Aporte de COBIT 5 al Gobierno Corporativo de Tecnología

www.isaca.org.uy

Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial

Carlos Francavilla

Socio

ICG LATAM

http://ar.linkedin.com/in/carlosaf/

www.isaca.org.uy

Agenda

• ¿Qué es Gobierno Corporativo?

• Un poco de historia

• El marco COBIT 5®

• Principios de COBIT 5®

– Principios ISO 38500

• Dominio de Gobierno

• Aporte de COBIT al gobierno

www.isaca.org.uy

Gobierno Corporativo

Sistema

DirigenControlan

Organizaciones

www.isaca.org.uy

17,39%

20,65%

26,09%

35,87%

40,22%

74,46%

88,04%

92,39%

Comunicación Corporativa

Responsabilidad Social

Cumplimiento Normativo

Control Interno

Gestión de Riesgos

Estrategia

Seguimiento de Operaciones/Actividades

Seguimientos de Resultados/Presupuestos

Fuente Deloite Estudio 180 Empresas España 2012

www.isaca.org.uy

7,61%

20,65%

68,48%

75,54%

88,04%

Asesores Externos

Comité de Estrategia

Unidades de Negocio

Junta Directiva

Comité Ejecutivo / CEO


www.isaca.org.uy

4,63%

12,96%

82,41%

Bajo

Medio

Alto


www.isaca.org.uy

2,99%

5,97%

41,79%

49,25%

COBIT

ISO 31000

Otros

Enterprise Risk Management COSO


www.isaca.org.uy

15,18%

17,80%

24,61%

42,41%

SI, no comunicado

SI, documentado y comunicado

SI, limitado a Tecnología

NO


www.isaca.org.uy

17,19%

33,85%

48,96%

SI, incluido en la política de gestión de Riesgos

NO

SI, política específica


www.isaca.org.uy

3,80%

9,24%

19,57%

25,54%

32,07%

76,63%

Otras

Marcos de trabajo (COSO, COBIT)

Simulación financiera

Sistema definido

Mapa de Riesgos

Normas y procedimientos internos


www.isaca.org.uy

Gobierno de TI Empresarial

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Gestión

COBIT3

Control

COBIT2

Un marco de negocios por ISACA, www.isaca.org/cobit

Auditoría

COBIT1

2005/720001998

Evo

luci

ón

del

Alc

ance

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

www.isaca.org.uy

Directorio

Gerencias de Negocio

IT Funcional

Operaciones

www.isaca.org.uy

Los 5 principios de COBIT y sus Catalizadores son de carácter genérico.

útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público

Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa.

Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas

Ayuda a crear valor óptimo de TI.

Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos

www.isaca.org.uy 14

Nuevos Principios

Son Marcos de TrabajoVal IT y Risk IT• Basados en Principios

Son fáciles de entender y aplicarlos al contexto empresarioPrincipios• Permitiendo derivar valor de las guías de soporte más efectivamente

Incorpora PrincipiosISO/IEC 38500• Para potenciar sus mensajes

• Los principios de ISO/IEC 38500 no son los mismos de COBIT®5

Carlos

Francavilla

www.isaca.org.uy 15

Principios ISO 38500

Carlos

Francavilla

GobiernoCorporativo

Gestión Corporativa

Evaluar

Pla

nes

, P

olít

icas

Des

emp

eño

C

um

plim

ien

toDirigir Supervisar

Pro

pu

esta

s

Programas de Cambio

OperacionesTI

• Responsabilidad– Quien es responsable de que

– Todos comprenden su responsabilidad

– Quien es responsable de la oferta y demanda

• Estrategia– Quien debe realizar la estrategia de Tecnología

– Como se relacionan la estrategia de TI y de negocios

– Debe incluir Cartera, Arquitectura y Programas

• Adquisición– Quien toma las decisiones de invertir en

tecnología

– Quien toma la decisión de continuar invirtiendo en la cartera de tecnología

– Quien decide el abastecimiento de tecnología

www.isaca.org.uy 16

Principios ISO 38500

Carlos

Francavilla

GobiernoCorporativo

Gestión Corporativa

Evaluar

Pla

nes

, P

olít

icas

Des

emp

eño

C

um

plim

ien

toDirigir Supervisar

Pro

pu

esta

s

Programas de cambio

OperacionesTI

• Desempeño– Cumplimiento de objetivos actuales

– Cumplimiento de objetivos futuros

– Sistemas e infraestructura, personas, procesos

• Cumplimiento– Comprensión de las reglas

– Formulación de las reglas

– Identificar y arreglar el no cumplimiento

• Comportamiento Humano– Respuestas al cambio

– Tratamiento de personas de acuerdo a las comunidades

– Dedicación y compromiso

www.isaca.org.uy17

Procesos Nuevos y Modificados

Introduce 5 nuevos procesos de GobiernoCOBIT® 5

• Apalancando y Mejorando

• COBIT 4.1

• Val IT 2.0

• Risk IT

AyudaEsta Dirección

• A las empresas a redefinir las prácticas de Gobierno de TI a nivel ejecutivo

• Soporta la integración con las prácticas de Gobierno Empresarial

• Está alineada con ISO/IEC 38500

Carlos

Francavilla

www.isaca.org.uy18

Procesos Nuevos y Modificados

BMIS

COBIT 5 ha clarificado los procesos del nivel de Gestión.Incorporado los contenidos de COBIT 4.1, Val IT y Risk IT en un nuevo modelo de referencia.

Carlos

Francavilla

www.isaca.org.uy19

Prácticas y Actividades

Gobierno o Gestión de COBIT® 5Prácticas

• Son equivalentes a:

• Objetivos de Control de COBIT 4.1 ¡que desaparecen de COBIT! ¿el nombre COBIT no pierde sentido?

• Procesos de Val IT y Risk IT

•www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx

COBIT® 5Actividades

• Son equivalentes a:

• Prácticas de Control de COBIT 4.1

• Prácticas de Gestión de Val IT y Risk IT

Todo el contenido previo en un solo modeloIntegra y Actualiza

• Facilitando la comprensión y el uso del material cuando se implantan mejoras

Carlos

Francavilla

http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx

www.isaca.org.uy

Principios

COBIT® 5

1. Satisfaciendo las necesidades de los

interesados

2. Cubriendo la empresa de

extremo a extremo

3. Aplicando un solo marco integrado

4. Posibilitando un enfoque

holístico

5. Separando Gobierno y Gestión

Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

www.isaca.org.uy

Necesidad de losInteresados

RealizaciónDe Beneficios

Optimización de Riesgos

Optimización De Recursos

Objetivo de Gobierno: Creación de ValorIm

pu

lsa

Las empresas existen para crear valor para sus interesados

Principio 1. Satisfaciendo las necesidades de los interesados

Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.

www.isaca.org.uy


Pueden tener muchos interesados.La Empresa

•‘Crear Valor’ puede ser interpretado de diferentes maneras – y muchas veces con conflicto – para cada uno de ellos.

Es acerca de la negociación y decisión.Gobierno

•Entre los diferentes necesidades de los interesados.

Debe considerar a todos los interesadosEl sistema de Gobierno

•Cuando toma decisiones de beneficios, recursos y riesgos.

•Por cada decisión, puede y debe preguntarse:

•¿Quién recibe el beneficio?

•¿Quién asume el riego?

•¿Qué recursos se necesitan?

www.isaca.org.uy


Las necesidades de los interesados deben traducirse a una estrategia de acción de la empresa.

La cascada de objetivos de COBIT® 5, traslada las necesidades de los interesados en Objetivos específicos Acciones concretas y

personalizadas dentro del contexto de la empresa

Objetivos relacionados de TI Objetivos facilitadores o

activadores de las metas.


Objetivos Facilitadores

Objetivos Relacionados con TI

Objetivos de la Empresa

Necesidades de los Interesados

Realización de Beneficios Optimización de RiesgoOptimización de

Recursos

Impulsores de los Interesados

Ambiente, Evolución de la Tecnología, …

Influencian

Cascada a

Cascada a

Cascada a

www.isaca.org.uy

Beneficios de la cascada de objetivos de COBIT® 5

Permiten la definición de prioridades de implantación.Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos relacionados.

En la práctica;

Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad.

Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o aseguramiento.Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para lograr los objetivos de la empresa.


www.isaca.org.uy

Se refiere al Gobierno y Gestión de TI empresarial y las tecnologías relacionadas.COBIT 5

• Desde una perspectiva de empresa completa, de extremo a extremo.

Gobierno de TI en el Gobierno Empresario.Integra• COBIT® 5 se integra fácilmente con cualquier sistema de Gobierno porque está

alineado con las últimas visiones de Gobierno.

Todas las funciones y procesos dentro de la empresa.Cubre

• COBIT® 5 no solo se enfoca en la «función de TI» trata la información y las tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro en la empresa.

Principio 2. Cubriendo la empresa de extremo a extremo

www.isaca.org.uySource: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.


RealizaciónDe Beneficios

Optimización de Riesgos

Optimización De Recursos

Objetivo de Gobierno: Creación de Valor

FacilitadoresDe Gobierno

AlcanceDe Gobierno

Roles, Actividades y Relaciones

Dueños y Accionistas

Cuerpo de Gobierno

Gestión Operación y Ejecución

Delega Dirección Instruye

InformaSupervisaCuentas

Roles, Actividades y Relaciones

Principio 2. Cubriendo la empresa de extremo a extremo

www.isaca.org.uy

COBIT® 5 hace una clara distinción entre Gobierno y Gestión

• Abarcan diferentes tipos de actividades

• Requieren diferentes estructuras organizacionales

• Sirven propósitos diferentes

Gobierno

• En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo de Dirección con el liderazgo del Presidente

Gestión

• En la mayoría de las empresas, la Gestión es responsabilidad de los ejecutivos bajo el liderazgo del CEO

Principio 5. Separando Gobierno y Gestión

27Carlos Francavilla

www.isaca.org.uy

Go

bie

rno • Asegura el cumplimiento de

objetivos empresariales

• Evalúa necesidades, condiciones y opciones de los interesados

• Dirige a través de la priorización y toma de decisiones

• Supervisa (Monitor) el desempeño y cumplimiento contra la dirección y los objetivos acordados

• Ciclo EDM

Ges

tió

n • Planea, Construye, Opera y Supervisa (Monitor)

• Las actividades fijadas y acordadas por el cuerpo de gobierno

• Ciclo PBRM



www.isaca.org.uy Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.

COBIT® 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestión de manera tal que las áreas claves están cubiertas como se muestra en la figura

Supervisar

Evaluar

Dirigir

Planear

(APO)

Construir

(BAI)

Ejecutar

(DSS)

Supervisar

(MEA)

Gestión

Gobierno

Necesidades del Negocio

Retroalimentación



www.isaca.org.uy

Describe 7 Categorías de CatalizadoresCOBIT® 5• Los Procesos son una Categoría

Puede organizar sus procesos como mejor le parezcaUna Empresa• Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión

• Las pequeñas empresas pueden tener menor cantidad de Procesos

Incluye un modelo de referencia de procesos COBIT® 5• Process Reference Modelo (PRM)

• Describe en detalle Procesos de Gobierno y Gestión

• Los detalles se encuentran en la publicación COBIT® 5 Enabling Processess



www.isaca.org.uyFuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

Recursos

1. Principios, Políticas y Marcos de Trabajo

2. Procesos3. Estructura

Organizacional4. Cultura, Ética y Comportamiento

5. Información6. Servicios,

Infraestructura y Aplicaciones

7. Personas, Habilidades y Competencias

www.isaca.org.uy

Subdivide la prácticas relacionadas de TI Modelo de Referencia

• Dos áreas principales;

• Gobierno

• Gestión, dividida en: Dominios y Procesos

Contiene 5 procesosDominio Gobierno

• Dentro de cada proceso se definen las actividades de;

• Evaluar, Dirigir, Supervisar

• Ciclo EDM

Están en línea con las áreas de responsabilidad4 Dominios de Gestión

• Planear, Construir, Ejecutar, Supervisar

• Ciclo PBRM


www.isaca.org.uySource: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Alinear, Planear, Organizar (APO) - Procesos Gestión de TI

APO01 Gestionar el

Marco de Gestión de TI

APO08 Gestionar

Relaciones

APO02 Gestionar la Estrategia

APO09 Gestionar

Acuerdos de Servicio

APO03 Gestionar la Arquitectura Empresarial

APO10 Gestionar

Proveedores

APO04 Gestionar

Innovación

APO11 Gestionar Calidad

APO05 Gestionar

Cartera

APO12 Gestionar

Riesgo

APO06 Gestionar

Presupuesto y Costos

AP13 Gestionar Seguridad

APO07 Gestionar Recursos Humanos

Supervisar, Evaluar, Valorar (MEA)

Procesos Gestiónde TI

MEA01 Desempeño y Conformidad

MEA02

Sistema de Control Interno

MEA03 Cumplimiento

Requerimientos Externos

Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI

EDM01 Definir y Mantener el Marco de

Gobierno

EDM02 Asegurar Entrega de Beneficios

EDM03 Asegurar Optimización de Riesgo

EDM04 Asegurar Optimización de

Recursos

EDM05 Asegurar Transparencia para los

Interesados

Entrega, Servicio, Soporte (DSS) – Procesos Gestión de TI

DSS01 Gestionar Operaciones

DSS02 Gestionar Requerimientos de

Servicio e Incidentes

DSS03 Gestionar Problemas

DSS04 Gestionar Continuidad

DSS05 Gestionar Servicios de Seguridad

DSS06 Gestionar Control de Procesos de

Negocio

Construir, Adquirir, Implantar (BAI) – Procesos Gestión de TI

BAI01 Gestionar Programas y

Proyectos

BAI08 Gestionar Conocimiento

BAI02 Gestionar Definición de

Requerimientos

BAI09 Gestionar Activos

BAI03 Gestionar Identificación de

Soluciones y Construir

BAI10 Gestionar Configuración

BAI04 Gestionar Disponibilidad y

Capacidad

BAI05 Gestionar Facilitación del

Cambio Organizacional

BAI06 Gestionar Cambios

BAI07 Gestionar Aceptación del

Cambio y Transición


www.isaca.org.uy


EDM01

Definir y Mantener el Marco de Gobierno

EDM02

Asegurar Entrega de Beneficios

EDM03

Asegurar Optimización de Riesgo

EDM04

Asegurar Optimización de Recursos

EDM05

Asegurar Transparencia para los Interesados


Descripción y Propósito del Proceso

Objetivo relacionado de TI

Objetivos del Proceso

Métricas del Proceso

Métricas Relacionadas

Cuadro RACI

www.isaca.org.uy


EDM01

Definir y Mantener el Marco de Gobierno

EDM02

Asegurar Entrega de Beneficios

EDM03

Asegurar Optimización de Riesgo

EDM04

Asegurar Optimización de Recursos

EDM05

Asegurar Transparencia para los Interesados


Práctica de Gobierno

Entradas Salidas ActividadesGuias

Relacionadas

www.isaca.org.uy 36Carlos Francavilla

Integrando Tecnología al Gobierno Corporativo

Definiendo cual es el rol del directorio en el Gobierno de Tecnología

Separando claramente las actividades de Gestión de las de Gobierno

Comprender que Tecnología no está separada del negocio, en una empresa todos somos el

negocio y tecnología esta fusionada

Vinculando cada Inversión en Tecnología con Beneficios, Recursos, Riesgos y Transparencia

www.isaca.org.uy 37Carlos Francavilla

¿Estamos haciendo lo

correcto?

¿Estamos obteniendo los

beneficios?

¿ Lo estamos haciendo

correctamente?

¿ Lo estamos logrando bien?

La pregunta estratégica¿ Está la inversión: De acuerdo con nuestra visión Coherente con nuestros objetivos de

negocio Contribuyendo a nuestros objetivos

estratégicos Proporcionando valor a un costo

económico y niveles de riego aceptable ?

La pregunta de valor¿ Tenemos: Un conocimiento claro y compartido

de los beneficios esperados Una responsabilidad clara para

realizar los beneficios Una métrica relevante Un proceso eficaz de realización de

beneficios?

La pregunta de arquitectura¿ Está la inversión: De acuerdo con nuestra arquitectura Coherente con nuestros principios

arquitectónicos Contribuyendo a la población de

nuestra arquitectura En línea con otras iniciativas?

La pregunta de entrega¿ Tenemos: Procesos eficaces y disciplinados de

dirección, entrega y gestión de cambios

Recursos técnicos y de negocio competentes y disponibles para entregar: Las capacidades necesarias Los cambios de organización necesarios para potenciar las capacidades?

www.isaca.org.uy

Muchas Gracias

¿Preguntas?

Carlos Francavilla

[email protected]

mailto:[email protected]?subject=CiGRAS 2014

www.isaca.org.uy

Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial

Carlos Francavilla

Socio ICG LATAM

http://ar.linkedin.com/in/carlosaf/

Aporte de COBIT 5 al Gobierno Corporativo de Tecnología

Business

Transcript of Aporte de COBIT 5 al Gobierno Corporativo de Tecnología