viernes, 29 de octubre de 2010

Gobierno de TI


El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza buenas (o mejores) prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan sus objetivos del negocio.
El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.

GOBIERNO DE TI
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos.
El núcleo de TI consta de dos responsabilidades principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI. La gerencia de la organización necesita ampliar sus responsabilidades de gobierno a TI y proveer estructuras y procesos que aseguren que las Tecnologías de Información son capaces de soportar los objetivos y estrategias de la organización.
Cada implementación de gobierno de TI se lleva a cabo en diferentes condiciones y circunstancias (entorno de Gobierno de TI) determinados por factores tales como:
− Ética y cultura de la organización y de la industria.
− Leyes, regulaciones y guías vigentes, tanto internas como externas.
− Misión, visión y valores de la organización.
− La organización de la organización de sus roles y responsabilidades.
− Intenciones estratégicas y tácticas de la organización.
COBIT Y GOBIERNO DE TI
Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su información, como para sus activos. La gerencia deberá además optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con esta responsabilidad, así como para alcanzar sus objetivos, la gerencia debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas.
Areas de focalización del Gobierno de TI.


El alineamiento estratégico se centra en asegurar el enlace entre el plan del negocio y los planes de TI; al definir, mantener y validar la proposición de valor de TI; al alinear las operaciones TI con las operaciones de la empresa.
La entrega de valor tiene que ver con la ejecución de la propuesta de valor a través del ciclo de entrega, asegurando que las TI entregan los beneficios prometidos con respecto a la estrategia, concentrándose en la optimización de costos y la provisión del valor intrínseco de las TI.
La administración de recursos tiene que ver con la inversión optima en, y la adecuada administración de los recursos críticos TI: aplicaciones, información, infraestructura y recurso humano. Aspectos claves que están relacionados con la optimización del conocimiento y la infraestructura.
La gestión del riesgo requiere conciencia del riesgo por parte de los ejecutivos corporativos sénior, un claro entendimiento del apetito de la empresa por el riesgo, entendiendo el cumplimiento de los requerimientos, la transparencia acerca de riesgos significativos para la empresa y el encajamiento de las responsabilidades de administración del riesgo en la organización.
La medida del rendimiento traza la pista y monitorea la implementación de estrategias, culminación de proyectos, uso de recursos, rendimiento de procesos y entrega de servicios, usando, por ejemplo, cuadros de mando integral que traducen las estrategias en acciones para alcanzar objetivos medibles mas allá de la contabilidad convencional.





El gobierno y los marcos de trabajo de control son parte de las mejores prácticas de la administración de las TI y facilitan su Gobierno, además de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores prácticas de las TI se han vuelto significativas debido a un número de factores:
  • Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en las TI
  • Preocupación por el creciente nivel de gasto en las TI
  • La necesidad de cumplir con requerimientos regulatorios para controles de las TI en áreas como la privacidad o los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores específicos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacéutico, etc
  • La selección de proveedores de servicio y el manejo del Outsourcing y de la Adquisición de servicios
  • Riesgos cada vez más complejos de las TI
  • La conectividad entre las redes y su seguridad
  • Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de las TI, aumentar el valor del negocio y reducir sus riesgos
  • La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques individualizados
  • La madurez y concienciación creciente y la aceptación de marcos de trabajo respetados tales como: COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, etc.
  • La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia.






Publicado por en No hay comentarios:

miércoles, 27 de octubre de 2010

COBIT

COBIT ( Control Objectives for Information and related Technology,Objetivos de Control para la Información y la Tecnología relacionada)
 

COBIT fue creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA Information Systems Audit and Control Association creado en 1967), y el Instituto de Administración
de las Tecnologías de la Información (ITGI IT Governance Institute creado por ISACA en 1992).
La primera edición fue publicada en 1996 , la segunda edición en 1998, la tercera edición en 2000,
la edición en línea en 2003, la cuarta edición en 2005, y la versión 4.1 en 2007.
COBIT ( Control Objectives for Information and related Technology, Objetivos de Control para la Información y la Tecnología relacionada) es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización.
COBIT está orientado a los objetivos y al alcance del gobierno de TI, asegurando que su marco de control sea integral, que esté alineado con los principios de gobierno empresariales y, por lo tanto, que sea aceptable
para los consejos directivos, para la dirección ejecutiva, para los auditores y reguladores.

DOMINIOS DE COBIT.


 La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

“La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK.


Publicado por en No hay comentarios:

martes, 26 de octubre de 2010

Enfoque y estándares de Auditoria.

METODOLOGIA PARA CONTROL DE PROYECTOS PRINCE2


PRINCE por sus siglas en inglés que significa Projects In Controlled Environment es decir proyectos en un ambiente controlado, es una metodología estructurada y flexible para hacer un manejo efectivo de la administración y gerencia de proyectos de cualquier tamaño en cualquier área haciendo un uso efectivo de todas las variables interrelacionadas. PRINCE2 es la metodología versión 2 revisada y actualizada recientemente.

Esta metodología fue creada en Londres en 1989 como una iniciativa del gobierno para apoyar y garantizar la forma de desarrollar proyectos. Estaba dirigida en un inicio al área de
Sistemas de Información y luego se convirtió en el estándar a seguir por todas las entidades gubernamentales en el país y en años siguientes se expendió por toda Europa y el mundo.
La mayoría de multinacionales han ido adoptando esta metodología de gerenciamiento de proyectos.
Esta metodología es una combinación de 8 procesos, 8 componentes y de 3 técnicas.
Procesos:
  • Starting UP a Project: surge la necesidad de realizar algo.
  • Initiating a Project: inicia el proyecto con sus métricas.
  • Directing a Project: administración del proyecto per se.
  • Managing stage bounderies: manejo efectivo de las diferentes etapas.
  • Controlling a Stage: midiendo la eficiencia del proyecto.
  • Managing product delivery: garantizando la entrega de lo deseado.
  • Closing a Project: cierre formal de un proyecto.
  • Planning: planeación de todos los recursos involucrados.

Componentes:
  • Organisation: define la estructura organizacional del proyecto.
  • Plans: define los pasos a seguir, los reportes de recursos, etc.
  • Controls: administración de los procesos.
  • Business Case: define los beneficios del negocio
  • Quality Management: define y mide la calidad del proyecto. 
  • Configuration Management: define las características y cómo serán medidos los productos a entregar de acorde a sus especificaciones. 
  • Change Control: define el proceso y procedimiento a seguir si hay algún cambio. 
  • Management of Risk: define las variables a considerar y como medir los riesgos que deben tomarse en un proyecto.    

 
Publicado por en No hay comentarios:

lunes, 25 de octubre de 2010

Enfoque y estándares de Auditoria.

PLM, una estrategia de mejora
Global del negocio

En un marco definido por la intensificación de la competencia a escala mundial y el acortamiento del ciclo de negocio, precisamente en virtud de las exigencias de rapidez en la respuesta al mercado, la gestión de la vida del producto aparece como una de las piedras angulares de la estrategia de la empresa.

De acuerdo con la definición que ofrece CIMdata, la noción de gestión de la vida del producto (PLM en su acrónimo inglés) remite a un planteamiento estratégico del negocio consistente en la aplicación de un conjunto de soluciones para apoyar la acción colaborativa a todo lo largo de la actividad de la empresa en la creación, gestión, difusión y utilización de información para la definición del producto desde su concepción hasta el final de su vida, lo que comporta la integración de personas, procesos, sistemas de negocio e información.

Se trata, pues, de una estrategia encaminada a dotar de agilidad y flexibilidad al proceso de creación de producto que ayuda a las empresas a ofrecer productos y servicios de más calidad y más innovadores, además de reducir los costes y el tiempo de salida al mercado, y contribuir a mejorar las relaciones colaborativas con clientes, suministradores y  socios.
En este sentido, según señala CIMdata, PLM se ha convertido en una iniciativa estratégica de negocio tan importante, o más, que las soluciones de gestión de recursos de la empresa (ERP), de gestión de la relación con el cliente (CRM) y la gestión de la cadena de suministro (SCM). La organización de las operaciones de negocio en el sentido de una mayor flexibilidad y rapidez en la capacidad de respuesta a las necesidades cambiantes del cliente, somete a las empresas a un permanente proceso de innovación, de manera que un negocio innovador no es solamente el que es capaz de generar productos innovadores, sino el que lo hace, además, de forma innovadora, mediante la mejora de los procedimientos puestos en práctica para la generación de los productos y servicios.
Por otro lado, una de las líneas de evolución del mercado se define entorno a una creciente complejidad de los productos que incorporan cada vez en mayor medida diversas tecnologías (electrónica, software, etc.), a lo que hay que añadir, en muchas ocasiones, la necesidad de responder a especificaciones del cliente.
En la década pasada, reconoce la consultora CIMdata, muchas de las inversiones, como las destinadas a integrar las soluciones ERP, aportaron mejoras en la eficiencia operativa de la empresa. Sin embargo, la necesidad de entrar en nuevos mercados con productos innovadores requiere proseguir la tendencia hacia la integración y reutilización del capital intelectual relacionado con el producto que se crea por los socios colaboradores a lo largo de la cadena de valor extendida de la empresa.

Como consecuencia de esta evolución, las soluciones PLM han ido penetrando en un número cada vez mayor
de áreas de actividad, en la medida que ayudan a definir, ejecutar, evaluar y gestionar procesos de negocio relacionados con el producto que son clave para la mejora de la eficiencia global de la empresa, hasta el punto de que los planes de fabricación y los de procesos operativos son contemplados como parte inherente de PLM.





COSO
El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Está diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:
  • Eficacia y eficiencia de las operaciones.
  • Fiabilidad de la información financiera.
  • Cumplimiento de leyes y normas que sean aplicables.

Esta compuesto por:
  • ENTORNO DE CONTROL
  • EVALUACION DE LOS RIESGOS
  • ACTIVIDADES DE CONTROL
  • INFORMACION Y COMUNICACION
  • SUPERVISION
Relacion con COBIT:
En el modelo de control interno, las diferencias que son significativas, sobre todo entre COSO y COBIT, que son los dos modelos más difundidos en la actualidad. La primera gran diferencia es que COSO está enfocado a toda la organización, mientras que COBIT se centra en el entorno IT. La segunda es que COBIT contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito, que el de COSO, ya que contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno.




Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)