como aporta cobit 5 y gobernanza de ti a la...
TRANSCRIPT
www.isaca.org.uy
Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial
Carlos Francavilla
Socio
ICG LATAM
www.isaca.org.uy
Agenda • ¿Qué es Gobierno Corporativo?
• Un poco de historia
• El marco COBIT 5®
• Principios de COBIT 5®
– Principios ISO 38500
• Dominio de Gobierno
• Aporte de COBIT al gobierno
www.isaca.org.uy
17,39%
20,65%
26,09%
35,87%
40,22%
74,46%
88,04%
92,39%
Comunicación Corporativa
Responsabilidad Social
Cumplimiento Normativo
Control Interno
Gestión de Riesgos
Estrategia
Seguimiento de Operaciones/Actividades
Seguimientos de Resultados/Presupuestos
Fuente Deloite Estudio 180 Empresas España 2012
www.isaca.org.uy
7,61%
20,65%
68,48%
75,54%
88,04%
Asesores Externos
Comité de Estrategia
Unidades de Negocio
Junta Directiva
Comité Ejecutivo / CEO
Fuente Deloite Estudio 180 Empresas España 2012
www.isaca.org.uy
4,63%
12,96%
82,41%
Bajo
Medio
Alto
Fuente Deloite Estudio 180 Empresas España 2012
www.isaca.org.uy
2,99%
5,97%
41,79%
49,25%
COBIT
ISO 31000
Otros
Enterprise Risk Management COSO
Fuente Deloite Estudio 180 Empresas España 2012
www.isaca.org.uy
15,18%
17,80%
24,61%
42,41%
SI, no comunicado
SI, documentado y comunicado
SI, limitado a Tecnología
NO
Fuente Deloite Estudio 180 Empresas España 2012
www.isaca.org.uy
17,19%
33,85%
48,96%
SI, incluido en la política de gestión de Riesgos
NO
SI, política específica
Fuente Deloite Estudio 180 Empresas España 2012
www.isaca.org.uy
3,80%
9,24%
19,57%
25,54%
32,07%
76,63%
Otras
Marcos de trabajo (COSO, COBIT)
Simulación financiera
Sistema definido
Mapa de Riesgos
Normas y procedimientos internos
Fuente Deloite Estudio 180 Empresas España 2012
www.isaca.org.uy
Gobierno de TI Empresarial
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Gestión
COBIT3
Control
COBIT2
Un marco de negocios por ISACA, www.isaca.org/cobit
Auditoría
COBIT1
2005/7 2000 1998
Evo
luci
ón
del
Alc
ance
1996 2012
Val IT 2.0 (2008)
Risk IT (2009)
www.isaca.org.uy
Los 5 principios de COBIT y sus Catalizadores son de carácter genérico.
útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público
Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa.
Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas
Ayuda a crear valor óptimo de TI.
Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos
www.isaca.org.uy 14
Nuevos Principios
Son Marcos de Trabajo Val IT y Risk IT • Basados en Principios
Son fáciles de entender y aplicarlos al contexto empresario Principios • Permitiendo derivar valor de las guías de soporte más efectivamente
Incorpora Principios ISO/IEC 38500 • Para potenciar sus mensajes
• Los principios de ISO/IEC 38500 no son los mismos de COBIT®5
Carlos
Francavilla
www.isaca.org.uy 15
Principios ISO 38500
Carlos
Francavilla
Gobierno Corporativo
Gestión Corporativa
Evaluar
Pla
nes
, P
olít
icas
D
esem
peñ
o
C
um
plim
ien
to
Dirigir Supervisar
Pro
pu
esta
s
Programas de Cambio
Operaciones TI
• Responsabilidad – Quien es responsable de que
– Todos comprenden su responsabilidad
– Quien es responsable de la oferta y demanda
• Estrategia – Quien debe realizar la estrategia de Tecnología
– Como se relacionan la estrategia de TI y de negocios
– Debe incluir Cartera, Arquitectura y Programas
• Adquisición – Quien toma las decisiones de invertir en
tecnología
– Quien toma la decisión de continuar invirtiendo en la cartera de tecnología
– Quien decide el abastecimiento de tecnología
www.isaca.org.uy 16
Principios ISO 38500
Carlos
Francavilla
Gobierno Corporativo
Gestión Corporativa
Evaluar
Pla
nes
, P
olít
icas
D
esem
peñ
o
C
um
plim
ien
to
Dirigir Supervisar
Pro
pu
esta
s
Programas de cambio
Operaciones TI
• Desempeño – Cumplimiento de objetivos actuales
– Cumplimiento de objetivos futuros
– Sistemas e infraestructura, personas, procesos
• Cumplimiento – Comprensión de las reglas
– Formulación de las reglas
– Identificar y arreglar el no cumplimiento
• Comportamiento Humano – Respuestas al cambio
– Tratamiento de personas de acuerdo a las comunidades
– Dedicación y compromiso
www.isaca.org.uy 17
Procesos Nuevos y Modificados
Introduce 5 nuevos procesos de Gobierno COBIT® 5
• Apalancando y Mejorando
• COBIT 4.1
• Val IT 2.0
• Risk IT
Ayuda Esta Dirección
• A las empresas a redefinir las prácticas de Gobierno de TI a nivel ejecutivo
• Soporta la integración con las prácticas de Gobierno Empresarial
• Está alineada con ISO/IEC 38500
Carlos
Francavilla
www.isaca.org.uy 18
Procesos Nuevos y Modificados
BMIS
COBIT 5 ha clarificado los procesos del nivel de Gestión. Incorporado los contenidos de COBIT 4.1, Val IT y Risk IT en un nuevo modelo de referencia.
Carlos
Francavilla
www.isaca.org.uy 19
Prácticas y Actividades
Gobierno o Gestión de COBIT® 5 Prácticas
• Son equivalentes a:
• Objetivos de Control de COBIT 4.1 ¡que desaparecen de COBIT! ¿el nombre COBIT no pierde sentido?
• Procesos de Val IT y Risk IT
• www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx
COBIT® 5 Actividades
• Son equivalentes a:
• Prácticas de Control de COBIT 4.1
• Prácticas de Gestión de Val IT y Risk IT
Todo el contenido previo en un solo modelo Integra y Actualiza
• Facilitando la comprensión y el uso del material cuando se implantan mejoras
Carlos
Francavilla
www.isaca.org.uy
Principios
COBIT® 5
1. Satisfaciendo las necesidades de los
interesados
2. Cubriendo la empresa de
extremo a extremo
3. Aplicando un solo marco integrado
4. Posibilitando un enfoque
holístico
5. Separando Gobierno y Gestión
Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.
www.isaca.org.uy
Necesidad de los Interesados
Realización De Beneficios
Optimización de Riesgos
Optimización De Recursos
Objetivo de Gobierno: Creación de Valor Im
pu
lsa
Las empresas existen para crear valor para sus interesados
Principio 1. Satisfaciendo las necesidades de los interesados
Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.
www.isaca.org.uy
Principio 1. Satisfaciendo las necesidades de los interesados
Pueden tener muchos interesados. La Empresa
•‘Crear Valor’ puede ser interpretado de diferentes maneras – y muchas veces con conflicto – para cada uno de ellos.
Es acerca de la negociación y decisión. Gobierno
•Entre los diferentes necesidades de los interesados.
Debe considerar a todos los interesados El sistema de Gobierno
•Cuando toma decisiones de beneficios, recursos y riesgos.
•Por cada decisión, puede y debe preguntarse:
•¿Quién recibe el beneficio?
•¿Quién asume el riego?
•¿Qué recursos se necesitan?
www.isaca.org.uy
Principio 1. Satisfaciendo las necesidades de los interesados
Las necesidades de los interesados deben traducirse a una estrategia de acción de la empresa.
La cascada de objetivos de COBIT® 5, traslada las necesidades de los interesados en Objetivos específicos Acciones concretas y
personalizadas dentro del contexto de la empresa
Objetivos relacionados de TI Objetivos facilitadores o
activadores de las metas.
Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
Objetivos Facilitadores
Objetivos Relacionados con TI
Objetivos de la Empresa
Necesidades de los Interesados
Realización de Beneficios Optimización de Riesgo Optimización de
Recursos
Impulsores de los Interesados
Ambiente, Evolución de la Tecnología, …
Influencian
Cascada a
Cascada a
Cascada a
www.isaca.org.uy
Beneficios de la cascada de objetivos de COBIT® 5
Permiten la definición de prioridades de implantación. Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos relacionados.
En la práctica;
Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad.
Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o aseguramiento. Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para lograr los objetivos de la empresa.
Principio 1. Satisfaciendo las necesidades de los interesados
www.isaca.org.uy
Se refiere al Gobierno y Gestión de TI empresarial y las tecnologías relacionadas. COBIT 5
• Desde una perspectiva de empresa completa, de extremo a extremo.
Gobierno de TI en el Gobierno Empresario. Integra • COBIT® 5 se integra fácilmente con cualquier sistema de Gobierno porque está
alineado con las últimas visiones de Gobierno.
Todas las funciones y procesos dentro de la empresa. Cubre
• COBIT® 5 no solo se enfoca en la «función de TI» trata la información y las tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro en la empresa.
Principio 2. Cubriendo la empresa de extremo a extremo
www.isaca.org.uy Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
Realización De Beneficios
Optimización de Riesgos
Optimización De Recursos
Objetivo de Gobierno: Creación de Valor
Facilitadores De Gobierno
Alcance De Gobierno
Roles, Actividades y Relaciones
Dueños y Accionistas
Cuerpo de Gobierno
Gestión Operación y Ejecución
Delega Dirección Instruye
Informa Supervisa Cuentas
Roles, Actividades y Relaciones
Principio 2. Cubriendo la empresa de extremo a extremo
www.isaca.org.uy
COBIT® 5 hace una clara distinción entre Gobierno y Gestión
• Abarcan diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Sirven propósitos diferentes
Gobierno
• En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo de Dirección con el liderazgo del Presidente
Gestión
• En la mayoría de las empresas, la Gestión es responsabilidad de los ejecutivos bajo el liderazgo del CEO
Principio 5. Separando Gobierno y Gestión
27 Carlos Francavilla
www.isaca.org.uy
Go
bie
rno
• Asegura el cumplimiento de objetivos empresariales
• Evalúa necesidades, condiciones y opciones de los interesados
• Dirige a través de la priorización y toma de decisiones
• Supervisa (Monitor) el desempeño y cumplimiento contra la dirección y los objetivos acordados
• Ciclo EDM
Ges
tió
n
• Planea, Construye, Opera y Supervisa (Monitor)
• Las actividades fijadas y acordadas por el cuerpo de gobierno
• Ciclo PBRM
Principio 5. Separando Gobierno y Gestión
28 Carlos Francavilla
www.isaca.org.uy Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.
COBIT® 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestión de manera tal que las áreas claves están cubiertas como se muestra en la figura
Supervisar
Evaluar
Dirigir
Planear
(APO)
Construir
(BAI)
Ejecutar
(DSS)
Supervisar
(MEA)
Gestión
Gobierno
Necesidades del Negocio
Retroalimentación
Principio 5. Separando Gobierno y Gestión
29 Carlos Francavilla
www.isaca.org.uy
Describe 7 Categorías de Catalizadores COBIT® 5 • Los Procesos son una Categoría
Puede organizar sus procesos como mejor le parezca Una Empresa • Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión
• Las pequeñas empresas pueden tener menor cantidad de Procesos
Incluye un modelo de referencia de procesos COBIT® 5 • Process Reference Modelo (PRM)
• Describe en detalle Procesos de Gobierno y Gestión
• Los detalles se encuentran en la publicación COBIT® 5 Enabling Processess
Principio 5. Separando Gobierno y Gestión
30 Carlos Francavilla
www.isaca.org.uy Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.
Recursos
1. Principios, Políticas y Marcos de Trabajo
2. Procesos 3. Estructura
Organizacional 4. Cultura, Ética y Comportamiento
5. Información 6. Servicios,
Infraestructura y Aplicaciones
7. Personas, Habilidades y Competencias
www.isaca.org.uy
Subdivide la prácticas relacionadas de TI Modelo de Referencia
• Dos áreas principales;
• Gobierno
• Gestión, dividida en: Dominios y Procesos
Contiene 5 procesos Dominio Gobierno
• Dentro de cada proceso se definen las actividades de;
• Evaluar, Dirigir, Supervisar
• Ciclo EDM
Están en línea con las áreas de responsabilidad 4 Dominios de Gestión
• Planear, Construir, Ejecutar, Supervisar
• Ciclo PBRM
32 Carlos Francavilla
www.isaca.org.uy Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
Alinear, Planear, Organizar (APO) - Procesos Gestión de TI
APO01 Gestionar el
Marco de Gestión de TI
APO08 Gestionar
Relaciones
APO02 Gestionar la Estrategia
APO09 Gestionar
Acuerdos de Servicio
APO03 Gestionar la Arquitectura Empresarial
APO10 Gestionar
Proveedores
APO04 Gestionar
Innovación
APO11 Gestionar Calidad
APO05 Gestionar
Cartera
APO12 Gestionar
Riesgo
APO06 Gestionar
Presupuesto y Costos
AP13 Gestionar Seguridad
APO07 Gestionar Recursos Humanos
Supervisar, Evaluar, Valorar (MEA)
Procesos Gestión de TI
MEA01 Desempeño y Conformidad
MEA02
Sistema de Control Interno
MEA03 Cumplimiento
Requerimientos Externos
Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01 Definir y Mantener el Marco de
Gobierno
EDM02 Asegurar Entrega de Beneficios
EDM03 Asegurar Optimización de Riesgo
EDM04 Asegurar Optimización de
Recursos
EDM05 Asegurar Transparencia para los
Interesados
Entrega, Servicio, Soporte (DSS) – Procesos Gestión de TI
DSS01 Gestionar Operaciones
DSS02 Gestionar Requerimientos de
Servicio e Incidentes
DSS03 Gestionar Problemas
DSS04 Gestionar Continuidad
DSS05 Gestionar Servicios de Seguridad
DSS06 Gestionar Control de Procesos de
Negocio
Construir, Adquirir, Implantar (BAI) – Procesos Gestión de TI
BAI01 Gestionar Programas y
Proyectos
BAI08 Gestionar Conocimiento
BAI02 Gestionar Definición de
Requerimientos
BAI09 Gestionar Activos
BAI03 Gestionar Identificación de
Soluciones y Construir
BAI10 Gestionar Configuración
BAI04 Gestionar Disponibilidad y
Capacidad
BAI05 Gestionar Facilitación del
Cambio Organizacional
BAI06 Gestionar Cambios
BAI07 Gestionar Aceptación del
Cambio y Transición
33 Carlos Francavilla
www.isaca.org.uy
Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01
Definir y Mantener el Marco de Gobierno
EDM02
Asegurar Entrega de Beneficios
EDM03
Asegurar Optimización de Riesgo
EDM04
Asegurar Optimización de Recursos
EDM05
Asegurar Transparencia para los Interesados
34 Carlos Francavilla
Descripción y Propósito del Proceso
Objetivo relacionado de TI
Objetivos del Proceso
Métricas del Proceso
Métricas Relacionadas
Cuadro RACI
www.isaca.org.uy
Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01
Definir y Mantener el Marco de Gobierno
EDM02
Asegurar Entrega de Beneficios
EDM03
Asegurar Optimización de Riesgo
EDM04
Asegurar Optimización de Recursos
EDM05
Asegurar Transparencia para los Interesados
35 Carlos Francavilla
Práctica de Gobierno
Entradas Salidas Actividades Guias
Relacionadas
www.isaca.org.uy 36 Carlos Francavilla
Integrando Tecnología al Gobierno Corporativo
Definiendo cual es el rol del directorio en el Gobierno de Tecnología
Separando claramente las actividades de Gestión de las de Gobierno
Comprender que Tecnología no está separada del negocio, en una empresa todos somos el
negocio y tecnología esta fusionada
Vinculando cada Inversión en Tecnología con Beneficios, Recursos, Riesgos y Transparencia
www.isaca.org.uy 37 Carlos Francavilla
¿Estamos haciendo lo
correcto?
¿Estamos obteniendo los
beneficios?
¿ Lo estamos haciendo
correctamente?
¿ Lo estamos logrando bien?
La pregunta estratégica ¿ Está la inversión: De acuerdo con nuestra visión Coherente con nuestros objetivos de
negocio Contribuyendo a nuestros objetivos
estratégicos Proporcionando valor a un costo
económico y niveles de riego aceptable ?
La pregunta de valor ¿ Tenemos: Un conocimiento claro y compartido
de los beneficios esperados Una responsabilidad clara para
realizar los beneficios Una métrica relevante Un proceso eficaz de realización de
beneficios?
La pregunta de arquitectura ¿ Está la inversión: De acuerdo con nuestra arquitectura Coherente con nuestros principios
arquitectónicos Contribuyendo a la población de
nuestra arquitectura En línea con otras iniciativas?
La pregunta de entrega ¿ Tenemos: Procesos eficaces y disciplinados de
dirección, entrega y gestión de cambios
Recursos técnicos y de negocio competentes y disponibles para entregar: Las capacidades necesarias Los cambios de organización necesarios para potenciar las capacidades?
www.isaca.org.uy
Muchas Gracias
¿Preguntas?
Carlos Francavilla
www.isaca.org.uy
Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial
Carlos Francavilla
Socio ICG LATAM