CAPITULO Nº 3

GOBERNANZA DE
TECNOLOGIA DE
INFORMACION
Integrante:
Luz Marina Cuellar Salazar
• El gobierno de TI especifica el nivel de la
integración y el control de una
Organización tiene sobre sus
investigación tecnología de la información
• El nivel de integración de IT tendrá un
efecto dramático en cómo la organización
define su misión, archive objetivos
estratégicos, y comunica su visión de
crecimiento.
 Estrategia en la organización de
control
• Para tener éxito, la gerencia debe definir una estrategia y ofrecer
una gestión empresarial eficaz. Estrategia se define como el
gobierno corporativo es "el comportamiento ético de los ejecutivos
de las empresas para con shakeholders para maximizar el retorno
de una inversión financiera".
Dos de alto objetivos nivel de gestión debe ser verificado por el auditor
son los siguientes:

• • Un proceso de supervisión de las prácticas de garantía de la

gestión ejecutiva. Los altos ejecutivos necesitan entender lo que
está ocurriendo en la organización.

• • Una alineación estratégica entre la TI y los objetivos de la

empresa. una planificación adecuada es necesario para desplegar
los recursos en el lugar correcto por la razón correcta
• El Proceso de ingresos implica una cantidad
considerable de gastos administrativos y de
mantenimiento de registro.
• La expectativa en todas las empresas es ganar dinero y
no se ve obstaculizada por la tecnología particular, ni
atado a un proveedor en particular.
• El departamento de TI está buscando un propósito
claramente que se espera cumplir.
• El Departamento estudia las demandas y requerimientos
necesarios para tener éxito de un servicio estructurado
de acuerdo de nivel se pueden generar con estos datos,
con la dotación de personal y planes de crecimiento de
tecnología.
• El plan de tecnología tiene que cumplir un objetivo de
negocio
El principal mecanismo para garantizar la alineación de TI
es implementar un comité de dirección de TI

Visión general del Comité Directivo de TI

- La mayoría de las organizaciones de TI utilizar un comité
de estrategia de TI o comité de dirección.
- El Comité de Dirección de TI se utiliza para transmitir
los requerimientos de negocio actual de los ejecutivos
de negocios de la TI ejecutivo.
- El nombre de la comisión no es tan importante como la
función que realiza .
- El Comité de Dirección de TI podría ser la misma
comisión utilizarse para los fines de una continuidad de
las actividades del comité de dirección, pero con un
poco Carta diferentes (enfoque).
• Los comités de dirección deben tener una carta formal
que designe a la participación de cada miembro.
• Esta responsabilidad Carta subvenciones y la autoridad
en un concepto similar al de una carta de auditoría.
• La ausencia de una carta del comité de dirección que
indique la falta de controles formales, una condición que
justifiquen revisar supervisión de la gestión.
• El comité de dirección también se discute en el capítulo
5 con el software de ciclo de vida de desarrollo.
• La dirección, o la estrategia, el comité está formado por
muy pocos individuos. Cada individuo debe tener la
autoridad para actuar en nombre de sus departamentos.
• Estos son miembros vicepresidente o superiores en la
organización para que puedan ayudar a alinear la TI a
los esfuerzos requeridos del negocio específicos.
• El comité es dirigido por un presidente ejecutivo.

• El director general se espera que proporcione la orientación

direccional en persona o mediante un representante para identificar
fuentes específicas de ingresos.

• Cada miembro de la comisión se espera que participen en los

debates se centran en cuestiones de negocios. En la ocasión, el
Comité podrá invitar a observadores de confianza o presentadores
de la reunión para aumentar la conciencia de un área en particular.

• Después de los objetivos de negocio son identificadas, el siguiente

paso es te determinar los objetivos de negocio de TI para cumplir.
• El comité de dirección se pega a objetivos de alto nivel en lugar de
dictar los detalles técnicos.

• Echemos un vistazo a la necesaria representación en el comité de

dirección:
• Marketing deben estar representados en el comité directivo. El propósito de la
comercialización ah es atraer a los compradores de productos de la organización o
servicio. Incluso si la organización se basa productos más finos del mundo, no
importa a menos que un flujo constante de compradores de hacer una compra.
• Producción / Desarrollo de Software, la aportación de fabricación o de desarrollo
de software es necesario para alinear los esfuerzos de producción a los esfuerzos de
ventas.

• Las ventas de la función de ventas es convertir las perspectivas de interesados de

las campañas de marketing en las ventas cerradas. Ejecutivos de ventas están
interesados en usar la tecnología para facilitar más ventas. La cooperación de la
industria y la tecnología es necesaria para contribuir al esfuerzo de ventas.

• Finanzas financiero de orientación y niveles de cualificación del presupuesto son

esenciales para optimizar la inversión de la organización. Obtención de la aprobación
de financiación para los proyectos sería difícil sin la cooperación de la Contraloría de
finanzas.

• Legal El ejecutivo del departamento legal debe garantizar el cumplimiento de la ley.

Un asesor jurídico cualificado asesora a la gerencia en las áreas de incertidumbre.
Asesoramiento jurídico de expertos debería ayudar a proteger a la compañía de
responsabilidad excesiva o de riesgo indebidas, como resultado de una falla de
control.

• Control de calidad El proceso de calidad, favorece la coherencia en las

operaciones, la fabricación, y la mitigación de riesgos. Un buen proceso de gestión
de calidad es un factor importante para la supervivencia de la organización. Fallas en
el control de calidad puede dañar la imagen de mercado o dar lugar a problemas de
responsabilidad.
• De Investigación y Desarrollo (R& D) La Dirección de Investigación y Desarrollo del
Personal están constantemente trabajando en la creación de nuevos productos y
mejorar los productos existentes. El esfuerzo de R& D se centra en el desarrollo de
productos que generan ingresos con seis meses a dos años en el futuro.
Dependiendo de la organización, la R& D puede ser suspendido en tiempos de déficit
financiero. El R & D pública prevista se aplicaría a los proyectos con un retorno más
rápido o al pago de obligaciones vencidas.
•
Gestión de proyectos El jefe de la oficina de la gerencia del proyecto, si existe,
debe estar en la comisión a los miembros del consejo sobre los proyectos actuales y
propuestos.
Tecnología de la Información El director de información (CIO) o vicepresidente de
escucha a las ideas y objetivos de negocio planteados por los miembros del comité.
Esta persona actúa como un enlace para facilitar la participación de las TI. El IT
miembro podrá delegar la planificación y las actividades de investigación a los
miembros de la organización de TI.

• Recursos Humanos La gestión del personal se vuelve más complejo cada semana.
Cumplimiento de las normas federales de trabajo es obligatorio. Las organizaciones
internacionales que requieren una asistencia especial que va más allá de los
conocimientos mayoría de los no ejecutivos de recursos humanos. El incumplimiento
puede llevar a severas sanciones.

• Un representante de la Administración Laboral ejecutivo de cualquier organización

laboral, como un sindicato, puede tener que participar en las decisiones relacionadas
con el trabajo. Esto puede ser un tema delicado en función de la organización.
• En la planificación estratégica, los planes en
general se ejecutan en un plazo de tres a cinco
años. Un plan táctico va a ser llevado a cabo
más de seis meses a un año y puede ir en dos
años. Planes diarios no son más que pasos en
el plan táctico. Cuando una organización de
proyectos con tres a cinco años, es realmente el
desarrollo de una estrategia. Esta estrategia se
puede ejecutar una operación de racionalización
en aérea de bajo costo como Southwest
Airlines, ofrecen el mejor mercado alcance como
eBay, ofrecer tarifas más competitivas de
mercadotecnia como el seguro de progresivo, o
de utilizar el modelo de envío de FedEx para
asegurar tu paquete es absolutamente positiva
al día siguiente No.
Selección de una estrategia de TI

• Dirección ejecutiva selecciona una

estrategia de TI para cumplir con sus
objetivos de negocio. La estrategia
aprobada en caso de que de arriba hacia
abajo. La estrategia es entonces
formalizarse en una política y un
comunicado de la organización
 Especificar una política
• La gerencia tiene la responsabilidad de fijar metas.
• Cada meta debe ser apoyado con un conjunto definido de
objetivos.
• Debe elaborarse una estrategia en marcha para alcanzar estos
objetivos.
• El siguiente paso es especificar una política para comunicar los
deseos de la administración a los subordinados.

• Cada política debe estar diseñada para definir un curso de alto nivel
de acción. El objetivo de la política es informar a los interesados de
una solución . Una buena política se basa en una declaración de
administradores de importancia de la política. La declaración
explica cómo esta política particular es compatible con un objetivo
de negocio. La política está firmado por la persona de mayor rango
disponible para probar la autorización.
 Planificación de la estrategia de
TI
• Planes estratégicos de TI deben ser creados para
ayudar a la organización en el cumplimiento de largo
plazo y los objetivos de negocio a corto plazo.
• Cada plan de TI debe correlacionarse con un objetivo de
la organización específica.
• El objetivo de negocio puede ser la mejora en la gestión
de atención al cliente, mejorar la velocidad de
funcionamiento con una mejor integración de software.
• El plan de apoyo de TI podría definir la aplicación y para
un cliente nuevo sistema de Gestión de Relación (CRM).
• El rol de IT es el de un facilitador de los requisitos y
custodio. El valor estratégico real será determinado en la
mente de los ejecutivos de negocios.
Aplicación de Plan de Gestión
• Aplicaciones de software de ordenador son realmente métodos de realizar
el trabajo. Por lo tanto, un plan de gestión de software es necesario para
definir el tipo de trabajo que se realizo. Un banco de los consumidores
puede estar en la misma industria de como una empresa de cobro de la
deuda, por ejemplo. Sin embargo, ambas organizaciones utilizan
aplicaciones de software diferente. Aplicaciones de programas informáticos
deben ser adaptadas para ajustarse a necesidades del cliente. Las
aplicaciones informáticas se notan ventaja si el competidor utiliza el mismo
software, a menos que la aplicación es única y altamente personalizada.
• Es posible para obtener una ventaja competitiva mediante el uso de un
producto diferente que utiliza el competidor.
• La ventaja es lograr un mayor nivel de integración empresarial y/o menores
costos de operación. El argumento de los costos es la razón por la
aplicaciones de software de código abierto de MySQL unos uso de la base
de datos en lugar de la base de datos de Oracle. Ambos son excelentes
productos, La diferencia de costos puede permitir una importante inversión
especializados en la personalización de un gurú para crear software
altamente integrado que puede crear una ventaja competitiva con un costo
operativo más bajo en general.
 Plan Tecnológico
• Tecnología de los planes de la dirección
técnica de medio ambiente de una
organización mediante la indicación de los
tipos de hardware y software que con ser
utilizado.
• Poner la tecnología de los primeros
planes puede obstaculizar los resultados.
 Plan de organización
• La estructura de la organización de TI
debe ser diseñada para apoyar la
estrategia de negocio. Tecnología de la
información suele ser considerada como
una función de la administración interna.
Esto colocaría bajo la cabeza de los
controles internos (el CFO, vicepresidente
de finanzas, o de la Contraloría).
 Plan de Instalaciones
• Finalmente, la estrategia necesita
incorporar un plan de instalaciones.
Cuando las aplicaciones de datos y la
tecnología reside? ¿Quién manejará el
medio ambiente? La decisión final se
basará en los deseos de gestión Estos
deseos pueden incluir un mayor control, la
internalización, externalizacion , o una
combinación híbrida.
• El paso siguiente consiste en identificar los
lugares de abastecimiento.
• El abastecimiento decisión puede basarse en el
costo de operación para determinadas
ubicaciones geográficas.
• Costo de operación es un factor combinado de
las instalaciones, mano de obra, los
reglamentos y los recursos disponibles.
• Las organizaciones pueden optar por realizar
funciones en el lugar, en las instalaciones
suyas.
• El mundo es cada vez más pequeño como
el transporte y mejorar los servicios de
comunicación. Muchos de las barreras
culturales se han reducido en la economía
mundial. La economía mundial también ha
aumentado el número de competidores en
la feroz batalla por los ingresos. Una
organización en un momento preocupa
sólo de servicio al cliente en un pequeño
número de zonas horarias locales. Ahora,
los clientes dependen de las empresas las
24 horas del día, todo el mundo.
 Cuestiones de Cumplimiento
Legal
• Cuando se trata de cuestiones de la externalización, las empresas
deben ser conscientes de que lo que podría ser legal en un país
puede no ser legal en otro. Algunos ejemplos son la Unión Europea
(UE) las leyes de privacidad, que son mucho más estrictas que las
de la EEUU, o la insuficiencia de las leyes de propiedad intelectual
en China, que francamente no existen. En China, la actitud es que
si alguien tiene una copia, les pertenece. Aquí es donde la gestión
de negocios debe comprender:

• Cómo ese país o la cultura verlo?

• Como un ejemplo primitivo, sólo comparar las fiestas religiosas y de

estilo de vida que diferentes condados observar. Por ejemplo, el
flujo de armonía que la oficina se considera molesto en Japón si no
todos van a almorzar al mismo tiempo exacto, y volver en un par de
minutos
 Métodos de Control de Gestion
• los niveles de la gestión son responsables de proporcionar el
liderazgo. Los buenos líderes generan mejor perfeccionando de los
empleados individuales. La organización necesita evidencia
continua del rendimiento. El requerimiento mínimo de buena gestión
son los siguientes:
• • Informes de resultados
• • Registro General de mantenimiento
• • Salvaguardias y detalles aplicación de control
• El auditor debe revisar una variedad de documentos, incluido el
plan estratégico de la organización, políticas, IT planes y
procedimientos de operación. Estos incluyen los planes de
formación, sistema de mitigación, la certificación sistema, mejoría
de desastres, continuidad, y la inevitabilidad del cambio. Como
auditor, que de entrada con necesidad de la gente, además de la
administración de TI para asegurar la alineación con los objetivos
de la empresa.
 Planificación y Revisar
• Revisar de rendimiento »se refiere a la
identificación de un objetivo a ser monitoreados,
seguimiento, asignado a una persona
responsable, y la resolución de las cuestiones
pendientes. Los sistemas actuales requieren
una revisión periódica para determinar el actual
nivel de cumplimiento de controles interior y la
pasos que vaya a tomar.
• El modelo de capacidad de madurez (CMM) es
un método para evaluar y medir la madurez de
los procesos en las organizaciones. Una escala
de puntuación de O a 5 se utiliza.
• El Modelo de Madurez de la Capacidad también se discute en el Capítulo 5 para el software de
ciclo de vida de desarrollo.
• Nivel O = Sin embargo, nada el nivel de cero, está implícita en el CMM, pero no pueden pasar
inadvertidas. Esta es la importante la hora de evaluar la madurez del proceso. Falta procesos y
controles sin evidencia él calificó como cero. Muchas personas asumen que controlar ah está
presente cuando, en realidad, unos pueden estar ausentes. Un proceso o de control debe haber
ocurrido con el fin de alcanzar un nivel de madurez (1-5).
• Nivel 1 = Procesos iniciales son únicos y caótico..El no tiene un entorno estable. El éxito se
basa en las competencias individuales y de heroísmo. Este nivel a menudo produce productos y
servicios que funcionan. Sin embargo, la producción podrá superar los recursos disponibles o
ser personas especialmente dependientes del petróleo.
• Nivel 2 = procesos repetibles son repetibles. La organización utiliza la gestión de proyectos para
realizar un seguimiento proyectos. El estado de los proyectos que se comunica mediante el uso
de los hitos con una estructura definida por el trabajo de avería. El proceso de las normas
básicas, las descripciones, y los procedimientos son documentados.
• Nivel 3 = definido procesos están bien documentados y comprendidos. Nivel 3 es más madura y
mejor definida que el nivel 2. Procesos tienen objetivos, medidas, procedimientos de mejora, y
las normas. El nivel de 3 m resultados es predecible por medida cualitativa.
• Nivel 4 = Gestión Gestionado puede utilizar criterios de medición precisos para controlar los
procesos e identificar las formas de ajustar los resultados.
• Procesos en nivel 4 son predecibles, por medidas cuantitativas.
• Nivel 5 = Optimizado Esta es la más alto nivel con la mejora continua de procesos. Objetivos de
mejora se definen y se revisan continuamente para reflejar las necesidades y objetivos de
negocio.
• Francamente, niveles mas alto de alcanzar en el modelo de madurez aumenta la probabilidad
de que la controle interno tienen éxito. Un grado más alto CMM indica una definición de madurez
con un mayor grado de control. Tenga en cuenta la típica anzuelos en un contrato de
externalización. El comprador está enganchado a ella, y lo que las preguntas deberían
plantearse las siguientes:
 Planificación y ejecución
• La Organización Internacional de Normalización
(ISO), ratificado THC BS-7799-1 marco como
estándar ISO 17799. Esta nueva norma ISO
17799 contiene numerosos puntos que son
idénticas a las normas de los EE.UU.
• Con tanta atención en el control interno, el paso
más importante que una organización puede
tomar es la primera, para poner en práctica los
controles. Cualquiera de estas mejores prácticas
que ya modelos deben aplicarse.
• Gestión de la Calidad
 Gestión de Riesgos
• Los riesgos se producen en niveles . Hay riesgos estratégicos,
riesgos tácticos, los riesgos operativos y riesgos inherentes. hemos
discutido estos definiciones en los capítulos 1 y 2. Ahora veamos
una de las fórmulas más comunes de gestión riesgo.
• El primer paso en la gestión del riesgo consiste en calcular la
cantidad de una pérdida por única costaría. Esta fórmula se
multiplica un valor de activos (en dólares) por el porcentaje de
pérdida para un evento en particular. Por ejemplo, el porcentaje de
EEIO de un bolso robado es probable al 100 por ciento. En este
ejemplo, la pérdida sería de 100 por ciento del valor de la cartera.
La pérdida de datos debido a errores en el ingreso puede ser igual
a .007 porcentaje de los costes laborales. Esta primera fórmula se
expresa como sigue:
• De valor de activos (AV) $ x factor de exposición (EF)% =
expectativa de pérdida simple (SLE)
 Planificación y ejecución
• Las instalaciones incluyen un documento
particular, o los servicios prestados. Los riesgos,
o amenazas, podrían ser actos de terror, el
fraude maliciosos, la ejecución de un
procedimiento inadecuado, robo, o el fracaso de
control.
• La gestión del riesgo opera en una variedad de
nivel: Gestión en el nivel estratégico se centra
en si seguir adelante con una estrategia
particular en un período de años, es una buena
idea.
• El gobierno de TI se basa en la aplicación
de políticas formales y normas. Cada
norma está respaldada por un
procedimiento adaptado. El propósito de
gobernanza IT garantizar que los riesgos
están adecuadamente gestionados por la
mitigación, prevención, o la transferencia.