de finanzas y auditorÍa · 2015-07-31 · otros casos de fracasos en proyectos de t. i.: •...
TRANSCRIPT
V CONGRESO INTERNACIONAL
DE FINANZAS Y AUDITORÍACIFA
Evaluando proyectos de Tecnología de la
Información desde múltiples factores de riesgo
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Información desde múltiples factores de riesgo
Ing. Cesar Novo, CISA, CISM
Sobre el presentador.
Ingeniero de Sistemas, Maestría en AuditoríaIntegral y Control de Gestión de la Universidadde Valencia, Auditor de Sistemas CertificadoCISA, Gerente de Seguridad de T. I. CertificadoCISM, en la actualidad elabora su tesis doctoralsobre el tema “La gestión del riesgo operativo enlas instituciones financieras de la República
{Su foto}
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
las instituciones financieras de la RepúblicaDominicana”, Universidad de Valencia.
Acumula mas de 10 años de experiencia en lasáreas de tecnología, auditoría y procesosautomatizados para la gestión.
Cesar NovoDirector de RM & CAAT´s
SM Consulting
IntroducciónEsta conferencia va dirigida a auditores internos, externos y de sistemas; gerentesde proyectos y gerentes operativos.
En la misma les presentaré algunas de las principales consideraciones a tener encuenta al momento de evaluar proyectos de tecnología de la información, a fin deque éstas puedan ayudarles a identificar las principales amenazas que podríanafectar el logro delasmetasplanteadasal inicio deun proyectodetecnologíadela
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
afectar el logro delasmetasplanteadasal inicio deun proyectodetecnologíadelainformación.
Esta conferencia se desarrolla con la intención principal de poder presentar unapanorámica más amplia de los riesgos que pueden afectar el desarrollo de unsistema de información y el papel que deberían asumir los auditores internos de lasorganizaciones sobre este aspecto.
Agenda• Definición de éxito en un proyecto de T. I.
• Realidad de los proyectos de T. I.
• Mejores prácticas en la gestión de proyectos.
• El proceso de gestión de riesgos en los proyectos
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
• El proceso de gestión de riesgos en los proyectos de T. I.
• Factores de riesgos que inciden negativamente en los proyectos de T. I.
• Rol de los auditores internos
• Conclusiones
Definición de éxito en un proyecto de T. I.
Proyecto: Actividades interrelacionadas con un inicio y un fin que utilizan recursos limitados para lograr un objetivo deseado.
Actividades interrelacionadas con un inicio y un fin ======> Tiempo.
Recursos limitados =============================> Presupuesto.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Recursos limitados =============================> Presupuesto.
Objetivo====================================> Requerimiento.
El éxito de un proyecto dependerá del cumplimiento de estas tres variables
Fuente: Royal Academy of Engineering, 2004
Definición de éxito en un proyecto de T. I.
Objetivos EstratégicosObjetivos
EstratégicosTiempo
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Objetivos OperativosObjetivos Operativos
Gestión de Proyectos de T. I.
Gestión de Proyectos de T. I. Requerimientos
Costos
Definición de éxito en un proyecto de T. I.
Objetivos EstratégicosObjetivos
EstratégicosTiempo
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Objetivos OperativosObjetivos Operativos
Gestión de Proyectos de T. I.
Gestión de Proyectos de T. I. Requerimientos
Costos
Objetivos EstratégicosObjetivos
EstratégicosTiempo
Definición de éxito en un proyecto de T. I.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Objetivos OperativosObjetivos Operativos
Gestión de Proyectos de T. I.
Gestión de Proyectos de T. I. Requerimientos
Costos
Definición de éxito en un proyecto de T. I.
Objetivos EstratégicosObjetivos
EstratégicosTiempo
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Objetivos OperativosObjetivos Operativos
Gestión de Proyectos de T. I.
Gestión de Proyectos de T. I. Requerimientos
Costos
Realidad de los proyectos de T. I.De acuerdo al estudio CHAOS 2009, publicado por TheStandish Group's.
Se observan las siguientes realidades sobre el fracaso de los proyectos de T. I.:
• Solo el 32% de los proyectos de T. I. fue realizado con éxito.• El 44% de los proyectos de T. I. sufrió grandes variaciones en tiempo,
costos y requerimientos.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
costos y requerimientos.• Y el 24% de los proyectos de T. I. fue cancelado.
Este mismo estudio reveló en el año 1994 que el 31.1% de los proyectos de T. I fue cancelado y el 52.7% sobrepasó en por lo menos un 189% los presupuestos estipulados. Solo el 16.2% fue completado exitosamente.
Realidad de los proyectos de T. I.Principales casos de fracasos en proyectos de T. I.:
Hershey Food Corp.Sistema a instalar: SAP implementado por IBM y Siebel Systems.
Situación: Problemas en los productos de inventario y los pedidos.
Pérdida: Se estima que la pérdida fue aproximadamente unos US$ 150.2 millones.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
US$ 150.2 millones.
FBI
Sistema instalar: Archivos virtuales para registro y seguimiento de los casos.
Situación: Pobre definición en el diseño lógico y físico.
Pérdida: Más de US$ 123 millones y una cantidad incalculable de tiempo de espera. Este proyecto fue aprobado en el año 2000, actualmente un nuevo proyecto con el mismo objetivo está en desarrollo y se estima que finalizará para el año 2012.
Realidad de los proyectos de T. I.Otros casos de fracasos en proyectos de T. I.:
• FoxMeyer - ERP.
• Universal Oil – Sistema de gestión de costos.
• Tri Valley Growers – ERP.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
• Tri Valley Growers – ERP.
• Oxford Health Plans Inc. – Facturación y atención de reclamaciones.
• Marriott International – Sistema de reservaciones.
Mejores Prácticas en la Gestión de Proyectos
PMBOK (Project Management Body of Knowledge): •Estándar nacional Norteamericano para la gestión de proyectos, ANSI/PMI 99-001-2004.
•Base de conocimientos reconocidos internacionalmente como
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
•Base de conocimientos reconocidos internacionalmente como buenas prácticas para la gestión de proyectos.
•Desarrollado con la intención de ser una guía estándar para las
organizaciones en la gestión de sus proyectos.
Mejores Prácticas en la Gestión de Proyectos
PRINCE2 (Project In Controlled Environments ): •Método de administración de proyectos originarios del Reino Unido.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
•Prince2 divide los proyectos en etapas manejables.
•Cuenta con 7 principios, los cuales describen con bastante detalles. En la versión 2009 pasa de ser un método teórico a ser un método bastante práctico y flexible.
PRINCE2
Gestión de Proyectos
Proceso de Negocio Organización Calidad
Mejores Prácticas en la Gestión de Proyectos
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Planeación Riesgos
Progreso
Cambios
Mejores Prácticas en la Gestión de ProyectosCOBIT 4.1 (Control OBjetives for Information and related Technology): • Control Objectives for Information and related Technology(COBIT),
Objetivos de Control para la Información y Tecnologías Relacionadas por sussiglas en Inglés.
• Proporcionamejoresprácticasa travésde dominiosy procesospresentando
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
• Proporcionamejoresprácticasa travésde dominiosy procesospresentandoactividades de control a realizar mediante una estructura lógica en lastecnologías de la información.
• Estas mejores prácticas son el consenso de expertos de todo el mundo.
• Enfocadas más en control que en ejecución.
Mejores Prácticas en la Gestión de ProyectosCOBIT 4.1 (Control OBjetives for Information and related Technology): • Compuesta por 4 dominios y 34 procesos.
• Dominio:
– Planeación y Organización.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
• PO9: Administrar los riesgos de T. I.
• PO10: Administrar los proyectos de T. I.
COBIT complementa alPMBOK proveyendo de controles específicos detecnología de la información en un mayor nivel de detalles.
El proceso de gestión de riesgos en los proyectos de T. I.
COSO ERM
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
El proceso de gestión de riesgos en los proyectos de T. I.
AS/NZS 4360:2004
Monitorear y revisar
Establecer el contexto
Identificar los riesgos
Paso 1
Paso 2
Paso 6Paso 7
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Com
unic
ar y
con
sulta
r
Monitorear y revisar
Analizar los riesgos
Evaluar los riesgos
Tratar los riesgos
Paso 3
Paso 4
Paso 5
El proceso de gestión de riesgos en los proyectos de T. I.
PMBOK
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Planeación IdentificaciónAnálisis
CualitativoAnálisis
CuantitativoRespuesta
Monitoreo y Control
El proceso de gestión de riesgos en los proyectos de T. I.
Análisis de
Riesgos
IdentificaciónIdentificación
Gestión de
Riesgos
Monitoreo y
Reporte
Monitoreo y
Reporte
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
EvaluaciónEvaluación
RespuestaRespuesta
SelecciónSelección
Plan y RecursosPlan y Recursos
PRINCE2
Factores de riesgos que inciden negativamente en los proyectos de T. I.
•OTR Group (1992): Pudo observar que solo el 30% de las organizaciones utiliza un análisis de riesgos en sus inversiones de T. I. y en sus proyectos.
•Wilcoks (1996): Observó que no existen procesos formalmente estructurados para la gestión de riesgos en los proyectos de T. I.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
para la gestión de riesgos en los proyectos de T. I.
•Hartman y Ashrafi (2002): Consideran que dada las altas tasas de fracasos en los proyectos de T. I. es prudente que las organizaciones establezcan procesos efectivos para gestionar los riesgos en los proyectos de T. I.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
1. Relación comercial y legal.
2. Circunstancias económicas.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
2. Circunstancias económicas.
3. Comportamiento humano.
4. Circunstancias políticas.
5. Tecnología y asuntos técnicos.
6. Gestión de actividades y control.
7. Actividades individuales.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
1. Relación comercial y legal.
1. Rendimiento inadecuado de las terceras partes.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
1. Rendimiento inadecuado de las terceras partes.
2. Litigación y protección de la propiedad intelectual.
3. Fricciones entre la empresa y el proveedor.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
2. Circunstancias económicas.
1. Cambios en las condiciones del mercado.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
1. Cambios en las condiciones del mercado.
2. Acciones de nuestros competidores.
3. Software ya no necesitado.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
3. Comportamiento Humano.
1. Falta de integración del personal en los proyectos.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
1. Falta de integración del personal en los proyectos.
2. Poca calidad técnica en el personal.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
4. Circunstancias políticas.
1. Cultura corporativa inadecuada.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
1. Cultura corporativa inadecuada.
2. Falta de soporte de los ejecutivos.
3. Requerimientos gerenciales no relacionados.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
5. Tecnología y asuntos técnicos.
1. Documentación de usuarios inadecuada.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
1. Documentación de usuarios inadecuada.
2. Software de aplicación que no se ajustan a las necesidades.
3. Pobre rendimiento de los sistemas de producción.
4. Las limitaciones técnicas de solución alcanzaron o se excedieron.
5. Requerimientos incompletos.
6. Inapropiada interface de usuarios.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
6. Gestión de actividades y control.
1. Tiempos y presupuestos poco racionales.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
1. Tiempos y presupuestos poco racionales.
2. Continuos cambios en los requerimientos del cliente.
3. Falta de acuerdo de aceptación por parte de los usuarios.
4. Fallos en la revisión diaria de progreso.
5. Falta de un único punto de control.
6. Pobre liderazgo.
7. Desarrollo erróneo de los sistemas.
8. Falta de procesos formales para la gestión de cambios.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
El modelo AS/NZS:4360 1999 considera las siguientes categorías a fin de identificar los riesgos en un proyecto de T. I.:
7. Actividades individuales.
1. Sobre especificaciones de los sistemas.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
1. Sobre especificaciones de los sistemas.
2. Generación de falsas expectativas de parte de los proveedores.
Factores de riesgos que inciden negativamente en los proyectos de T. I.
Según un estudio realizado los principales 5 riesgos en los proyectos de tecnología de T. I. son los siguientes (David Bacarinni, 2004):
1. Falta de integración del personal en los proyectos.
2. Presupuestos y tiempos de entrega poco racionales.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
2. Presupuestos y tiempos de entrega poco racionales.
3. Expectativas poco realistas.
4. Requerimientos incompletos.
5. Pérdida de oportunidades debido a tardanzas en la entrega del software.
Rol de los auditores internos• En muchas organizaciones no se da mucha participación a los auditores en los
proyectos.
• Los auditores internos tradicionalmente participan en los proyectos y se enfocan principalmente en los aspectos de seguridad de los sistemas.
• En ocasiones olvidamos que la gestión de proyectos es un proceso auditable
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
• En ocasiones olvidamos que la gestión de proyectos es un proceso auditable como cualquier otro.
• El auditor interno es especialista natural en la gestión de riesgos, cosa que tradicionalmente los gerentes de proyectos no lo son.
Rol de los auditores internos• El auditor interno debe plantear a la alta gerencia la necesidad de una revisión
más directa en los proyectos de T. I.
• Cobit establece claramente los objetivos de control a seguir en los proyectos de T. I. y en la Gestión de riesgos de T. I.
• El auditor interno procura salvaguardar los activos en sus organizaciones.
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
• El auditor interno procura salvaguardar los activos en sus organizaciones. Proyectos fallidos son objetivos no alcanzados y por tanto activos perdidos.
• Reevaluar las evaluaciones de riesgos realizadas por el equipo de proyecto es una tarea del auditor interno.
Conclusiones
• El crecimiento de las organizaciones dependerá en gran parte de su expansión y de nuevos proyectos de T. I.
• Las altas tasas de fracasos en la implementación de proyectos de T. I., ameritan de procesos de gestión de riesgos más efectivos en los mismos.
• PMBOK, PRINCE2, COBIT son herramientas importantes a fin de
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
• PMBOK, PRINCE2, COBIT son herramientas importantes a fin de controlar y gestionar proyectos adecuados.
• Los auditores deben enfocar mayores esfuerzos a fin de colaborar con proyectos de T. I. exitosos.
• El personal, los presupuestos irrealistas y las especificaciones aéreas son de los principales riesgos a poner atención en un proyecto de T. I.
Información de contacto
MUCHAS GRACIAS POR SU ATENCION
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Información de contacto
César Novo, CISA, CISM
Email. [email protected]
Preguntas y Respuestas
Evaluando proyectos de Tecnología de la Información desde múltiples factores de riesgos
Preguntas y Respuestas