de finanzas y auditorÍa · 2015-07-31 · otros casos de fracasos en proyectos de t. i.: •...

$: DE FINANZAS Y AUDITORÍA · 2015-07-31 · Otros casos de fracasos en proyectos de T. I.: • FoxMeyer - ERP. • Universal Oil – Sistema de gestión de costos. • Tri Valley Growers$
V CONGRESO INTERNACIONAL

DE FINANZAS Y AUDITORÍACIFA

Evaluando proyectos de Tecnología de la

Información desde múltiples factores de riesgo

Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos

Información desde múltiples factores de riesgo

Ing. Cesar Novo, CISA, CISM

Sobre el presentador.

Ingeniero de Sistemas, Maestría en AuditoríaIntegral y Control de Gestión de la Universidadde Valencia, Auditor de Sistemas CertificadoCISA, Gerente de Seguridad de T. I. CertificadoCISM, en la actualidad elabora su tesis doctoralsobre el tema “La gestión del riesgo operativo enlas instituciones financieras de la República

{Su foto}


las instituciones financieras de la RepúblicaDominicana”, Universidad de Valencia.

Acumula mas de 10 años de experiencia en lasáreas de tecnología, auditoría y procesosautomatizados para la gestión.

Cesar NovoDirector de RM & CAAT´s

SM Consulting

IntroducciónEsta conferencia va dirigida a auditores internos, externos y de sistemas; gerentesde proyectos y gerentes operativos.

En la misma les presentaré algunas de las principales consideraciones a tener encuenta al momento de evaluar proyectos de tecnología de la información, a fin deque éstas puedan ayudarles a identificar las principales amenazas que podríanafectar el logro delasmetasplanteadasal inicio deun proyectodetecnologíadela


afectar el logro delasmetasplanteadasal inicio deun proyectodetecnologíadelainformación.

Esta conferencia se desarrolla con la intención principal de poder presentar unapanorámica más amplia de los riesgos que pueden afectar el desarrollo de unsistema de información y el papel que deberían asumir los auditores internos de lasorganizaciones sobre este aspecto.

Agenda• Definición de éxito en un proyecto de T. I.

• Realidad de los proyectos de T. I.

• Mejores prácticas en la gestión de proyectos.

• El proceso de gestión de riesgos en los proyectos


• El proceso de gestión de riesgos en los proyectos de T. I.

• Factores de riesgos que inciden negativamente en los proyectos de T. I.

• Rol de los auditores internos

• Conclusiones

Definición de éxito en un proyecto de T. I.

Proyecto: Actividades interrelacionadas con un inicio y un fin que utilizan recursos limitados para lograr un objetivo deseado.

Actividades interrelacionadas con un inicio y un fin ======> Tiempo.

Recursos limitados =============================> Presupuesto.


Recursos limitados =============================> Presupuesto.

Objetivo====================================> Requerimiento.

El éxito de un proyecto dependerá del cumplimiento de estas tres variables

Fuente: Royal Academy of Engineering, 2004


Objetivos EstratégicosObjetivos

EstratégicosTiempo


Objetivos OperativosObjetivos Operativos

Gestión de Proyectos de T. I.

Gestión de Proyectos de T. I. Requerimientos

Costos


EstratégicosTiempo






Costos



EstratégicosTiempo





Costos

Realidad de los proyectos de T. I.De acuerdo al estudio CHAOS 2009, publicado por TheStandish Group's.

Se observan las siguientes realidades sobre el fracaso de los proyectos de T. I.:

• Solo el 32% de los proyectos de T. I. fue realizado con éxito.• El 44% de los proyectos de T. I. sufrió grandes variaciones en tiempo,

costos y requerimientos.


costos y requerimientos.• Y el 24% de los proyectos de T. I. fue cancelado.

Este mismo estudio reveló en el año 1994 que el 31.1% de los proyectos de T. I fue cancelado y el 52.7% sobrepasó en por lo menos un 189% los presupuestos estipulados. Solo el 16.2% fue completado exitosamente.

Realidad de los proyectos de T. I.Principales casos de fracasos en proyectos de T. I.:

Hershey Food Corp.Sistema a instalar: SAP implementado por IBM y Siebel Systems.

Situación: Problemas en los productos de inventario y los pedidos.

Pérdida: Se estima que la pérdida fue aproximadamente unos US$ 150.2 millones.


US$ 150.2 millones.

FBI

Sistema instalar: Archivos virtuales para registro y seguimiento de los casos.

Situación: Pobre definición en el diseño lógico y físico.

Pérdida: Más de US$ 123 millones y una cantidad incalculable de tiempo de espera. Este proyecto fue aprobado en el año 2000, actualmente un nuevo proyecto con el mismo objetivo está en desarrollo y se estima que finalizará para el año 2012.

Realidad de los proyectos de T. I.Otros casos de fracasos en proyectos de T. I.:

• FoxMeyer - ERP.

• Universal Oil – Sistema de gestión de costos.

• Tri Valley Growers – ERP.


• Tri Valley Growers – ERP.

• Oxford Health Plans Inc. – Facturación y atención de reclamaciones.

• Marriott International – Sistema de reservaciones.

Mejores Prácticas en la Gestión de Proyectos

PMBOK (Project Management Body of Knowledge): •Estándar nacional Norteamericano para la gestión de proyectos, ANSI/PMI 99-001-2004.

•Base de conocimientos reconocidos internacionalmente como


•Base de conocimientos reconocidos internacionalmente como buenas prácticas para la gestión de proyectos.

•Desarrollado con la intención de ser una guía estándar para las

organizaciones en la gestión de sus proyectos.


PRINCE2 (Project In Controlled Environments ): •Método de administración de proyectos originarios del Reino Unido.


•Prince2 divide los proyectos en etapas manejables.

•Cuenta con 7 principios, los cuales describen con bastante detalles. En la versión 2009 pasa de ser un método teórico a ser un método bastante práctico y flexible.

PRINCE2

Gestión de Proyectos

Proceso de Negocio Organización Calidad



Planeación Riesgos

Progreso

Cambios

Mejores Prácticas en la Gestión de ProyectosCOBIT 4.1 (Control OBjetives for Information and related Technology): • Control Objectives for Information and related Technology(COBIT),

Objetivos de Control para la Información y Tecnologías Relacionadas por sussiglas en Inglés.

• Proporcionamejoresprácticasa travésde dominiosy procesospresentando


• Proporcionamejoresprácticasa travésde dominiosy procesospresentandoactividades de control a realizar mediante una estructura lógica en lastecnologías de la información.

• Estas mejores prácticas son el consenso de expertos de todo el mundo.

• Enfocadas más en control que en ejecución.

Mejores Prácticas en la Gestión de ProyectosCOBIT 4.1 (Control OBjetives for Information and related Technology): • Compuesta por 4 dominios y 34 procesos.

• Dominio:

– Planeación y Organización.


• PO9: Administrar los riesgos de T. I.

• PO10: Administrar los proyectos de T. I.

COBIT complementa alPMBOK proveyendo de controles específicos detecnología de la información en un mayor nivel de detalles.

El proceso de gestión de riesgos en los proyectos de T. I.

COSO ERM



AS/NZS 4360:2004

Monitorear y revisar

Establecer el contexto

Identificar los riesgos

Paso 1

Paso 2

Paso 6Paso 7


Com

unic

ar y

con

sulta

r

Monitorear y revisar

Analizar los riesgos

Evaluar los riesgos

Tratar los riesgos

Paso 3

Paso 4

Paso 5


PMBOK


Planeación IdentificaciónAnálisis

CualitativoAnálisis

CuantitativoRespuesta

Monitoreo y Control


Análisis de

Riesgos

IdentificaciónIdentificación

Gestión de

Riesgos

Monitoreo y

Reporte

Monitoreo y

Reporte


EvaluaciónEvaluación

RespuestaRespuesta

SelecciónSelección

Plan y RecursosPlan y Recursos

PRINCE2

Factores de riesgos que inciden negativamente en los proyectos de T. I.

•OTR Group (1992): Pudo observar que solo el 30% de las organizaciones utiliza un análisis de riesgos en sus inversiones de T. I. y en sus proyectos.

•Wilcoks (1996): Observó que no existen procesos formalmente estructurados para la gestión de riesgos en los proyectos de T. I.


para la gestión de riesgos en los proyectos de T. I.

•Hartman y Ashrafi (2002): Consideran que dada las altas tasas de fracasos en los proyectos de T. I. es prudente que las organizaciones establezcan procesos efectivos para gestionar los riesgos en los proyectos de T. I.


El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:

1. Relación comercial y legal.

2. Circunstancias económicas.



3. Comportamiento humano.

4. Circunstancias políticas.

5. Tecnología y asuntos técnicos.

6. Gestión de actividades y control.

7. Actividades individuales.



1. Relación comercial y legal.

1. Rendimiento inadecuado de las terceras partes.


1. Rendimiento inadecuado de las terceras partes.

2. Litigación y protección de la propiedad intelectual.

3. Fricciones entre la empresa y el proveedor.




1. Cambios en las condiciones del mercado.


1. Cambios en las condiciones del mercado.

2. Acciones de nuestros competidores.

3. Software ya no necesitado.



3. Comportamiento Humano.

1. Falta de integración del personal en los proyectos.



2. Poca calidad técnica en el personal.



4. Circunstancias políticas.

1. Cultura corporativa inadecuada.


1. Cultura corporativa inadecuada.

2. Falta de soporte de los ejecutivos.

3. Requerimientos gerenciales no relacionados.



5. Tecnología y asuntos técnicos.

1. Documentación de usuarios inadecuada.


1. Documentación de usuarios inadecuada.

2. Software de aplicación que no se ajustan a las necesidades.

3. Pobre rendimiento de los sistemas de producción.

4. Las limitaciones técnicas de solución alcanzaron o se excedieron.

5. Requerimientos incompletos.

6. Inapropiada interface de usuarios.



6. Gestión de actividades y control.

1. Tiempos y presupuestos poco racionales.


1. Tiempos y presupuestos poco racionales.

2. Continuos cambios en los requerimientos del cliente.

3. Falta de acuerdo de aceptación por parte de los usuarios.

4. Fallos en la revisión diaria de progreso.

5. Falta de un único punto de control.

6. Pobre liderazgo.

7. Desarrollo erróneo de los sistemas.

8. Falta de procesos formales para la gestión de cambios.



7. Actividades individuales.

1. Sobre especificaciones de los sistemas.


1. Sobre especificaciones de los sistemas.

2. Generación de falsas expectativas de parte de los proveedores.


Según un estudio realizado los principales 5 riesgos en los proyectos de tecnología de T. I. son los siguientes (David Bacarinni, 2004):


2. Presupuestos y tiempos de entrega poco racionales.


2. Presupuestos y tiempos de entrega poco racionales.

3. Expectativas poco realistas.

4. Requerimientos incompletos.

5. Pérdida de oportunidades debido a tardanzas en la entrega del software.

Rol de los auditores internos• En muchas organizaciones no se da mucha participación a los auditores en los

proyectos.

• Los auditores internos tradicionalmente participan en los proyectos y se enfocan principalmente en los aspectos de seguridad de los sistemas.

• En ocasiones olvidamos que la gestión de proyectos es un proceso auditable


• En ocasiones olvidamos que la gestión de proyectos es un proceso auditable como cualquier otro.

• El auditor interno es especialista natural en la gestión de riesgos, cosa que tradicionalmente los gerentes de proyectos no lo son.

Rol de los auditores internos• El auditor interno debe plantear a la alta gerencia la necesidad de una revisión

más directa en los proyectos de T. I.

• Cobit establece claramente los objetivos de control a seguir en los proyectos de T. I. y en la Gestión de riesgos de T. I.

• El auditor interno procura salvaguardar los activos en sus organizaciones.


• El auditor interno procura salvaguardar los activos en sus organizaciones. Proyectos fallidos son objetivos no alcanzados y por tanto activos perdidos.

• Reevaluar las evaluaciones de riesgos realizadas por el equipo de proyecto es una tarea del auditor interno.

Conclusiones

• El crecimiento de las organizaciones dependerá en gran parte de su expansión y de nuevos proyectos de T. I.

• Las altas tasas de fracasos en la implementación de proyectos de T. I., ameritan de procesos de gestión de riesgos más efectivos en los mismos.

• PMBOK, PRINCE2, COBIT son herramientas importantes a fin de


• PMBOK, PRINCE2, COBIT son herramientas importantes a fin de controlar y gestionar proyectos adecuados.

• Los auditores deben enfocar mayores esfuerzos a fin de colaborar con proyectos de T. I. exitosos.

• El personal, los presupuestos irrealistas y las especificaciones aéreas son de los principales riesgos a poner atención en un proyecto de T. I.

Información de contacto

MUCHAS GRACIAS POR SU ATENCION


Información de contacto

César Novo, CISA, CISM

Email. [email protected]

Preguntas y Respuestas


Preguntas y Respuestas

de finanzas y auditorÍa · 2015-07-31 · otros casos de fracasos en proyectos de t. i.: •...

Documents