Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13

Mario Javier Monsalve HazbónGerente de Proyectos & Consultor en Arquitectura Empresarial, TOGAF, PETI, SOA, BPM, ITIL, COBIT, ISO 27001, CMMi & eSCM

Modelos de Gobernabilidad, Riesgo y Cumplimiento aplicados a las TICRevisión de marcos de referencia para garantizar que las TIC están siendo bien administradas en las organizaciones

Bogotá Agosto 21 de 2014

Consultoría Gerencial y TecnológicaProveemos capital intelectual generador de valor,

productividad y competitividad en las organizaciones

Modelos de Gobernabilidad, Riesgo y Cumplimiento aplicados a las TICPresentación Preparada por: Mario Javier Monsalve Hazbón ( [email protected]) Diapositiva 2

PROPÓSITO�El propósito de esta conferencia es presentar un

contexto al respecto de los diferentes modelos de gobernabilidad, riesgo & cumplimiento regulatorio de TI y de cómo aplicarlos estratégica y productivamente en las organizaciones Latinoamericanas.

�Proponer Acciones que encaminar en la agenda de nuestros CIO´s para que se logren avances significativos en la adopción de estos modelos para garantizar la entrega de los servicios de TI


AGENDA1.Contexto de la Gobernabilidad de las TI

2.El aporte de los modelos de GRC a la gestión de TI

3.Las consecuencias de la carencia de modelos de gobierno en las TIC

4.Panorama de Marcos de Referencia (GRC, Cobit v5, Iso 38500, ITIL, TOGAF, SOX, etc.)

5.Una primera aproximación a la hoja de ruta que conduzca a la adopción de estos modelos

6.Conclusiones y Desafíos


Contexto e Introducción

de la Gobernabilidad

de las TI


Reflexión

�La complejidad de las organizaciones demanda modelos que permitan administrarlas !� Las unidades de TI son muy complejas

� Los logros planeados generalmente no se cumplen

� Los imprevistos crecen exponencialmente

� Las Regulaciones cada vez son mayores

� Los recursos son escasos

� El sentido de urgencia es alto


Administrar TI es tan complejo como administrar todo un Negocio !!

� Hay que administrar un plan estratégico con metas a corto y largo plazo, con un portafolio de inversión

� Operar con unas líneas de producción y con la visión del éxito empresarial definida y compartida por todo el equipo.

� Negociar proyectos, alcances y tiempos� Conseguir patrocinios y recursos financieros para ejecutar nuevas iniciativas

� Tener buenas ideas (mejor si son innovadoras)

� Supervisar contratos de millones de dólares

� Liderar un equipo humano capacitado

� Lidiar diariamente con un sinnúmero de incidentes

� Interactuar con los otros directivos de la organización

� Disponer de una oferta competitiva para que no los tercericen

� Correr muchos riesgos (ojalá controlados)

� …Y poner la cara cuando las cosas salgan mal� Muchas variables incontrolables que siempre están rodeando en la gestión


Con ciertos detalles particulares …

�Es una entidad sin ánimo de lucro

�Beneficia a todos grupos de interés

�Que tiene productos de información muy valiosos y que debía poner estos en manos de los clientes y usuarios

�Que suele ser bien apreciada por cierto sector de los grupos de interés, pero a su vez tiene detractores, bien porque no están de acuerdo con la calidad del servicio, porque el producto no los satisface o porque lo que es más delicado y es que creen que no necesitaban el servicio/producto.


Particularidades de la Gestión de TI

�Como en una fábrica, hay que encargarse de identificar las necesidades de los usuarios, diseñar el producto, producir y asegurar la calidad de sus requerimientos y para adelantar estas labores necesita un equipo humano conocedor de los temas de información, de las necesidades del cliente y las características del producto que se debían tener en cuenta para satisfacer las normas vigentes y las expectativas de los consumidores.


Particularidades de la Gestión de TI

� Como en un negocio de distribución de crudo se requiere una red logística de gran capacidad, para que el producto llegara a todas partes.

� La logística debe lidiar con problemáticas de capacidad, velocidad de distribución, incidentes en la red y mantenimientos programados y no programados. Como en una red dispuesta en todo el país con diferentes subestaciones y plantas de bombeo de distintas marcas y diversas características, hay que hacerlas a todas compatibles y eficientes en cuanto a sostenibilidad y crecimiento.


Particularidades de la Gestión de TI� Y a la entrega del producto al cliente. Lamentablemente al

ser un producto relativamente nuevo, los consumidores finales acusan a la falta de tres características importantes para acogerlo: no tienen la tecnología para recibirlo, no tienen los conocimientos ni tampoco tienen el hábito para usarlo y aprovecharlo.

� Este negocio planteaba varios inconvenientes en cuanto a la necesidad de que los consumidores tuviesen las capacidades para consumir el producto de información, aprovecharlo (no desperdiciarlo), que lo usen para su vida diaria y prevengan accidentes, fugas y usos inadecuados que pueden poner en riesgo su vida, disfrutarlo y volver a querer comprarlo.


REFLEXION

QUE AJUSTES LE DEBO PRACTICAR A LA

ORGANIZACIÓN DE TI PARA QUE ESTE ALINEADA A LOS

RETOS Y DESAFÍOS DEL NEGOCIO ?


REFLEXION


LA GESTIÓN DE TI DEBE EXPERIMENTAR UNA “METAMORFOSIS” (Cambio de Naturaleza)

Generar Valor

Trazabilidad

Enfoque de Servicio

Un cambio en el lenguaje del CIODesarrollo Sostenible

Apalancamiento Tecnológico

Gobierno


DE GESTION DE RECURSOS A GESTION DE RESULTADOS


QUE SE ESPERA DE LA GESTION DE TI


Objetivos a los que debe conducir la gestión de TI

�Alinear TI con el Negocio (Mayor apalancamiento de TI a la oferta de valor del negocio)

�Mantener TI en marcha (Continuidad)

�Generar Valor y mejorar la calidad de los servicios de TI para los diferentes grupos de Interés

�Optimizar Costos del servicio de TI

�Controlar la complejidad de los diferentes componentes tecnológicos y la gestión que demanda.

�Cumplimiento Regulatorio

�Administrar la Seguridad


Actitud hacia el futuro

Sufrir los cambiosReaccionar a los cambiosEl fin justifica los medios

Prevenir el impacto de los cambiosProactividad, Dejarse orientar, Actuar coherentemente


La Adaptacion es la Clave para Sobrevivir

No es el mas inteligente o elmas fuerte el que sobrevive, sinoel que mas de adapta“

Charles Darwin

“


El aporte de los modelos de GRCa la gestión de

TI


Definición inicial de IT-GRC

�Es el Enfoque holístico para maximizar la creación de valor desde IT para los stakeholders, alineando e integrando las actividades que la organización realiza sobre:� G: Gobierno Corporativo

• Alcanzar Objetivos Estratégicos

� R: Gestión Integral del Riesgo (ERM)• Mitigar y minimizar el impacto de los Riesgos

� C: Cumplimiento de leyes y regulaciones aplicables.

• Evitar sanciones de los entes de Control (….ías)


Definición de GRC

� GRC es un modelo de gestión que promueve la unificación de criterios, la coordinación de esfuerzos y colaboración entre los diferentes involucrados en la dirección de la organización a través de:

� La integración de los órganos/responsables del gobierno, la administración y gestión de riesgos, el control interno y el cumplimiento

� La asignación puntual de roles y responsabilidades del personal clave

� La formalización de los canales de comunicación

� La aplicación de un enfoque basado en riesgos

� La implementación de un programa de cumplimiento


Las consecuencias de la carencia de

modelos de gobierno en las TIC


Consecuencias de no adoptarlos

�Seguir asumiendo una posición defensiva que siempre tiene una gran lista de argumentos para justificar porque no se logran los resultados

�Seguir manejando la improvisación (prueba & error hasta que descubra la solución)

�Perdida reputacional

�Destruir valor

�Desaprovechar el alto potencial de las TIC en el negocio


A DONDE SUELEN LLEVAR LAS MALAS PRACTICAS

� ASUMIR DEMASIADOS RIESGOS

� PERDIDA DE INVERSIONES

� LIDERES FRUSTRADOS

� DETERIORAR LA IMAGEN INSTITUCIONAL

� PERDIDA DE CREDIBILIDAD EN EL POTENCIAL DE LAS TICs

� PERDIDA DE OPORTUNIDADES

� DISCUSIONES IMPRODUCTIVAS

� ESCEPTICISMOS, CAPRICHOS, ETC

� REZAGOS Y SUBDESARROLLO

� FRENAR/HUNDIR EN LUGAR DE APALANCAR

� UN ENTORNO DE ENTROPIA QUE DESAFIA A PONER LA CASA EN ORDEN


Panorama de Marcos de

Referencia de GRC para TI


Algunos Modelos de IT GRC

�Cobit v5�Ley Regulatoria Sarbanex Oxley (SOX)

�Modelo OCEG (Open Compliance and Ethics Group)

�Iso 38,500� AS/NZS 8016

�COSO

�Basilea

�Iso 27,000


Propuesta de Cobit

�Principios del gobierno y la Gestión de TI

�Modelo de Procesos habilitadores del gobierno y la gestión de TI

�Modelo de roles y responsabilidades del equipo de trabajo de TI (Matrices RACI)

�Guías de Implementación

�Balanced Scorecard para evaluar el cumplimiento de la estrategia de TI


Los 5 Principios de COBIT

Los 5 Principios de COBIT 5:1. Satisfacer las necesidades de las Partes

Interesadas

2. Cubrir la Compañía de Forma Integral

3. Aplicar un solo Marco Integrado

4. Habilitar un Enfoque Holístico

5. Separar el Gobierno de la Administración


Procesos de Gobierno & Gestión de las TICs


COBIT 5: Procesos Habilitadores

Fuente: COBIT® 5, Figura 29. © 2012 ISACA® Todos derechos reservados.

Métricas para el Logro de las Metas(Indicadores de Resultados)

Métricas para la Aplicación de Prácticas(Indicadores de Desempeño)

¿Se Aplican Buenas Prácticas?¿Se Administra el Ciclo de Vida?¿Se logran las Metas de los Habilitadores?

¿Se Atienden las Necesidadesde las Partes Interesadas?

Dim

ensi

ón d

e H

abili

tado

res

Adm

inis

trac

ión

del D

esem

peño

de

los

Hab

ilita

dore

s

Partes Interesadas Metas Ciclo de Vida Buenas Prácticas

• Internas

• Externas

• Calidad Intrínseca

• Calidad Contextual

(Relevancia,

Efectividad)

• Accesabilidad y

Seguridad

• Planificar

• Diseñar

•Construir/Adquirir/

Crear/Implementar

• Usar/Operar

• Evaluar/Monitorear

• Actualizar/Disponer

Prácticas genéricas para los procesos

• Prácticas del Proceso,

Actividades, Actividades

detalladas

• Productos de Trabajo

(Entradas/Salidas)


COBIT 5: 37 Procesos Habilitadores

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administración de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Servir y Dar Soporte

Monitorear, Evaluary Valorar

EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento

EDM02 Asegurarla Entrega de Valor

EDM03 Asegurarla Optimización de

los Riesgos

EDM04 Asegurarla Optimización de

los Recursos

EDM05 Asegurarla Transparencia a

las partes interesadas

APO01 Administrar el Marco de la

Administración de TI

APO02 Administrarla Estrategia

APO04 Administrar la Innovación

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrar el Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de

Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

BAI01 AdministrarProgramas y

Proyectos

BAI02 Administrarla Definición de Requerimientos

BAI04 Administrar la Disponibilidad y

Capacidad

BAI03 Administrarla Identificación y Construcción de

Soluciones

BAI05 Administrar la Habilitación del

Cambio

BAI06 Administrar Cambios

BAI07 Administrar la Aceptación de

Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de

Servicios y los Incidentes

DSS04 Administrar la Continuidad

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de

Seguridad

DSS06 Administrar los Controles en los

Procesos de Negocio

MEA01 Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control

Interno

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos


COBIT 5 Implementación

Fuente: COBIT® 5, Figura 17. © 2012 ISACA® Todos derechos reservados.

• Gestión del Programa(anillo exterior)

• Habilitación del Cambio(anillo medio)

• Ciclo de Vida de Mejora Continua(anillo interior)


A GRC Model Example

�From the OCEG Red Book GRC Capability Model version 2.1


Corporate Governance of IT� ISO/IEC 38500: 2008

� Corporate governance of information technology

� 1.1 Scope

� This standard provides guiding principles for directors of organizations (including owners, board members, directors, partners, senior executives, or similar) on the effective, efficient, and acceptable use of Information Technology (IT) within their organizations.

� This standard applies to the governance of management processes (and decisions) relating to the information and communication services used by an organization. These processes could be controlled by IT specialists within the organization or external service providers, or by business units within the organization.


Corporate Governance of IT (cont.)

ISO/IEC 38500: 2008

Corporate governance of information technology

2.1 Principles2.1.1 Principle 1: Responsibility2.1.2 Principle 2: Strategy2.1.3 Principle 3: Acquisition2.1.4 Principle 4: Performance2.1.5 Principle 5: Conformance2.1.6 Principle 6: Human Behaviour


Corporate Governance of IT (cont.)

ISO/IEC 38500: 2008

Corporate governance of information technology

2.2 Model

Directors should govern IT through three main tasks:a) Evaluate the current and future use of IT.b) Direct preparation and implementation of plans and

policies to ensure that use of IT meets business objectives.c) Monitor conformance to policies, and performance against

the plans.


Una primera aproximación a la hoja de ruta que

conduzca a la adopción de estos

modelos de GRC en TI


Ruta de Adopción de GRC


HOJA DE RUTA GUIADA POR BRECHAS


Modelos de Madurez de GRC


IT Roadmap for GRC


CONCLUSIONES & DESAFÍOS


RETOS & DESAFIOS

� La gestión de las TIC se mide por los resultados de apalancamiento tecnológico a metas del negocio y no por el presupuesto que maneja, la complejidad de sus procesos, metodologías o recursos y para que los resultados se den se requieren modelos de gobierno, riesgo & cumplimiento.

� Hay muchas “cosas en juego” y en nuestras organizaciones no se debe perder la óptica productiva, confiable y sostenible de la gestión de los servicios de TI.

� La adopción de los modelos de GRC en TI esta por desarrollarse en nuestras organizaciones y no debe verse como una moda sino una necesidad para habilitar ventajas competitivas

COMENTARIOS E INQUIETUDES ?


Quiénes Somos?• Raginwald Consulting fue fundada en mayo de 2007,

con el propósito de fortalecer la productividad ycompetitividad de la organizaciones latinoamericanasmediante estrategias innovadoras que involucrennuevos modelos de negocio, mejores prácticas degestión e innovaciones tecnológicas

www.raginwald.com


NUESTRO PORTAFOLIO


MARIO JAVIER MONSALVE HAZBÓ[email protected] (57)300-210-98-46

� Consultor Empresarial, Especializado en las áreas Organizacional y Tecnológica, con estudios en Estados Unidos en técnicas de optimización de procesos industriales y nuevas tecnologías habilitadoras.

� Ingeniero de Sistemas Cum Laude de la Universidad Industrial de Santander con especialización en Ingeniería de Software.

� Áreas de Competencia:� Arquitectura Empresarial & TOGAF� Gestión Estratégica Corporativa, Balanced ScoreCard, Planeación Estratégica de TICs,

Gobernabilidad de TI� Aseguramiento de la Calidad en Ingeniería de Software (CMMi)� Gerencia de Proyectos (PMO, PMI, Prince2) y Gestión de Asimilación del Cambio� Arquitectura de Soluciones BPM & SOA, BI, ERP, CRM & HCM � Adopción de Modelos de Mejores Prácticas de Gestión de TI (CMMi, ITIL, Cobit, Iso 27000, eTOM)

� Actualmente CEO, Gerente de Consultoría de la Firma Raginwald Consulting� Ha sido director de departamentos de tecnología informática y de sistemas de varias compañías

Colombianas.� Fue durante 6 años Director de Control de Calidad de Software de la División de Sistemas Corporativos

del GRUPO AVAL.� Asesor de Varias Compañías y participante en proyectos de implementación de nuevas tecnologías de las

siguientes Empresas: MINISTERIO DEL TRABAJO, DIAN, NUEVA EPS, ZONA FRANCA DE BOGOTA, UNIVERSIDAD NACIONAL, COLCIENCIAS, UNIVERSIDAD MINUTO DE DIOS, INVIAS, METROTEL,CitiCOLFONDOS, SECRETARIA MOVILIDAD BOGOTA, BANCO DE COSTA RICA, CONFAMILIARES DE CALDAS, ICONTEC, UNIVERSIDAD JORGE TADEO LOZANO, COMCEL, AV-VILLAS, DATA TOOLS, SUPERINTENDENCIA DE SERVICIOS PUBLICOS, ATH, ETB, CERREJON, PRACO-DIDACOL, BANCO DE BOGOTA, BANCO POPULAR, CARULLA-VIVERO, TEXACO GAS UNIT, LABORATORIOS BAXTER, SECRETARIA DE HACIENDA DISTRITAL, SHELL, HOCOL, PORVENIR, JABONERIAS HADA, TERPEL, LASMO OIL, LINALCA, CONGRUPO, FEDESOFT,

� Profesor Invitado de Varias Universidades: ANDES, JAVERIANA, UNINORTE, UIS, UNIVALLE, UNAB, USTA, UNICAUCA, UNILIBRE, UCC, UDLA y EIN en programas de Postgrado y Maestrías

Consultoría Gerencial y TecnológicaProveemos capital intelectual generador de valor, productividad y competitividad en las organizaciones

Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13

Technology

Transcript of Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13