Modelo de madurez COBIT

 

Embed or link this publication

Description

Modelo de madurez

Popular Pages


p. 1

modelo de madurez según cobit una necesidad básica de toda empresa es entender el estado de sus propios sistemas de ti y decidir qué nivel de administración y control debe proporcionar para decidir el nivel correcto la gerencia debe preguntarse ¿hasta dónde debemos ir y ¿está el costo justificado por el beneficio la obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla ¿qué se debe medir y cómo las empresas deben medir dónde se encuentran y dónde se requieren mejoras e implementar un juego de herramientas gerenciales para monitorear esta mejora cobit atiende estos temas a través de modelos de madurez que facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad metas y mediciones de desempeño para los procesos de ti que demuestran cómo los procesos satisfacen las necesidades del negocio y de ti y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado balancedscorecard metas de actividades para facilitar el desempeño efectivo de los procesos cada vez con más frecuencia se les pide a los directivos de empresas corporativas y públicas que consideren qué tan bien se está administrando ti como respuesta a esto se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información aunque pocos argumentarían que esto no es algo bueno se debe considerar el equilibrio del costo beneficio y éstas preguntas relacionadas ¿qué está haciendo nuestra competencia en la industria y cómo estamos posicionados en relación a ellos ¿cuáles son las mejores prácticas aceptables en la industria y cómo estamos posicionados con respecto a estas prácticas con base en estas comparaciones ¿se puede decir que estamos haciendo lo suficiente ¿cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de ti puede resultar difícil proporcionar respuestas significativas a estas preguntas la gerencia de ti está buscando constantemente herramientas de evaluación para benchmarking y herramientas de auto-

[close]

p. 2

evaluación como respuesta a la necesidad de saber qué hacer de manera eficiente comenzando con los procesos y los objetivos de control de alto nivel de cobit el dueño del proceso se debe poder evaluar de forma progresiva contra los objetivos de control esto responde a tres necesidades una medición relativa de dónde se encuentra la empresa una manera de decidir hacia dónde ir de forma eficiente una herramienta para medir el avance contra la meta el modelo de madurez para la administración y el control de los procesos de ti se basa en un método de evaluación de la organización de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente 0 hasta un nivel de optimizado este enfoque se deriva del modelo de madurez que el software engineeringinstitute definió para la madurez de la capacidad del desarrollo de software cualquiera que sea el modelo las escalas no deben ser demasiado granulares ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras el propósito no es avaluar el nivel de adherencia a los objetivos de control los niveles de madurez están diseñados como perfiles de procesos de ti que una empresa reconocería como descripciones de estados posibles actuales y futuros no están diseñados para ser usados como un modelo limitante donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior con los modelos de madurez de cobit a diferencia de la aproximación del cmm original de sei no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido con exactitud una evaluación de la madurez de cobit resultara en un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido como se muestra en el ejemplo gráfico siguiente:

[close]

p. 3

figura n° 01 modelo de madurez según cobit cobit es un marco de referencia desarrollado para la administración de procesos de ti con un fuerte enfoque en el control estas escalas deben ser prácticas en su aplicación y razonablemente fáciles de entender el tema de procesos de ti es esencialmente complejo y subjetivo por lo tanto es más fácil abordarlo por medio de evaluaciones fáciles que aumenten la conciencia que logren un consenso amplio y que motiven la mejora estas evaluaciones se pueden realizar ya sea contra las descripciones del modelo de madurez como un todo o con mayor rigor en cada una de las afirmaciones individuales de las descripciones de cualquier manera se requiere experiencia en el proceso de la empresa que se está revisando la ventaja de un modelo de madurez es que es relativamente fácil para la dirección ubicarse a sí misma en la escala y evaluar qué se debe hacer si se requiere desarrollar una mejora la escala incluye al 0 ya que es muy posible que no existan procesos en lo absoluto la escala del 0-5 se basa en una escala de madurez simple que muestra como un proceso evoluciona desde una capacidad no existente hasta una capacidad optimizada modelo genérico de madurez 0 no existente carencia completa de cualquier proceso reconocible la empresa no ha reconocido siquiera que existe un problema a resolver 1 inicial existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos sin embargo no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso el enfoque general hacia la administración es desorganizado 2 repetible se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea no hay entrenamiento o comunicación formal de los procedimientos estándar y se deja la responsabilidad al individuo.

[close]

p. 4

existe un alto grado de confianza en el conocimiento de los individuos y por lo tanto los errores son muy probables 3 definido los procedimientos se han estandarizado y documentado y se han difundido a través de entrenamiento sin embargo se deja que el individuo decida utilizar estos procesos y es poco probable que se detecten desviaciones los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes 4 administrado es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva los procesos están bajo constante mejora y proporcionan buenas prácticas se usa la automatización y herramientas de una manera limitada o fragmentada 5 optimizado los procesos se han refinado hasta un nivel de mejor práctica se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas ti se usa de forma integrada para automatizar el flujo de trabajo brindando herramientas para mejorar la calidad y la efectividad haciendo que la empresa se adapte de manera rápida figura n° 02 las tres dimensiones de la madurez según cobit el modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos esto es qué tan capaces son en realidad qué tan bien desarrollados o capaces deberían ser principalmente dependen de las metas de ti y en las necesidades del negocio subyacentes a las cuales sirven de base cuánta de esa

[close]

p. 5

capacidad es realmente utilizada actualmente para retornar la inversión deseada en una empresa definición de términos de hipótesis nivel de planeamiento la planeación estratégica de ti es un proceso documentado y vivo que cada vez más se toma en cuenta en el establecimiento de las metas del negocio y da como resultado un valor observable de negocios por medio de las inversiones en ti las consideraciones de riesgo y de valor agregado se actualizan de modo constante en el proceso de planeación estratégica de ti se desarrollan planes realistas a largo plazo de ti y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio se realizan evaluaciones por comparación contra normas industriales bien entendidas y confiables y se integran con el proceso de formulación de la estrategia el plan estratégico especifica cómo los nuevos avances tecnológicos pueden impulsar creación de nuevas capacidades de negocio y mejorar la ventaja competitiva de la organización nivel de la arquitectura de la información la arquitectura de información es reforzada de forma consistente a todos los niveles el valor de la arquitectura de la información para el negocio se enfatiza de forma continua el personal de ti cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio la información provista por la arquitectura se aplica de modo consistente y amplio se hace un uso amplio de las mejores prácticas de la industria en el desarrollo y mantenimiento de la arquitectura de información incluyendo un proceso de mejora continua la estrategia para el aprovechamiento de la información por medio de tecnologías de bodega de datos y minería de datos está bien definida la arquitectura de la información se encuentra en mejora continua y toma en cuenta información no tradicional sobre los procesos organizaciones y sistemas nivel del direccionamiento tecnológico existe una función de investigación que revisa las tecnologías emergentes y evolutivas y para evaluar la organización por comparación contra las normas industriales la dirección del plan de infraestructura

[close]

p. 6

tecnológica está impulsada por los estándares y avances industriales e internacionales en lugar de estar orientada por los proveedores de tecnología el impacto potencial de los cambios tecnológicos sobre el negocio se revisa al nivel de la alta dirección existe una aprobación ejecutiva formal para el cambio de la dirección tecnológica o para adoptar una nueva la entidad cuenta con un plan robusto de infraestructura tecnológica que refleja los requerimientos del negocio es sensible a los cambios en el ambiente del negocio y puede reflejar los cambios en éste existe un proceso continuo y reforzado para mejorar el plan de infraestructura tecnológica las mejores prácticas de la industria se usan de forma amplia para determinar la dirección técnica nivel de organización existen roles y responsabilidades definidos para la organización de ti y para terceros la organización de ti se desarrolla documenta comunica y se alinea con la estrategia de ti se define el ambiente de control interno se formulan las relaciones con terceros incluyendo los comités de dirección auditoría interna y administración de proveedores la organización de ti está funcionalmente completa existen definiciones de las funciones a ser realizadas por parte del personal de ti y las que deben realizar los usuarios los requerimientos esenciales de personal de ti y experiencia están definidos y satisfechos existe una definición formal de las relaciones con los usuarios y con terceros la división de roles y responsabilidades está definida e implantada nivel de inversión las políticas y los procesos para inversiones y presupuestos están definidas documentadas y comunicadas y cubren temas clave de negocio y de tecnología el presupuesto de ti está alineado con los planes estratégicos de ti y con los planes del negocio los procesos de selección de inversiones en ti y de presupuestos están formalizados documentados y comunicados surge el entrenamiento formal aunque todavía se basa de modo principal en iniciativas individuales ocurre la aprobación formal de la selección de inversiones en ti y presupuestos el personal de ti cuenta con la experiencia y habilidades necesarias para desarrollar el presupuesto de ti y recomendar inversiones apropiadas en ti.

[close]

p. 7

nivel de comunicación entre miembros de ti la dirección debe elaborar un marco de trabajo de control empresarial para ti y definir y comunicar las políticas un programa de comunicación continua se debe implementar para articular la misión los objetivos de servicio las políticas y procedimientos etc aprobados y apoyados por la dirección la comunicación apoya el logro de los objetivos de ti y asegura la concienciación y el entendimiento de los riesgos de negocio y de ti el proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes nivel de gestión de recursos humanos de ti existe un proceso definido y documentado para administrar los recursos humanos de ti existe un plan de administración de recursos humanos existe un enfoque estratégico para la contratación y la administración del personal de ti el plan de entrenamiento formal está diseñado para satisfacer las necesidades de los recursos humanos de ti está establecido un programa de rotación diseñado para expandir las habilidades gerenciales y de negocio nivel de calidad de ti el qms está integrado y se aplica a todas las actividades de ti los procesos de qms son flexibles y adaptables a los cambios en el ambiente de ti se mejora la base de conocimientos para métricas de calidad con las mejores prácticas externas se realiza benchmarking contra estándares externos rutinariamente las encuestas de satisfacción de la calidad constituyen un proceso constante y conducen al análisis de causas raíz y a medidas de mejora existe aseguramiento formal sobre el nivel de los procesos de administración de la calidad nivel de riesgo la administración de riesgos ha evolucionado al nivel en que un proceso estructurado está implantado en toda la organización y es bien administrado las buenas prácticas se aplican en toda la organización la captura análisis y reporte de los datos de administración de riesgos están altamente automatizados.

[close]

p. 8

la orientación se toma de los líderes en el campo y la organización de ti participa en grupos de interés para intercambiar experiencias la administración de riesgos está altamente integrada en todo el negocio y en las operaciones de ti está bien aceptada y abarca a los usuarios de servicios de ti la dirección detecta y actúa cuando se toman decisiones grandes de inversión o de operación de ti sin considerar el plan de administración de riesgos la dirección evalúa las estrategias de mitigación de riesgos de manera continua nivel de gestión de proyectos de ti el proceso y la metodología de administración de proyectos de ti han sido establecidos y comunicados los proyectos de ti se definen con los objetivos técnicos y de negocio adecuados la alta dirección del negocio y de ti empiezan a comprometerse y a participar en la administración de los proyectos de ti se ha establecido una oficina de administración de proyectos dentro de ti con roles y responsabilidades iniciales definidas los proyectos de ti se monitorean con puntos clave cronogramas y mediciones de presupuesto y desempeño definidos y actualizados existe entrenamiento para la administración de proyectos el entrenamiento en administración de proyectos es un resultado principalmente de las iniciativas individuales del equipo los procedimientos de aseguramiento de calidad y las actividades de implantación post-sistema han sido definidos pero no se aplican de manera amplia por parte de los gerentes de ti los proyectos se empiezan a administrar como portafolios.

[close]

Comments

no comments yet