Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Carlos Francavilla Socio ICG LATAM www.isaca.org.uy Agenda • • • • ¿Qué es Gobierno Corporativo? Un poco de historia El marco COBIT 5® Principios de COBIT 5® – Principios ISO 38500 • Dominio de Gobierno • Aporte de COBIT al gobierno www.isaca.org.uy Gobierno Corporativo Organizaciones Controlan www.isaca.org.uy Sistema Dirigen Seguimientos de Resultados/Presupuestos 92,39% Seguimiento de Operaciones/Actividades 88,04% Estrategia 74,46% Gestión de Riesgos 40,22% Control Interno Cumplimiento Normativo Responsabilidad Social Comunicación Corporativa www.isaca.org.uy 35,87% 26,09% 20,65% 17,39% Fuente Deloite Estudio 180 Empresas España 2012 Comité Ejecutivo / CEO 88,04% Junta Directiva 75,54% Unidades de Negocio 68,48% Comité de Estrategia Asesores Externos www.isaca.org.uy 20,65% 7,61% Fuente Deloite Estudio 180 Empresas España 2012 Alto 82,41% Medio Bajo 12,96% 4,63% www.isaca.org.uy Fuente Deloite Estudio 180 Empresas España 2012 Enterprise Risk Management COSO 49,25% Otros ISO 31000 COBIT www.isaca.org.uy 41,79% 5,97% 2,99% Fuente Deloite Estudio 180 Empresas España 2012 NO 42,41% SI, limitado a Tecnología SI, documentado y comunicado SI, no comunicado www.isaca.org.uy 24,61% 17,80% 15,18% Fuente Deloite Estudio 180 Empresas España 2012 SI, política específica 48,96% NO SI, incluido en la política de gestión de Riesgos www.isaca.org.uy 33,85% 17,19% Fuente Deloite Estudio 180 Empresas España 2012 Normas y procedimientos internos 76,63% Mapa de Riesgos 32,07% Sistema definido 25,54% Simulación financiera Marcos de trabajo (COSO, COBIT) Otras www.isaca.org.uy 19,57% 9,24% 3,80% Fuente Deloite Estudio 180 Empresas España 2012 Evolución del Alcance Gobierno de TI Empresarial Gobierno de TI Val IT 2.0 Gestión (2008) Control Risk IT (2009) Auditoría COBIT1 1996 COBIT2 1998 COBIT3 2000 COBIT4.0/4.1 2005/7 2012 Un marco de negocios por ISACA, www.isaca.org/cobit www.isaca.org.uy COBIT 5 Directorio Gerencias de Negocio IT Funcional Operaciones www.isaca.org.uy Ayuda a crear valor óptimo de TI. Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa. Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas Los 5 principios de COBIT y sus Catalizadores son de carácter genérico. útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público www.isaca.org.uy Nuevos Principios Val IT y Risk IT Son Marcos de Trabajo • Basados en Principios Principios Son fáciles de entender y aplicarlos al contexto empresario • Permitiendo derivar valor de las guías de soporte más efectivamente ISO/IEC 38500 Incorpora Principios • Para potenciar sus mensajes • Los principios de ISO/IEC 38500 no son los mismos de COBIT®5 Carlos www.isaca.org.uy Francavilla 14 Principios ISO 38500 • Responsabilidad – Quien es responsable de que – Todos comprenden su responsabilidad – Quien es responsable de la oferta y demanda Gobierno Corporativo Evaluar Dirigir Programas de Cambio Desempeño Cumplimiento Propuestas Planes, Políticas Supervisar Operaciones TI Gestión Corporativa Carlos www.isaca.org.uy Francavilla • Estrategia – Quien debe realizar la estrategia de Tecnología – Como se relacionan la estrategia de TI y de negocios – Debe incluir Cartera, Arquitectura y Programas • Adquisición – Quien toma las decisiones de invertir en tecnología – Quien toma la decisión de continuar invirtiendo en la cartera de tecnología – Quien decide el abastecimiento de tecnología 15 Principios ISO 38500 • Desempeño – Cumplimiento de objetivos actuales – Cumplimiento de objetivos futuros – Sistemas e infraestructura, personas, procesos Gobierno Corporativo Evaluar Dirigir Programas de cambio Desempeño Cumplimiento Propuestas Planes, Políticas Supervisar Operaciones TI Gestión Corporativa Carlos www.isaca.org.uy Francavilla • Cumplimiento – Comprensión de las reglas – Formulación de las reglas – Identificar y arreglar el no cumplimiento • Comportamiento Humano – Respuestas al cambio – Tratamiento de personas de acuerdo a las comunidades – Dedicación y compromiso 16 Procesos Nuevos y Modificados COBIT® 5 Introduce 5 nuevos procesos de Gobierno • Apalancando y Mejorando • COBIT 4.1 • Val IT 2.0 • Risk IT Esta Dirección Ayuda • A las empresas a redefinir las prácticas de Gobierno de TI a nivel ejecutivo • Soporta la integración con las prácticas de Gobierno Empresarial • Está alineada con ISO/IEC 38500 Carlos www.isaca.org.uy Francavilla 17 Procesos Nuevos y Modificados COBIT 5 ha clarificado los procesos del nivel de Gestión. Incorporado los contenidos de COBIT 4.1, Val IT y Risk IT en un nuevo modelo de referencia. BMIS Carlos www.isaca.org.uy Francavilla 18 Prácticas y Actividades Prácticas Gobierno o Gestión de COBIT® 5 • Son equivalentes a: • Objetivos de Control de COBIT 4.1 ¡que desaparecen de COBIT! ¿el nombre COBIT no pierde sentido? • Procesos de Val IT y Risk IT • www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx Actividades COBIT® 5 • Son equivalentes a: • Prácticas de Control de COBIT 4.1 • Prácticas de Gestión de Val IT y Risk IT Integra y Actualiza Todo el contenido previo en un solo modelo • Facilitando la comprensión y el uso del material cuando se implantan mejoras Carlos www.isaca.org.uy Francavilla 19 1. Satisfaciendo las necesidades de los interesados 2. Cubriendo la empresa de extremo a extremo 5. Separando Gobierno y Gestión Principios COBIT® 5 4. Posibilitando un enfoque holístico 3. Aplicando un solo marco integrado Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved. www.isaca.org.uy Principio 1. Satisfaciendo las necesidades de los interesados Las empresas existen para crear valor para sus interesados Necesidad de los Interesados Impulsa Objetivo de Gobierno: Creación de Valor Realización De Beneficios Optimización de Riesgos Optimización De Recursos Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved. www.isaca.org.uy Principio 1. Satisfaciendo las necesidades de los interesados La Empresa Pueden tener muchos interesados. • ‘Crear Valor’ puede ser interpretado de diferentes maneras – y muchas veces con conflicto – para cada uno de ellos. Gobierno Es acerca de la negociación y decisión. • Entre los diferentes necesidades de los interesados. El sistema de Gobierno Debe considerar a todos los interesados • Cuando toma decisiones de beneficios, recursos y riesgos. • Por cada decisión, puede y debe preguntarse: • ¿Quién recibe el beneficio? • ¿Quién asume el riego? • ¿Qué recursos se necesitan? www.isaca.org.uy Principio 1. Satisfaciendo las necesidades de los interesados Las necesidades de los interesados deben traducirse a una estrategia de acción de la empresa. La cascada de objetivos de COBIT® 5, traslada las necesidades de los interesados en Objetivos específicos Acciones concretas y personalizadas dentro del contexto de la empresa Objetivos relacionados de TI Objetivos facilitadores o activadores de las metas. www.isaca.org.uy Impulsores de los Interesados Ambiente, Evolución de la Tecnología, … Influencian Necesidades de los Interesados Realización de Beneficios Optimización de Riesgo Optimización de Recursos Cascada a Objetivos de la Empresa Cascada a Objetivos Relacionados con TI Cascada a Objetivos Facilitadores Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved. Principio 1. Satisfaciendo las necesidades de los interesados Beneficios de la cascada de objetivos de COBIT® 5 Permiten la definición de prioridades de implantación. Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos relacionados. En la práctica; Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad. Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o aseguramiento. Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para lograr los objetivos de la empresa. www.isaca.org.uy Principio 2. Cubriendo la empresa de extremo a extremo COBIT 5 Se refiere al Gobierno y Gestión de TI empresarial y las tecnologías relacionadas. • Desde una perspectiva de empresa completa, de extremo a extremo. Integra Gobierno de TI en el Gobierno Empresario. • COBIT® 5 se integra fácilmente con cualquier sistema de Gobierno porque está alineado con las últimas visiones de Gobierno. Cubre Todas las funciones y procesos dentro de la empresa. • COBIT® 5 no solo se enfoca en la «función de TI» trata la información y las tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro en la empresa. www.isaca.org.uy Principio 2. Cubriendo la empresa de extremo a extremo Objetivo de Gobierno: Creación de Valor Optimización Realización Optimización de Riesgos De Beneficios De Recursos Facilitadores De Gobierno Alcance De Gobierno Roles, Actividades y Relaciones Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. Roles, Actividades y Relaciones Dueños y Accionistas Dirección Delega Cuerpo de Gobierno Cuentas Instruye Gestión Supervisa Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved. www.isaca.org.uy Informa Operación y Ejecución Principio 5. Separando Gobierno y Gestión COBIT® 5 hace una clara distinción entre Gobierno y Gestión • Abarcan diferentes tipos de actividades • Requieren diferentes estructuras organizacionales • Sirven propósitos diferentes Gobierno • En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo de Dirección con el liderazgo del Presidente Gestión • En la mayoría de las empresas, la Gestión es responsabilidad de los ejecutivos bajo el liderazgo del CEO www.isaca.org.uy Carlos Francavilla 27 • Asegura el cumplimiento de objetivos empresariales • Evalúa necesidades, condiciones y opciones de los interesados • Dirige a través de la priorización y toma de decisiones • Supervisa (Monitor) el desempeño y cumplimiento contra la dirección y los objetivos acordados Gestión Gobierno Principio 5. Separando Gobierno y Gestión • Planea, Construye, Opera y Supervisa (Monitor) • Las actividades fijadas y acordadas por el cuerpo de gobierno • Ciclo PBRM • Ciclo EDM www.isaca.org.uy Carlos Francavilla 28 Principio 5. Separando Gobierno y Gestión COBIT® 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestión de manera tal que las áreas claves están cubiertas como se muestra en la figura Necesidades del Negocio Gobierno Evaluar Supervisar Dirigir Gestión Planear (APO) www.isaca.org.uy Carlos Francavilla Retroalimentación Construir (BAI) Ejecutar (DSS) Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved. Supervisar (MEA) 29 Principio 5. Separando Gobierno y Gestión COBIT® 5 Describe 7 Categorías de Catalizadores • Los Procesos son una Categoría Una Empresa Puede organizar sus procesos como mejor le parezca • Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión • Las pequeñas empresas pueden tener menor cantidad de Procesos COBIT® 5 Incluye un modelo de referencia de procesos • Process Reference Modelo (PRM) • Describe en detalle Procesos de Gobierno y Gestión • Los detalles se encuentran en la publicación COBIT® 5 Enabling Processess www.isaca.org.uy Carlos Francavilla 30 2. Procesos 3. Estructura Organizacional 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos de Trabajo 5. Información 6. Servicios, Infraestructura y Aplicaciones Recursos www.isaca.org.uy Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved. 7. Personas, Habilidades y Competencias Modelo de Referencia Subdivide la prácticas relacionadas de TI • Dos áreas principales; • Gobierno • Gestión, dividida en: Dominios y Procesos Dominio Gobierno Contiene 5 procesos • Dentro de cada proceso se definen las actividades de; • Evaluar, Dirigir, Supervisar • Ciclo EDM 4 Dominios de Gestión Están en línea con las áreas de responsabilidad • Planear, Construir, Ejecutar, Supervisar • Ciclo PBRM www.isaca.org.uy Carlos Francavilla 32 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 Definir y Mantener el Marco de Gobierno EDM02 Asegurar Entrega de Beneficios EDM04 Asegurar Optimización de Recursos EDM03 Asegurar Optimización de Riesgo EDM05 Asegurar Transparencia para los Interesados Alinear, Planear, Organizar (APO) - Procesos Gestión de TI Supervisar, Evaluar, Valorar (MEA) APO01 Gestionar el Marco de Gestión de TI APO02 Gestionar la Estrategia APO03 Gestionar la Arquitectura Empresarial APO04 Gestionar Innovación APO05 Gestionar Cartera APO06 Gestionar Presupuesto y Costos APO08 Gestionar Relaciones APO09 Gestionar Acuerdos de Servicio APO10 Gestionar Proveedores APO11 Gestionar Calidad APO12 Gestionar Riesgo AP13 Gestionar Seguridad BAI05 Gestionar Facilitación del Cambio Organizacional BAI06 Gestionar Cambios APO07 Gestionar Recursos Humanos MEA01 Desempeño y Conformidad Construir, Adquirir, Implantar (BAI) – Procesos Gestión de TI BAI01 Gestionar Programas y Proyectos BAI08 Gestionar Conocimiento BAI02 Gestionar Definición de Requerimientos BAI09 Gestionar Activos BAI03 Gestionar Identificación de Soluciones y Construir BAI04 Gestionar Disponibilidad y Capacidad BAI07 Gestionar Aceptación del Cambio y Transición DSS02 Gestionar Requerimientos de Servicio e Incidentes www.isaca.org.uy Carlos Francavilla MEA02 Sistema de Control Interno BAI10 Gestionar Configuración Entrega, Servicio, Soporte (DSS) – Procesos Gestión de TI DSS01 Gestionar Operaciones Procesos Gestión de TI DSS03 Gestionar Problemas DSS04 Gestionar Continuidad DSS05 Gestionar Servicios de Seguridad Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved. DSS06 Gestionar Control de Procesos de Negocio MEA03 Cumplimiento Requerimientos Externos 33 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 EDM02 EDM03 EDM04 EDM05 Definir y Mantener el Marco de Gobierno Asegurar Entrega de Beneficios Asegurar Optimización de Riesgo Asegurar Optimización de Recursos Asegurar Transparencia para los Interesados Descripción y Propósito del Proceso Objetivo relacionado de TI Objetivos del Proceso www.isaca.org.uy Carlos Francavilla Métricas del Proceso Métricas Relacionadas Cuadro RACI 34 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI EDM01 EDM02 EDM03 EDM04 EDM05 Definir y Mantener el Marco de Gobierno Asegurar Entrega de Beneficios Asegurar Optimización de Riesgo Asegurar Optimización de Recursos Asegurar Transparencia para los Interesados Práctica de Gobierno Entradas www.isaca.org.uy Carlos Francavilla Salidas Actividades Guias Relacionadas 35 Integrando Tecnología al Gobierno Corporativo Definiendo cual es el rol del directorio en el Gobierno de Tecnología Separando claramente las actividades de Gestión de las de Gobierno Comprender que Tecnología no está separada del negocio, en una empresa todos somos el negocio y tecnología esta fusionada Vinculando cada Inversión en Tecnología con Beneficios, Recursos, Riesgos y Transparencia www.isaca.org.uy Carlos Francavilla 36 La pregunta estratégica ¿ Está la inversión: De acuerdo con nuestra visión Coherente con nuestros objetivos de negocio Contribuyendo a nuestros objetivos estratégicos Proporcionando valor a un costo económico y niveles de riego aceptable ? La pregunta de arquitectura ¿ Está la inversión: De acuerdo con nuestra arquitectura Coherente con nuestros principios arquitectónicos Contribuyendo a la población de nuestra arquitectura En línea con otras iniciativas? www.isaca.org.uy Carlos Francavilla ¿Estamos haciendo lo correcto? ¿Estamos obteniendo los beneficios? ¿ Lo estamos haciendo correctamente? ¿ Lo estamos logrando bien? La pregunta de valor ¿ Tenemos: Un conocimiento claro y compartido de los beneficios esperados Una responsabilidad clara para realizar los beneficios Una métrica relevante Un proceso eficaz de realización de beneficios? La pregunta de entrega ¿ Tenemos: Procesos eficaces y disciplinados de dirección, entrega y gestión de cambios Recursos técnicos y de negocio competentes y disponibles para entregar: Las capacidades necesarias Los cambios de organización necesarios para potenciar las capacidades? 37 Muchas Gracias ¿Preguntas? Carlos Francavilla [email protected] www.isaca.org.uy Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Carlos Francavilla Socio ICG LATAM www.isaca.org.uy