18
Identificar Soluciones Automatizadas Proceso COBIT AI2 Preparado para: Auditoria 04 de junio de 2014 Preparado por: Carola Vega Sebastián Santander Felipe Salvany Cristian Collao 1

TrabajoFinal Auditoria_grupo7

Embed Size (px)

Citation preview

Page 1: TrabajoFinal Auditoria_grupo7

Identificar Soluciones AutomatizadasProceso COBIT AI2

Preparado para:

Auditoria

04 de junio de 2014

Preparado por:

Carola Vega

Sebastián Santander

Felipe Salvany

Cristian Collao

Profesor:

Marcelo Cortez M.

1

Page 2: TrabajoFinal Auditoria_grupo7

INDICE TEMÁTICO

CONTENIDOS Nº Pág.

1 INTRODUCCIÓN...................................................................................................................................... 4

2 DESCRIPCIÓN DEL PROCESO............................................................................................................. 5

3 EVALUACIÓN DE OBJETIVOS DE CONTROL....................................................................................6

4 EVALUACIÓN DE MATRIZ RACI...........................................................................................................8

5 EVALUACIÓN DE LA MADUREZ DEL PROCESO...............................................................................9

6 MEJORAS PROPUESTAS.................................................................................................................... 13

7 CONCLUSIONES................................................................................................................................... 14

8 BIBLIOGRAFÍA...................................................................................................................................... 15

2

Page 3: TrabajoFinal Auditoria_grupo7

INDICE DE ILUSTRACIONES

ILUSTRACIÓN 1 : OBJETIVOS DE CONTROL EN ALTO NIVEL...............................................................................................................7ILUSTRACIÓN 2 : MATRIZ RACI DEL PROCESO.....................................................................................................................................8ILUSTRACIÓN 3: ORGANIGRAMA DEL DEPARTAMENTO DE TI...........................................................................................................8ILUSTRACIÓN 4 : MATRIZ DE EVALUACIÓN PEMM.............................................................................................................................11ILUSTRACIÓN 5 : MATRIZ EVALUACIÓN MADUREZ DE PROCESO...................................................................................................12ILUSTRACIÓN 6 : NIVEL DE MADUREZ COBIT AI1...............................................................................................................................13

3

Page 4: TrabajoFinal Auditoria_grupo7

1 Introducción

La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.

4

Page 5: TrabajoFinal Auditoria_grupo7

2 Descripción del Proceso

El proceso de identificar soluciones automatizadas está inserto en una empresa que tiene como figura empresarial una estructura del tipo holding, que podría definirse como “un conglomerado de empresas que dependen de una principal que posee la totalidad o una parte significativa de sus acciones, de tal suerte que las rige a todas. Sería, por tanto y en determinados casos, un concepto similar a “grupo de empresas” con un único controlador (gerencie, 2011)”, por lo tanto la forma de operar del departamento de TI es del tipo BackOffice el cual podemos definir como “la parte de las empresas donde se realizan las tareas destinadas a gestionar la propia empresa y con las cuales el cliente no necesita contacto directo. Por ejemplo: el departamento de informática y comunicaciones que hace que funcionen los ordenadores, redes y teléfonos, el departamento de recursos humanos, el de contabilidad, etc.” (electronicaadministracion.es, 2010) .

La principal demanda de las empresas del holding es la necesidad de reportería que sea capaz de suplir la falta de información específica e interpretada según el negocio, estas soluciones deben ser alimentadas por los datos provenientes de un sistema ERP, el cual controla la totalidad de las empresas.

Actualmente, al momento de realizar el análisis, el holding se encuentra en en proceso de homologación de sus procesos productivos, cambiando la configuración del ERP.

También se encuentra en proceso de establecimiento de clarificación de sus procesos de negocio, creando para ello una subgerencia de procesos, la cual es la encargada de producir un repositorio de diagramas de procesos y definir los responsables del proceso, entre otros.

5

Page 6: TrabajoFinal Auditoria_grupo7

3 Evaluación de Objetivos de Control

Los objetivos de control a evaluar dentro del proceso de la identificación de soluciones automatizadas son:

AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio, Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI.

AI1.2 Reporte de Análisis de Riesgos, Identificar, documentar y analizar los riesgos asociados con los requerimientos del negocio y diseño de soluciones como parte de los procesos organizacionales para el desarrollo de los requerimientos.

AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos, desarrollar un estudio de factibilidad que examine la posibilidad de Implementar los requerimientos. La administración del negocio, apoyada por la función de TI, debe evaluar la factibilidad y los cursos alternativos de acción y realizar recomendaciones al patrocinador del negocio.

AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los requisitos de negocio, tanto funcionales como Técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decisión Final con respecto a la elección de la solución y al enfoque de adquisición.

En la ilustración 1, se muestra de manera resumida del logro de los objetivos de control tanto detallados como de alto nivel.

6

Page 7: TrabajoFinal Auditoria_grupo7

Ilustración 1 : objetivos de control en alto nivel

7

Page 8: TrabajoFinal Auditoria_grupo7

4 Evaluación de matriz RACI

Cobit nos provee una matriz RACI, la cual está definida por la ilustración 2 :

Ilustración 2 : Matriz RACI del proceso

Esta matriz se puede comparar con el organigrama que actualmente posee el departamento de TI

Ilustración 3: Organigrama del departamento de TI

8

Page 9: TrabajoFinal Auditoria_grupo7

5 Evaluación de la Madurez del Proceso

Para evaluar la madurez del proceso, se dispone de un cuestionario, apuntando a los “facilitadores del proceso”, separado por los distintos ítems:

Diseño: Propósito : ¿Cuál es el fin de evaluar nuevas herramientas?

“surgen nuevas necesidades en el negocio, las cuales deben ir alineadas a la estrategia a mediano y largo plazo de la compañía, además con la integración de empresas , cada una presenta necesidades distintas , pero es ahí donde se debe homologar necesidades , para que la nueva herramienta o servicio sea apoyo para todas , o en algún grado esté disponible para todas ”…

Contexto : ¿cómo se determina la necesidad de evaluar nuevas herramientas?.“esta evaluación es escalada a un comité gerencial, el cual se encarga de depurar y exigir el análisis económico de retorno de inversión, el tema de factibilidad técnica, humana pasa por el departamento de tic, esto en una segunda etapa”…

Documentación : ¿existen procedimientos asociados a la adquisición de software?“ luego de la realización de la factibilidad técnica, económica, humana , de infraestructura , se levanta la licitación , esto queda plasmado en un documento con formato propio de la compañía”

Ejecutores:Conocimiento : ¿cómo se lleva a cabo el proceso?

“RR.HH es el encargado de gestionar dentro de la propuesta, las horas y el acomodo de reuniones para capacitar y/o informar acerca de las capacitaciones y logros.”

Destrezas : ¿Cómo se realiza el proceso de aprobación?“una vez identificado la necesidad, palmado el documento de licitación, es el gerente general el que aprueba una orden de compra por sistema, esto da el puntapié inicial para el proceso de licitación.

Conducta : ¿se realiza algún plan para informar de las adquisidores?

Responsables:Identidad : ¿de qué manera el solicitante del requerimiento se involucra en el

proceso?,.“la gerencia involucrada en el levantamiento de la necesidad, destina a una persona denominado “key user”, el cual es el encargado de liderar, por el lado de la necesidad (esta persona es el que más sabe del proceso en el cual se llevará a cabo el levantamiento) “

Actividades : ¿están definidas las actividades para la toma y la generación del documento de requerimiento? “el requerimiento se da curso solo si la gerencia en la cual surge la necesidad genera el documento de levantamiento de requerimiento, se define la prioridad en base al impacto que genera al negocio “.

Autoridad : Existe algún ejecutivo dentro de la estructura jerárquica involucrado con el requerimiento? “es el gerente de administración y finanzas el encargado de aprobar y/o rechazar el requerimiento, en base a los estudios de factibilidad técnica y humana, más el estudio de factibilidad económica que se realiza a nivel gerencial (los gerentes de las áreas involucradas en el requerimiento)”.

InfraestructuraSist. de Información : ¿la necesidad va de la mano con la adquisición de

infraestructura?“eso se evalúa dentro del proceso de factibilidad técnica, el cual debe contener el detalle de que se necesita en cuanto a temas de infraestructura y comunicaciones, es in ítem del documento”.

Sist. RR.HH: ¿Cómo se gestiona la documentación y como es la disponibilidad para los interesados?“la documentación es exigida al proveedor (si lo amerita), y queda disponible para el área y los interesados en un sitio en la intranet corporativa”.

9

Page 10: TrabajoFinal Auditoria_grupo7

Indicadores:Definición : ¿tiene alguna forma de medir las comparativas entre lo ofrecido/pedido?

“..El servicio que se va a evaluar tiene que pasar por algún piloto, demo o el proveedor gestiona una visita al cliente en alguno de sus casos de éxito”

Indicadores : ¿en sus contratos con proveedor utiliza algún indicador de servicio, por ejemplo SLA?“dependiendo el ámbito, en los contratos se negocia un tiempo de respuesta determinado, que en algunos casos puede implicar multas “…

Las respuestas obtenidas son analizadas bajo la metodología PEMM1 bajo las siguientes condiciones establecidas en la ilustración 4 a continuación:

1 PEMM; Process and Enterprise Maturity Model, por sus siglas en inglés , según Modelo de Madurez de Proceso y de Empresa

10

Page 11: TrabajoFinal Auditoria_grupo7

Ilustración 4 : matriz de evaluación PEMM

11

Page 12: TrabajoFinal Auditoria_grupo7

Las respuestas para cada facilitador se califican con la escala según respuestas, colorear los rectángulos que acompañan a cada facilitador de la tabla adjunta.

Por cada facilitador, comience de izquierda a derecha, Si una afirmación es cierta en gran medida (al menos correcta en 80%), coloree la celda de verde; si es verdadera en cierto grado (entre 20% y 80%), píntela de amarillo y si es en gran medida no cierta (menos de 20%), píntela de rojo.Las celdas verdes indican facilitadores que no están impidiendo la capacidad del proceso para lograr desempeño, las amarillas muestran áreas donde la empresa tiene mucho por hacer y las rojas representan obstáculos al desempeño del proceso.Para determinar el nivel de madurez, las columnas P, deben estar en su totalidad verde.

Entonces la evaluación del proceso según la matriz PEMM es el siguiente dispuesto en la ilustración 5:

Ilustración 5 : matriz evaluación madurez de proceso

Se puede deducir entonces que el proceso evaluado, homologando a los niveles del proceso cobit sería lo dispuesto en la ilustración 6 a continuación:

12

Page 13: TrabajoFinal Auditoria_grupo7

Ilustración 6 : Nivel de madurez cobit AI1

6 Mejoras propuestas

En base al proceso analizado, se debe tomar en consideración lo siguiente:

• Se deben hacer análisis de requerimientos más detallados con el fin de que mediante estos se puedan escoger las soluciones idóneas para la empresa sin necesidad de causar posibles sobrecostos por malas decisiones.

• Generar un cronograma en el que se establezcan tiempos exactos para el rediseño de los requerimientos de la organización, éste debe hacerse teniendo en cuenta los cambios y modificaciones que hayan tenido los planes estratégicos y tácticos.

• Se debe tener una jerarquización de las áreas, con el fin de identificar las más importantes y por ende las que requieren una mejor atención a la hora de establecer los requerimientos de la empresa.

• Generar un esquema detallado y completo de adquisición de TI con el fin de tener siempre una base y una referencia a la hora de realizar adquisiciones en materia de TI.

• Realizar y documentar un análisis de riesgos teniendo como base los requerimientos de la empresa para así identificar los controles pertinentes y evitar sobrecostos innecesarios.

• Generar estudios de factibilidad frecuentemente mediante mecanismos estandarizados para que en todo momento se tengan estadísticas analizables por el subgerente de TI y el gerente de la empresa, de forma que entren a formar parte en los procesos de toma de decisiones.

• Hacer todos los documentos faltantes: Documentación de requerimientos técnicos y funcionales, Reportes de análisis de riesgos, Reportes de Factibilidad y Planes de acción alternativos.

13

Page 14: TrabajoFinal Auditoria_grupo7

7 CONCLUSIONES

Como conclusiones, la evaluación del proceso de identificar soluciones automatizadas bajo proceso COBIT resalta:

Que satisface el requerimiento?Traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de soluciones automatizadasEnfocándose enLa identificación de soluciones técnicamente factibles y rentables Se logra con :

La definición de los requerimientos técnicos y de negocio Realizar estudios de factibilidad como se define en los estándares de desarrollo Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad

Y se mide con: Número de proyectos donde los beneficios establecidos no se lograron debido a suposiciones

de factibilidad incorrectas Porcentaje de estudios de factibilidad autorizados por el dueño del proceso Porcentaje de usuarios satisfechos con la funcionalidad entregada

14

Page 15: TrabajoFinal Auditoria_grupo7

8 Bibliografía

electronicaadministracion.es. (12 de 2010). administracionelectronica.gob.es/. Obtenido de http://administracionelectronica.gob.es/

gerencie. (24 de 11 de 2011). gerencie.com. Obtenido de http://www.gerencie.com/holdingHammer, r. M. (2007). La auditoría de proceso. Boston: Harvard Business School Publishing Corporation.Institute, G. (2007). COBIT 4.1. Rolling Meadows: IT Governance Institute.

15


Marianquevedo trabajofinal

Marianquevedo trabajofinal

Documents
Trabajofinal tin

Trabajofinal tin

Documents
Trabajofinal tutoríay moderaciónenentornosvirtuales_juliod_fernández

Trabajofinal tutoríay moderaciónenentornosvirtuales_juliod_fernández

Education
Trabajofinal diseñodeproyectos 329

Trabajofinal diseñodeproyectos 329

Technology
Exposicion trabajofinal

Exposicion trabajofinal

Documents
Dd trabajofinal-acevesmorales

Dd trabajofinal-acevesmorales

Education
5 plancomercioelectrónico trabajofinal

5 plancomercioelectrónico trabajofinal

Documents
Trabajofinal grupo200609 32

Trabajofinal grupo200609 32

Education
Trabajofinal Pedagogia

Trabajofinal Pedagogia

Education
Trabajofinal informatica

Trabajofinal informatica

Technology
Trabajofinal gc 440

Trabajofinal gc 440

Documents
TrabajoFinal info_jul2010

TrabajoFinal info_jul2010

Documents
Trabajofinal disenodeproyectos 329

Trabajofinal disenodeproyectos 329

Documents
Fase1 trabajofinal luis caballero

Fase1 trabajofinal luis caballero

Documents
Trabajofinal Enero

Trabajofinal Enero

Documents
Diseñodeproyectos trabajofinal

Diseñodeproyectos trabajofinal

Documents
emprendedores2 trabajofinal

emprendedores2 trabajofinal

Documents
Martinez sandra trabajofinal

Martinez sandra trabajofinal

Documents
Vairo Antonio TrabajoFinal

Vairo Antonio TrabajoFinal

Documents
Lina mariaperdomocuenca trabajofinal

Lina mariaperdomocuenca trabajofinal

Education
Pol.ambientales TrabajoFinal (1)

Pol.ambientales TrabajoFinal (1)

Documents
Trabajofinal souvenir

Trabajofinal souvenir

Documents
Trabajofinal 131121175846-phpapp01

Trabajofinal 131121175846-phpapp01

Documents
Trabajofinal redessociales

Trabajofinal redessociales

Education
g 11 Trabajofinal

g 11 Trabajofinal

Documents
TrabajoFinal FyP

TrabajoFinal FyP

Documents
Trabajofinal proyecto de_intervencion_resiliencia_17

Trabajofinal proyecto de_intervencion_resiliencia_17

Education
TrabajoFinal VF

TrabajoFinal VF

Documents
Trabajofinal versióndefinitiva

Trabajofinal versióndefinitiva

Documents
Starbucks Trabajofinal[1]

Starbucks Trabajofinal[1]

Documents