Convención de COBIT 5, México DF 2013 · Convención de COBIT 5, México DF 2013 “Las Nuevas...
Transcript of Convención de COBIT 5, México DF 2013 · Convención de COBIT 5, México DF 2013 “Las Nuevas...
Convención de COBIT 5, México DF 2013
“Las Nuevas Herramientas del Gobierno Corporativo de TI” 9 de mayo de 2013
Club France Francia 75 Florida, México DF
1 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Modelo de Evaluación de Capacidad (PAM)
Alexander Zapata Lenis Grupo Cynthus
2 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Objetivos de la Conferencia Que los asistentes: • Obtengan un conocimiento general del modelo de
evaluación de capacidad (PAM).
• Entiendan los beneficios y requerimientos de las 3 clases de evaluación.
• Conozcan los roles y responsabilidades de los diferentes participantes en un proceso de evaluación de capacidad.
• Conozcan las fases de un proceso de evaluación. • Se familiaricen con las características del examen y los
requisitos para la acreditación. 3 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x
G r u p o C y n t h u s
Agenda 1. Modelo de Evaluación de Capacidad (PAM) 2. Clases de Evaluación 3. Roles y Responsabilidades 4. Fases del proceso de Evaluación 5. Acreditación y Características del Examen
4 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM)
El nuevo COBIT 5 Process Capability Model Se aparta del modelo de madurez (CMM) Basado en el proceso de evaluación estándar de Ingeniería de
Software ISO/IEC 15504 La nueva publicación de evaluación de COBIT 5: Explica la diferencia entre el modelo de madurez CMM y el nuevo
enfoque ISO 15504 Explica los beneficios del modelo de COBIT 5 Resume las diferencias que los usuarios de COBIT 5 encontrarán en
la práctica Provee una guía de cómo realizar una evaluación de capacidades
de COBIT 5
5 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM)
COBIT “Modelo de Evaluación de Procesos”(PAM): Usando COBIT 5
Presenta las bases del nuevo modelo de evaluación de capacidad de procesos con base en la ISO 15504
COBIT “Guía de Asesoría”: Usando COBIT 5 – Assesor Guide Provee el proceso detallado de cómo se debe realizar una
evaluación por parte de un evaluador acreditado
COBIT “Guía de autoevaluación”: Usando COBIT 5 – Self-Assessment
Incluye una relación general de aspectos a considerar en un proceso preliminar de autoevaluación. No es un tipo de evaluación formal con base en la norma ISO 15504
6 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM)
Modelo de referencia de procesos
• Dominio y alcance • Propósito del
proceso • Salidas del proceso
Marco de medición
• Niveles de capacidad • Atributos de proceso • Escala de
clasificaciones
COBIT 4.1/5
Modelo de evaluación de
procesos
• Alcance • indicadores • Mapeo • Traducción
Proceso de evaluación
Planeación Recolección de datos Validación de datos
Clasificación de atributos del proceso
Presentación de informes
Entrada inicial
• Propósito • Alcance • Restricciones • Identidades • Enfoque • Asesor • Criterio de
competencias • Información adicional
Salida
• Fecha • Entrada de la
evaluación • Identificación de
evidencia • Proceso de evaluación
utilizado • Perfiles de procesos • Información adicional
Roles y responsabilidades • Patrocinador • Asesor competente • Asesores
Modelo de Evaluación de Procesos (PAM)
Guías de asesoría
7 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM) Nivel 5 Proceso optimizado
Nivel 4 Proceso predecible
Nivel 3 Proceso establecido
Nivel 2 Proceso administrado
Nivel 1 Proceso ejecutado
Nivel 0 Proceso incompleto
Dimensión de capacidad
Para cada atributo
PA1.1 a PA 5.2
Evaluación de Procesos
Evaluación de capacidades de procesos (niveles 2 a 5) con base en los indicadores de
atributos de procesos (PAI): • GP: Prácticas genéricas • GR: Recursos genéricos • GWP: Productos de trabajo genéricos
Nivel 1
Indicadores adicionales para la evaluación del desempeño de los procesos:
• BP: Prácticas Base • WP: Productos de Trabajo
Dimensiones de los
Procesos
Procesos primarios
Procesos de soporte
Procesos organizacionales
8 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM)
El proceso de evaluación de COBIT mide el grado en que un determinado proceso logra atributos específicos
El proceso de evaluación de COBIT define nueve atributos de proceso (basado en la norma ISO / IEC 15.504-2):
PA 1.1 Desempeño del proceso (process performance) PA 2.1 Administración del desempeño (performance
management) PA 2.2 Administración de productos de trabajo (work products
management) PA 3.1 Definición del proceso (process definition) PA 3.2 Utilización del proceso (process deployment) PA 4.1 Medición del proceso (process measurement / process
management) PA 4.2 Control del proceso (process control) PA 5.1 Innovación del proceso (process innovation) PA 5.2 Optimización del proceso (process optimisation)
9 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM)
Dimensión de capacidad
Nivel 5
Nivel 4
Nivel 3
Nivel 2
Nivel 1
Nivel 0
Evaluación de Procesos
Evaluación de capacidades de procesos (niveles 2 a 5) con base en los indicadores de
atributos de procesos (PAI): • GP: Prácticas genéricas • GR: Recursos genéricos • GWP: Productos de trabajo genéricos
Nivel 1
Indicadores adicionales para la evaluación del desempeño de los procesos:
• BP: Prácticas Base • WP: Productos de Trabajo
Amplificación para PA 1.1
Dimensiones de los
Procesos
BAI – Construir, Adquirir e Implementar
APO – Alinear, Planear y Organizar
EDM – Monitorear Dirigir y Evaluar
PA 5.2 Optimización del proceso PA 5.1 Innovación del proceso PA 4.2 Control del proceso PA 4.1 Medición del proceso PA 3.2 Utilización del proceso PA 3.1 Definición del proceso PA 2.2 Administración de productos de trabajo PA 2.1 Administración del desempeño PA 1,1 Desempeño del proceso
DSS - Entregar , servir y proveer soporte
MEA – Monitorear, evaluar y valorar
10 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM)
Nivel 0 Proceso incompleto
Nivel 1 Proceso ejecutado PA 1.1 Atributo de desempeño de proceso
Nivel 2 Proceso administrado PA 2.1 Atributo de administración del desempeño PA 2.2 Atributo de administración de productos de trabajo
Nivel 3 Proceso establecido PA 3.1 Atributo de definición de proceso PA 3.2 Atributo de utilización de proceso
Nivel 4 Proceso predecible PA 4.1 Atributo de administración de proceso PA 4.2 Atributo de control de proceso
Nivel 5 Proceso optimizado PA 5.1 Atributo de innovación de proceso PA 5.2 Atributo de optimización de proceso
Incompleto (incomplete) El proceso no se ejecuta o no logra su propósito
Ejecutado (performed) El proceso se lleva a cabo y alcanza su propósito
Administrado (managed) El proceso se gestiona y se establecen productos de trabajo controlados y mantenidos
Predecible (predictable) El proceso se realiza consistentemente dentro de límites definidos para lograr sus resultados
Optimizado (optimised) El proceso es continuamente mejorado para cumplir con los objetivos relevantes actuales del negocio, y los proyectados
Establecido (established) El proceso es implementado usando un proceso definido que es capaz de lograr los resultados
11 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM)
La evaluación mide el grado en que un determinado proceso alcanza los atributos:
N No se alcanzó (Not achieved) 0 a 15%
Con poca o sin evidencia del logro del atributo definido en el proceso evaluado
P Se alcanzó parcialmente (Partially) 15% a 50%
Hay evidencia de un enfoque sistemático y del logro del atributo definido en la evaluación
L Alcanzado en gran medida (Largely) 50% a 85%
Hay evidencia de un enfoque sistemático y del logro significativo del atributo definido en la evaluación
F Completamente alcanzado (Fully) 85% a 100%
Hay evidencia de un enfoque completo y sistemático y del logro completo del atributo definido en la evaluación
12 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
1. Modelo de Evaluación de Capacidad (PAM) Escalas de calificación de los atributos
1 2 3 4 5 F F F F L
/ F
F F F L / F
F F L / F
F L / F
L / F
Pa 5.2 Optimización Pa 5.1 Innovación
Pa 4.2 Control Pa 4.1 Medición
Pa 3.2 Utilización Pa 3.1 Definición
Pa 2.2 Administración de Productos de Trabajo Pa 2.1 Administración de Desempeño
Pa 1.1 Desempeño de Proceso
Nivel 5 – Optimizado
Nivel 4 – Predecible
Nivel 3 – Establecido
Nivel 2 – Administrado
Nivel 1 – Ejecutado
Nivel 0 – Incompleto 13 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x
G r u p o C y n t h u s
2. Clases de Evaluación Clase 3: Permite identificar oportunidades de mejora críticas y es adecuada para medir el progreso del programa de mejora o para identificar aspectos claves que podrían ser soportados posteriormente por una evaluación Clase 2 o Clase 1. Clase 2: Provee nivel de confianza de que los resultados indicarán la capacidad general de los procesos críticos y éstos podrán ser comparables a nivel interno. Provee la base para la evaluación inicial requerida en un programa de mejora de GEIT. Clase 3: Provee nivel de confianza de que los resultados serán adecuados para comparaciones con otras organizaciones. Provee una base sólida para la mejora de procesos y la determinación de su capacidad.
14 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
2. Clases de Evaluación - Requerimientos Clase 3: Al menos un miembro y éste debe ser un evaluador acreditado. No exige independencia del área en revisión. Clase 2: Al menos dos miembros, uno de ellos un evaluador acreditado. Un miembro debe ser independiente a la unidad evaluada. Clase 1: Al menos dos miembros incluyendo un evaluador líder, el cual debe ser un evaluador acreditado independiente a la organización.
15 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
2. Clases de Evaluación - Requerimientos Clase 3: No hay un mínimo de instancias de proceso. Para cada instancia de proceso la evidencia se obtiene de la evaluación de productos de trabajo y de entrevistas con los responsables. Clase 2: Mínimo 2 instancias de proceso. Para cada instancia de proceso la evidencia se obtiene de la evaluación de productos de trabajo y de entrevistas con los responsables. Clase 1: Mínimo 4 instancias de proceso. Para cada instancia de proceso la evidencia se obtiene de la evaluación de productos de trabajo y de entrevistas con los responsables. Self Assessment: no es una clase de evaluación formal y no requiere evidencia de soporte.
16 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
3. Roles y Responsabilidades
Patrocinador • Verifica que el Evaluador Líder es un evaluador competente, un
indicador es si es un evaluador acreditado. • Asegura que los recursos requeridos están disponibles • Asegura que el equipo de evaluación tiene acceso a los
recursos relevantes • Acuerda el alcance de la evaluación • Acepta los resultados de la evaluación como representante de
la organización
Coordinador • Asegura que el equipo de evaluación tiene la interacción
adecuada con los roles organizacionales requeridos en la evaluación
• Asegura que los recursos están disponibles en forma oportuna para cumplir con el plan de trabajo
• Sirve como interface para temas logísticos para asegurar que tanto las necesidades de la organización como de la evaluación son atendidas
17 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
3. Roles y Responsabilidades
Evaluador Líder • Confirma el compromiso del patrocinador con la evaluación • Asegura que la evaluación se realice de acuerdo con los
requerimientos del programa de evaluación de COBIT • Asegura que a los participantes de la evaluación se les
presente el propósito, alcance y enfoque de la misma • Asegura que todos los miembros del equipo tienen el
conocimiento y habilidades apropiadas para cumplir su rol, y las competencias para usar las herramientas que se escojan.
• Confirma el recibo de los entregables y resultados de la evaluación por parte del patrocinador
Evaluador • Asegura que la evaluación se realice de los requerimientos del
programa de evaluación de capacidad de COBIT • Califica los atributos de procesos necesarios para el «perfil» • Ejecuta las actividades asignadas (planeación detallada,
obtención y validación de evidencias, y reporte) y asegura que se soporten con la evidencia adecuada
18 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
4. Fases del proceso de Evaluación
Iniciación Planeación y Alcance Presentación Obtención de
Evidencias
Validación de Evidencias
Calificación de Atributos de
Proceso Reporte de Evaluación
19 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Iniciación
Confirmación de Participantes • Patrocinador • Evaluador Líder • Evaluados
Cuestionario de Pre-Evaluación • Características de la organización y la unidad evaluada • Productos y servicios • Problemas y situaciones relevantes • Proyectos Claves en curso o planeados • Nivel de Conocimiento de COBIT 5 y PAM • Nivel de dedicación y restricciones de los participante Establecer nivel objetivo de capacidad Clase de Evaluación Ejemplo D.4
20 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Planeación
Nivel de esfuerzo requerido • Alcance de la evaluación • Tipo de Evaluación • Nivel de capacidad que se considerará para la evaluación
Herramientas de Evaluación • Automatización del proceso • Documentación en papel Estrategia de obtención de evidencias • Como parte del alcance se deben definir las instancias de los
procesos seleccionados • Garantizar que el apropiado nivel de evidencia pueda
recopilarse • Dependiendo del conocimiento de los participantes se deben
planear juntas de conciencia y entrenamiento sobre el modelo de evaluación y COBIT 5
Ejemplo D.1
21 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Alcance Identificación de impulsores claves del negocio
Identificación de prioridades de la organización Definir un alcance preliminar de procesos Confirmar procesos a ser evaluados Ejemplo D.2
22 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Presentación Presentación al equipo de evaluación
• Asegurar que el equipo entiende el enfoque definido, el contexto de la evaluación, el alcance, la clase de evaluación, las entradas y salidas
Presentación a la unidad organizacional • Explicar el proceso de evaluación, propósito, alcance,
restricciones. • Enfasis en la política de confidencialidad y el beneficios de los
resultados de la evaluación. • Presentar el plan de evaluación • Asegurar que el personal entiende sus roles en el proceso • Responder a preguntas y preocupaciones
23 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Obtención de evidencias
Estrategia de obtención de evidencias documentada • Enfoque sistemático usando una estrategia explícitamente
definida y técnicas fácilmente sustentables. • El enfoque debe ser repetible y estar claramente documentado • Asociación directa entre las evidencias y el proceso evaluado,
las cuales deben ser suficientes cumplir con el alcance y objetivo de la evaluación
Instancias de la ejecución del proceso • Ejecución única del proceso • Deben representar el comportamiento normal de la
organización respecto al proceso • Las salidas y los resultados del proceso pueden ayudar a
determinar las instancias a considerar en la evaluación • En algunos procesos no es posible identificar más de una
instancia (un solo flujo lógico del proceso)
24 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Obtención de evidencias
Requerimientos de las evidencias • La evidencia puede ser directa como un documento o un
resultado, o indirecta como un plan para producir un resultado específico
• Las fuentes primarias vendrán de las entrevistas, las cuales se confirmarán con la revisión de los prácticas base y los productos de trabajo (entradas y salidas)
• En los niveles 2 al 5 las evidencias serán de tipo indirecto como políticas sobre temas particulares a revisar
Registro sistemático • Se deben utilizar formatos estandarizados para ir llevando el
registro de las evidencias recopiladas y el material de la evaluación
Se debe verificar que la evidencia esté completa de acuerdo con los requerimientos de la evaluación 25 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x
G r u p o C y n t h u s
Validación de evidencias Revisión de la evidencia obtenida
• El evaluador líder debe revisar la evidencia obtenida y registrada para asegurar que es completa y suficiente para el proceso de evaluación
• Revisar el número adecuado de instancias • Validación del tamaño de la muestra establecido • Debe validarse con los evaluados Deficiencias • Determinar relevancia de las mismas y deben ser revisadas
con el patrocinador del proyecto
Las evidencias deben ser validadas durante su proceso de obtención
26 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Calificación de atributos de proceso Calificación de atributos
• Nivel 1 • Niveles 2 al 5 En la práctica se va a requerir juicio profesional de los evaluadores, quienes deben asegurar que sean consistentes con las escalas según la ISO 15504. Se debe soportar la confiabilidad y repetitividad de los resultados de la evaluación presentados por diferentes evaluadores Toma de decisiones • Establecer y documentar el proceso de toma de decisiones (Ej.
consenso o voto mayoritario del equipo de evaluación)
27 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
Reporte de Evaluación
Componentes del Informe • Fecha de inicio y finalización • La identidad del patrocinador y su relación con la unidad
organizacional evaluada • Propósito de la evaluación • Alcance de la evaluación • Restricciones • Identidad y roles de los evaluadores • Identificación de la evidencia obtenida • Proceso de evaluación documentado • Nivel de capacidad de los procesos evaluados y oportunidades
de mejora (si se consideró en el propósito de la evaluación) Implicaciones de la evaluación • No soporta una evaluación de control interno ni de
cumplimiento de una regulación específica (Ej. SOX) D.3 Ejemplo de una plantilla de reporte 28 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x
G r u p o C y n t h u s
5. Características del Examen
• Examen tipo Practioner (a libro abierto) • Prerrequisito : COBIT 5 Foundations
• Areas de conocimiento
• Roles y Responsabilidades • Iniciación • Alcance • Planeación y Resumen • Obtención de Evidencias • Validación de Evidencias • Calificación de Atributos de Proceso • Reporte de Evaluación
• Enfoque en la Guía de Asesoría y el PAM • 80 preguntas, 10 por cada área de conocimiento • Idioma: inglés • Tiempo: 3 horas 10 minutos • Aprobación: 50% • Fecha planeada de Liberación: Junio 2013
29 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x
G r u p o C y n t h u s
Niveles a Evaluar
1. Conocimiento: Conocer los hechos, términos, conceptos, y principios, incluyendo herramientas, técnicas, roles y responsabilidades del framework de COBIT 5 y el PAM
2. Comprensión: Entender los conceptos, principios, procesos, características, factores organizacionales y roles, y poder explicar como se aplican para justificar, diseñar e implementar COBIT 5 y el PAM.
3. Aplicación: Ser capaz de aplicar el PAM y la Guía de Asesoría para la ejecución adecuada de un proceso de evaluación de capacidad y la definición del alcance, para un escenario dado.
4. Análisis: Ser capaz de identificar, analizar y distinguir entre el uso apropiado e inapropiado de los métodos aplicados en un proceso de evaluación de capacidad para un escenario dado. 30 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x
G r u p o C y n t h u s
Tipos de Preguntas
• Selección múltiple clásica
• Respuestas múltiples
• Relación entre conceptos planteados en dos columnas
• Afirmación / Razón
• Relación de secuencia
31 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s
5. Requerimientos para la Acreditación
Es otorgada por ISACA
• Habilidades en la aplicación de COBIT PAM a la evaluación de procesos en una organización, incluyendo la metodología de evaluación, las herramientas y calificación.
• Participar en un curso de entrenamiento y recibir la respectiva certificación por parte de una organización autorizada.
• Conocimiento de COBIT 5 y como aplicarlo en los procesos evaluados.
• Participar en un curso de Fundamentos de COBIT 5 y haber obtenido la acreditación respectiva.
• Conocimiento y experiencia relacionadas con los procesos evaluados.
• Habilidades de comunicación y gestión de proyectos. • Los evaluadores líderes deben haber participado en el equipo de
al menos dos evaluaciones de capacidad. 32 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x
G r u p o C y n t h u s
¡ Muchas Gracias !
Alexander Zapata Lenis Grupo Cynthus
33 A l e x a n d e r Z a p a t a L e n i s - a z a p a t a @ c y n t h u s . c o m . m x G r u p o C y n t h u s