Convención de COBIT 5, México DF 2013 · Convención de COBIT 5, México DF 2013 “Las Nuevas...

Convención de COBIT 5, México DF 2013

“Las Nuevas Herramientas del Gobierno Corporativo de TI” 9 de mayo de 2013

Club France Francia 75 Florida, México DF

1 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s

Modelo de Evaluación de Capacidad (PAM)

Alexander Zapata Lenis Grupo Cynthus

[email protected]


mailto:[email protected]

Objetivos de la Conferencia Que los asistentes: • Obtengan un conocimiento general del modelo de

evaluación de capacidad (PAM).

• Entiendan los beneficios y requerimientos de las 3 clases de evaluación.

• Conozcan los roles y responsabilidades de los diferentes participantes en un proceso de evaluación de capacidad.

• Conozcan las fases de un proceso de evaluación. • Se familiaricen con las características del examen y los

requisitos para la acreditación. 3 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x

G r u p o C y n t h u s

Agenda 1. Modelo de Evaluación de Capacidad (PAM) 2. Clases de Evaluación 3. Roles y Responsabilidades 4. Fases del proceso de Evaluación 5. Acreditación y Características del Examen


1. Modelo de Evaluación de Capacidad (PAM)

El nuevo COBIT 5 Process Capability Model Se aparta del modelo de madurez (CMM) Basado en el proceso de evaluación estándar de Ingeniería de

Software ISO/IEC 15504 La nueva publicación de evaluación de COBIT 5: Explica la diferencia entre el modelo de madurez CMM y el nuevo

enfoque ISO 15504 Explica los beneficios del modelo de COBIT 5 Resume las diferencias que los usuarios de COBIT 5 encontrarán en

la práctica Provee una guía de cómo realizar una evaluación de capacidades

de COBIT 5



COBIT “Modelo de Evaluación de Procesos”(PAM): Usando COBIT 5

Presenta las bases del nuevo modelo de evaluación de capacidad de procesos con base en la ISO 15504

COBIT “Guía de Asesoría”: Usando COBIT 5 – Assesor Guide Provee el proceso detallado de cómo se debe realizar una

evaluación por parte de un evaluador acreditado

COBIT “Guía de autoevaluación”: Usando COBIT 5 – Self-Assessment

Incluye una relación general de aspectos a considerar en un proceso preliminar de autoevaluación. No es un tipo de evaluación formal con base en la norma ISO 15504



Modelo de referencia de procesos

• Dominio y alcance • Propósito del

proceso • Salidas del proceso

Marco de medición

• Niveles de capacidad • Atributos de proceso • Escala de

clasificaciones

COBIT 4.1/5

Modelo de evaluación de

procesos

• Alcance • indicadores • Mapeo • Traducción

Proceso de evaluación

Planeación Recolección de datos Validación de datos

Clasificación de atributos del proceso

Presentación de informes

Entrada inicial

• Propósito • Alcance • Restricciones • Identidades • Enfoque • Asesor • Criterio de

competencias • Información adicional

Salida

• Fecha • Entrada de la

evaluación • Identificación de

evidencia • Proceso de evaluación

utilizado • Perfiles de procesos • Información adicional

Roles y responsabilidades • Patrocinador • Asesor competente • Asesores

Modelo de Evaluación de Procesos (PAM)

Guías de asesoría


1. Modelo de Evaluación de Capacidad (PAM) Nivel 5 Proceso optimizado

Nivel 4 Proceso predecible

Nivel 3 Proceso establecido

Nivel 2 Proceso administrado

Nivel 1 Proceso ejecutado

Nivel 0 Proceso incompleto

Dimensión de capacidad

Para cada atributo

PA1.1 a PA 5.2

Evaluación de Procesos

Evaluación de capacidades de procesos (niveles 2 a 5) con base en los indicadores de

atributos de procesos (PAI): • GP: Prácticas genéricas • GR: Recursos genéricos • GWP: Productos de trabajo genéricos

Nivel 1

Indicadores adicionales para la evaluación del desempeño de los procesos:

• BP: Prácticas Base • WP: Productos de Trabajo

Dimensiones de los

Procesos

Procesos primarios

Procesos de soporte

Procesos organizacionales



El proceso de evaluación de COBIT mide el grado en que un determinado proceso logra atributos específicos

El proceso de evaluación de COBIT define nueve atributos de proceso (basado en la norma ISO / IEC 15.504-2):

PA 1.1 Desempeño del proceso (process performance) PA 2.1 Administración del desempeño (performance

management) PA 2.2 Administración de productos de trabajo (work products

management) PA 3.1 Definición del proceso (process definition) PA 3.2 Utilización del proceso (process deployment) PA 4.1 Medición del proceso (process measurement / process

management) PA 4.2 Control del proceso (process control) PA 5.1 Innovación del proceso (process innovation) PA 5.2 Optimización del proceso (process optimisation)



Dimensión de capacidad

Nivel 5

Nivel 4

Nivel 3

Nivel 2

Nivel 1

Nivel 0

Evaluación de Procesos

Evaluación de capacidades de procesos (niveles 2 a 5) con base en los indicadores de

atributos de procesos (PAI): • GP: Prácticas genéricas • GR: Recursos genéricos • GWP: Productos de trabajo genéricos

Nivel 1

Indicadores adicionales para la evaluación del desempeño de los procesos:

• BP: Prácticas Base • WP: Productos de Trabajo

Amplificación para PA 1.1

Dimensiones de los

Procesos

BAI – Construir, Adquirir e Implementar

APO – Alinear, Planear y Organizar

EDM – Monitorear Dirigir y Evaluar

PA 5.2 Optimización del proceso PA 5.1 Innovación del proceso PA 4.2 Control del proceso PA 4.1 Medición del proceso PA 3.2 Utilización del proceso PA 3.1 Definición del proceso PA 2.2 Administración de productos de trabajo PA 2.1 Administración del desempeño PA 1,1 Desempeño del proceso

DSS - Entregar , servir y proveer soporte

MEA – Monitorear, evaluar y valorar



Nivel 0 Proceso incompleto

Nivel 1 Proceso ejecutado PA 1.1 Atributo de desempeño de proceso

Nivel 2 Proceso administrado PA 2.1 Atributo de administración del desempeño PA 2.2 Atributo de administración de productos de trabajo

Nivel 3 Proceso establecido PA 3.1 Atributo de definición de proceso PA 3.2 Atributo de utilización de proceso

Nivel 4 Proceso predecible PA 4.1 Atributo de administración de proceso PA 4.2 Atributo de control de proceso

Nivel 5 Proceso optimizado PA 5.1 Atributo de innovación de proceso PA 5.2 Atributo de optimización de proceso

Incompleto (incomplete) El proceso no se ejecuta o no logra su propósito

Ejecutado (performed) El proceso se lleva a cabo y alcanza su propósito

Administrado (managed) El proceso se gestiona y se establecen productos de trabajo controlados y mantenidos

Predecible (predictable) El proceso se realiza consistentemente dentro de límites definidos para lograr sus resultados

Optimizado (optimised) El proceso es continuamente mejorado para cumplir con los objetivos relevantes actuales del negocio, y los proyectados

Establecido (established) El proceso es implementado usando un proceso definido que es capaz de lograr los resultados



La evaluación mide el grado en que un determinado proceso alcanza los atributos:

N No se alcanzó (Not achieved) 0 a 15%

Con poca o sin evidencia del logro del atributo definido en el proceso evaluado

P Se alcanzó parcialmente (Partially) 15% a 50%

Hay evidencia de un enfoque sistemático y del logro del atributo definido en la evaluación

L Alcanzado en gran medida (Largely) 50% a 85%

Hay evidencia de un enfoque sistemático y del logro significativo del atributo definido en la evaluación

F Completamente alcanzado (Fully) 85% a 100%

Hay evidencia de un enfoque completo y sistemático y del logro completo del atributo definido en la evaluación


1. Modelo de Evaluación de Capacidad (PAM) Escalas de calificación de los atributos

1 2 3 4 5 F F F F L

/ F

F F F L / F

F F L / F

F L / F

L / F

Pa 5.2 Optimización Pa 5.1 Innovación

Pa 4.2 Control Pa 4.1 Medición

Pa 3.2 Utilización Pa 3.1 Definición

Pa 2.2 Administración de Productos de Trabajo Pa 2.1 Administración de Desempeño

Pa 1.1 Desempeño de Proceso

Nivel 5 – Optimizado

Nivel 4 – Predecible

Nivel 3 – Establecido

Nivel 2 – Administrado

Nivel 1 – Ejecutado

Nivel 0 – Incompleto 13 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x


2. Clases de Evaluación Clase 3: Permite identificar oportunidades de mejora críticas y es adecuada para medir el progreso del programa de mejora o para identificar aspectos claves que podrían ser soportados posteriormente por una evaluación Clase 2 o Clase 1. Clase 2: Provee nivel de confianza de que los resultados indicarán la capacidad general de los procesos críticos y éstos podrán ser comparables a nivel interno. Provee la base para la evaluación inicial requerida en un programa de mejora de GEIT. Clase 3: Provee nivel de confianza de que los resultados serán adecuados para comparaciones con otras organizaciones. Provee una base sólida para la mejora de procesos y la determinación de su capacidad.


2. Clases de Evaluación - Requerimientos Clase 3: Al menos un miembro y éste debe ser un evaluador acreditado. No exige independencia del área en revisión. Clase 2: Al menos dos miembros, uno de ellos un evaluador acreditado. Un miembro debe ser independiente a la unidad evaluada. Clase 1: Al menos dos miembros incluyendo un evaluador líder, el cual debe ser un evaluador acreditado independiente a la organización.


2. Clases de Evaluación - Requerimientos Clase 3: No hay un mínimo de instancias de proceso. Para cada instancia de proceso la evidencia se obtiene de la evaluación de productos de trabajo y de entrevistas con los responsables. Clase 2: Mínimo 2 instancias de proceso. Para cada instancia de proceso la evidencia se obtiene de la evaluación de productos de trabajo y de entrevistas con los responsables. Clase 1: Mínimo 4 instancias de proceso. Para cada instancia de proceso la evidencia se obtiene de la evaluación de productos de trabajo y de entrevistas con los responsables. Self Assessment: no es una clase de evaluación formal y no requiere evidencia de soporte.


3. Roles y Responsabilidades

Patrocinador • Verifica que el Evaluador Líder es un evaluador competente, un

indicador es si es un evaluador acreditado. • Asegura que los recursos requeridos están disponibles • Asegura que el equipo de evaluación tiene acceso a los

recursos relevantes • Acuerda el alcance de la evaluación • Acepta los resultados de la evaluación como representante de

la organización

Coordinador • Asegura que el equipo de evaluación tiene la interacción

adecuada con los roles organizacionales requeridos en la evaluación

• Asegura que los recursos están disponibles en forma oportuna para cumplir con el plan de trabajo

• Sirve como interface para temas logísticos para asegurar que tanto las necesidades de la organización como de la evaluación son atendidas


3. Roles y Responsabilidades

Evaluador Líder • Confirma el compromiso del patrocinador con la evaluación • Asegura que la evaluación se realice de acuerdo con los

requerimientos del programa de evaluación de COBIT • Asegura que a los participantes de la evaluación se les

presente el propósito, alcance y enfoque de la misma • Asegura que todos los miembros del equipo tienen el

conocimiento y habilidades apropiadas para cumplir su rol, y las competencias para usar las herramientas que se escojan.

• Confirma el recibo de los entregables y resultados de la evaluación por parte del patrocinador

Evaluador • Asegura que la evaluación se realice de los requerimientos del

programa de evaluación de capacidad de COBIT • Califica los atributos de procesos necesarios para el «perfil» • Ejecuta las actividades asignadas (planeación detallada,

obtención y validación de evidencias, y reporte) y asegura que se soporten con la evidencia adecuada


4. Fases del proceso de Evaluación

Iniciación Planeación y Alcance Presentación Obtención de

Evidencias

Validación de Evidencias

Calificación de Atributos de

Proceso Reporte de Evaluación


Iniciación

Confirmación de Participantes • Patrocinador • Evaluador Líder • Evaluados

Cuestionario de Pre-Evaluación • Características de la organización y la unidad evaluada • Productos y servicios • Problemas y situaciones relevantes • Proyectos Claves en curso o planeados • Nivel de Conocimiento de COBIT 5 y PAM • Nivel de dedicación y restricciones de los participante Establecer nivel objetivo de capacidad Clase de Evaluación Ejemplo D.4


Planeación

Nivel de esfuerzo requerido • Alcance de la evaluación • Tipo de Evaluación • Nivel de capacidad que se considerará para la evaluación

Herramientas de Evaluación • Automatización del proceso • Documentación en papel Estrategia de obtención de evidencias • Como parte del alcance se deben definir las instancias de los

procesos seleccionados • Garantizar que el apropiado nivel de evidencia pueda

recopilarse • Dependiendo del conocimiento de los participantes se deben

planear juntas de conciencia y entrenamiento sobre el modelo de evaluación y COBIT 5

Ejemplo D.1


Alcance Identificación de impulsores claves del negocio

Identificación de prioridades de la organización Definir un alcance preliminar de procesos Confirmar procesos a ser evaluados Ejemplo D.2


Presentación Presentación al equipo de evaluación

• Asegurar que el equipo entiende el enfoque definido, el contexto de la evaluación, el alcance, la clase de evaluación, las entradas y salidas

Presentación a la unidad organizacional • Explicar el proceso de evaluación, propósito, alcance,

restricciones. • Enfasis en la política de confidencialidad y el beneficios de los

resultados de la evaluación. • Presentar el plan de evaluación • Asegurar que el personal entiende sus roles en el proceso • Responder a preguntas y preocupaciones


Obtención de evidencias

Estrategia de obtención de evidencias documentada • Enfoque sistemático usando una estrategia explícitamente

definida y técnicas fácilmente sustentables. • El enfoque debe ser repetible y estar claramente documentado • Asociación directa entre las evidencias y el proceso evaluado,

las cuales deben ser suficientes cumplir con el alcance y objetivo de la evaluación

Instancias de la ejecución del proceso • Ejecución única del proceso • Deben representar el comportamiento normal de la

organización respecto al proceso • Las salidas y los resultados del proceso pueden ayudar a

determinar las instancias a considerar en la evaluación • En algunos procesos no es posible identificar más de una

instancia (un solo flujo lógico del proceso)


Obtención de evidencias

Requerimientos de las evidencias • La evidencia puede ser directa como un documento o un

resultado, o indirecta como un plan para producir un resultado específico

• Las fuentes primarias vendrán de las entrevistas, las cuales se confirmarán con la revisión de los prácticas base y los productos de trabajo (entradas y salidas)

• En los niveles 2 al 5 las evidencias serán de tipo indirecto como políticas sobre temas particulares a revisar

Registro sistemático • Se deben utilizar formatos estandarizados para ir llevando el

registro de las evidencias recopiladas y el material de la evaluación

Se debe verificar que la evidencia esté completa de acuerdo con los requerimientos de la evaluación 25 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x


Validación de evidencias Revisión de la evidencia obtenida

• El evaluador líder debe revisar la evidencia obtenida y registrada para asegurar que es completa y suficiente para el proceso de evaluación

• Revisar el número adecuado de instancias • Validación del tamaño de la muestra establecido • Debe validarse con los evaluados Deficiencias • Determinar relevancia de las mismas y deben ser revisadas

con el patrocinador del proyecto

Las evidencias deben ser validadas durante su proceso de obtención


Calificación de atributos de proceso Calificación de atributos

• Nivel 1 • Niveles 2 al 5 En la práctica se va a requerir juicio profesional de los evaluadores, quienes deben asegurar que sean consistentes con las escalas según la ISO 15504. Se debe soportar la confiabilidad y repetitividad de los resultados de la evaluación presentados por diferentes evaluadores Toma de decisiones • Establecer y documentar el proceso de toma de decisiones (Ej.

consenso o voto mayoritario del equipo de evaluación)


Reporte de Evaluación

Componentes del Informe • Fecha de inicio y finalización • La identidad del patrocinador y su relación con la unidad

organizacional evaluada • Propósito de la evaluación • Alcance de la evaluación • Restricciones • Identidad y roles de los evaluadores • Identificación de la evidencia obtenida • Proceso de evaluación documentado • Nivel de capacidad de los procesos evaluados y oportunidades

de mejora (si se consideró en el propósito de la evaluación) Implicaciones de la evaluación • No soporta una evaluación de control interno ni de

cumplimiento de una regulación específica (Ej. SOX) D.3 Ejemplo de una plantilla de reporte 28 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x


5. Características del Examen

• Examen tipo Practioner (a libro abierto) • Prerrequisito : COBIT 5 Foundations

• Areas de conocimiento

• Roles y Responsabilidades • Iniciación • Alcance • Planeación y Resumen • Obtención de Evidencias • Validación de Evidencias • Calificación de Atributos de Proceso • Reporte de Evaluación

• Enfoque en la Guía de Asesoría y el PAM • 80 preguntas, 10 por cada área de conocimiento • Idioma: inglés • Tiempo: 3 horas 10 minutos • Aprobación: 50% • Fecha planeada de Liberación: Junio 2013

29 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x


Niveles a Evaluar

1. Conocimiento: Conocer los hechos, términos, conceptos, y principios, incluyendo herramientas, técnicas, roles y responsabilidades del framework de COBIT 5 y el PAM

2. Comprensión: Entender los conceptos, principios, procesos, características, factores organizacionales y roles, y poder explicar como se aplican para justificar, diseñar e implementar COBIT 5 y el PAM.

3. Aplicación: Ser capaz de aplicar el PAM y la Guía de Asesoría para la ejecución adecuada de un proceso de evaluación de capacidad y la definición del alcance, para un escenario dado.

4. Análisis: Ser capaz de identificar, analizar y distinguir entre el uso apropiado e inapropiado de los métodos aplicados en un proceso de evaluación de capacidad para un escenario dado. 30 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x


Tipos de Preguntas

• Selección múltiple clásica

• Respuestas múltiples

• Relación entre conceptos planteados en dos columnas

• Afirmación / Razón

• Relación de secuencia


5. Requerimientos para la Acreditación

Es otorgada por ISACA

• Habilidades en la aplicación de COBIT PAM a la evaluación de procesos en una organización, incluyendo la metodología de evaluación, las herramientas y calificación.

• Participar en un curso de entrenamiento y recibir la respectiva certificación por parte de una organización autorizada.

• Conocimiento de COBIT 5 y como aplicarlo en los procesos evaluados.

• Participar en un curso de Fundamentos de COBIT 5 y haber obtenido la acreditación respectiva.

• Conocimiento y experiencia relacionadas con los procesos evaluados.

• Habilidades de comunicación y gestión de proyectos. • Los evaluadores líderes deben haber participado en el equipo de

al menos dos evaluaciones de capacidad. 32 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x


¡ Muchas Gracias !

Alexander Zapata Lenis Grupo Cynthus

[email protected]


mailto:[email protected]

Convención de COBIT 5, México DF 2013 · Convención de COBIT 5, México DF 2013 “Las Nuevas...

Documents

Transcript of Convención de COBIT 5, México DF 2013 · Convención de COBIT 5, México DF 2013 “Las Nuevas...