1 EVALUACIÓN TÉCNICA INFORMÁTICA DE LOS PRINCIPALES PROCESOS UTILIZANDO LOS DOMINIOS 3 Y 4 DE COBIT 5. Maestría en evaluación y auditoría de sistemas tecnológicos VII promoción Responsables: Ing. Maribel Iza Ing. Mayra Vera Responsables: Ing. Maribel Iza Ing. Mayra Vera

2 EVALUACIÓN TÉCNICA INFORMÁTICA DE LOS PRINCIPALES PROCESOS UTILIZANDO LOS DOMINIOS 3 Y 4 DE COBIT 5. COBIT 5COMPARACIÓN DE COBIT 5 CON OTROS MODELOS ALINEACIÓN DE COBIT 5 CON LOS PROCESOS DEL BANCO METODOLOGÍA PARA LA EVALUACIÓN DE PROCESOSEVALUACIÓN DE PROCESOSCONCLUSIONES Y RECOMENDACIONES

3 COBIT 5 Trata sobre el gobierno de TI Dominio 1. Evaluar, orientar y supervisar Permite la gestión de la información y la tecnología. Dominio 2. Alinear, planificar y organizar Trata la identificación de los requerimientos. Dominio 3. Construir, adquirir e implementar Permite la continuidad de las operaciones. Dominio 4. Entrega, servicio y soporte Evalúan si el sistema de TI está acorde a los objetivos e. Dominio 5. Supervisar, evaluar y valorar

4 COMPARACIÓN DE COBIT 5 CON OTROS MODELOS COBIT 4.1COBIT 5 4 dominios y 34 procesos5 dominios y 37 procesos Planear y organizar (10 procesos)Alinear, planificar y organizar(13 procesos) Adquirir e implementar (7 procesos)Construir, adquirir e implementar (10 procesos) Entregar y dar soporte (13 procesos)Entregar, dar servicio y soporte (6 procesos) Monitoreo y evaluación (4 procesos)Monitorear, evaluar y analizar (3 procesos) 1. PROCESOS Y DOMINIOS

5 COMPARACIÓN DE COBIT 5 CON OTROS MODELOS COBIT 4.1COBIT 5 EfectividadUtilidad EficienciaCredibilidad, accesibilidad, facilidad de operación y reputación. IntegridadCompletitud, precisión ConfiabilidadCredibilidad, reputación y confiabilidad. DisponibilidadAccesibilidad y seguridad. ConfidencialidadAcceso restringido a la información de la calidad. CumplimientoConformidad 2. Criterios de información

6 COMPARACIÓN DE COBIT 5 CON OTROS MODELOS EnfoqueMarcos de referencia Gobierno y calidad COBIT 5ISO 9001ISO 38500 COSO EstrategiaPMITOGAF ServiciosISO 20000ITIL DesarrolloCMMIISO 23500PMIPMBO K PRIN CE 2 PrevenciónISO 32000ISO 27000ISO 22300 RecursosITIL

7 A LINEACIÓN DE COBIT 5 CON LOS PROCESOS DEL BANCO

8

9 1. Mapeo de los objetivos corporativos de Cobit 5 con los objetivos de TI

10 A LINEACIÓN DE COBIT 5 CON LOS PROCESOS DEL BANCO 2. Mapeo de objetivos relacionados con TI y los procesos de los dominios 3 y 4

11 A LINEACIÓN DE COBIT 5 CON LOS PROCESOS DEL BANCO 1. Mapeo de los objetivos corporativos de Cobit 5 con los objetivos de TI

12 A LINEACIÓN DE COBIT 5 CON LOS PROCESOS DEL BANCO PROCESOS SELECCIONADOS

13 M ETODOLOGÍA PARA LA EVALUACIÓN DE LOS PROCESOS SELECCIONADOS 1. Planificación

14 M ETODOLOGÍA PARA LA EVALUACIÓN DE LOS PROCESOS SELECCIONADOS 2. Planificación específica

15 M ETODOLOGÍA PARA LA EVALUACIÓN DE LOS PROCESOS SELECCIONADOS Estudio de riesgos

16 M ETODOLOGÍA PARA LA EVALUACIÓN DE LOS PROCESOS SELECCIONADOS Plan de auditoría

17 EVALUACIÓN DE LOS PROCESOS En el desarrollo de la evaluación, la revisión se fundamenta en el Dominio 3 Construir, Adquirir e Implementar con su proceso BAI01 Gestionar los Programas y Proyectos y en el Dominio 4 Entregar, dar Servicio y Soporte con su proceso DSS03 Gestionar los Problemas. Se analizó la documentación facilitada, se realizaron entrevistas al personal del departamento de Tecnología de la institución, se efectuaron pruebas de campo y visitas a las instalaciones del Banco, enfocándonos en los procesos objeto de la revisión. Consecuentemente se detallan los puntos resultados del análisis y trabajo realizado:

18 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) Hallazgos El Banco cuenta con un procedimiento detallado del 30 de abril del 2012 para la gestión de programas y proyectos, donde se menciona que políticas, niveles de aprobación, documentos que sustentan el proceso, etc. en los niveles de aprobación se detalla lo siguiente: “Son usuarios autorizados los siguientes: Gerencia General, Jefaturas Departamentales (Jefe de negocios, Jefe de Tecnología de la Información, Jefe Financiero Administrativo, Jefe de Riesgos, Jefe de Talento Humano) y los Responsables de unidades administrativas (Oficial de Cumplimiento y Asesor Jurídico )”(Banco Desarrollo SA, 2014) Por otra parte se encuentra una metodología para el desarrollo de programas y proyectos de 20 de 09 del 2011, basada en Microsoft Solutions Framework (MSF), como guía de procedimientos. En de manual de políticas del abril 2014, también se menciona aspectos a tomar en cuenta en la gestión de programas y proyectos. BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.

19 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) Conclusión Existe falta de actualización de los manuales y metodologías, puesto que en relación a las políticas distan mucho uno de otro, el procedimiento establece los niveles de aprobación, sin embargo según organigrama estructural, dichos cargos ya no existen, en el flujograma del procedimiento se mencionan varios requisitos que debe tener un programa o proyecto para sacarlo a producción, sin embargo se observa, que no existen manuales. BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.

20 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) Recomendación El gerente general: Dispondrá al subgerente de operaciones que se estandarice, manuales y procedimientos. Proponga en el comité de tecnología la necesidad de la actualización de manuales y procedimientos que ayuden y sustenten la gestión de tecnología. BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.

21 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) Recomendación El Subgerente de Gestión Operativa: Coordinará y modificará los manuales y procedimientos de TI, estandarizando los mismos Presentará en el comité las modificaciones solicitadas para la aprobación respectiva. BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.

22 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) Hallazgos El Banco Desarrollo ha iniciado varios proyectos y programas en el 2014: -Cuentas Corrientes -Normativa SBS -ATM -Web empresa -Servipagos -Facturación -Crédito Efectivo -Portafolio de Inversiones -Accionistas -Restructuración de crédito -Cartera (recaudadoras) BAI01.02 Iniciar un programa de tecnología

23 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) Hallazgos Cuenta con un Comité de Informática, que entre sus funciones, busca alinear las estrategias de TI a las estrategias institucionales, existe encargados de los proyectos y programas específicos muchos de ellos se ha cumplido en 100%. BAI01.02 Iniciar un programa de tecnología

24 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) Conclusión El avance de los proyectos y programas son presentados en la Figura 23 con un avance del 100% en el 2014, sin embargo, cuentas corrientes, no ha sido concluida, si bien el producto fue puesto en producción los pendientes de desarrollo han generado varios errores, que obligan a nuevos desarrollos que incrementan costos, lo que se puede comprobar mediante 48 pendientes de cuentas corrientes. Otra situación que afecta a dicho proyecto es que se contrató con una empresa distinta al Sistema de Información Financial de utiliza el Banco. BAI01.02 Iniciar un programa de tecnología

25 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El gerente general: Dispondrá al Sugerente de Operaciones un estudio de pre factibilidad del proyecto que permita analizar los pro y contra de las contrataciones Dispondrá al Subgerente de Operaciones un informe detallado de los pendientes y errores originados por del proyecto de cuentas corrientes. Propondrá en el Comité de Auditoría la posibilidad de ejecutar las garantías con la empresa contratada. BAI01.02 Iniciar un programa de tecnología

26 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El Subgerente de Gestión Operativa: Elaborar estudios de pre factibilidad de los nuevos programas y proyectos conforme al monto de inversión y los beneficios institucionales. Realizar un informe detallado de todos los pendientes del proyecto de cuentas corrientes. Elaborar un informe que muestre el cumplimiento de la empresa contratante conforme al contrato y las especificaciones solicitadas por el banco. BAI01.02 Iniciar un programa de tecnología

27 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS Según constatación física de los procesos existe un formulario de requerimiento de desarrollo de programas y proyectos que solicita determinado usuario, con la firma de aprobación de su jefe departamental, estos son entregados al área de Operaciones quienes pasan al área de tecnología para la firma del Subgerente de Operaciones, que según formulario lo registran como Jefe de Tecnología. Luego se entrega para el desarrollo al programador quien, establece contacto para obtener lineamientos del requerimiento. BAI01.3 Gestionar el compromiso de las partes interesadas

28 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) CONCLUSIÓN Se realiza reuniones para lineamientos solo con el usuario que solicita dicho desarrollo o proyecto, más no se considera una análisis que permita identificar a todo los usuarios o áreas que afectan dicho desarrollo, tampoco existe un registro de asistencia a las reuniones de avance de programas o proyectos, lo cual deja sin sustento ciertos cambios que se solicitan. BAI01.3 Gestionar el compromiso de las partes interesadas

29 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El gerente general: Disponga la creación de un plan o metodología que permita la identificación de interesados o áreas que deben participar en el desarrollo de los programas y proyectos. Se lleve un control a través de una bitácora o actas de la asistencia a los avances de los desarrollos. BAI01.3 Gestionar el compromiso de las partes interesadas

30 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El Subgerente de Gestión Operativa: Desarrollar una metodología o proceso para la identificación de los usuarios. Diseñar formularios de requerimientos donde se actualice las firmas de autorización, conforme a la realidad institucional. Equipo de Desarrolladores: Disponga la necesidad de un listado de los involucrados para las reuniones que requiera los desarrollos. Controlar las firmas de asistencia a las reuniones BAI01.3 Gestionar el compromiso de las partes interesadas

31 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS En el área de tecnología pudimos constatar que son 13 personas que laboran en el departamento distribuidas de la siguiente manera: BAI01.4 Desarrollar y mantener el plan de programa

32 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) CONCLUSIÓN Existe un plan de programas, para los cuales se designa montos en el presupuesto para los desarrollos y proyectos, sin embargo en comparación con los valores facturados se excede el presupuesto. Se ha solicitado actas de reuniones de avances de los proyectos pero no existen, por otra parte el personal de desarrollo no es suficiente por lo cual se ven obligados a contratar empresas externas que sube el costo de TI. BAI01.4 Desarrollar y mantener el plan de programa

33 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El gerente general: Disponga que se documente el plan de programa de tecnología cubriendo todos los proyectos. Disponga efectuar evaluaciones trimestrales del cumplimiento del presupuesto de TI del año 2014, el cual será presentada por el Jefe de Tecnología para conocimiento y análisis del Comité de Tecnología. Esta evaluación permitirá identificar desfases en su cumplimiento. Disponga que se elabore un plan de recursos humanos en donde se especifique las bases para la contratación del personal, habilidades y los recursos necesarios para ejecutar el proyecto debe incluirse los gerentes y los equipos de proyecto. BAI01.4 Desarrollar y mantener el plan de programa

34 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El Subgerente de Gestión Operativa: Elabore el plan de programa de tecnología. Presente el cumplimiento del presupuesto de TI trimestral. Coordine con el jefe de recursos humanos para crear un plan de recursos humanos. Una vez creado el plan de programa, este debe estar actualizado para que se refleje los avances, beneficios, costos y riesgos. BAI01.4 Desarrollar y mantener el plan de programa

35 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS Para el lanzamiento y ejecución de un programa o proyecto se realiza una presentación del producto, mismo que de estar conforme a lo que requiere el usuario se firma la aprobación para ponerlo en producción. CONCLUSION Sin embargo, de existir una metodología de desarrollo, no contempla un plan de programa, limitando la evaluación de los cambios que se pueden presentar en el transcurso de los desarrollos. BAI01.5 Lanzar y ejecutar el programa de tecnología

36 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El gerente general: Disponga la modificación del procedimiento o metodología de desarrollo basándose en modelos de gestión que permita identificar todas las etapas que se presente. El jefe de tecnología: Realice el cambio en el documento de metodología de desarrollo que dispone el gerente general. Revise el progreso de los proyectos y en caso no contribuya en los beneficios esperados, realizar un análisis para ver si se continúa con el proyecto. Documente y monitorice los cambios importantes del programa para asegurar planes de mitigación. BAI01.5 Lanzar y ejecutar el programa de tecnología

37 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS Se realiza un seguimiento de los proyectos a través de reuniones trimestrales con los equipos de trabajo donde se evalúan los costos, beneficios obtenidos e información relevante. TI presenta un informe 2014 donde se manifiesta el avance de los proyectos o programas, sin embargo, según visita de campo y entrevista, Servipagos ya no existe y cuentas corrientes presentan varios pendientes BAI01.6 Supervisar, controlar e informar de los resultados del programa

38 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) CONCLUSION Se presenta un informe del avance de los proyectos pero no se analiza el retorno de inversión, el número de programas o proyectos entregados a tiempo, no se publican los resultados de los proyectos eso hace que no se pueda medir el éxito o no de un proyecto. TI carece de un detalle que ayude a evaluar el tiempo que transcurre entre la petición y la entrega del producto, así como también las prioridades para el área. BAI01.6 Supervisar, controlar e informar de los resultados del programa

39 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN Al gerente general: Proponga al Comité de Tecnología una metodología de evaluación y medición de los proyectos versus las estrategias del Banco El Subgerente de Gestión Operativa: Supervise y controle el rendimiento del programa e informe de manera oportuna. Genere informes mensuales de los avances de proyectos El coordinador de desarrollo: Lleve un control de las peticiones y avance estadístico de los requerimientos. BAI01.6 Supervisar, controlar e informar de los resultados del programa

40 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS Se realiza un seguimiento de ejecución de proyectos a través de informes y lanzamientos de proyectos con la aprobación respectiva. CONCLUSION A pesar de que se realiza una ejecución de proyectos no se lo realiza de manera periódica y no existen declaraciones del alcance del proyecto y definiciones de proyecto. BAI01.7 Lanzar e iniciar proyectos dentro de un programa

41 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El Subgerente de Gestión Operativa: Realiza seguimiento de ejecución mensualmente con informes regulares y cambios de estado. Crea un entendimiento común del alcance del proyecto entre todos los involucrados. Especifica los requerimientos para el plan de comunicación del proyecto en la definición del proyecto. BAI01.7 Lanzar e iniciar proyectos dentro de un programa

42 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS El Banco cuenta con Plan Estratégico de TI, donde se manifiesta todos los objetivos estratégicos que el área persigue en concordancia con los objetivo del Banco Desarrollo, sin embargo esto carece de una planificación para los proyectos que impide tener una base en que sustentar o guiar el proyecto en sí. CONCLUSIÓN A pesar de que el Banco cuenta con un plan estratégico de tecnología de la información, no existe planes para cada proyecto de tecnología lo que hace difícil una evaluación de los mismos. BAI01.8 Planificar proyectos de tecnología

43 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN Al gerente general: Disponga que se elabore un plan para cada proyecto que contenga información que ayude a la Gerencia a controlar el progreso del proyecto. El Subgerente de Gestión Operativa: En coordinación con los líderes de los proyectos de tecnología elaboren los planes de proyecto en las que debe incluir: detalles de los entregables del proyecto, alcance, tiempos, costos, recursos, comunicación, etc. Determinar las actividades, colaboración y comunicación dentro de los proyectos en el programa. A los líderes de proyectos de tecnología: Mantener los planes de proyectos de tecnología actualizados. BAI01.8 Planificar proyectos de tecnología

44 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS Existe el documento de Metodología de Desarrollo, donde consta el punto de plan de pruebas, no se encuentra un detalle para la gestión de la calidad de los programas y proyectos de tecnología. CONCLUSIÓN Existe un plan de pruebas como un punto dentro de la metodología de desarrollo, sin embargo se necesita tener un plan para medir la calidad de los programas y proyectos de tecnología. BAI01.9 Gestionar la calidad de los programas y proyectos de tecnología

45 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN Al gerente general: Disponga se elabore un plan de gestión de la calidad basado en la norma ISO 9000 que contenga información clara y detallada. Disponga la contratación de la persona experta en levantamiento de procesos para crear el plan de gestión de la calidad. Disponga se realice un aseguramiento de la calidad de acuerdo con el plan de gestión de la calidad. Al experto en procesos: Elabore el plan de gestión de la calidad. Identifique las actividades y prácticas de aseguramiento para apoyar la acreditación de sistemas nuevos o modificados. Proporcione garantías de calidad para los entregables del proyecto, identificando proceso de calidad, criterios de éxito y métricas. BAI01.9 Gestionar la calidad de los programas y proyectos de tecnología

46 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS El Banco Desarrollo S.A según estructura organizacional cuenta con una Unidad de Riesgos que es encargado de realizar las siguientes funciones en general: Planificación de la gestión de riesgos. Identifican los riesgos. Realizan un análisis de los riesgos. Planifican la respuesta a los riesgos. Controlan los riesgos. En el manual de gestión de riesgo dispone la ejecución de sus funciones en varias áreas pero no se detalla temas relacionados con la Gestión de riesgos de TI, más aún riesgos de programas y proyectos. BAI01.10 Gestionar el riesgo de los programas y proyectos de tecnología

47 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) CONCLUSIÓN A pesar de que existe un departamento de gestión de riesgos se analizan los riesgos relacionados con el área financiera, actividades de negocio, etc. más no se considera los riesgos relacionados con TI. RECOMENDACIÓN El gerente general: Disponga incluir en el manual de gestión de riesgos un capítulo sobre los riesgos tecnológicos. Inclusión en el manual una clasificación de los riesgos. El Subgerente de Gestión Operativa: Coordine y colaboré en la identificación de los riesgos de TI. BAI01.10 Gestionar el riesgo de los programas y proyectos de tecnología

48 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS El comité de tecnología se encarga de monitorear los proyectos tecnológicos, en las reuniones que se celebran trimestralmente, se puede constatar que si existe un monitoreo de los proyectos de tecnología, por parte la gerencia y auditoría interna realiza un constante seguimiento de los proyectos de TI. CONCLUSION Existe un monitoreo de los proyectos tecnológicos, sin embargo, es importante contar con otras medidas para el seguimiento de los proyectos, que permita un monitoreo constante. BAI01.11 Supervisar y controlar proyectos de tecnología

49 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El gerente general: Disponga a Auditoría Interna la coordinación para la contratación de auditorías tecnológicas o la creación de dicha área para el control y supervisión de TI, lo que implica control y supervisión de programas y proyectos. El líder del proyecto: Realice informes de avances de los proyectos. El Subgerente de Gestión Operativa: Coordine para el desarrollo de herramientas abiertas a las áreas de control y supervisión en cuanto a avances y estados de los proyectos de tecnología. Auditoría interna Monitoreo constante de los proyectos de TI. BAI01.11 Supervisar y controlar proyectos de tecnología

50 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS En cuanto al recurso humano de TI, no pueden abastecer todos los requerimientos resaltando la necesidad de contratar con terceros. Si bien dichas instituciones trata de involucrar a todas las áreas con el fin de cumplir el objeto para la cual son contratadas, el Banco Desarrollo, pierde la posibilidad de dar soporte directo al usuario, puesto que el recurso humano de TI no desarrolla las habilidades en determinado desarrollo. CONCLUSIÓN Entre los recursos que TI necesita se ve obligado a contratar a terceras personas para el desarrollo de determinados proyectos, limitando la asistencia directa al usuario, incrementado costos al área. BAI01.12 Gestionar los recursos y los paquetes de trabajo del proyecto de tecnología

51 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN El gerente general: Disponga la necesidad de contar con recursos humanos propios de la institución que abastezcan los proyectos del Banco. El Subgerente de Gestión Operativa: Involucre al personal de TI en los desarrollos de proyectos por parte de terceros. BAI01.12 Gestionar los recursos y los paquetes de trabajo del proyecto de tecnología

52 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) HALLAZGOS: Existe el cierre de un proyecto cuando se llega a presentar el producto final al usuario. CONCLUSION: No existe un cierre formal del proyecto, no existe una guía para aplicar el cierre de un proyecto, ni evaluaciones antes de la implementación para evaluar si el producto obtuvo los resultados y beneficios esperados. BAI01.13 y BAI01.14 Cerrar un proyecto de tecnología.

53 C ONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) RECOMENDACIÓN: Al gerente general: Disponga la elaboración de una guía paso a paso para los cierres de proyectos. Al comité de tecnología: Planifique y realice revisiones antes de la implementación del proyecto para evaluar si el producto obtuvo los resultados y beneficios esperados. Obtener el documento de aceptación de los entregables por parte de los usuarios. BAI01.13 y BAI01.14 Cerrar un proyecto de tecnología.

54 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) HALLAZGOS: Existe un Manual de Políticas de TI en vigencia desde Diciembre 2013, que incluye el punto de “Asignación de los problemas e incidencias reportados al departamento de TI”. Se nos entregó un listado de los requerimientos efectuados al área de soporte con la siguiente información: # Ticket, persona asignada, persona que solicita, descripción, fecha de solicitud, estado y la prioridad, adicionalmente hay un Instructivo de Asignación de problemas e incidentes en donde se encuentra en un punto el SLA. DSS03.01 Identificar y clasificar problemas..

55 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) CONCLUSION: En el instructivo de asignación de problemas e incidentes se detalla la diferencia entre incidente y problema pero no se explica el tratamiento que se da al problema. En el listado que se nos proporcionó no se evidencia el cumplimiento del procedimiento en el manual de políticas de TI, respecto a las prioridades de los tickets, los tiempos de resolución y a que elementos de TI afectaron dichos requerimientos. DSS03.01 Identificar y clasificar problemas..

56 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) RECOMENDACIÓN: El gerente general: Disponga que se modifique el instructivo de asignación de problemas sobre el tratamiento de problemas. El Subgerente de Gestión Operativa: Modifique el instructivo de asignación de problemas. Los técnicos de sistemas: Elaboren un catálogo de problemas de TI para poder clasificarlos de acuerdo al SLA. Elabore los reportes necesarios que permitan evidenciar el cumplimiento de la gestión de problemas, los que deben tener estadísticas mensuales de los problemas presentados, tiempos de solución, soluciones realizadas y deberán ser presentados mensualmente al jefe de tecnología. DSS03.01 Identificar y clasificar problemas..

57 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) HALLAZGOS: Según las entrevistas realizadas a los técnicos de soporte nos informaron que ellos son los que analizan el problema que ocurre pero que no cuentan con una base de conocimiento en donde se guarde la solución que se dio al problema, observamos que existe un ambiente de pruebas para detectar problemas con respecto al desarrollo de los sistemas. CONCLUSIÓN: No existe un área en donde se realice la investigación y diagnóstico de problemas de TI, no cuentan con una base de conocimiento de resolución de problemas, existe un ambiente de pruebas que solo sirve para detectar problemas en el desarrollo de sistemas sin embargo no cuentan con un ambiente de pruebas global que permita realizar pruebas en entornos controlados para reproducir problemas de TI e identificar la causa raíz de donde proviene. DSS03.02 Investigar y diagnosticar problemas de TI.

58 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) RECOMENDACIÓN El gerente general: Disponga se arme un equipo especializado para la investigación y diagnóstico de problemas de TI. El Subgerente de Gestión Operativa: Disponga la creación de un ambiente de pruebas para el área de help desk. Elabore perfiles y funciones para el equipo de gestión de problemas de TI. Supervise el estado del proceso de gestión de problemas. DSS03.02 Investigar y diagnosticar problemas de TI.

59 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) HALLAZGOS: Las solicitudes de cambio se lo realizan vía email, lo cual no es un documento formal para ir guardando en la base de conocimiento de gestión de cambios. CONCLUSIÓN: Si bien el Banco cuenta con el Instructivo de asignación de problemas e incidentes de TI, no existe el proceso de levantar los errores conocidos, no existen registros de errores conocidos, lo cual no permite contar con una base de errores conocidos del Banco. DSS03.03 Levantar errores conocidos de TI

60 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) RECOMENDACIÓN: El gerente general: Disponga la creación de un procedimiento para levantar errores conocidos o actualizar el Instructivo de asignación de problemas e incidentes de TI. Disponga la creación de un procedimiento para las solicitudes de cambios. El Subgerente de Gestión Operativa: Elabore el procedimiento para levantar errores conocidos, siguiendo las directrices de COBIT 5. Elabore el procedimiento para las solicitudes de cambios. DSS03.03 Levantar errores conocidos de TI

61 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) HALLAZGOS: El Banco cuenta con un sistema de desarrollo interno para gestionar los problemas e incidentes que se encuentra en el portal web del Banco. Al ingresar al sistema se puede elegir 2 opciones: Ingreso de un requerimiento. Ingreso de un problema. El Instructivo de Asignación y Problemas de TI explica el procedimiento para resolver y cerrar problemas de TI. DSS03.04 Resolver y cerrar problemas de TI

62 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) CONCLUSIÓN: Existe un procedimiento para la resolución y cierre de problemas, sin embargo al sistema le falta la generación de reportes mensuales. RECOMENDACIÓN: Los técnicos de sistemas: Revisar y confirmar la solución de problemas graves. Coordinar y comunicar el conocimiento aprendido al jefe de tecnología. Presentar informes mensuales de los cierres de los problemas. DSS03.04 Resolver y cerrar problemas de TI

63 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) HALLAZGOS: En la base de datos existen pistas de auditoría: fecha de creación, fecha de modificación, usuario. CONCLUSIÓN: Según las pistas de auditoría encontradas en la base de datos se puede realizar en algo la monitorización de problemas pero se necesitan otros controles para el manejo de una gestión de problemas proactiva. DSS03.05 Realizar una gestión de problemas proactiva

64 ENTREGAR, SERVIR Y DAR SOPORTE (DSS) RECOMENDACIÓN: El Subgerente de Gestión Operativa: Coordine reuniones periódicas con el comité de tecnología para la información de incidentes y problemas. Supervisar los costos de los problemas. Los técnicos de sistemas: Deben analizar las tendencias de los problemas verificados. Elaboren informes de supervisión de resolución de problemas. Identifiquen soluciones permanentes. DSS03.05 Realizar una gestión de problemas proactiva

65 CONCLUSIONES La principal actividad de los bancos es la intermediación financiera con recursos económicos de terceros, lo cual obliga a una revisión más rigurosa por parte de los entes de control, quienes constantemente está reformando la normativa y reglamentación acorde a los cambios actuales, dando siempre prioridad a los clientes. El sector financiero tiene una estrecha relación con tecnología de la Información debido a que la banca es el blanco más buscado por todo tipo de delincuentes, que buscan beneficiarse de recursos ajenos y es TI quienes tiende a disminuir estos riesgos Banco Desarrollo S.A al ser una institución nueva, requiere invertir en tecnología para lograr competitividad dentro del mercado en que se encuentra, dando seguridad a los recursos de sus clientes, independientemente del lugar donde se ubique. La evaluación realizada de los procesos seleccionados de los dominios 3 y 4 de Cobit 5, demuestra que del cien por ciento de la revisión, el sesenta por ciento de los procesos no cumplen y un cuarenta por ciento tiene una aplicación parcial, en relación a marco referencial utilizado.

66 RECOMENDACIONES El Banco Desarrollo requiere basar sus procesos en estándares o metodologías de Tecnología de la Información, esto permitirá a sus representantes garantizar y disminuir los riesgos en sus procesos, manteniendo una actualización constante acorde a los nuevos avances tecnológicos para instituciones financieras. Es fundamental realizar evaluaciones periódicas de todos los procesos de tecnología del Banco, para en base a resultados y recomendaciones tomar medidas orientadas que garanticen los servicios de TI (factor fundamental en el mundo actual) Al ser reciente el cambio de Cooperativa a Banco Desarrollo S.A., es necesario que la gerencia invierta más recursos para actualizar constantemente su tecnología y garantizar la seguridad del dinero de los depositantes.