Seminario Internacional Cooperativas de Ahorro y Crédito Gobierno de TI 24 de octubre de 2012
Agenda Gobierno Corporativo de TI y CobiT I. Resultados de la normativa CobiT de SUGEF (14-09) Principales hallazgos Nuestra experiencia II. Gobierno Corporativo de TI Efectos de un deficiente GC Qué es? / Objetivo /Aporte /Roles Efectos de un deficiente GC Responsabilidades d del Consejo de Administración i ió III. Recomendaciones Esquema de evaluación propuesto - Por etapas Gestión del Cumplimiento y del IT Governance - Factores Críticos de Éxito Tendencias y Contexto Gestión del Cumplimiento y del IT Governance - esquema general Gestión del Cumplimiento y del IT Governance - algunos KPI relevantes 1
I. Resultados de la normativa CobiT de SUGEF (14-09) Principales hallazgos Limitaciones Personal l escaso para implementación y seguimiento de controles requeridos por la Normativa, en algunos casos no se ha asignado un responsable para estos temas. Tiempo insuficiente i para la implementación de los controles. No existe seguimiento de la mayoría de los controles una vez finalizada la Auditoría. Enfoque al Cumplimiento. Aspectos positivos Inversiones i importantes t en implementación, capacitación y asesoría para alinear las entidades con las mejores prácticas de la Industria. Inversiones importantes en Infraestructura t Tecnológica como software, hardware, centros alternos de cómputo etc. Involucramiento importante de las áreas de Negocio en temas de la Normativa. 2
I. Resultados de la normativa CobiT de SUGEF (14-09) Nuestra Experiencia LIMITACIONES EN ENTIDADES Personal escaso para implementación y seguimiento de controles requeridos por la Normativa, en algunos casos no se ha asignado un responsable para estos temas. Tiempo insuficiente para la implementación de los controles. No existe seguimiento de la mayoría de los controles una vez finalizada la Auditoría. Ef Enfoque al lcumplimiento. i 3
I. Resultados de la normativa CobiT de SUGEF (14-09) Nuestra Experiencia Inversiones importantes en implementación, capacitación y asesoría para alinear las entidades con las mejores prácticas de la Industria. ASPECTOS POSITIVOS Inversiones importantes en Infraestructura Tecnológica como software, hardware, centros alternos de cómputo etc. Involucramiento importante de las áreas de Negocio en temas de la Normativa. 4
I. Resultados de la normativa CobiT de SUGEF (14-09) Nuestra Experiencia Incorrecta definición de: Riesgos de TI (con esfuerzos duplicados y sin coordinación) Servicios críticos de TI Programas de proyectos de TI PRINCIPALES HALLAZGOS No se registran las excepciones de control No se administra el riesgos de los proveedores. No se han establecido niveles de confiabilidad de la información No se acuerda con el negocio y TI la información que debe ser respaldada No se ha alineado el catálogo de servicios del negocio al Plan de Continuidad del negocio No se han establecido lineamientos de leyes y regulaciones que debe de cumplir la organización 5
II. Gobierno Corporativo de TI Efectos de un deficiente GC Prácticas deficientes Efecto en Efecto en en el Macro nivel el Mercado Financiero las Empresas Ineficiencia Corrupción Exceso de trámites Inseguridad Poca calidad de la Información Financiera $% @!! Inadecuado manejo de riesgo Mala reputación internacional 6
II. Gobierno Corporativo de TI Qué es? Gobierno Corporativo: La forma en que se administran y se controlan las sociedades. Refleja las relaciones entre socios o accionistas, la junta directiva y la gerencia. Buen Gobierno Corporativo: Son los estándares mínimos adoptados por una sociedad, con el fin de garantizar una recta gerencia, el derecho de los socios o accionistas, las responsabilidades de la junta directiva, la fluidez de la información y las relaciones con los grupos de interés Stakeholders 7
II. Gobierno Corporativo de TI Cuál es el objetivo del GC? La gerencia maneja el negocio...... El gobierno corporativo vigila que el negocio se maneje adecuadamente. 8
II. Gobierno Corporativo de TI Qué aporta el GC? Estudios aseguran que el GC: Incrementa el valor de la acción en el mercado Impulsa al inversionista a buscar acciones de Cooperativas que se administren bajo un marco de GC Se considera tan importante como el rendimiento financiero. Esto ya que representa el potencial de generación a futuro Reduce riesgos extraordinarios de negocios 9
II. Gobierno Corporativo de TI Rol de los Principales Actores Corporativos Accionistas Proveer el Capital Elegir la Junta Directiva Asumir el riesgo residual de la empresa Junta Directiva Representar a todos los accionistas Desarrollar la estrategia de alto nivel Velar por el largo plazo de la organización Desarrollar el sistema de gobierno corporativo Gerencia Transformar la estrategia en resultados 10
II. Gobierno Corporativo de TI Efectos de un deficiente GC Prácticas deficientes Efecto en Efectos en el Efectos Gobierno de Corporativo en la empresa Mercado Económicos Ineficiencia Desgreño Administrativo Compensación excesiva para administrativos Inequidad en el Reparto de Utilidades Poca calidad de la Información Financiera Precariedad económica QuiebraQ i b Deudas impagables Inseguridad Desconfianza Disminución de las inversiones Poco crecimiento Recesión Inadecuado manejo de riesgo Fraude 11
II. Gobierno Corporativo de TI Responsabilidades del Consejo de Administración Desarrollar dirección estratégica de alto nivel, que tienda a aumentar el valor de la Cooperativa : Objetivo general Misión, Visión, Valores y Normas de conducta Políticas generales Propuestas de valor 12
III. Recomendaciones Esquema de evaluación propuesto Por etapas Diagnóstico Recomendaciones Seguimiento Auditoria reglamentaria 13
III. Recomendaciones Esquema de evaluación propuesto Por etapas Diagnóstico Recomendaciones Seguimiento Auditoria reglamentaria Diagnóstico Diagnóstico Actividades: Identificar alcance y responsable de procesos. Aplicar el diagnóstico al menos con 6 meses de anticipación. Establecer técnicas para realizar el diagnostico. Identificar las brechas existentes y las oportunidades de mejora. Aplicar la Matriz de Evaluación emitida por la SUGEF. Identificar el nivel de madurez del proceso evaluado. Obtener una calificación aproximada por proceso y nota global. Comunicar los resultados a los responsables interesados. 14
III. Recomendaciones Esquema de evaluación propuesto Por etapas Diagnóstico Recomendaciones Seguimiento Auditoria reglamentaria Recomendaciones Actividades: Entrega de recomendaciones detalladas. Consideraciones del costo- beneficio por parte de la organización para implementar las recomendaciones emitidas. Elaboración de un Plan Correctivo, : 1.Proceso. 2.Oportunidades de mejora. 3.Prioridad. 4.Descripción de las actividades a realizar. 5.Responsables. 6.Área. 7.Fechas de implementación. 8.Recursos necesarios. Comunicar los resultados a los interesados. 15
III. Recomendaciones Esquema de evaluación propuesto Por etapas Actividades: Diagnóstico Recomendaciones Seguimiento Auditoria reglamentaria Seguimiento Efectuar un seguimiento al Plan Correctivo. Establecer la periodicidad del seguimiento en conjunto con la organización. Determinar desviaciones e impacto de no implementar las acciones consideradas en el Plan Correctivo. Comunicar i los resultados a los responsables interesados. 16
III. Recomendaciones Esquema de evaluación propuesto Por etapas Diagnóstico Recomendaciones Seguimiento Auditoria reglamentaria Auditoria reglamentaria Actividades: Establecer el alcance y responsables de los procesos. Establecer el período de la auditoría. Establecer mecanismos de entrega de información y comunicación. Identificar las oportunidades de mejora. Solicitar la evidencia soporte. Identificar el nivel de madurez del proceso evaluado. Obtener una calificación aproximada por proceso y nota global. Documentar t la matriz ti de evaluación emitida por la SUGEF. Elaborar el reporte de acuerdo al formato solicitado por la SUGEF. Presentación de resultados obtenidos. 17
III. Recomendaciones Factores Críticos de Éxito No enfocarse en un marco de referencia mínima : CobiT no es suficiente para una gestión de primer nivel!!! Más bien utilizar un esquema ema mixto. No pretender implementar el 100% ni el nivel de madurez máximo: Internacionalmente, las organizaciones con mayor madurez no lo hacen. La relación costo /beneficios no es justificable. No ajustar innecesariamente metodologías propias (ejemplo Desarrollo de Sistemas) a la matriz SUGEF. Implementar un esquema aseguramiento de calidad y mejora continua - QMS. Implementar un mecanismo de gestión de inconformidades. Subsanar las necesidades capacitación del personal involucrado. Incorporar la gestión del IT Governance al marco de Gobierno Corporativo. 18
III. Recomendaciones Tendencias y Contexto Marcos de referencia disponibles Governance Basel II SolvencyII AktG/ GmbHG COSO Sarbanes Oxley COBIT 8. EU Audit Richtlinie Management COBIT ValIT IT Process es Ap pplications -. Risks & Secu urity Pro oject Manage ement Serv vice Manage ement Qua ality Manage ement Factory CMMI IT Factory SixSigma ISO9000 V- Modell ISO BS PMI ITIL 27002 25999 PRINCE2 ISO20000
III. Recomendaciones Gestión del Cumplimiento y del IT Governance - esquema general Establecer un marco comprehensivo
III. Recomendaciones Gestión del Cumplimiento y del IT Governance - algunos KPI relevantes A. Estrategia del proyecto de cumplimiento con la normativa SUGEF 14-09 A.1 Incorporación del proyecto de cumplimiento en el plan estratégico de negocio No forma parte Hay algunas Cumplir con de la estrategia de Negocio.. referencias generales sobre cumplimiento. SUGEF 1409 es una prioridad estratégica documentada en el Plan de Negocio. A.2 Estrategia formalmente declarada a un año plazo Llegar a un nivel de normalidad. Considerar CobiT 5. Implementar CobiT 5. A.3 Prácticas y normativas complementarias que actualmente se aplican como complemento a CobiT 4.0 Ninguna otra (solo CobiT 4). Se utilizan referencias de otras normativas. Se han implementado varias normas complementarias (ITIL, ISO, ) A.4 Esquema de atención al cumplimiento con SUGEF 14-09 La meta última es mantener un nivel de normalidad. Se considera que CobiT podría mejorar algunos aspectos de la gestión de TI. CobiT es un insumo valioso para orientar, medir y mejorar la gestión de TI.
III. Recomendaciones Gestión del Cumplimiento y del IT Governance - algunos KPI relevantes B. Dirección del proyecto B.1 Responsabilidad en la dirección del proyecto de cumplimiento con SUGEF 14-09 Responsabilidad de un asesor externo. Responsabilidad completa del área de TI. Responsabilidad compartida entre TI y Negocio. B.2 Cantidad de personas responsables a tiempo completo del proyecto de cumplimiento con SUGEF 14-09 Ninguna persona. 1 persona. 2 o más personas. B.3 Participación de la Adminsitración en el proyecto Se le informa de la calificación. Han recibido alguna capacitación en CobiT. insumos CobiT es uno de los ins mos para el Gobierno Corporativo.
C. Seguimiento al logro de beneficios y objetivos III. Recomendaciones Gestión del Cumplimiento y del IT Governance - algunos KPI relevantes C.1 Cantidad de autoevaluaciones anuales Ninguna. 1 (según requiere SUGEF) 2 o más. C.2 Se ha implementado un Sistema de Gestión de la Calidad de TI No se ha implementado. Se ha implementado para algunos procesos y eventualmente t su aplicación es inconsistente. Se ha implementado y se aplica consistentemente. C.3 Se han formalizado procedimientos de medición de la mejora continua de la gestión de TI No se han De manera Se ha formalizado formalizado. puntual, se un procedimiento de identifican medición y se aplica algunas consistentemente. oportunidades de mejora. C.4 Se ha formalizado un procedimiento para la identificación y gestión de inconformidades en la gestión y controles de TI No se identifican y documentan formalmente Se identifican únicamente para algunos procesos y eventualmente el proceso es inconsistente Se ha formalizado el proceso y se aplica consistentemente.
Gracias por su atención Preguntas?
Contactos: Luis Rivera Management Consulting Services Teléfono +506 2201-4171 lgrivera@kpmg.com Laura Murillo Management Consulting Teléfono +506 2201-4156 lmurillo@kpmg.com 2012 KPMG S.A., sociedad anónima costarricense y firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative ( KPMG International ) una entidad suiza. Derechos reservados. Impreso en Costa Rica KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative ( KPMG International ) una entidad suiza.