COBIT y Gobernanza de TI

Anuncio
Como aporta COBIT 5 y gobernanza de
TI a la gobernanza empresarial
Carlos Francavilla
Socio
ICG LATAM
www.isaca.org.uy
Agenda
•
•
•
•
¿Qué es Gobierno Corporativo?
Un poco de historia
El marco COBIT 5®
Principios de COBIT 5®
– Principios ISO 38500
• Dominio de Gobierno
• Aporte de COBIT al gobierno
www.isaca.org.uy
Gobierno
Corporativo
Organizaciones
Controlan
www.isaca.org.uy
Sistema
Dirigen
Seguimientos de Resultados/Presupuestos
92,39%
Seguimiento de Operaciones/Actividades
88,04%
Estrategia
74,46%
Gestión de Riesgos
40,22%
Control Interno
Cumplimiento Normativo
Responsabilidad Social
Comunicación Corporativa
www.isaca.org.uy
35,87%
26,09%
20,65%
17,39%
Fuente Deloite Estudio 180 Empresas España 2012
Comité Ejecutivo / CEO
88,04%
Junta Directiva
75,54%
Unidades de Negocio
68,48%
Comité de Estrategia
Asesores Externos
www.isaca.org.uy
20,65%
7,61%
Fuente Deloite Estudio 180 Empresas España 2012
Alto
82,41%
Medio
Bajo
12,96%
4,63%
www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
Enterprise Risk Management COSO
49,25%
Otros
ISO 31000
COBIT
www.isaca.org.uy
41,79%
5,97%
2,99%
Fuente Deloite Estudio 180 Empresas España 2012
NO
42,41%
SI, limitado a Tecnología
SI, documentado y comunicado
SI, no comunicado
www.isaca.org.uy
24,61%
17,80%
15,18%
Fuente Deloite Estudio 180 Empresas España 2012
SI, política específica
48,96%
NO
SI, incluido en la política de gestión de Riesgos
www.isaca.org.uy
33,85%
17,19%
Fuente Deloite Estudio 180 Empresas España 2012
Normas y procedimientos internos
76,63%
Mapa de Riesgos
32,07%
Sistema definido
25,54%
Simulación financiera
Marcos de trabajo (COSO, COBIT)
Otras
www.isaca.org.uy
19,57%
9,24%
3,80%
Fuente Deloite Estudio 180 Empresas España 2012
Evolución del Alcance
Gobierno de TI Empresarial
Gobierno de TI
Val IT 2.0
Gestión
(2008)
Control
Risk IT
(2009)
Auditoría
COBIT1
1996
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1
2005/7 2012
Un marco de negocios por ISACA, www.isaca.org/cobit
www.isaca.org.uy
COBIT 5
Directorio
Gerencias de Negocio
IT Funcional
Operaciones
www.isaca.org.uy
Ayuda a crear valor óptimo de TI.
Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el
uso de los recursos
Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera
integral para toda la empresa.
Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las
partes interesadas internas y externas
Los 5 principios de COBIT y sus Catalizadores son de carácter genérico.
útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público
www.isaca.org.uy
Nuevos Principios
Val IT y Risk IT
Son Marcos de Trabajo
• Basados en Principios
Principios
Son fáciles de entender y aplicarlos al contexto empresario
• Permitiendo derivar valor de las guías de soporte más efectivamente
ISO/IEC 38500
Incorpora Principios
• Para potenciar sus mensajes
• Los principios de ISO/IEC 38500 no son los mismos de COBIT®5
Carlos
www.isaca.org.uy
Francavilla
14
Principios ISO 38500
• Responsabilidad
– Quien es responsable de que
– Todos comprenden su responsabilidad
– Quien es responsable de la oferta y demanda
Gobierno
Corporativo
Evaluar
Dirigir
Programas de
Cambio
Desempeño
Cumplimiento
Propuestas
Planes,
Políticas
Supervisar
Operaciones
TI
Gestión Corporativa
Carlos
www.isaca.org.uy
Francavilla
• Estrategia
– Quien debe realizar la estrategia de Tecnología
– Como se relacionan la estrategia de TI y de
negocios
– Debe incluir Cartera, Arquitectura y Programas
• Adquisición
– Quien toma las decisiones de invertir en
tecnología
– Quien toma la decisión de continuar invirtiendo
en la cartera de tecnología
– Quien decide el abastecimiento de tecnología
15
Principios ISO 38500
• Desempeño
– Cumplimiento de objetivos actuales
– Cumplimiento de objetivos futuros
– Sistemas e infraestructura, personas, procesos
Gobierno
Corporativo
Evaluar
Dirigir
Programas de
cambio
Desempeño
Cumplimiento
Propuestas
Planes,
Políticas
Supervisar
Operaciones
TI
Gestión Corporativa
Carlos
www.isaca.org.uy
Francavilla
• Cumplimiento
– Comprensión de las reglas
– Formulación de las reglas
– Identificar y arreglar el no cumplimiento
• Comportamiento Humano
– Respuestas al cambio
– Tratamiento de personas de acuerdo a las
comunidades
– Dedicación y compromiso
16
Procesos Nuevos y Modificados
COBIT® 5
Introduce 5 nuevos procesos de Gobierno
• Apalancando y Mejorando
• COBIT 4.1
• Val IT 2.0
• Risk IT
Esta Dirección Ayuda
• A las empresas a redefinir las prácticas de Gobierno de TI a nivel
ejecutivo
• Soporta la integración con las prácticas de Gobierno Empresarial
• Está alineada con ISO/IEC 38500
Carlos
www.isaca.org.uy
Francavilla
17
Procesos Nuevos y Modificados
COBIT 5 ha clarificado los procesos del nivel de
Gestión.
Incorporado los contenidos de COBIT 4.1, Val IT y
Risk IT en un nuevo modelo de referencia.
BMIS
Carlos
www.isaca.org.uy
Francavilla
18
Prácticas y Actividades
Prácticas
Gobierno o Gestión de COBIT® 5
• Son equivalentes a:
• Objetivos de Control de COBIT 4.1 ¡que desaparecen de COBIT! ¿el nombre COBIT no pierde sentido?
• Procesos de Val IT y Risk IT
• www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx
Actividades
COBIT® 5
• Son equivalentes a:
• Prácticas de Control de COBIT 4.1
• Prácticas de Gestión de Val IT y Risk IT
Integra y Actualiza Todo el contenido previo en un solo modelo
• Facilitando la comprensión y el uso del material cuando se implantan mejoras
Carlos
www.isaca.org.uy
Francavilla
19
1. Satisfaciendo las
necesidades de los
interesados
2. Cubriendo la
empresa de
extremo a extremo
5. Separando
Gobierno y Gestión
Principios
COBIT® 5
4. Posibilitando
un enfoque
holístico
3. Aplicando un
solo marco
integrado
Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.
www.isaca.org.uy
Principio 1. Satisfaciendo las necesidades de los interesados
Las empresas existen para crear valor para sus interesados
Necesidad de los
Interesados
Impulsa
Objetivo de Gobierno: Creación de Valor
Realización
De Beneficios
Optimización
de Riesgos
Optimización
De Recursos
Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.
www.isaca.org.uy
Principio 1. Satisfaciendo las necesidades de los interesados
La Empresa
Pueden tener muchos interesados.
• ‘Crear Valor’ puede ser interpretado de diferentes maneras – y muchas veces con conflicto – para cada uno de
ellos.
Gobierno
Es acerca de la negociación y decisión.
• Entre los diferentes necesidades de los interesados.
El sistema de
Gobierno
Debe considerar a todos los interesados
• Cuando toma decisiones de beneficios, recursos y riesgos.
• Por cada decisión, puede y debe preguntarse:
• ¿Quién recibe el beneficio?
• ¿Quién asume el riego?
• ¿Qué recursos se necesitan?
www.isaca.org.uy
Principio 1. Satisfaciendo las necesidades de los interesados
 Las necesidades de los
interesados deben
traducirse a una estrategia
de acción de la empresa.
 La cascada de objetivos de
COBIT® 5, traslada las
necesidades de los
interesados en
 Objetivos específicos
 Acciones concretas y
personalizadas dentro del
contexto de la empresa
 Objetivos relacionados de TI
 Objetivos facilitadores o
activadores de las metas.
www.isaca.org.uy
Impulsores de los Interesados
Ambiente, Evolución de la Tecnología, …
Influencian
Necesidades de los Interesados
Realización de Beneficios
Optimización de Riesgo
Optimización de
Recursos
Cascada a
Objetivos de la Empresa
Cascada a
Objetivos Relacionados con TI
Cascada a
Objetivos Facilitadores
Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
Principio 1. Satisfaciendo las necesidades de los interesados
Beneficios de la cascada de objetivos de COBIT® 5
Permiten la definición de prioridades de implantación.
Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos
relacionados.
En la práctica;
Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad.
Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la
orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o
aseguramiento.
Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para
lograr los objetivos de la empresa.
www.isaca.org.uy
Principio 2. Cubriendo la empresa de extremo a extremo
COBIT 5
Se refiere al Gobierno y Gestión de TI empresarial y
las tecnologías relacionadas.
• Desde una perspectiva de empresa completa, de extremo a extremo.
Integra
Gobierno de TI en el Gobierno Empresario.
• COBIT® 5 se integra fácilmente con cualquier sistema de Gobierno porque está
alineado con las últimas visiones de Gobierno.
Cubre
Todas las funciones y procesos dentro de la
empresa.
• COBIT® 5 no solo se enfoca en la «función de TI» trata la información y las
tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro
en la empresa.
www.isaca.org.uy
Principio 2. Cubriendo la empresa de extremo a extremo
Objetivo de Gobierno: Creación de Valor
Optimización
Realización
Optimización
de Riesgos
De Beneficios
De Recursos
Facilitadores
De Gobierno
Alcance
De Gobierno
Roles, Actividades y Relaciones
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
Roles, Actividades y Relaciones
Dueños y
Accionistas
Dirección
Delega
Cuerpo de
Gobierno
Cuentas
Instruye
Gestión
Supervisa
Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.
www.isaca.org.uy
Informa
Operación
y Ejecución
Principio 5. Separando Gobierno y Gestión
COBIT® 5 hace una clara distinción entre Gobierno y Gestión
• Abarcan diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Sirven propósitos diferentes
Gobierno
• En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo
de Dirección con el liderazgo del Presidente
Gestión
• En la mayoría de las empresas, la Gestión es responsabilidad de los
ejecutivos bajo el liderazgo del CEO
www.isaca.org.uy
Carlos
Francavilla
27
• Asegura el cumplimiento de
objetivos empresariales
• Evalúa necesidades, condiciones
y opciones de los interesados
• Dirige a través de la priorización
y toma de decisiones
• Supervisa (Monitor) el
desempeño y cumplimiento
contra la dirección y los objetivos
acordados
Gestión
Gobierno
Principio 5. Separando Gobierno y Gestión
• Planea, Construye, Opera y
Supervisa (Monitor)
• Las actividades fijadas y
acordadas por el cuerpo de
gobierno
• Ciclo PBRM
• Ciclo EDM
www.isaca.org.uy
Carlos
Francavilla
28
Principio 5. Separando Gobierno y Gestión
COBIT® 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestión de manera
tal que las áreas claves están cubiertas como se muestra en la figura
Necesidades del Negocio
Gobierno
Evaluar
Supervisar
Dirigir
Gestión
Planear
(APO)
www.isaca.org.uy
Carlos
Francavilla
Retroalimentación
Construir
(BAI)
Ejecutar
(DSS)
Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.
Supervisar
(MEA)
29
Principio 5. Separando Gobierno y Gestión
COBIT® 5
Describe 7 Categorías de Catalizadores
• Los Procesos son una Categoría
Una Empresa
Puede organizar sus procesos como mejor le parezca
• Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión
• Las pequeñas empresas pueden tener menor cantidad de Procesos
COBIT® 5
Incluye un modelo de referencia de procesos
• Process Reference Modelo (PRM)
• Describe en detalle Procesos de Gobierno y Gestión
• Los detalles se encuentran en la publicación COBIT® 5 Enabling Processess
www.isaca.org.uy
Carlos
Francavilla
30
2. Procesos
3. Estructura
Organizacional
4. Cultura, Ética y
Comportamiento
1. Principios, Políticas y Marcos de Trabajo
5. Información
6. Servicios,
Infraestructura y
Aplicaciones
Recursos
www.isaca.org.uy
Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.
7. Personas,
Habilidades y
Competencias
Modelo de Referencia Subdivide la prácticas relacionadas de TI
• Dos áreas principales;
• Gobierno
• Gestión, dividida en: Dominios y Procesos
Dominio Gobierno
Contiene 5 procesos
• Dentro de cada proceso se definen las actividades de;
• Evaluar, Dirigir, Supervisar
• Ciclo EDM
4 Dominios de Gestión Están en línea con las áreas de responsabilidad
• Planear, Construir, Ejecutar, Supervisar
• Ciclo PBRM
www.isaca.org.uy
Carlos
Francavilla
32
Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01 Definir y
Mantener el Marco de
Gobierno
EDM02 Asegurar
Entrega de Beneficios
EDM04 Asegurar
Optimización de
Recursos
EDM03 Asegurar
Optimización de Riesgo
EDM05 Asegurar
Transparencia para los
Interesados
Alinear, Planear, Organizar (APO) - Procesos Gestión de TI
Supervisar, Evaluar,
Valorar (MEA)
APO01
Gestionar el
Marco de
Gestión de TI
APO02
Gestionar la
Estrategia
APO03
Gestionar la
Arquitectura
Empresarial
APO04
Gestionar
Innovación
APO05
Gestionar
Cartera
APO06
Gestionar
Presupuesto y
Costos
APO08
Gestionar
Relaciones
APO09
Gestionar
Acuerdos de
Servicio
APO10
Gestionar
Proveedores
APO11
Gestionar
Calidad
APO12
Gestionar
Riesgo
AP13
Gestionar
Seguridad
BAI05 Gestionar
Facilitación del
Cambio
Organizacional
BAI06 Gestionar
Cambios
APO07
Gestionar
Recursos
Humanos
MEA01
Desempeño y
Conformidad
Construir, Adquirir, Implantar (BAI) – Procesos Gestión de TI
BAI01 Gestionar
Programas y
Proyectos
BAI08 Gestionar
Conocimiento
BAI02 Gestionar
Definición de
Requerimientos
BAI09 Gestionar
Activos
BAI03 Gestionar
Identificación de
Soluciones y
Construir
BAI04 Gestionar
Disponibilidad y
Capacidad
BAI07 Gestionar
Aceptación del
Cambio y
Transición
DSS02 Gestionar
Requerimientos de
Servicio e Incidentes
www.isaca.org.uy
Carlos
Francavilla
MEA02
Sistema de
Control Interno
BAI10 Gestionar
Configuración
Entrega, Servicio, Soporte (DSS) – Procesos Gestión de TI
DSS01 Gestionar
Operaciones
Procesos Gestión
de TI
DSS03 Gestionar
Problemas
DSS04 Gestionar
Continuidad
DSS05 Gestionar
Servicios de Seguridad
Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
DSS06 Gestionar
Control de Procesos de
Negocio
MEA03
Cumplimiento
Requerimientos
Externos
33
Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01
EDM02
EDM03
EDM04
EDM05
Definir y Mantener el
Marco de Gobierno
Asegurar Entrega de
Beneficios
Asegurar Optimización de
Riesgo
Asegurar Optimización de
Recursos
Asegurar Transparencia
para los Interesados
Descripción y Propósito del Proceso
Objetivo relacionado de TI
Objetivos del
Proceso
www.isaca.org.uy
Carlos
Francavilla
Métricas del
Proceso
Métricas
Relacionadas
Cuadro RACI
34
Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01
EDM02
EDM03
EDM04
EDM05
Definir y Mantener el
Marco de Gobierno
Asegurar Entrega de
Beneficios
Asegurar Optimización de
Riesgo
Asegurar Optimización de
Recursos
Asegurar Transparencia
para los Interesados
Práctica de Gobierno
Entradas
www.isaca.org.uy
Carlos
Francavilla
Salidas
Actividades
Guias
Relacionadas
35
Integrando Tecnología al Gobierno
Corporativo
Definiendo cual es el rol del directorio en el
Gobierno de Tecnología
Separando claramente las actividades de
Gestión de las de Gobierno
Comprender que Tecnología no está separada
del negocio, en una empresa todos somos el
negocio y tecnología esta fusionada
Vinculando cada Inversión en Tecnología con
Beneficios, Recursos, Riesgos y Transparencia
www.isaca.org.uy
Carlos
Francavilla
36
La pregunta estratégica
¿ Está la inversión:
 De acuerdo con nuestra visión
 Coherente con nuestros objetivos de
negocio
 Contribuyendo a nuestros objetivos
estratégicos
 Proporcionando valor a un costo
económico y niveles de riego
aceptable ?
La pregunta de arquitectura
¿ Está la inversión:
 De acuerdo con nuestra arquitectura
 Coherente con nuestros principios
arquitectónicos
 Contribuyendo a la población de
nuestra arquitectura
 En línea con otras iniciativas?
www.isaca.org.uy
Carlos
Francavilla
¿Estamos
haciendo lo
correcto?
¿Estamos
obteniendo los
beneficios?
¿ Lo estamos
haciendo
correctamente?
¿ Lo estamos
logrando bien?
La pregunta de valor
¿ Tenemos:
 Un conocimiento claro y compartido
de los beneficios esperados
 Una responsabilidad clara para
realizar los beneficios
 Una métrica relevante
 Un proceso eficaz de realización de
beneficios?
La pregunta de entrega
¿ Tenemos:
 Procesos eficaces y disciplinados de
dirección, entrega y gestión de
cambios
 Recursos técnicos y de negocio
competentes y disponibles para
entregar:
 Las capacidades necesarias
 Los cambios de organización
necesarios para potenciar las
capacidades?
37
Muchas Gracias
¿Preguntas?
Carlos Francavilla
carlos@icglatam.com
www.isaca.org.uy
Como aporta COBIT 5 y gobernanza de
TI a la gobernanza empresarial
Carlos Francavilla
Socio ICG LATAM
www.isaca.org.uy
Descargar