Este documento resume el proceso PO7 Administración de Recursos Humanos de COBIT, el cual incluye 7 objetivos relacionados con el reclutamiento, capacitación, evaluación del desempeño y gestión general del personal de TI. El proceso busca asegurar que el personal esté calificado y entrenado para cumplir los objetivos estratégicos de la organización.
1. Republica Bolivariana de Venezuela
Ministerio del Poder Popular Para la Educación Superior
Universidad Nacional Experimental Politécnica de las Fuerzas
Armadas Bolivarianas de Venezuela UNEFA.
San Cristóbal, Edo. Táchira.
COBIT 4.1
Integrantes:
Labrador J. Nehomar A.
Peña L. Yoel A.
Análisis de Sistemas
2. C Control
OB OBjectives
I For Information
T and Related Technology
3. ORIGEN DE COBIT
Actualización de los objetivos de control de
ISACF
Expansión del enfoque a las necesidades de la
Administración y el Usuario
Perspectiva Global
Comité de Análisis
Nehomar Labrador
4. MISION DE COBIT
Investigar, desarrollar, publicar y promover
un conjunto actualizado e internacional de
objetivos de control de Tecnología de la
Información generalmente aceptado, para su
uso diario por los administradores del
negocio y los auditores.
Nehomar Labrador
5. ALCANCES Y OBJETIVOS:
Estándares generalmente aplicados y
aceptados para las buenas prácticas de
control en TI (Tecnologías de la
Información)
Para Sistemas de Información de la
Organización
Fundamentado en una estructura de control
de las TI
Basado en los Objetivos de Control de
ISACF.
Nehomar Labrador
6. Componentes del COBIT
Resumen Ejecutivo
Descripción de la Estructura
Objetivos de Control
Guías de Auditoría
Nehomar Labrador
7. • Visión Ejecutiva
• Antecedentes
• La Estructura del COBIT
• Definiciones
• Los Principios de la Estructura
• Dominios y Procesos
• Relaciones entre Principios, Dominios y
Procesos
Nehomar Labrador
8. Necesidad por una Estructura
Orientación al Control
Relacionar objetivos de control individuales con
los Estándares, Regulaciones y Prácticas
existentes.
Usado por Auditores, Administradores y
Usuarios
Nehomar Labrador
9. Expectativas de la administración en TI
Proceso de Re-Ingeniería
Proceso Distribuido
Outsourcing
Nehomar Labrador
11. La Necesidad del Control en TI
Administradores
Usuarios
Auditores
Nehomar Labrador
12. Definición de Control
“Las Políticas, Procedimientos, Prácticas y
Estructura Organizacional, diseñadas para
proveer una razonable seguridad de que los
objetivos del negocio serán alcanzados y los
eventos indeseados serán prevenidos o
detectados y corregidos.”
Nehomar Labrador
13. Recursos de Tecnología de
Información
Datos
Sistemas de Aplicación
Tecnología
Instalaciones
Personal
Nehomar Labrador
15. Dominios del Cobit
Planificación Este dominio cubre estrategia y táctica, y se relaciona
y con la identificación de la forma en que TI puede
Organización
contribuir mejor al logro de los objetivos de negocios.
Más aún, la realización de la visión estratégica debe
ser planificada, comunicada y administrada para
diferentes perspectivas.
Finalmente, se debe poseer una apropiada
organización además de una infraestructura
tecnológica.
Nehomar Labrador
16. Dominios del Cobit
Adquisición e Para realizar la estrategia TI, se deben
Implementación identificar,
desarrollar o adquirir las necesidades TI, así
como implementarlas e incorporarlas a los
procesos de negocios. Además, los cambios en y
la mantención
de sistemas existentes son cubiertas por éste
dominio, para asegurarse que el ciclo de vida
útil es continuo para estos sistemas.
Nehomar Labrador
17. Dominios del Cobit
Procedimientos manuales y programados. real de
Entrega y
Respaldo servicios requeridos, la cual va desde operaciones
tradicionales en seguridad y aspectos de
continuidad a capacitación. Para entregar
servicios, se deben preparar los procesos de
respaldo necesarios. Este dominio incluye
procesamiento real de datos mediante procesos
.
de aplicaciones, a menudo clasificados bajo
.
controles de aplicaciones.
www.seguridadinformacion.cl
Nehomar Labrador
18. Dominios del Cobit
Monitoreo Todos los procesos TI deben ser evaluados
regularmente en el tiempo para su calidad y
cumplimiento
con requerimientos de control. Este dominio, por
consiguiente, aborda la supervisión por parte de la
gerencia del proceso de control de la organización
y la garantía independiente proporcionada por
auditoría interna y externa, o se obtiene de fuentes
alternativas.
Nehomar Labrador
19. Cubo COBIT: Procesos de TI
►COBIT describe el ciclo de vida de TI con la ayuda de cuatro
dominios:
Planear y Organizar
Adquirir e Implementar
Entrega y Soporte
Monitorear y Evaluar
►Procesos son series de actividades con límites de control naturales.
Existen 34 procesos a través de cuatro dominios. Estos procesos
especifican lo que el negocio necesita para cumplir sus objetivos. La
entrega de información es controlada por los 34 procesos de TI.
►Actividades son acciones que son requeridas para alcanzar resultados
medibles. Incluso, las actividades tienen ciclos de vida e incluyen
muchas tareas discretas.
Yoel Peña
20. Planear y Organizar(PO)
► Objetivos:
Formular estrategias y tácticas
Identificar como la TI puede contribuir a alcanzar los objetivos de la
organización.
Planear, comunicar y administrar la realización de la visión
estratégica.
implementar la infraestructura organizacional y tecnológica.
► Enfoque:
¿Están la TI y la organización estratégicamente alineados?
¿Está logrando la organización un óptimo uso de sus recursos?
¿Todo mundo en la organización entiende los objetivos de TI?
¿Los riesgos de TI están siendo entendidos y administrados?
¿ La calidad de los sistemas de TI es apropiada para las necesidades
de la organización? Yoel Peña
22. Adquirir e Implementar (AI)
► Objetivos:
Identificar, desarrollar o adquirir, implementar e integrar las
soluciones de TI.
Cambios y mantenimiento de los sistemas existentes.
► Enfoque:
¿Los nuevos proyectos entregarán soluciones que satisfagan las
necesidades de negocio?
¿Los nuevos proyectos se entregarán a tiempo y dentro del
presupuesto?
¿Funcionarán los nuevos sistemas apropiadamente cuando se
implementen?
¿Los cambios serán hechos sin afectar las actuales operaciones de
negocios?
Yoel Peña
24. Entrega y Soporte (DS)
► Objetivos:
El proceso de entrega de los servicios requeridos.
La administración de la Seguridad, continuidad, datos e
instalaciones operativas.
Servicio de soporte para usuarios.
► Enfoque:
¿Los servicios de TI son entregados de acuerdo a las prioridades
institucionales?
¿Los costos de TI están optimizados?
¿La fuerza laboral es capaz de utilizar los sistemas TI de forma
productiva y segura?
¿Son adecuadas la confidencialidad, integridad y disponibilidad de
los sistemas?
Yoel Peña
26. Monitorear y Evaluar (ME)
► Objetivos:
Administración del Desempeño
Monitoreo del Control Interno
Garantizar el cumplimiento regulatorio
Proveer gobierno de TI
► Enfoque:
¿El desempeño de TI es medido para detectar problemas antes que
sea demasiado tarde?
¿La administración asegura que los controles sean efectivos y
eficientes?
¿Puede vincularse el desempeño de TI a las metas de negocio?
¿Los riesgos, controles, incumplimientos y desempeño son medidos y
reportados?
Yoel Peña
28. Criterios de Información
►Para satisfacer los objetivos de negocio, la información
necesita estar conforme a criterios específicos de control, a los
cuales COBIT se refiere como Requerimientos de Información
por parte del negocio.
►Los criterios de información están basados en los
requerimientos siguientes:
Calidad
Fiduciario
Seguridad
Yoel Peña
29. Trata acerca de la información relevante y
pertinente para el proceso de negocios así como
también si ha sido entregada de manera oportuna,
correcta, consistente y usable.
Le concierne la provisión de información a través
de óptimo uso de los recursos (mas productiva y
económicamente)
Le concierne la protección de información sensible
de accesos no autorizados
Se relaciona con la exactitud y lo completo de la
información así como su validez de acuerdo a los
valores y expectativas del negocio
Yoel Peña
30. Se relaciona con la información esté disponible
cuando sea requerida por los procesos de negocio
ahora y en el futuro. También la salvaguarda e los
recursos necesarios y las capacidades asociadas.
Trata con el cumplimiento de aquellas leyes,
regulaciones y contratos a los que los procesos de
negocio se adhieren, por ejemplo: criterios externos
impuestos como también políticas internas.
Ser relaciona con la provisión de información
apropiada para la administración con el objeto de
operar la entidad y ejercer las responsabilidades
fiducidarias y de gobierno.
Yoel Peña
31. Modelo de Madurez
0 – El proceso no es realizado.
1 – El proceso es realizado sin planificación.
2 – El proceso se realiza siguiendo un patrón regular.
3 – El proceso esta documentado y comunicado.
4 – El proceso es monitoreado y medido.
5 – Las prácticas líderes son seguidas y
automatizadas.
Yoel Peña
37. PO7. Administración de
Recursos Humanos
7.1. Reclutamiento y promoción de
personal
Políticas de reclutamiento y promoción del
personal.
Proceso formal de reclutamiento y
promoción del personal.
Aspectos a considerar como la educación,
experiencia y responsabilidad.
Nehomar Labrador
38. PO7. Administración de
Recursos Humanos (CONTINUACIÓN)
7.2. Personal calificado.
Definición de requerimientos del puesto.
Proceso de verificación de la calificación
de las personas.
Nehomar Labrador
39. PO7. Administración de
Recursos Humanos (CONTINUACIÓN)
7.3. Entrenamiento del personal.
Proceso de inducción de nuevos
empleados en la Empresa.
Programa de capacitación de acuerdo a
los requerimientos de cargo.
Proceso periódico de revisión del
programa de capacitación.
Nehomar Labrador
40. PO7. Administración de
Recursos Humanos (CONTINUACIÓN)
7.4. Proceso cruzado o respaldo de personal.
Identificación de los puestos claves.
Programa de entrenamiento cruzado (puestos
claves).
Programa de vacaciones/control de cumplimiento.
Nehomar Labrador
41. PO7. Administración de
Recursos Humanos (CONTINUACIÓN)
7.5. Procedimiento de acreditación del personal
Procedimiento de verificación de antecedentes del
personal previo a su contratación o cambio.
Consideración en el procedimiento de su situación
financiera.
Nehomar Labrador
42. PO7. Administración de
Recursos Humanos (CONTINUACIÓN)
7.6. Evaluación desempeño de los empleados.
Pauta de evaluación del desempeño de los
empleados.
Consideración de estándares y responsabilidades
del cargo que ocupa el empleado.
Procedimiento formal de aplicación periódica de
dicha pauta.
Procedimiento formal de entrega de resultados al
empleado.
Nehomar Labrador
43. PO7. Administración de
Recursos Humanos (CONTINUACIÓN)
7.7. Cambios de puesto y despidos.
Procedimiento formal y conocido, para el despido y
cambio del puesto, del personal
Procedimiento para la eliminación/suspensión
inmediata de las passwords de acceso a los
ambientes computacionales, sistemas y datos, de
cada persona despedida o trasladada a otro cargo.
Nehomar Labrador
Notes de l'éditeur
INSTRUCTOR NOTES: C OBI T stands for Control Objetives for Information and Related Technology C OBI T is about information technology management and controls. It was developed as a generally applicable and accepted standard for good practices for Information Technology (IT) control. This presentation is designed to cover the following basic elements of C OBI T: * Background of C OBI T, its history, and how it evolved to where it is today; * How C OBI T will impact you and your organisation; * The C OBI T Framework ; * The C OBI T Framework’s Principles; * Guide to Using the C OBI T Framework and the Control Objetives ; * The Audit Guidelines ; and * Suggestions on how to implement C OBI T Ask the class if any of their organisations have completed, or is in the process of implementation. This would be a good class discussion at the end of the class)
Many members have asked what the C OBI T name stands for. This slide depicts what the letters in C OBI T represent. Read slide C OBI T is so inclusive; therefore we added the phrase “and related technology” to the title as there may be technology NOT YET invented that will benefit from C OBI T application.
C OBI T was initiated in 1992 when a scheduled rewrite of the existing Information Systems Audit and Control Foundation Control Objetives grew into a project with more profound goals. These goals included: 1. NEW MANAGERIAL FOCUS The Foundation, through the encouragement and diligence of several of its dedicated members, promoted the idea of rewriting and updating these control objectives to address not only audit issues and concerns, but also managerial and user issues as well. 2. GLOBAL PERSPECTIVE In addition, because of ISACA’s global presence, it was decided that the existing control objectives should be reviewed and revised to include a global perspective. This would be done by identifying and reviewing all significant existing and emerging international technical, professional, regulatory and industry-specific standards. STEERING COMMITTEE FORMED A Steering Committee was formed to ensure representation by ISACA members and industry leaders from every major geographical region around the world. Global representation guaranteed the inclusion of other current IS control “standards” or “generally accepted best practices” from around the world. This was a major improvement to the project. Reference: Page 6 of Control Objetives: Background
The C OBI T project mission was consistent with the mission of the Information Systems Audit and Control Foundation -- To research, develop, publicise and promote an authoritative, up-to-date, international set of generally accepted IT Control Objetives for day-to-day use by business managers and auditors. C OBI T was intended to identify a framework that could also be used for other research and product initiatives. C OBI T was also required to identify the minimum controls for any IT environment through identification of specific control objectives. C OBI T would answer the most common question being asked by clients and users: “What are the minimum controls required in this circumstance”-- the minimums as promulgated by the standards setting body of the profession (ISACA/F.) Reference: Page 6 of Control Objetives
The C OBI T control framework would be universal and applicable to all IT -- regardless of facility size, equipment type, applications, technology or type of data to be processed. C OBI T needed to select and direct its framework at IT controls, not at all the controls within the enterprise -- only IT controls . C OBI T would focus on the entire range of IT issues -- from the development of a single application to enterprise-wide information systems. As previously mentioned, the starting point would be ISACF’s 1992 Control Objetives for a totally new set of objectives, encompassing all prior knowledge. Reference: Page 6 of Control Objetives
The C OBI T package consists of four separate documents. It is intended for the following users; 1. The Executive Summary (12 pages) is geared toward senior executives. It communicates the Framework and C OBI T principles. The Summary is a tool that can be used and/or given to senior management to demonstrate or sell the C OBI T process. 2. Framework (58 pages) is geared toward senior management. It contains the Executive Summary Information, the C OBI T Framework, and the Control Processes (32 processes) 3. The Control Objetives (118 pages and the basis for much of this presentation) is geared toward middle management. It contains all of the above as well as the Detailed Control Objetives. 4. The Audit Guidelines (194 pages) is geared toward the line manager and practitioner. It contains 33 guidelines -- 1 “generic” and 32 “process” audit work programs to give guidance on forming opinions about control environment. The following slides present details on each document.
The Executive Summary is a means to communicate to senior management that: * There is a need for controlling IS quality, fiduciary reporting, and security. * There is a need to manage IT resources. * There is a method for doing this that allows consensus between IS and auditors. * This method is promulgated by ISACA as the standard method. * The method is from a managerial perspective, not just an audit one, as in the past. * The method links control assessment to the extent that IS supports business goals. * There are different “perspectives” for different levels within the organisation. * It is new and it is inclusive of IS controls standards and best practices worldwide. * It is understandable and workable as a means to ensure the successful use of IS resources. The Executive Summary contains the information on this slide to depict these points. (If you have a copy of the C OBI T Executive Summary , hold up the document to show to participants.)
CONTROL ORIENTED The development of the C OBI T framework for control in IT is based on business information criteria and documented by control objectives . ALIGN INDIVIDUAL CONTROL OBJECTIVES An alignment of the overall framework and individual control objectives, with existing recognised and accepted international standards and regulations. USED BY MANY To gain acceptance, the framework must work and be understood by those individuals involved in the IT control process. For that reason, the C OBI T framework was designed to be used and understood by three distinct audiences. Management to help them balance risk and control IT investments; Users to ensure IT services are secure; and IS Auditors to substantiate their opinions to management on internal controls. Reference: Pages 6 and 9 of Control Objetives: Executive Overview
Competition and change have changed management’s expectations for IT delivery. Requirements for increased quality, decreased delivery time and improving service levels have received emphasis. These expectations have been realised through changes such as : * Re-Engineered Processes; * Right-Sizing; * Distributed Processing; * Flattened organisations; and * Outsourcing. Reference: Page 7 of Control Objetives: Executive Overview
The management responsibilities along with expectations are: SAFEGUARDING ASSETS: the physical and logical protection of assets, and MOST VALUABLE ASSET: information in and of itself is an asset -- granted a difficult one to quantify. (Anyone see the movie “The Net?”) Many organisations would find it difficult, if not impossible, to operate if data were not available through IT applications or technology resources. The underlying concept of the C OBI T framework is as follows: Control in IT requires looking at information as support to the major business processes. Reference: Page 7 of Control Objetives: Executive Overview
Whereas prior ISACF Control Objetives were focused on the IS Auditor only, C OBI T is directed at management, users, and auditors. It consists of different products for different types and levels of audiences. Reference: Page 8-9 of Control Objetives
This definition of control is adapted from the COSO Report (Committee of Sponsoring Organizations of the Treadway Commission. Internal Control -- Integrated Framework .1992) Reference: Page 10 of Control Objetives
The underpinning concept of the C OBI T Framework is that control in IT is achieved by looking at information needed to support the business processes and by looking at information as being the result of the combined application of Information Technology related resources that need to be managed by IT processes. The IT resources can be explained/defined as follows: Data Data objects in their widest sense i.e., external and internal, structured and not structured, graphics, sound, etc. Application Systems Collections of computer programs performing a specific task or tasks and understood in the C OBI T context to be both manual and computerised. Technology Hardware, operating systems, data base management, networking, multi-media, telecommunications, telephone Facilities Resources to house and support information systems People Staff, their skills, awareness and productivity to plan, organise, acquire, deliver support and monitor information systems and services. Reference: Page 11 of Control Objetives
The C OBI T Framework consists of high-level IT Control Objetives and an overall structure for their classification and presentation. The underlying theory for the chosen classification is that there are, in essence, three levels of IT efforts when considering the management of IT resources. They are; BUSINESS REQUIREMENTS, IT PROCESSES, and IS RESOURCES. We have developed the BUSINESS REQUIREMENTS and criteria. We have developed the IT RESOURCES of data, applications, facilities, data, and technology. Now we will develop IT PROCESSES . DOMAINS are large processes such as corporations, divisions, geographic locations or sites. PROCESSES are specific “naturally grouped” activities, such as departments within one location. ACTIVITIES are tasks that need to be done to generate a desired end -- event, product, service, etc. Reference: Page 14 of Control Objetives