclusión
• Preparación del plan de acciones futuras
• Evaluación de la metodología propuesta
EUROSAI IT Working Group Metodología ITSA versión 4.0 34
Plan de acciones futuras
• Descripción de gaps• Riesgos/ Implicaciones• Recomendación/ Descripción acciones• Responsables• Fecha ejecución actividades• Prioridades1-10
EUROSAI IT Working Group Metodología ITSA versión 4.0 35
Evaluación de la metodologíaCuestionario General
•
Cuestionario de evaluación del proyecto• Autoevaluación de IT de las EFS• Grupo de Trabajo de EUROSAI IT•
• Objetivos: Obtener propuestas concretas para la mejora de la metodología de autoevaluación de las IT de las EFS
• Nota: Las 7 preguntas siguientes deberán ser contestadas por un representante del grupo de autoevaluación
• NrPregunta1:Describa brevemente el uso de las IT en su EFS. (Procesos en los que intervienen las IT en su EFS)
• 2:¿Son las IT una actividad crítica para el “negocio”o gestión de la EFS?
EUROSAI IT Working Group Metodología ITSA versión 4.0 36
Evaluación de la metodologíaCuestionario individual
•
Cuestionario de evaluación del proyecto• Autoevaluación de IT de las EFS• Grupo de Trabajo de EUROSAI IT
• Objetivos: Obtener propuestas concretas para la mejora del proceso de autoevaluación de las IT
• de las EFS y su documentación.• Evaluación del proceso por cada participante del grupo de autoevaluación:• Nr Pregunta:1¿Tiene alguna experiencia previa con el proceso de autoevaluación?
(Sí/No)• 2¿Tiene alguna experiencia previa con el método CobiT? (Sí/No)• 3 En su opinión, ¿han participado las personas adecuadas en el grupo de
autovaluación? (Sí/No). Si la respuesta es negativa, ¿quiénes deberían participar?
EUROSAI IT Working Group Metodología ITSA versión 4.0 37
MUCHAS GRACIAS!
Recommended