Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial

Transcripción

1 Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Carlos Francavilla Socio ICG LATAM

2 Agenda Qué es Gobierno Corporativo? Un poco de historia El marco COBIT 5 Principios de COBIT 5 Principios ISO Dominio de Gobierno Aporte de COBIT al gobierno

3 Gobierno Corporativo Organizaciones Sistema Controlan Dirigen

4 Seguimientos de Resultados/Presupuestos 92,39% Seguimiento de Operaciones/Actividades 88,04% Estrategia 74,46% Gestión de Riesgos 40,22% Control Interno 35,87% Cumplimiento Normativo 26,09% Responsabilidad Social 20,65% Comunicación Corporativa 17,39% Fuente Deloite Estudio 180 Empresas España 2012

5 Comité Ejecutivo / CEO 88,04% Junta Directiva 75,54% Unidades de Negocio 68,48% Comité de Estrategia 20,65% Asesores Externos 7,61% Fuente Deloite Estudio 180 Empresas España 2012

6 Alto 82,41% Medio 12,96% Bajo 4,63% Fuente Deloite Estudio 180 Empresas España 2012

7 Enterprise Risk Management COSO 49,25% Otros 41,79% ISO ,97% COBIT 2,99% Fuente Deloite Estudio 180 Empresas España 2012

8 NO 42,41% SI, limitado a Tecnología 24,61% SI, documentado y comunicado 17,80% SI, no comunicado 15,18% Fuente Deloite Estudio 180 Empresas España 2012

9 SI, política específica 48,96% NO 33,85% SI, incluido en la política de gestión de Riesgos 17,19% Fuente Deloite Estudio 180 Empresas España 2012

10 Normas y procedimientos internos 76,63% Mapa de Riesgos 32,07% Sistema definido 25,54% Simulación financiera 19,57% Marcos de trabajo (COSO, COBIT) 9,24% Otras 3,80% Fuente Deloite Estudio 180 Empresas España 2012

11 Evolución del Alcance Gobierno de TI Empresarial Gobierno de TI Gestión Val IT 2.0 (2008) Control Auditoría Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / Un marco de negocios por ISACA,

12 Directorio Gerencias de Negocio IT Funcional Operaciones

13 Ayuda a crear valor óptimo de TI. Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa. Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas Los 5 principios de COBIT y sus Catalizadores son de carácter genérico. útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público

14 Nuevos Principios Val IT y Risk IT Basados en Principios Son Marcos de Trabajo Principios Son fáciles de entender y aplicarlos al contexto empresario Permitiendo derivar valor de las guías de soporte más efectivamente ISO/IEC Incorpora Principios Para potenciar sus mensajes Los principios de ISO/IEC no son los mismos de COBIT 5 Carlos 14 Francavilla

15 Planes, Políticas Propuestas Desempeño Cumplimiento Principios ISO Dirigir Programas de Cambio Gobierno Corporativo Evaluar Gestión Corporativa Supervisar Operaciones TI Responsabilidad Quien es responsable de que Todos comprenden su responsabilidad Quien es responsable de la oferta y demanda Estrategia Quien debe realizar la estrategia de Tecnología Como se relacionan la estrategia de TI y de negocios Debe incluir Cartera, Arquitectura y Programas Adquisición Quien toma las decisiones de invertir en tecnología Quien toma la decisión de continuar invirtiendo en la cartera de tecnología Quien decide el abastecimiento de tecnología Carlos 15 Francavilla

16 Planes, Políticas Propuestas Desempeño Cumplimiento Principios ISO Dirigir Programas de cambio Gobierno Corporativo Evaluar Gestión Corporativa Supervisar Operaciones TI Desempeño Cumplimiento de objetivos actuales Cumplimiento de objetivos futuros Sistemas e infraestructura, personas, procesos Cumplimiento Comprensión de las reglas Formulación de las reglas Identificar y arreglar el no cumplimiento Comportamiento Humano Respuestas al cambio Tratamiento de personas de acuerdo a las comunidades Dedicación y compromiso Carlos 16 Francavilla

17 Procesos Nuevos y Modificados COBIT 5 Introduce 5 nuevos procesos de Gobierno Apalancando y Mejorando COBIT 4.1 Val IT 2.0 Risk IT Esta Dirección Ayuda A las empresas a redefinir las prácticas de Gobierno de TI a nivel ejecutivo Soporta la integración con las prácticas de Gobierno Empresarial Está alineada con ISO/IEC Carlos Francavilla 17

18 Procesos Nuevos y Modificados COBIT 5 ha clarificado los procesos del nivel de Gestión. Incorporado los contenidos de COBIT 4.1, Val IT y Risk IT en un nuevo modelo de referencia. Carlos BMIS Francavilla 18

19 Prácticas y Actividades Prácticas Gobierno o Gestión de COBIT 5 Son equivalentes a: Objetivos de Control de COBIT 4.1 que desaparecen de COBIT! el nombre COBIT no pierde sentido? Procesos de Val IT y Risk IT Actividades COBIT 5 Son equivalentes a: Prácticas de Control de COBIT 4.1 Prácticas de Gestión de Val IT y Risk IT Integra y Actualiza Todo el contenido previo en un solo modelo Facilitando la comprensión y el uso del material cuando se implantan mejoras Carlos Francavilla 19

20 1. Satisfaciendo las necesidades de los interesados 5. Separando Gobierno y Gestión Principios COBIT 5 2. Cubriendo la empresa de extremo a extremo 4. Posibilitando un enfoque holístico 3. Aplicando un solo marco integrado Fuente: COBIT 5, figure ISACA All rights reserved.

21 Principio 1. Satisfaciendo las necesidades de los interesados Las empresas existen para crear valor para sus interesados Necesidad de los Interesados Impulsa Objetivo de Gobierno: Creación de Valor Realización De Beneficios Optimización de Riesgos Optimización De Recursos Source: COBIT 5, figure ISACA All rights reserved.

22 Principio 1. Satisfaciendo las necesidades de los interesados La Empresa Pueden tener muchos interesados. Crear Valor puede ser interpretado de diferentes maneras y muchas veces con conflicto para cada uno de ellos. Gobierno Es acerca de la negociación y decisión. Entre los diferentes necesidades de los interesados. El sistema de Gobierno Debe considerar a todos los interesados Cuando toma decisiones de beneficios, recursos y riesgos. Por cada decisión, puede y debe preguntarse: Quién recibe el beneficio? Quién asume el riego? Qué recursos se necesitan?

23 Principio 1. Satisfaciendo las necesidades de los interesados Las necesidades de los interesados deben traducirse a una estrategia de acción de la empresa. La cascada de objetivos de COBIT 5, traslada las necesidades de los interesados en Objetivos específicos Acciones concretas y personalizadas dentro del contexto de la empresa Objetivos relacionados de TI Objetivos facilitadores o activadores de las metas. Realización de Beneficios Impulsores de los Interesados Ambiente, Evolución de la Tecnología, Necesidades de los Interesados Optimización de Riesgo Objetivos de la Empresa Objetivos Relacionados con TI Objetivos Facilitadores Influencian Optimización de Recursos Cascada a Cascada a Cascada a Source: COBIT 5, figure ISACA All rights reserved.

24 Principio 1. Satisfaciendo las necesidades de los interesados Beneficios de la cascada de objetivos de COBIT 5 Permiten la definición de prioridades de implantación. Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos relacionados. En la práctica; Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad. Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o aseguramiento. Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para lograr los objetivos de la empresa.

25 Principio 2. Cubriendo la empresa de extremo a extremo COBIT 5 Se refiere al Gobierno y Gestión de TI empresarial y las tecnologías relacionadas. Desde una perspectiva de empresa completa, de extremo a extremo. Integra Gobierno de TI en el Gobierno Empresario. COBIT 5 se integra fácilmente con cualquier sistema de Gobierno porque está alineado con las últimas visiones de Gobierno. Cubre Todas las funciones y procesos dentro de la empresa. COBIT 5 no solo se enfoca en la «función de TI» trata la información y las tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro en la empresa.

26 Principio 2. Cubriendo la empresa de extremo a extremo Realización De Beneficios Objetivo de Gobierno: Creación de Valor Optimización de Riesgos Optimización De Recursos Facilitadores De Gobierno Alcance De Gobierno Roles, Actividades y Relaciones Source: COBIT 5, figure ISACA All rights reserved. Roles, Actividades y Relaciones Dueños y Accionistas Delega Dirección Instruye Cuentas Cuerpo de Gobierno Supervisa Gestión Informa Operación y Ejecución Source: COBIT 5, figure ISACA All rights reserved.

27 Principio 5. Separando Gobierno y Gestión COBIT 5 hace una clara distinción entre Gobierno y Gestión Abarcan diferentes tipos de actividades Requieren diferentes estructuras organizacionales Sirven propósitos diferentes Gobierno En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo de Dirección con el liderazgo del Presidente Gestión En la mayoría de las empresas, la Gestión es responsabilidad de los ejecutivos bajo el liderazgo del CEO Carlos Francavilla 27

28 Gobierno Gestión Principio 5. Separando Gobierno y Gestión Asegura el cumplimiento de objetivos empresariales Evalúa necesidades, condiciones y opciones de los interesados Dirige a través de la priorización y toma de decisiones Supervisa (Monitor) el desempeño y cumplimiento contra la dirección y los objetivos acordados Planea, Construye, Opera y Supervisa (Monitor) Las actividades fijadas y acordadas por el cuerpo de gobierno Ciclo PBRM Ciclo EDM Carlos Francavilla 28

29 Principio 5. Separando Gobierno y Gestión COBIT 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestión de manera tal que las áreas claves están cubiertas como se muestra en la figura Necesidades del Negocio Gobierno Evaluar Dirigir Supervisar Gestión Planear (APO) Construir (BAI) Retroalimentación Ejecutar (DSS) Supervisar (MEA) Carlos Francavilla Source: COBIT 5, figure ISACA All rights reserved. 29

30 Principio 5. Separando Gobierno y Gestión COBIT 5 Los Procesos son una Categoría Describe 7 Categorías de Catalizadores Una Empresa Puede organizar sus procesos como mejor le parezca Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión Las pequeñas empresas pueden tener menor cantidad de Procesos COBIT 5 Incluye un modelo de referencia de procesos Process Reference Modelo (PRM) Describe en detalle Procesos de Gobierno y Gestión Los detalles se encuentran en la publicación COBIT 5 Enabling Processess Carlos Francavilla 30

31 2. Procesos 3. Estructura Organizacional 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos de Trabajo 5. Información 6. Servicios, Infraestructura y Aplicaciones Recursos Fuente: COBIT 5, figure ISACA All rights reserved. 7. Personas, Habilidades y Competencias

32 Modelo de Referencia Subdivide la prácticas relacionadas de TI Dos áreas principales; Gobierno Gestión, dividida en: Dominios y Procesos Dominio Gobierno Contiene 5 procesos Dentro de cada proceso se definen las actividades de; Evaluar, Dirigir, Supervisar Ciclo EDM 4 Dominios de Gestión Están en línea con las áreas de responsabilidad Planear, Construir, Ejecutar, Supervisar Ciclo PBRM Carlos Francavilla 32

33 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 Definir y Mantener el Marco de Gobierno EDM02 Asegurar Entrega de Beneficios EDM03 Asegurar Optimización de Riesgo EDM04 Asegurar Optimización de Recursos EDM05 Asegurar Transparencia para los Interesados Alinear, Planear, Organizar (APO) - Procesos Gestión de TI APO01 Gestionar el Marco de Gestión de TI APO02 Gestionar la Estrategia APO03 Gestionar la Arquitectura Empresarial APO04 Gestionar Innovación APO05 Gestionar Cartera APO06 Gestionar Presupuesto y Costos APO07 Gestionar Recursos Humanos Supervisar, Evaluar, Valorar (MEA) Procesos Gestión de TI APO08 Gestionar Relaciones APO09 Gestionar Acuerdos de Servicio APO10 Gestionar Proveedores APO11 Gestionar Calidad Construir, Adquirir, Implantar (BAI) Procesos Gestión de TI APO12 Gestionar Riesgo AP13 Gestionar Seguridad MEA01 Desempeño y Conformidad BAI01 Gestionar Programas y Proyectos BAI02 Gestionar Definición de Requerimientos BAI03 Gestionar Identificación de Soluciones y Construir BAI04 Gestionar Disponibilidad y Capacidad BAI05 Gestionar Facilitación del Cambio Organizacional BAI06 Gestionar Cambios BAI07 Gestionar Aceptación del Cambio y Transición MEA02 Sistema de Control Interno BAI08 Gestionar Conocimiento BAI09 Gestionar Activos BAI10 Gestionar Configuración Entrega, Servicio, Soporte (DSS) Procesos Gestión de TI DSS01 Gestionar Operaciones DSS02 Gestionar Requerimientos de Servicio e Incidentes DSS03 Gestionar Problemas DSS04 Gestionar Continuidad DSS05 Gestionar Servicios de Seguridad DSS06 Gestionar Control de Procesos de Negocio MEA03 Cumplimiento Requerimientos Externos Carlos Francavilla Source: COBIT 5, figure ISACA All rights reserved. 33

34 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 Definir y Mantener el Marco de Gobierno EDM02 Asegurar Entrega de Beneficios EDM03 Asegurar Optimización de Riesgo EDM04 Asegurar Optimización de Recursos EDM05 Asegurar Transparencia para los Interesados Descripción y Propósito del Proceso Objetivo relacionado de TI Métricas Relacionadas Objetivos del Proceso Métricas del Proceso Cuadro RACI Carlos Francavilla 34

35 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 Definir y Mantener el Marco de Gobierno EDM02 Asegurar Entrega de Beneficios EDM03 Asegurar Optimización de Riesgo EDM04 Asegurar Optimización de Recursos EDM05 Asegurar Transparencia para los Interesados Práctica de Gobierno Entradas Salidas Actividades Guias Relacionadas Carlos Francavilla 35

36 Integrando Tecnología al Gobierno Corporativo Definiendo cual es el rol del directorio en el Gobierno de Tecnología Separando claramente las actividades de Gestión de las de Gobierno Comprender que Tecnología no está separada del negocio, en una empresa todos somos el negocio y tecnología esta fusionada Vinculando cada Inversión en Tecnología con Beneficios, Recursos, Riesgos y Transparencia 36 Carlos Francavilla

37 La pregunta estratégica Está la inversión: De acuerdo con nuestra visión Coherente con nuestros objetivos de negocio Contribuyendo a nuestros objetivos estratégicos Proporcionando valor a un costo económico y niveles de riego aceptable? Estamos haciendo lo correcto? Estamos obteniendo los beneficios? La pregunta de valor Tenemos: Un conocimiento claro y compartido de los beneficios esperados Una responsabilidad clara para realizar los beneficios Una métrica relevante Un proceso eficaz de realización de beneficios? La pregunta de arquitectura Está la inversión: De acuerdo con nuestra arquitectura Coherente con nuestros principios arquitectónicos Contribuyendo a la población de nuestra arquitectura En línea con otras iniciativas? Lo estamos haciendo correctamente? Lo estamos logrando bien? La pregunta de entrega Tenemos: Procesos eficaces y disciplinados de dirección, entrega y gestión de cambios Recursos técnicos y de negocio competentes y disponibles para entregar: Las capacidades necesarias Los cambios de organización necesarios para potenciar las capacidades? 37 Carlos Francavilla

38 Muchas Gracias Preguntas? Carlos Francavilla

39 Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Carlos Francavilla Socio ICG LATAM