Alineando el Gobierno, Riesgo y Cumplimiento de TI con COBIT 5 Caso de Estudio Ecopetrol

Transcripción

1 Alineando el Gobierno, Riesgo y Cumplimiento de TI con COBIT 5 Caso de Estudio Ecopetrol Alberto León Lozano, Oficial de Cumplimiento de TI Vicepresidencia de Innovación y Tecnología, Ecopetrol (Colombia) Jornadas Técnicas Noviembre 5 y 6 de 2014 Madrid, España ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 1

2 Información de la Compañía Ecopetrol es la compañía más grande de Colombia y es una empresa integrada en la cadena del petróleo. Ubicada entre las 40 petroleras más grandes del mundo y entre las cuatro principales en Latinoamérica. Información General Además de Colombia, presencia en actividades de exploración y producción en Brasil, Perú y Estados Unidos. Ecopetrol cuenta con la mayor refinería de Colombia, la mayor parte de la red de oleoductos y poliductos del país. Está incrementando significativamente su participación en biocombustibles. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 2

3 Información general de la Compañía Más de accionistas Más de trabajadores de planta Más de contratistas Dispersión geográfica Operaciones internacionales Regulación local e internacional ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 3

4 Contexto Empresarial Dinámico Retador Demandante Complejo Importante Exige Gestión Gobierno Riesgo Cumplimiento ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 4

5 Adopción de Marcos de referencia 2007 Se adopta el modelo COSO para gestión de control interno 2008 Se adopta el modelo COBIT para gestión de gobierno, riesgos y cumplimiento en TI Se implementan los procesos y objetivos de control básicos 2010 Se diseñan procesos y servicios de TI basados en ITIL 2011 Se inicia optimización con Servicios Compartidos de TI e integración de la Gestión por Procesos en el Sistema Integral de Gestión y Control empresarial ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 5

6 Implementación COBIT 4.1 ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 6

7 Sistemas de Gestión en Ecopetrol COSO Sistema de Gestión de Calidad Sistema de Gestión de Tecnología de la Información Sistema de Control Interno Ley Sox Sistema de Gestión Integral de Riesgos CobiT Control Objectives for Information and related Technology Modelo de Procesos Alineación y articulación de los Sistemas de Gestión y Control existentes. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 7

8 Se implementaron los Procesos de TI, incorporando los Objetivos de Control COBIT 4.1 ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 8

9 Objetivos Objetivos de control específicos Controles PO4 Definir procesos, organización y relaciones 8 AI2 Adquirir y mantener software aplicativo 20 AI3 Adquirir y mantener infraestructura de TI 5 AI4 Facilitar la operación y el uso 6 AI6 Administrar cambios 5 AI7 Instalar y acreditar soluciones y cambios 9 DS2 Administrar servicios de terceros 5 DS4 Asegurar servicio continuo 4 DS5 Asegurar seguridad a los sistemas 18 DS8 Administrar mesa de servicios e incidentes 11 DS9 Administrar la configuración 1 DS11 Administrar datos 5 DS12 Administrar el ambiente físico 2 DS13 Administrar las operaciones 3 ME1 Supervisar y evaluar los procesos de TI 8 Total 110 Se priorizaron los Controles sobre los Riesgos clave relacionados con Integridad, Confidencialidad y Disponibilidad de la Información ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 9

10 Se Identificaron las aplicaciones relacionadas con los flujos de información financiera contable, cubriendo todos los procesos de negocio ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 10

11 Actividades Diseño de 28 Procesos Implementación de 14 Procesos SOX Capacitación, divulgación y refuerzo Implementación Procesos Adicionales Operación SGTI Plan de Trabajo 2009 Enero Feb Marzo Abril Mayo Junio Julio Agosto Sep Oct Nov DIC Se realizó del Diseño e Implementación de los Procesos para integrar el Sistema de Gestión de TI Soporte SGTI ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 11

12 Diseño de los procesos - Entregables (Guía de documentación Norma 0 ) Ficha de Caracterización Diagrama de Flujo Narrativa Matriz de Riesgos y Controles Normativa Medición de Madurez Matriz RACI Material de Entrenamiento (ejemplo>>) ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 12

13 Sostenibilidad Matriz RACI ID Descripción Dirección UIE UID UIN UIS UGA CSI Gestión Documental PO2 Definir la Arquitectura de la Información A C C C C R C C PO4 Definir procesos, organización y relaciones de TI A C C C C R C C PO7 Administrar recursos humanos de TI A I I I I R I I PO8 Administrar la calidad A I I I I R I I PO9 Evaluar y administrar riesgos de TI A C C C C R C C PO10 Administrar proyectos A R R R R R R R AI1 Identificar soluciones automatizadas A R R R C C C C AI2 Adquirir y mantener software aplicativo A R R R C C C C AI3 Adquirir y mantener la infraestructura tecnologica A C C C R C C I AI4 Facilitar la operación y el uso A R R R R C C I AI5 Adquirir recursos de TI A R R R R R R R AI6 Administrar cambios A R R R R C C C AI7 Instalar y acreditar soluciones y cambios A R R R R C R I DS1 Definir y administrar los niveles de servicio A R R R R R C R DS2 Administrar servicios de terceros A R R R R R C I DS3 Administrar desempeño y capacidad A C C C R C I I DS4 Garantizar la continuidad del servicio A R R R R C C I DS5 Garantizar la seguridad de los sistemas A I I I R C R I DS7 Educar y entrenar a los usuarios A R R R R R R R DS8 Administrar la mesa de servicios e incidentes A C C C R C C C DS9 Administrar la configuración A I I I R C C I DS10 Administrar los problemas A C C C R C C C DS11 Administrar los Datos A C C C R C C C DS12 Administrar el ambiente físico A I I I R I C I DS13 Administrar las operaciones A I I I R I C I ME1 Monitorear y evaluar el desempeño de TI A C C C C R C I ME2 Monitorear y evaluar el control interno A R R R R R R R ME3 Garantizar cumplimiento regulatorio A C C C C C R C Se establecieron los roles y responsabilidades sobre el diseño y la operación de los procesos, en cabeza de los líderes ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 13

14 Gestión de Cambio Se integró un frente de gestión de Cambio alineado con la estrategia de Implantación y Sostenibilidad Indicador de Entendimiento Global: encuesta Indicador de Disposición: Test Indicador de entendimiento específico: $v. técnica ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 14

15 Factores Clave de Éxito y Lecciones Aprendidas (1/2) Enfoque de gestión por procesos. Estructuración de la iniciativa como un Proyecto y Respaldo Pleno de la Dirección, Monitoreo frecuente. Establecimiento de un frente de gestión de cultura, entrenamiento y acreditación de profesionales. Apropiación, por parte de los dueños de los procesos, riesgos y controles. Integración con las áreas involucradas e iniciativas relacionadas (internas y externas) generación de sinergias ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 15

16 Factores Clave de Éxito y Lecciones Aprendidas (2/2) Procedimiento de control de cambios establecido y aplicado. Gestión sobre las lecciones aprendidas. Definición de las estrategias y acciones de sostenibilidad Fuerte interacción con auditorías Acreditación por parte de terceros independientes y competentes Apoyo en Consultorías de alto nivel. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 16

17 Caso de Estudio Publicado en ISACA 2010 Implementación COBIT 4.1 para Gobierno, Riesgo y Cumplimiento de TI. Primera empresa latinoamericana y segunda empresa del sector oil&gas en publicar caso de estudio COBIT en ISACA. Caso de Estudio referenciado en una Tesis de Maestría en Gestión de TI en la Universidad de Greenwich - UK >> Caso de Estudio presentado en conferencias del IIA, ISACA y referenciado por varias empresas en procesos de implementación >> ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 17

18 Evolución y Madurez de los procesos de TI Capacidad Desempeño Nivel de Madurez Optimizado ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 18

19 Mediciones de Madurez en Procesos 2008 Se realiza medición inicial e identificación de brechas. Informe >> Nivel promedio: Se realiza medición por parte de externo. Informe>> Nivel promedio Se realiza medición por parte de externo. Informe>> Nivel promedio Se define modelo que integra medición de Capacidad y Desempeño de los procesos. Informe>>. Se aplica piloto Se realiza Medición, integrando Capacidad y Desempeño. Informe>>. Nivel promedio 3.7 ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 19

20 Consolidación de la Gestión Integral por procesos y el Control Interno ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 20

21 Integración COBIT - ITIL Se comprobó la Viabilidad de la Alineación e Integración Los modelos se complementan en Definición y Alcance Se lograron procesos integrados que incorporan los controles en su diseño y operación Se tienen cubiertos los Riesgos clave de los procesos Se propicia la conformidad frente a los referentes de evaluación ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 21

22 IMPACTO Gestión de Riesgos Estratégicos de TI Con base en la Práctica COSO ERM Se gestionan los riesgos empresariales de TI, sobre los procesos. Planear Monitorear Identificar Comunicar Tratar Evaluar PROBABILIDAD Prácticamente Poco probable Es posible que Bastante probable Ocurrirá con alto imposible que que ocurra el ocurra el próximo que ocurra el nivel de certeza el ocurra el próximo próximo año año próximo año próximo año año Ha ocurrido en los Ha ocurrido más Ha ocurrido en la Ha ocurrido en los Ha ocurrido en el últimos 10 años de una vez en el Industria últimos 5 años último año en Ecopetrol último año Raro Improbable Posible Probable Con Certeza A B C D E Catastrófico 5 Mayor 4 Moderado 3 Menor 2 Insignificante 1 Ninguno 0 Se aplica el ciclo anual de Planeación, Identificación, Valoración, Tratamiento, Monitoreo y Comunicación de riesgos empresariales de TI. Productos en gestión permanente: Lista de Riesgos, alineados con objetivos de procesos Matrices RAM Planes de Tratamiento y KRI s Reportes de mensuales de Monitoreo ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 22

23 Resultados Madurez en Procesos Los procesos de TI se establecieron e integraron al SGCI y Centro de Servicios Compartidos. La madurez en procesos se estabilizó en Nivel 3 y se mide en Capacidad y Desempeño 3,9 4 3,6 3,8 3, Capacidad Desempeño Nivel de Madurez Optimizado Adopción de Modelo de Referencia COBIT e Implantación de 28 Procesos, priorizados 14 SOX 2010 Consolidación con el Sistema de Gestión Integral e Incorporación a Servicios Compartidos Evaluación de Madurez (Capacidad), con informe comparativo por Sector, Región e Industria Se entrega Modelo de Madurez (Capacidad Desempeño), incluyendo los elementos del SIGC Medición de Madurez de los Procesos de TI bajo el marco del SGCI en capacidad y desempeño. Nivel de Madurez en Capacidad: 3.8 y en Desempeño: 3.6 ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 23

24 Resultados Madurez en Procesos DS13- Administrar las Operaciones DS12- Administración del Ambiente Físico Estado de los procesos AI1- Identificar soluciones automatizadas AI2- Adquirir y mantener software aplicativo Medición del Proceso 2010 Medición del Proceso 2010 Medición del Proceso 2009 Medición del Proceso 2009 Madurez objetivo Madurez objetivo AI3- Adquirir y Mantener Infraestructura Tecnológica 2 DS11- Administrar los Datos 1 AI4- Facilitar la operación y el uso 0 DS9- Administrar la Configuración AI6- Administrar cambios DS8- Administrar la Mesa de Servicio y los Incidentes AI7- Instalar y acreditar soluciones y cambios DS5- Garantizar la Seguridad de los DS2- Administrar Servicios Prestados Sistemas por Terceros DS4- Gestión de Continuidad Tecnológica ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 24

25 Resultados Madurez en Procesos Nivel de Capacidad Promedio Actual Deseado Nivel de Desempeño Resultado Promedio 2013 Nivel deseado 2014 Resultado Promedio 2013 Nivel deseado ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 25

26 Resultados de Cumplimiento Racionalización de Controles Los controles clave de TI se establecieron y han sido afinados con criterios de Racionalización y Optimización basado en riesgos. Se proyecta estabilidad en la cantidad actual de 53 controles DTI UTI Establecimiento de Riesgos y Controles clave Prioridad sobre riesgos relacionados con Disponibilidad, Integridad y Confidencialidad de la Información Énfasis en cobertura de aplicaciones Financieras y Críticas de Negocio Formalización en asignación de responsabilidades y aseguramiento de evidencias Racionalización y Optimización, basada en criterios de Riesgos Actualmente, 28 controles de Gobierno de TI y 25 de Operaciones de TI. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 26

27 Resultados - Nivel de Cumplimiento de controles El nivel de Cumplimiento se ha incrementado y estabilizado, con base en los procesos y apalancado por las autoevaluaciones, ciclos permanentes de Monitoreo y aseguramiento de las acciones de mejora identificadas. 120% 100% 80% 60% 40% 20% 0% 96% 97% 98% 98% 100% 93% 90% 70% Se desarrollan Ciclos de Monitoreo Permanente con realimentación y aseguramiento de Acciones de Mejora Se apoya en la Inspección de evidencias, generación de ajustes en diseño y operatividad de controles Se refuerza con las autoevaluaciones por parte de los responsables de los procesos. Alineación con el indicador de Control Interno empresarial ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 27

28 Resultados de Cumplimiento Hallazgos de Auditoría Las Auditorias Internas se realizan con énfasis en el aseguramiento de los controles SOX, desarrollando ciclos de evaluación sobre diseño y operatividad, formalizando y asegurando los planes de mejora requeridos. Diseño Operación ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 28

29 Resultados de Cumplimiento Acciones de Mejora Se identifican las acciones hacia su causa raíz, asegurando el cumplimiento y evaluación de la efectividad de las mismas, proyectadas hacia el indicador de transparencia. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 29

30 Resultados de Cumplimiento Auditorías Externas En las Auditorías Externas no se han reportado hallazgos de controles inefectivos a cargo de TI. Se han identificado controles Efectivos con oportunidades de mejora para los cuales, se ejecutaron Planes de Acción ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 30

31 Consolidación del Proceso de TI Integrados al Sistema de Gestión y Control Empresarial. Incorpora trazabilidad con el Compendio de Mejores Prácticas adoptado y los Objetivos de Control definidos. Establece las funciones de Gobierno y Gestión de TI ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 31

32 Alineación con COBIT 5 ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 32

33 Análisis de COBIT Implementación de COBIT Conocimiento de los borradores de COBIT 5 y generación de aportes a ISACA 2011 Estudio detallado de los borradores de COBIT 5 y generación de aportes a ISACA 2012 Estudio detallado de los documentos finales de COBIT 5 y análisis para proyección de alineación y extensión hacia COBIT 5, como un referente en Gobierno de TI Inicia la Alineación con prácticas COBIT 5 ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 33

34 Caso de Estudio Publicado en ISACA 2014 Alineando el para Gobierno, Riesgo y Cumplimiento de TI con COBIT 5. Con base en los procesos de TI implementados con el referente COBIT 4.1 Aprovechando las mejoras propiciadas por la consolidación organizacional, la función de TI se articula con el Sistema de Gestión Integral por Procesos Empresarial, logrando una madurez que se alinea con los principios, catalizadores y procesos de COBIT 5. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 34

35 PROCESOS COBIT 5 Tomamos los procesos definidos por COBIT 5 para mapearlos con los procesos de Ecopetrol aplicados a la función de TI ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 35

36 Otros procesos Procesos Ecopetrol EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI010 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MARCO DE PROCESOS ECOPETROL VS. COBIT 5 Procesos COBIT 5 Formulación de la Estrategia de TI Gestión de Arquitectura Empresarial Formulación de iniciativas de TI Programación de Programas y Proyectos de TI Gestión de Portafolio de programas y Proyectos de TI Implementación de Programas y Proyectos de TI Seguridad Informática Continuidad del Servicio de TI Configuración y activos de TI Capacidad de TI Disponibilidad de TI Cambios de TI Requerimientos de TI Problemas de TI Eventos de TI 3 3 Incidentes de TI Planeación estrategica Planeación del desarrollo de nuevos negocios Planeación del desarrollo de programas y proyectos Planeación del desarrollo y alineación Organizacional Priorización de inversiones y planeación financiera Implementación de nuevos negocios Implementación de programas / proyectos Planeación operativa integrada de cadena de suministro 3 Implementación del desarrollo y alineación organizacional Gestión de cadena de suministros 3 3 Gestión de Tecnología de negocio Gestión de Talento Humano 3 3 Gestión de abastecimiento 3 3 Gestión financiera 3 Evaluación, seguimiento y control de la gestión Verificación objetiva interna Otras prácticas ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 36

37 EVOLUCIÓN DE ECOPETROL EN FUNCIÓN DE LOS PRINCIPIOS COBIT 5 Principios COBIT 5 Nivel de Evolución y cobertura de componentes por parte de Ecopetrol - TI Generación de Valor Gestión de realización de Beneficios Satisfacer las Necesidades de las Partes Interesadas Cubrir la Empresa de extremo a extremo Aplicar un marco de referencia Único Integrado Hacer posible un enfoque Holístico (Integral, como un todo) Separar el Gobierno de la Gestión de TI Optimización de Riesgos Aseguramiento de valor por medio de la cascada de Metas Gestión de Información y tecnologías asociadas,como activo s transversales de la Compañía Extensión de los catalizadores de TI para el Gobierno y gestión a través de toda la organización Gestionar de forma integral Gobierno Corporativo, las TI y la información de la e empresa Alineación de marco de gobierno y gestión a través de toda la organización Estandarización de practicas de gestión (Riegos, controles, información, innovación, seguridad, entre otras) Definición a nivel empresarial de componentes interactivos para la gestión integral de todos los aspectos de gobierno (TI, RRHH, Producción ) Cobertura de Catalizadores Definición de estructuras organizativas para la gestión independiente y/o especializada del gobierno y la gestión de TI Bajo nivel de definición En progreso y maduración Definido y en adopción ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 37

38 EVOLUCIÓN DE ECOPETROL TI EN FUNCIÓN DE LOS CATALIZADORES COBIT 5 Catalizadores COBIT 5.0 Principios, políticas y marcos de referencia Los procesos Las estructuras organizativas La cultura ética y comportamiento La Información Los servicios, Infraestructura y aplicaciones Las personas habilidades y competencias Nivel de Evolución y cobertura de componentes por parte de ECP / TI Establecimiento de guías practicas, marcos de gestión, definición de políticas y aplicación de principios para la gestión de TI y la Organización. Definición y adopción de marco de Gestión basado en procesos para lograr objetivos de la organización. Definición de estructuras organizacionales adecuadas para el gobierno y gestión de la organización Generación de prácticas orientadas al fortalecimiento de cultura de transparencia, ética, desarrollo, empoderamiento, sentido de pertenencia y reciprocidad dentro del desarrollo de las actividades de gobierno y gestión Implementación de prácticas transversales de seguridad y gestión de la información, implementando consideraciones de calidad, uso, estandarización, capitalización del conocimiento, brindándole a la información un tratamiento y estatus de activo de la compañía. Definición e implementación de estructura de servicios, soportados por procesos que gobiernan y gestionan la tecnología requerida, su infraestructura y aplicaciones dentro de un marco de valor, calidad, seguridad y continuidad. Definición de entornos y prácticas orientadas a fortalecimiento de recursos y capacidades de las personas que habilitan los procesos y servicios. (Gestión de desempeño de personas, planes de carrera, formación, capacitación, desarrollo de competencias.. Entre otros) Bajo nivel de definición En progreso y maduración Definido y en adoptado ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 38

39 EL MODELO DE EVALUACIÓN DE PROCESOS CUBRE EL ENFOQUE DE COBIT 5 Modelo de Evaluación de Procesos de Ecopetrol Atributos Genéricos de Capacidad y Desempeño Cobit Inexistente Administrad Inicial Repetible Definido o Optimizado Modelo de Evaluación de Procesos de TI Ecopetrol - Indicadores de Capacidad Estrategia y Direcciona miento Gente Operaciones Riesgos y Controles Recursos Información & Conocimient Monitoreo & Mejora Modelo de Evaluación de Procesos Indicadores de Gestión rendimiento/desempeño ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 39

40 EL MODELO DE EVALUACIÓN DE PROCESOS CUBRE EL ENFOQUE DE COBIT 5 Atributos cubiertos por el modelo de evaluación de Ecopetrol vs. definido por Cobit 5 EL modelo actual de evaluación de procesos de Ecopetrol incorpora elementos claves de mejores prácticas como PMI, COBIT, ITIL, ISO 27000, TOGAF. Adicionalmente, aborda la evaluación de madurez de los procesos bajo las perspectivas de capacidad y desempeño lo que permite tener un marco de evaluación comparable con el adoptado por COBIT 5. En la evaluación de procesos, es importante analizar dentro de la función de tecnología las actividades y/o proceso relacionados con la Innovación y Optimización, puntos importantes resaltados en COBIT 5.0 De igual forma hay un énfasis significativo en las estructuras de gobierno de la Información y relacionamiento con el negocio para lograr mayor alineación y penetración con el negocio y optimizar los temas relacionados con la seguridad de la información. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 40

41 Alineación con COBIT 5 Conclusiones (1/2) Se comprobó la alineación de la función con el marco COBIT 5 (Principios, Catalizadores y Procesos). La extensión se genera de una vista integrada y fuerte orientación a la gestión por procesos, medición y mejora continua. Se requieren esfuerzos de sostenibilidad basados en la cultura y modelos operativos Se proyecta como referente para Acreditación. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 41

42 Alineación con COBIT 5 Conclusiones (2/2) Esta iniciativa implica esfuerzos importantes, pero propicia impactos positivos sobre la fiabilidad del sistema de control interno de la empresa, generando claramente información confiable que apoya los procesos y la estrategia de negocio. La implementación de COBIT 5 sobre un modelo de procesos de operación basado en una versión anterior requiere una estrategia que permita el aprovechamiento de las nuevas prácticas sin afectar los resultados actuales. Basado en la apropiación, la articulación y la comunicación con todos los involucrados La evaluación de la madurez sobre la capacidad y el desempeño de los procesos, es una fuente importante para determinar las oportunidades de mejora y sostenibilidad. Debe ser permanente y estricta en su metodología, competencias de los evaluadores y participación de los dueños de proceso ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 42

43 Resultados y factores de éxito RESULTADOS: Impacto en la confiabilidad de la información Confianza en el sistema de control interno de TI FACTORES DE ÉXITO: El proceso de implementación y sostenibilidad del modelo Integración y articulación con temas organizacionales asociados, Evaluación interna y externa permanente, Gestión sobre la cultura, Apoyo en servicios de consultoría efectivos Gestión sobre lecciones aprendidas ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 43

44 Logros del Talento Humano - Gente Ecopetrol Ejecutivos: Javier Gutierrez Presidente Nestor Saavedra Vicepresidente de Innovación y Tecnología Jorge Gómez Director de Tecnología de Información José Isaías Martínez Jefe Unidad de Gestión y Arquitectura Jeimy Cano Coordinador de Seguridad de Información William Mora Jefe Unidad Servicios Compartidos de TI Equipos de trabajo de las áreas: Vicepresidencia de Servicios y Tecnología ( ), Dirección de Tecnología de Información, Unidad Servicios Compartidos de TI, Vicepresidencia Financiera, Vicepresidencia de Estrategia y Crecimiento, Vicepresidencias Ejecutivas del Upstream y Downstream, Dirección de Servicios Compartidos, Dirección de Auditoría Interna, Dirección de Abastecimiento, Unidad de Ética y Cumplimiento, Unidad de Gestión de Riesgos, Coordinación de Aseguramiento SOX, Comité temático de control interno, consultores, contratistas y Outsourcing de TI. ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 44

45 Para uso restringido en Ecopetrol S.A. Todos los derechos reservados. Ninguna parte de esta presentación puede ser reproducida o utilizada en ninguna forma o por ningún medio sin permiso explícito de Ecopetrol S.A. Alberto León Lozano Alberto.Leon@ecopetrol.com.co