Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
www.isaca.org.uy Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Carlos Francavilla Socio ICG LATAM http://ar.linkedin.com/in/carlosaf/ www.isaca.org.uy Agenda • ¿Qué es Gobierno Corporativo? • Un poco de historia • El marco COBIT 5® • Principios de COBIT 5® – Principios ISO 38500 • Dominio de Gobierno • Aporte de COBIT al gobierno www.isaca.org.uy Gobierno Corporativo Sistema Dirigen Controlan Organizaciones www.isaca.org.uy 17,39% 20,65% 26,09% 35,87% 40,22% 74,46% 88,04% 92,39% Comunicación Corporativa Responsabilidad Social Cumplimiento Normativo Control Interno Gestión de Riesgos Estrategia Seguimiento de Operaciones/Actividades Seguimientos de Resultados/Presupuestos Fuente Deloite Estudio 180 Empresas España 2012 www.isaca.org.uy 7,61% 20,65% 68,48% 75,54% 88,04% Asesores Externos Comité de Estrategia Unidades de Negocio Junta Directiva Comité Ejecutivo / CEO Fuente Deloite Estudio 180 Empresas España 2012 www.isaca.org.uy 4,63% 12,96% 82,41% Bajo Medio Alto Fuente Deloite Estudio 180 Empresas España 2012 www.isaca.org.uy 2,99% 5,97% 41,79% 49,25% COBIT ISO 31000 Otros Enterprise Risk Management COSO Fuente Deloite Estudio 180 Empresas España 2012 www.isaca.org.uy 15,18% 17,80% 24,61% 42,41% SI, no comunicado SI, documentado y comunicado SI, limitado a Tecnología NO Fuente Deloite Estudio 180 Empresas España 2012 www.isaca.org.uy 17,19% 33,85% 48,96% SI, incluido en la política de gestión de Riesgos NO SI, política específica Fuente Deloite Estudio 180 Empresas España 2012 www.isaca.org.uy 3,80% 9,24% 19,57% 25,54% 32,07% 76,63% Otras Marcos de trabajo (COSO, COBIT) Simulación financiera Sistema definido Mapa de Riesgos Normas y procedimientos internos Fuente Deloite Estudio 180 Empresas España 2012 www.isaca.org.uy Gobierno de TI Empresarial COBIT 5 Gobierno de TI COBIT4.0/4.1 Gestión COBIT3 Control COBIT2 Un marco de negocios por ISACA, www.isaca.org/cobit Auditoría COBIT1 2005/7 2000 1998 E vo lu ci ó n d el A lc an ce 1996 2012 Val IT 2.0 (2008) Risk IT (2009) www.isaca.org.uy Directorio Gerencias de Negocio IT Funcional Operaciones www.isaca.org.uy Los 5 principios de COBIT y sus Catalizadores son de carácter genérico. útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa. Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas Ayuda a crear valor óptimo de TI. Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos www.isaca.org.uy 14 Nuevos Principios Son Marcos de Trabajo Val IT y Risk IT • Basados en Principios Son fáciles de entender y aplicarlos al contexto empresario Principios • Permitiendo derivar valor de las guías de soporte más efectivamente Incorpora Principios ISO/IEC 38500 • Para potenciar sus mensajes • Los principios de ISO/IEC 38500 no son los mismos de COBIT®5 Carlos Francavilla www.isaca.org.uy 15 Principios ISO 38500 Carlos Francavilla Gobierno Corporativo Gestión Corporativa Evaluar P la n es , P o lít ic as D es em p eñ o C u m p lim ie n to Dirigir Supervisar P ro p u es ta s Programas de Cambio Operaciones TI • Responsabilidad – Quien es responsable de que – Todos comprenden su responsabilidad – Quien es responsable de la oferta y demanda • Estrategia – Quien debe realizar la estrategia de Tecnología – Como se relacionan la estrategia de TI y de negocios – Debe incluir Cartera, Arquitectura y Programas • Adquisición – Quien toma las decisiones de invertir en tecnología – Quien toma la decisión de continuar invirtiendo en la cartera de tecnología – Quien decide el abastecimiento de tecnología www.isaca.org.uy 16 Principios ISO 38500 Carlos Francavilla Gobierno Corporativo Gestión Corporativa Evaluar P la n es , P o lít ic as D es em p eñ o C u m p lim ie n to Dirigir Supervisar P ro p u es ta s Programas de cambio Operaciones TI • Desempeño – Cumplimiento de objetivos actuales – Cumplimiento de objetivos futuros – Sistemas e infraestructura, personas, procesos • Cumplimiento – Comprensión de las reglas – Formulación de las reglas – Identificar y arreglar el no cumplimiento • Comportamiento Humano – Respuestas al cambio – Tratamiento de personas de acuerdo a las comunidades – Dedicación y compromiso www.isaca.org.uy 17 Procesos Nuevos y Modificados Introduce 5 nuevos procesos de Gobierno COBIT® 5 • Apalancando y Mejorando • COBIT 4.1 • Val IT 2.0 • Risk IT Ayuda Esta Dirección • A las empresas a redefinir las prácticas de Gobierno de TI a nivel ejecutivo • Soporta la integración con las prácticas de Gobierno Empresarial • Está alineada con ISO/IEC 38500 Carlos Francavilla www.isaca.org.uy 18 Procesos Nuevos y Modificados BMIS COBIT 5 ha clarificado los procesos del nivel de Gestión. Incorporado los contenidos de COBIT 4.1, Val IT y Risk IT en un nuevo modelo de referencia. Carlos Francavilla www.isaca.org.uy 19 Prácticas y Actividades Gobierno o Gestión de COBIT® 5 Prácticas • Son equivalentes a: • Objetivos de Control de COBIT 4.1 ¡que desaparecen de COBIT! ¿el nombre COBIT no pierde sentido? • Procesos de Val IT y Risk IT • www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx COBIT® 5 Actividades • Son equivalentes a: • Prácticas de Control de COBIT 4.1 • Prácticas de Gestión de Val IT y Risk IT Todo el contenido previo en un solo modelo Integra y Actualiza • Facilitando la comprensión y el uso del material cuando se implantan mejoras Carlos Francavilla http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspxhttp://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx www.isaca.org.uy Principios COBIT® 5 1. Satisfaciendo las necesidades de los interesados 2. Cubriendo la empresa de extremo a extremo 3. Aplicando un solo marco integrado 4. Posibilitando un enfoque holístico 5. Separando Gobierno y Gestión Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved. www.isaca.org.uy Necesidad de los Interesados Realización De Beneficios Optimización de Riesgos Optimización De Recursos Objetivo de Gobierno: Creación de Valor Im p u lsa Las empresas existen para crear valor para sus interesados Principio 1. Satisfaciendo las necesidades de los interesados Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved. www.isaca.org.uy Principio 1. Satisfaciendo las necesidades de los interesados Pueden tener muchos interesados. La Empresa • Crear Valor puede ser i terpretado de difere tes a eras – y muchas veces con conflicto – para cada uno de ellos. Es acerca de la negociación y decisión. Gobierno •Entre los diferentes necesidades de los interesados. Debe considerar a todos los interesados El sistema de Gobierno •Cuando toma decisiones de beneficios, recursos y riesgos. •Por cada decisión, puede y debe preguntarse: •¿Quién recibe el beneficio? •¿Quién asume el riego? •¿Qué recursos se necesitan? www.isaca.org.uy Principio 1. Satisfaciendo las necesidades de los interesados Las necesidades de los interesados deben traducirse a una estrategia de acción de la empresa. La cascada de objetivos de COBIT® 5, traslada las necesidades de los interesados en Objetivos específicos Acciones concretas y personalizadas dentro del contexto de la empresa Objetivos relacionados de TI Objetivos facilitadores o activadores de las metas. Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved. Objetivos Facilitadores Objetivos Relacionados con TI Objetivos de la Empresa Necesidades de los Interesados Realización de Beneficios Optimización de Riesgo Optimización de Recursos Impulsores de los Interesados Ambiente, Evolución de la Tecnología, … Influencian Cascada a Cascada a Cascada a www.isaca.org.uy Beneficios de la cascada de objetivos de COBIT® 5 Permiten la definición de prioridades de implantación. Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos relacionados. En la práctica; Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad. Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o aseguramiento. Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para lograr los objetivos de la empresa. Principio 1. Satisfaciendo las necesidades de los interesados www.isaca.org.uy Se refiere al Gobierno y Gestión de TI empresarial y las tecnologías relacionadas. COBIT 5 • Desde una perspectiva de empresa completa, de extremo a extremo. Gobierno de TI en el Gobierno Empresario. Integra • COBIT® 5 se integra fácilmente con cualquier sistema de Gobierno porque está alineado con las últimas visiones de Gobierno. Todas las funciones y procesos dentro de la empresa. Cubre • COBIT® 5 no solo se enfoca en la «función de TI» trata la información y las tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro en la empresa. Principio 2. Cubriendo la empresa de extremo a extremo www.isaca.org.uy Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved. Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. Realización De Beneficios Optimización de Riesgos Optimización De Recursos Objetivo de Gobierno: Creación de Valor Facilitadores De Gobierno Alcance De Gobierno Roles, Actividades y Relaciones Dueños y Accionistas Cuerpo de Gobierno Gestión Operación y Ejecución Delega Dirección Instruye Informa Supervisa Cuentas Roles, Actividades y Relaciones Principio 2. Cubriendo la empresa de extremo a extremo www.isaca.org.uy COBIT® 5 hace una clara distinción entre Gobierno y Gestión • Abarcan diferentes tipos de actividades • Requieren diferentes estructuras organizacionales • Sirven propósitos diferentes Gobierno • En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo de Dirección con el liderazgo del Presidente Gestión • En la mayoría de las empresas, la Gestión es responsabilidad de los ejecutivos bajo el liderazgo del CEO Principio 5. Separando Gobierno y Gestión 27 Carlos Francavilla www.isaca.org.uy G o b ie rn o • Asegura el cumplimiento de objetivos empresariales • Evalúa necesidades, condiciones y opciones de los interesados • Dirige a través de la priorización y toma de decisiones • Supervisa (Monitor) el desempeño y cumplimiento contra la dirección y los objetivos acordados • Ciclo EDM G es ti ó n • Planea, Construye, Opera y Supervisa (Monitor) • Las actividades fijadas y acordadas por el cuerpo de gobierno • Ciclo PBRM Principio 5. Separando Gobierno y Gestión 28 Carlos Francavilla www.isaca.org.uy Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved. COBIT® 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestión de manera tal que las áreas claves están cubiertas como se muestra en la figura Supervisar Evaluar Dirigir Planear (APO) Construir (BAI) Ejecutar (DSS) Supervisar (MEA) Gestión Gobierno Necesidades del Negocio Retroalimentación Principio 5. Separando Gobierno y Gestión 29 Carlos Francavilla www.isaca.org.uy Describe 7 Categorías de Catalizadores COBIT® 5 • Los Procesos son una Categoría Puede organizar sus procesos como mejor le parezca Una Empresa • Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión • Las pequeñas empresas pueden tener menor cantidad de Procesos Incluye un modelo de referencia de procesos COBIT® 5 • Process Reference Modelo (PRM) • Describe en detalle Procesos de Gobierno y Gestión • Los detalles se encuentran en la publicación COBIT® 5 Enabling Processess Principio 5. Separando Gobierno y Gestión 30 Carlos Francavilla www.isaca.org.uy Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved. Recursos 1. Principios, Políticas y Marcos de Trabajo 2. Procesos 3. Estructura Organizacional 4. Cultura, Ética y Comportamiento 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias www.isaca.org.uy Subdivide la prácticas relacionadas de TI Modelo de Referencia • Dos áreas principales; • Gobierno • Gestión, dividida en: Dominios y Procesos Contiene 5 procesos Dominio Gobierno • Dentro de cada proceso se definen las actividades de; • Evaluar, Dirigir, Supervisar • Ciclo EDM Están en línea con las áreas de responsabilidad 4 Dominios de Gestión • Planear, Construir, Ejecutar, Supervisar • Ciclo PBRM 32 Carlos Francavilla www.isaca.org.uy Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved. Alinear, Planear, Organizar (APO) - Procesos Gestión de TI APO01 Gestionar el Marco de Gestión de TI APO08 Gestionar Relaciones APO02 Gestionar la Estrategia APO09 Gestionar Acuerdos de Servicio APO03 Gestionar la Arquitectura Empresarial APO10 Gestionar Proveedores APO04 Gestionar Innovación APO11 Gestionar Calidad APO05 Gestionar Cartera APO12 Gestionar Riesgo APO06 Gestionar Presupuesto y Costos AP13 Gestionar Seguridad APO07 Gestionar Recursos Humanos Supervisar, Evaluar, Valorar (MEA) ProcesosGestión de TI MEA01 Desempeño y Conformidad MEA02 Sistema de Control Interno MEA03 Cumplimiento Requerimientos Externos Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 Definir y Mantener el Marco de Gobierno EDM02 Asegurar Entrega de Beneficios EDM03 Asegurar Optimización de Riesgo EDM04 Asegurar Optimización de Recursos EDM05 Asegurar Transparencia para los Interesados Entrega, Servicio, Soporte (DSS) – Procesos Gestión de TI DSS01 Gestionar Operaciones DSS02 Gestionar Requerimientos de Servicio e Incidentes DSS03 Gestionar Problemas DSS04 Gestionar Continuidad DSS05 Gestionar Servicios de Seguridad DSS06 Gestionar Control de Procesos de Negocio Construir, Adquirir, Implantar (BAI) – Procesos Gestión de TI BAI01 Gestionar Programas y Proyectos BAI08 Gestionar Conocimiento BAI02 Gestionar Definición de Requerimientos BAI09 Gestionar Activos BAI03 Gestionar Identificación de Soluciones y Construir BAI10 Gestionar Configuración BAI04 Gestionar Disponibilidad y Capacidad BAI05 Gestionar Facilitación del Cambio Organizacional BAI06 Gestionar Cambios BAI07 Gestionar Aceptación del Cambio y Transición 33 Carlos Francavilla www.isaca.org.uy Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 Definir y Mantener el Marco de Gobierno EDM02 Asegurar Entrega de Beneficios EDM03 Asegurar Optimización de Riesgo EDM04 Asegurar Optimización de Recursos EDM05 Asegurar Transparencia para los Interesados 34 Carlos Francavilla Descripción y Propósito del Proceso Objetivo relacionado de TI Objetivos del Proceso Métricas del Proceso Métricas Relacionadas Cuadro RACI www.isaca.org.uy Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 Definir y Mantener el Marco de Gobierno EDM02 Asegurar Entrega de Beneficios EDM03 Asegurar Optimización de Riesgo EDM04 Asegurar Optimización de Recursos EDM05 Asegurar Transparencia para los Interesados 35 Carlos Francavilla Práctica de Gobierno Entradas Salidas Actividades Guias Relacionadas www.isaca.org.uy 36 Carlos Francavilla Integrando Tecnología al Gobierno Corporativo Definiendo cual es el rol del directorio en el Gobierno de Tecnología Separando claramente las actividades de Gestión de las de Gobierno Comprender que Tecnología no está separada del negocio, en una empresa todos somos el negocio y tecnología esta fusionada Vinculando cada Inversión en Tecnología con Beneficios, Recursos, Riesgos y Transparencia www.isaca.org.uy 37 Carlos Francavilla ¿Estamos haciendo lo correcto? ¿Estamos obteniendo los beneficios? ¿ Lo estamos haciendo correctamente? ¿ Lo estamos logrando bien? La pregunta estratégica ¿ Está la inversión: De acuerdo con nuestra visión Coherente con nuestros objetivos de negocio Contribuyendo a nuestros objetivos estratégicos Proporcionando valor a un costo económico y niveles de riego aceptable ? La pregunta de valor ¿ Tenemos: Un conocimiento claro y compartido de los beneficios esperados Una responsabilidad clara para realizar los beneficios Una métrica relevante Un proceso eficaz de realización de beneficios? La pregunta de arquitectura ¿ Está la inversión: De acuerdo con nuestra arquitectura Coherente con nuestros principios arquitectónicos Contribuyendo a la población de nuestra arquitectura En línea con otras iniciativas? La pregunta de entrega ¿ Tenemos: Procesos eficaces y disciplinados de dirección, entrega y gestión de cambios Recursos técnicos y de negocio competentes y disponibles para entregar: Las capacidades necesarias Los cambios de organización necesarios para potenciar las capacidades? www.isaca.org.uy Muchas Gracias ¿Preguntas? Carlos Francavilla carlos@icglatam.com mailto:carlos@icglatam.com?subject=CiGRAS 2014 www.isaca.org.uy Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Carlos Francavilla Socio ICG LATAM http://ar.linkedin.com/in/carlosaf/
Compartir