Beruflich Dokumente
Kultur Dokumente
DEFINICIÓN DE DOMINIO
Garantizar la definición, el establecimiento y la gestión de un marco para la
gobernanza de la TI empresarial en consonancia con la misión, la visión y los
valores de la empresa.
OBJETIVOS DE DOMINIO
El objetivo de este dominio es definir, establecer y mantener un marco de
gobernanza de tecnología de la información (TI), al tener el liderazgo, las
estructuras organizacionales y los procesos necesarios para:
• Asegurar la alineación con el gobierno de la empresa
• Controlar el entorno de la información comercial y de la tecnología de la
información mediante la implementación de buenas prácticas
• Asegurar el cumplimiento de los requisitos externos
TAREAS
Hay 11 tareas dentro de este dominio que un candidato de CGEIT debe saber
cómo realizar. Se relacionan con tener que desarrollar, o ser parte del desarrollo
de, un marco de gobierno de TI.
DECLARACIONES DE CONOCIMIENTO
El candidato de CGEIT debe tener una buena comprensión de cada una de las 14
áreas delineadas por las siguientes declaraciones de conocimiento. Estas
declaraciones son la base para el examen. Cada declaración se define y su
relevancia y aplicabilidad a esta práctica de trabajo se describen brevemente de la
siguiente manera:
Conocimiento de:
KS1.1 componentes de un marco para la gobernanza de las TI empresariales
GEIT no ocurre en el vacío. Es una parte integral de la empresa y el sistema por el
cual las organizaciones son dirigidas y controladas. Debido a la dependencia
comercial en TI. Los problemas de gobierno empresarial (incluido el gobierno
empresarial, el gobierno corporativo) ya no se pueden resolver sin considerar las
TI. La gobernanza de la empresa debería, por lo tanto, impulsar y establecer el
marco para GEIT.
KS1.2 Prácticas, estándares y marcos de la industria de gobierno de TI
COBIT es el marco comercial de ISACA para el gobierno y la gestión de TI
empresarial. Comprender este marco y sus principios subyacentes es fundamental
para establecer y mejorar las prácticas y procesos para la gobernanza efectiva de
las TI empresariales. Muchas prácticas, estándares y marcos de trabajo de la
industria son complementarios de COBIT. Por lo tanto, el conocimiento de estas
prácticas, estándares y marcos de trabajo de la industria, especialmente qué,
cuándo y cómo se usan, se vuelve importante para un GEIT efectivo.
KS1.3 Controladores comerciales relacionados con el gobierno de TI
En un contexto comercial y económico en constante cambio, es importante
detectar los impulsores del negocio (puntos de dolor o desencadenar eventos en
el entorno interno o externo) que constituyen la necesidad de una práctica GEIT
nueva o revisada.
KS1.4 habilitadores de gobierno de TI
La gestión y gestión eficiente y efectiva de las TI empresariales requiere un
enfoque holístico, teniendo en cuenta varios componentes que interactúan. Estos
componentes son habilitadores que respaldan la implementación de un sistema
integral de gobierno y gestión para TI empresarial. Los habilitadores se definen
ampliamente como cualquier cosa que pueda ayudar a lograr los objetivos de la
empresa.
Gobierno Corporativo
Los casos recientes de alto perfil de fracasos corporativos y fraude han llevado al
gobierno corporativo a la cima de las agendas empresariales y políticas. Cada vez
más, las partes interesadas educadas y asertivas están preocupadas por la
gestión racional de sus intereses. Esto ha llevado a la aparición de principios y
estándares para la gobernanza empresarial. En los últimos años, se han publicado
varios códigos de conducta a nivel internacional y se ha promulgado legislación
para engendrar la práctica de una buena gobernanza empresarial. Estas
regulaciones establecen las responsabilidades de la junta y requieren que la junta
directiva ejerza la debida diligencia. Los resultados de la Encuesta Global
McKinsey 2009 indican que los programas de gobernanza sí crean valor para los
accionistas y la actual agitación económica ha aumentado la importancia de los
programas de gobernanza.
Esto sugeriría que los siete habilitadores de GEIT, según lo propuesto por COBIT
5., son vistos por el mercado como altamente relevantes y holísticos y
relacionados entre sí ". Comparando los siete habilitadores entre sí, es atractivo el
habilitador de información y las personas. El facilitador de Habilidades y
Competencias se percibe como el más importante, seguido de cerca por el
Habilitador de Procesos '. ISACA publica una guía detallada sobre los procesos y
habilitadores de información. El Marco de habilidades para la era de la información
(SFIA). actualmente en la versión 5.1J o en el Marco Europeo de Competencia
Electrónica11 proporcionan una guía sólida en apoyo de las Personas. Habilitador
de Habilidades y Competencias.
En la misma investigación, se analizó si los habilitadores de GEIT contribuyen al
logro de los objetivos relacionados con TI y. por extensión, objetivos
empresariales. El estudio encontró una fuerte asociación positiva entre el puntaje
promedio general de implementación o administración de siete habilitadores y el
puntaje promedio general de los objetivos relacionados con TI (figura 1.8). La línea
recta en el gráfico implica una correlación positiva entre la implementación o
administración del habilitador y los objetivos relacionados con TI. El estudio
también confirmó una fuerte asociación positiva entre los objetivos relacionados
con TI y los objetivos empresariales en general, lo que sugiere que los resultados
relacionados con TI se relacionan positivamente con los objetivos de la empresa
(figura 1.9).
1.5 TÉCNICAS UTILIZADAS PARA IDENTIFICAR LA ESTRATEGIA DE TI
Al establecer los enfoques de dirección y elaboración para implementar mejoras
en toda la empresa en GEIT, es crucial vincular estas iniciativas a la misión, visión
y estrategia de la organización. Ser efectivo. GEIT debe existir dentro de estos
enunciados organizacionales definitorios. Por lo tanto, es importante que los
profesionales entiendan por qué la estrategia de TI es importante y cómo la
estrategia de TI puede vincularse con la estrategia empresarial aprovechando
técnicas como análisis de fortalezas, debilidades, oportunidades y amenazas
(SWOT) y Boston Consulting Group (BCG ) matriz de participación de crecimiento.
El establecimiento de la estrategia es una parte fundamental de la gobernanza.
Desde el punto de vista de la junta directiva y la gerencia ejecutiva, el objetivo
general en este asunto es comprender los problemas y la importancia estratégica
de la TI para que la empresa pueda mantener sus operaciones e implementar las
estrategias requeridas para extender sus actividades hacia el futuro.
Análisis FODA
SWOT es un método de planificación estratégica utilizado para evaluar las
fortalezas, debilidades, oportunidades y amenazas involucradas en un proyecto o
en una empresa comercial, como se muestra en la figura 1.10. A veces, SWOT se
conoce como SLOT (fortalezas, limitaciones, oportunidades y amenazas). Implica
especificar el objetivo del emprendimiento comercial o proyecto e identificar los
factores internos y externos que son favorables y desfavorables para lograr ese
objetivo. El objetivo debe establecerse nuevamente después de que se haya
realizado el análisis FODA. Esto asegura que las metas u objetivos alcanzables
estén establecidos para la organización.
Más detalladamente, los dominios SWOT representan:
Fortalezas: características del equipo de negocios o proyecto que le dan una
ventaja sobre los demás
Debilidades (o limitaciones) -Características que colocan al equipo en desventaja
con relación a otros
Oportunidades: oportunidades externas para mejorar el rendimiento (por ejemplo,
obtener mayores ganancias) en el medioambiente
Amenazas: elementos externos en el entorno que podrían causar problemas para
el negocio o proyecto
Estos cinco niveles de EA se introdujeron por primera vez en 1989 por NIST y
siguen siendo válidos, y se pueden aplicar fácilmente en el entorno empresarial
extendido de hoy en día. Una serie de populares marcos de EA como Zachman,
TOGAF. Marco Federal de Arquitectura Empresarial (FEAF). ISO 15704. ISO / IEC
15288 y otros se basan ampliamente en este paradigma. El modelo de cinco
capas permite organizar, planificar y construir un conjunto integrado de
información y arquitectura de TI. Cada una de estas capas se describe de la
siguiente manera:
Buenas prácticas: se pueden distinguir una serie de buenas prácticas para las
estructuras organizativas, tales como:
• Principios de funcionamiento: estas son las disposiciones prácticas sobre cómo
funcionará la estructura, como la frecuencia de las reuniones, la documentación y
los ritmos de limpieza.
• Composición. Las estructuras tienen miembros, que son partes interesadas
internas o externas.
• Ámbito de control. Esto incluye los límites de los derechos de decisión de la
estructura organizacional.
• Nivel de autoridad / derechos de decisión: estas son las decisiones que la
estructura está autorizada a tomar.
• Delegación de autoridad: la estructura puede delegar (un subconjunto de) sus
luces de decisión a otras estructuras que le informan.
• Procedimientos de escalamiento: la ruta de escalamiento para una estructura
describe las acciones requeridas en caso de problemas al tomar decisiones.
Los roles mencionados en la figura 1.13 son la base para construir una tabla
RACI:
Responsable: se refiere a la persona que debe garantizar que las actividades se
completen con éxito.
Aprobador: se refiere a la persona o grupo que tiene la autoridad para aprobar o
aceptar la ejecución de una actividad
Consultado: se refiere a aquellas personas cuyas opiniones se buscan en una
actividad (comunicación de dos vías)
Informado: se refiere a aquellas personas que están al día sobre el progreso de
una actividad (comunicación unidireccional)
Fuente: ISACA, COBIT 5: Procesos de habilitación, EE. UU., 2012, página 58
Gobernanza de los acuerdos TI de la empresa
Dicha tabla RACI típicamente descompone un proceso en diferentes subprocesos
y luego indica roles para cada una de las estructuras identificadas. La Figura 1.14
muestra el ejemplo de un gráfico RACI para el proceso COBIT APO02 Manage
Strategy, que define claramente las responsabilidades y las responsabilidades
tanto del lado empresarial como de TI para este proceso.
La importancia de la estructura de la organización para GEIT también ha sido
discutida por Weill y Ross. "Según los autores, el gobierno de TI se trata de
especificar los derechos de decisión y el marco de responsabilidad para fomentar
el comportamiento deseable en el uso de la TI. estudiaron cómo las empresas
toman decisiones en cinco dominios clave de TI interrelacionados:
• Principios de TI
• Esa infraestructura
• Arquitectura de TI
• Necesidades de aplicaciones comerciales
• Inversiones de TI y priorización
Habilitación de cambio
La habilitación de cambios es uno de los mayores desafíos para la implementación
de GEIT. No debe suponerse que las diversas partes interesadas involucradas o
afectadas por. los arreglos de gobernanza nuevos o revisados aceptarán y
adoptarán fácilmente el cambio. La posibilidad de ignorancia y / o resistencia al
cambio debe abordarse a través de un enfoque estructurado y proactivo. Además,
la conciencia óptima del programa debe lograrse a través de un plan de
comunicación que defina lo que se comunicará, de qué manera y por quién a lo
largo de las diversas fases del programa.
COBIT 5 define habilitación de cambio como:
Un proceso sistemático para asegurar que todos los interesados estén preparados
y comprometidos con los cambios involucrados al pasar de un estado actual a un
estado futuro deseado.
Todos los interesados clave deberían participar. En un nivel alto, la habilitación de
cambio generalmente implica:
• Evaluar el impacto del cambio en la empresa. su gente y otras partes interesadas
• Establecer el estado futuro (visión) en términos humanos / conductuales y las
medidas asociadas para describirlo
• Construir '' planes de respuesta al cambio '' para gestionar el impacto del cambio
de manera proactiva y maximizar la participación durante todo el proceso. Estos
planes pueden incluir capacitación, comunicación, diseño de la organización,
rediseño del proceso y sistemas actualizados de administración del desempeño.
• Medir continuamente el progreso del cambio hacia el estado futuro deseado
En términos de una implementación típica de GEIT, el objetivo de la habilitación
del cambio es contar con partes interesadas de la empresa del negocio y de TI
que lideren con el ejemplo y estimulando al personal en todos los niveles a
trabajar de acuerdo con la nueva forma deseada. Los ejemplos de
comportamiento deseado incluyen:
La opinión de COBIT 5 sobre esta distinción clave entre gobierno y gestión es:
• La gobernanza garantiza que las necesidades, las condiciones y las opciones de
los interesados se evalúen para determinar los objetivos empresariales
equilibrados y acordados que se deben alcanzar; establecer la dirección a través
de la priorización y la toma de decisiones; y monitorear el desempeño, y el
cumplimiento contra la dirección y objetivos acordados.
En la mayoría de las empresas, la gobernanza es responsabilidad de la junta
directiva bajo la dirección del presidente.
* Los planes de gestión, construcciones, ejecuciones y monitorean actividades en
alineación con la dirección establecida por. órgano de gobierno: para alcanzar los
objetivos de la empresa.
Responsabilidad
En el contexto de GEIT. el establecimiento de la responsabilidad es de particular
importancia en relación con los requisitos de información, la propiedad de los
datos y del sistema, y los procesos relacionados con TI, los requisitos de
información están enraizados en los negocios. La siguiente información se toma
prestada de la publicación de ISACA COBIT 5: Habilitación de la información.1 ''
el gobierno de la información asegura que:
• Las necesidades, condiciones y opciones de las partes interesadas se evalúan
para determinar objetivos empresariales equilibrados y acordados, que deben
lograrse mediante la adquisición y gestión de recursos de información.
• La dirección se establece para las capacidades de gestión de la información a
través de la priorización y la toma de decisiones.
• El desempeño y el cumplimiento de los recursos de información se controlan
contra la dirección y los objetivos acordados.
Obtener valor comercial de TI y medir ese valor son, por lo tanto, importantes
objetivos de gobierno. Son responsabilidades tanto del negocio como de TI y
deben tener en cuenta los costos y beneficios tangibles e intangibles, de esta
manera. una buena gestión del rendimiento de TI debería permitir tanto a la
empresa como a la TI comprender plenamente cómo la TI contribuye al logro de
los objetivos empresariales, en el pasado y en el futuro. La medición y la gestión
del rendimiento de TI deben proporcionar respuestas a preguntas tales como:
• Si invierto fondos adicionales en TI, ¿qué obtengo?
• ¿Cómo funciona mi punto de referencia de TI frente a los competidores?
• ¿Regreso de IT lo prometido?
• ¿Cómo aprendo el rendimiento pasado para optimizar mi organización?
• ¿Mi TI está implementando su estrategia en línea con la estrategia de negocios?
"La principal ventaja del BSC de TI es que proporciona una traducción sistemática
de la estrategia, en factores críticos de éxito y métricas, lo que materializa la
estrategia" (CIO de una organización financiera)
'The Balanced Scorecard ofrece una vista equilibrada de la entrega total de valor
de TI a. negocio. Proporciona una instantánea de dónde se encuentra su
organización de TI en un momento determinado. La mayoría de los ejecutivos,
como yo, no tienen el tiempo para profundizar en la gran cantidad de información.
"(Vicepresidente de una organización de seguros)
medidas:
• Medidas de resultado
• Controladores de rendimiento
Las medidas de resultado, como la productividad de los programadores (por
ejemplo, número de puntos por persona por mes), necesitan controladores de
rendimiento, como la educación del personal de TI (por ejemplo, número de días
de educación por persona por año), para comunicar cómo los resultados son ser
logrado.
Como se muestra en la figura 1.22. el marco COBIT 5 proporciona una guía más
detallada y prácticas de gobernanza, en términos de gobernanza de los informes
de TI de la empresa, excelente con el concepto Evaluar-Dirigir-Monitorear como se
discutió anteriormente en este capítulo.
Los ejemplos de especificar más las actividades para evaluar las necesidades de
las partes interesadas, como se muestra en la figura 1.23, incluyen:
• Enfatizar el impacto comercial del riesgo asociado con las estrategias de TI mal
alineadas, el mal uso de la tecnología, las operaciones mal administradas y la
administración ineficaz del proyecto. Muestre cómo el riesgo puede ser mitigado
con controles efectivos:
Use casos de estudio que hayan tenido un impacto en el negocio u otras
empresas (por ejemplo, ataques de virus, cortes críticos del servicio, proyectos
con "resultados inesperados") para ilustrar cómo podrían surgir problemas.
• Identificar ejemplos relevantes de gobernanza que brinden beneficios
comerciales más allá del requisito básico de evidenciar el control:
Use casos de estudio para ilustrar cómo la gobernanza efectiva ha identificado el
riesgo para el negocio, sus objetivos y estrategia, y ha negociado una solución
alternativa.
Use casos de estudio para ilustrar los beneficios comerciales como resultado
directo de una gobernanza efectiva (por ejemplo, reducción de costos, calidad no
probada, productividad, reputación y ventajas de comercialización).
• Usar modelos de escenarios con evaluación de riesgos y mitigación:
Considere los riesgos conocidos y nuevos tanto en el negocio como en TI (por
ejemplo, requisitos de auditoría externa).
Considere cómo la gobernanza puede ayudar a mitigar el riesgo.
Calcule un factor de riesgo (probabilidad x impacto).
Considere las opciones: aceptar, mitigar o asignar.
• Use un lenguaje comercial común para:
Riesgo tecnológico en términos financieros / económicos / comerciales
Implicaciones legales / regulatorias y contractuales
El tiempo dedicado por fase diferirá enormemente según [entre otros factores] el
entorno empresarial específico, su madurez y el alcance de la implementación o
iniciativa de mejora. Sin embargo, el tiempo total dedicado a cada iteración del
ciclo de vida completo idealmente no debería exceder los seis meses, con las
mejoras aplicadas progresivamente; de lo contrario, existe el riesgo de perder
impulso, concentración e interés de los interesados. El objetivo es entrar en un
ritmo de mejoras regulares.
Las iniciativas de mayor escala deberían estructurarse como iteraciones múltiples
del ciclo de vida. Por encima de la sintonía, el ciclo de vida se seguirá
iterativamente mientras se construye un enfoque sostenible. Esto se convierte en
una práctica comercial normal cuando las fases en el ciclo de vida son actividades
cotidianas y la mejora continua ocurre naturalmente.