Presentación realizada en el congreso CIGRAS 2014 en Montevideo, Uruguay acerca del aporte que realiza COBIT 5 al gobierno corporativo de Tecnología y Gobierno Corporativo
Aporte de COBIT 5 al Gobierno Corporativo de Tecnología
1. Como aporta COBIT 5 y gobernanza de
www.isaca.org.uy
TI a la gobernanza empresarial
Carlos Francavilla
Socio
ICG LATAM
2. www.isaca.org.uy
Agenda
• ¿Qué es Gobierno Corporativo?
• Un poco de historia
• El marco COBIT 5®
• Principios de COBIT 5®
– Principios ISO 38500
• Dominio de Gobierno
• Aporte de COBIT al gobierno
4. Seguimientos de Resultados/Presupuestos
Seguimiento de Operaciones/Actividades
Estrategia
Gestión de Riesgos
Control Interno
Cumplimiento Normativo
www.isaca.org.uy
26,09%
20,65%
17,39%
40,22%
35,87%
74,46%
92,39%
88,04%
Responsabilidad Social
Comunicación Corporativa
Fuente Deloite Estudio 180 Empresas España 2012
5. Comité Ejecutivo / CEO
Junta Directiva
Unidades de Negocio
Comité de Estrategia
www.isaca.org.uy
7,61%
20,65%
75,54%
68,48%
88,04%
Asesores Externos
Fuente Deloite Estudio 180 Empresas España 2012
6. 4,63%
Alto
Medio
www.isaca.org.uy
12,96%
82,41%
Bajo
Fuente Deloite Estudio 180 Empresas España 2012
7. Enterprise Risk Management COSO
www.isaca.org.uy
5,97%
2,99%
41,79%
49,25%
Otros
ISO 31000
COBIT
Fuente Deloite Estudio 180 Empresas España 2012
8. NO
SI, limitado a Tecnología
SI, documentado y comunicado
www.isaca.org.uy
17,80%
15,18%
24,61%
42,41%
SI, no comunicado
Fuente Deloite Estudio 180 Empresas España 2012
9. www.isaca.org.uy
17,19%
33,85%
48,96%
SI, política específica
NO
SI, incluido en la política de gestión de Riesgos
Fuente Deloite Estudio 180 Empresas España 2012
10. Normas y procedimientos internos
Mapa de Riesgos
Sistema definido
Simulación financiera
Marcos de trabajo (COSO, COBIT)
www.isaca.org.uy
9,24%
3,80%
25,54%
19,57%
32,07%
76,63%
Otras
Fuente Deloite Estudio 180 Empresas España 2012
11. www.isaca.org.uy
Gobierno de TI Empresarial
COBIT 5
Gobierno de TI
Val IT 2.0
(2008)
Risk IT
(2009)
COBIT4.0/4.1
Gestión
COBIT3
Control
COBIT2
Auditoría
COBIT1
1998 2000 2005/7
Un marco de negocios por ISACA, www.isaca.org/cobit
Evolución del Alcance
1996 2012
13. Ayuda a crear valor óptimo de TI.
Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el
uso de los recursos
Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera
Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las
www.isaca.org.uy
integral para toda la empresa.
partes interesadas internas y externas
Los 5 principios de COBIT y sus Catalizadores son de carácter genérico.
útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público
14. Nuevos Principios
Val IT y Risk IT Son Marcos de Trabajo
• Basados en Principios
Principios Son fáciles de entender y aplicarlos al contexto empresario
• Permitiendo derivar valor de las guías de soporte más efectivamente
ISO/IEC 38500 Incorpora Principios
• Para potenciar sus mensajes
• Los principios de ISO/IEC 38500 no son los mismos de COBIT®5
Carlos
Francavilla
www.isaca.org.uy 14
15. Principios ISO 38500
Programas de
Carlos
Francavilla
Gobierno
Corporativo
Evaluar
Dirigir Supervisar
Propuestas
Operaciones
Gestión Corporativa
Planes,
Políticas
Desempeño
Cumplimiento
Cambio
TI
• Responsabilidad
– Quien es responsable de que
– Todos comprenden su responsabilidad
– Quien es responsable de la oferta y demanda
• Estrategia
– Quien debe realizar la estrategia de Tecnología
– Como se relacionan la estrategia de TI y de
negocios
– Debe incluir Cartera, Arquitectura y Programas
• Adquisición
– Quien toma las decisiones de invertir en
tecnología
– Quien toma la decisión de continuar invirtiendo
en la cartera de tecnología
– Quien decide el abastecimiento de tecnología
www.isaca.org.uy 15
16. Principios ISO 38500
Programas de
Carlos
Francavilla
Gobierno
Corporativo
Evaluar
Dirigir Supervisar
Propuestas
Operaciones
Gestión Corporativa
Planes,
Políticas
Desempeño
Cumplimiento
cambio
TI
• Desempeño
– Cumplimiento de objetivos actuales
– Cumplimiento de objetivos futuros
– Sistemas e infraestructura, personas, procesos
• Cumplimiento
– Comprensión de las reglas
– Formulación de las reglas
– Identificar y arreglar el no cumplimiento
• Comportamiento Humano
– Respuestas al cambio
– Tratamiento de personas de acuerdo a las
comunidades
– Dedicación y compromiso
www.isaca.org.uy 16
17. www.isaca.org.uy
17
Procesos Nuevos y Modificados
COBIT® 5 Introduce 5 nuevos procesos de Gobierno
• Apalancando y Mejorando
• COBIT 4.1
• Val IT 2.0
• Risk IT
Esta Dirección Ayuda
• A las empresas a redefinir las prácticas de Gobierno de TI a nivel
ejecutivo
• Soporta la integración con las prácticas de Gobierno Empresarial
• Está alineada con ISO/IEC 38500
Carlos
Francavilla
18. www.isaca.org.uy
Procesos Nuevos y Modificados
18
BMIS
COBIT 5 ha clarificado los procesos del nivel de
Gestión.
Incorporado los contenidos de COBIT 4.1, Val IT y
Risk IT en un nuevo modelo de referencia.
Carlos
Francavilla
19. www.isaca.org.uy
19
Prácticas y Actividades
Prácticas Gobierno o Gestión de COBIT® 5
• Son equivalentes a:
• Objetivos de Control de COBIT 4.1 ¡que desaparecen de COBIT! ¿el nombre COBIT no pierde sentido?
• Procesos de Val IT y Risk IT
•www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx
Actividades COBIT® 5
• Son equivalentes a:
• Prácticas de Control de COBIT 4.1
• Prácticas de Gestión de Val IT y Risk IT
Integra y Actualiza Todo el contenido previo en un solo modelo
• Facilitando la comprensión y el uso del material cuando se implantan mejoras
Carlos
Francavilla
22. Principio 1. Satisfaciendo las necesidades de los interesados
La Empresa Pueden tener muchos interesados.
• ‘Crear Valor’ puede ser interpretado de diferentes maneras – y muchas veces con conflicto – para cada uno de
ellos.
Gobierno Es acerca de la negociación y decisión.
•Entre los diferentes necesidades de los interesados.
El sistema de
Gobierno
•Cuando toma decisiones de beneficios, recursos y riesgos.
•Por cada decisión, puede y debe preguntarse:
•¿Quién recibe el beneficio?
•¿Quién asume el riego?
•¿Qué recursos se necesitan?
www.isaca.org.uy
Debe considerar a todos los interesados
24. Principio 1. Satisfaciendo las necesidades de los interesados
Beneficios de la cascada de objetivos de COBIT® 5
Permiten la definición de prioridades de implantación.
Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos
relacionados.
En la práctica;
Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad.
Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la
orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o
aseguramiento.
Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para
lograr los objetivos de la empresa.
www.isaca.org.uy
25. Principio 2. Cubriendo la empresa de extremo a extremo
www.isaca.org.uy
Se refiere al Gobierno y Gestión de TI empresarial y
COBIT 5 las tecnologías relacionadas.
• Desde una perspectiva de empresa completa, de extremo a extremo.
Integra Gobierno de TI en el Gobierno Empresario.
• COBIT® 5 se integra fácilmente con cualquier sistema de Gobierno porque está
alineado con las últimas visiones de Gobierno.
Todas las funciones y procesos dentro de la
Cubre empresa.
• COBIT® 5 no solo se enfoca en la «función de TI» trata la información y las
tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro
en la empresa.
27. COBIT® 5 hace una clara distinción entre Gobierno y Gestión
• Abarcan diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Sirven propósitos diferentes
Gobierno
• En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo
de Dirección con el liderazgo del Presidente
Gestión
• En la mayoría de las empresas, la Gestión es responsabilidad de los
ejecutivos bajo el liderazgo del CEO
www.isaca.org.uy
Principio 5. Separando Gobierno y Gestión
Carlos Francavilla 27
28. Gobierno
Principio 5. Separando Gobierno y Gestión
• Asegura el cumplimiento de
objetivos empresariales
• Evalúa necesidades, condiciones
y opciones de los interesados
• Dirige a través de la priorización
y toma de decisiones
• Supervisa (Monitor) el
desempeño y cumplimiento
contra la dirección y los objetivos
acordados
• Ciclo EDM
www.isaca.org.uy
Gestión
• Planea, Construye, Opera y
Supervisa (Monitor)
• Las actividades fijadas y
acordadas por el cuerpo de
gobierno
• Ciclo PBRM
Carlos Francavilla 28
30. COBIT® 5 Describe 7 Categorías de Catalizadores
• Los Procesos son una Categoría
Una Empresa Puede organizar sus procesos como mejor le parezca
• Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión
• Las pequeñas empresas pueden tener menor cantidad de Procesos
COBIT® 5 Incluye un modelo de referencia de procesos
• Process Reference Modelo (PRM)
• Describe en detalle Procesos de Gobierno y Gestión
• Los detalles se encuentran en la publicación COBIT® 5 Enabling Processess
www.isaca.org.uy
Principio 5. Separando Gobierno y Gestión
Carlos Francavilla 30
32. Modelo de Referencia Subdivide la prácticas relacionadas de TI
• Dos áreas principales;
• Gobierno
• Gestión, dividida en: Dominios y Procesos
Dominio Gobierno Contiene 5 procesos
• Dentro de cada proceso se definen las actividades de;
• Evaluar, Dirigir, Supervisar
• Ciclo EDM
4 Dominios de Gestión Están en línea con las áreas de responsabilidad
• Planear, Construir, Ejecutar, Supervisar
• Ciclo PBRM
www.isaca.org.uy
Carlos Francavilla 32
34. Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01
Definir y Mantener el
Marco de Gobierno
Descripción y Propósito del Proceso
Objetivo relacionado de TI
Objetivos del
Proceso
www.isaca.org.uy
EDM02
Asegurar Entrega de
Beneficios
EDM03
Asegurar Optimización de
Riesgo
EDM04
Asegurar Optimización de
Recursos
EDM05
Asegurar Transparencia
para los Interesados
Métricas del
Proceso
Métricas
Relacionadas
Cuadro RACI
Carlos Francavilla 34
35. Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01
Definir y Mantener el
Marco de Gobierno
Práctica de Gobierno
Entradas Salidas Actividades
www.isaca.org.uy
EDM02
Asegurar Entrega de
Beneficios
EDM03
Asegurar Optimización de
Riesgo
EDM04
Asegurar Optimización de
Recursos
EDM05
Asegurar Transparencia
para los Interesados
Guias
Relacionadas
Carlos Francavilla 35
36. Integrando Tecnología al Gobierno
Corporativo
Definiendo cual es el rol del directorio en el
Gobierno de Tecnología
Separando claramente las actividades de
Gestión de las de Gobierno
Comprender que Tecnología no está separada
del negocio, en una empresa todos somos el
negocio y tecnología esta fusionada
Vinculando cada Inversión en Tecnología con
Beneficios, Recursos, Riesgos y Transparencia
Carwlows wFr.aisnaccaav.iollarg.uy 36
37. ¿Estamos
haciendo lo
correcto?
¿Estamos
obteniendo los
beneficios?
¿ Lo estamos
haciendo
correctamente?
¿ Lo estamos
logrando bien?
La pregunta estratégica
¿ Está la inversión:
De acuerdo con nuestra visión
Coherente con nuestros objetivos de
negocio
Contribuyendo a nuestros objetivos
estratégicos
Proporcionando valor a un costo
económico y niveles de riego
aceptable ?
La pregunta de valor
¿ Tenemos:
Un conocimiento claro y compartido
de los beneficios esperados
Una responsabilidad clara para
realizar los beneficios
Una métrica relevante
Un proceso eficaz de realización de
beneficios?
La pregunta de arquitectura
¿ Está la inversión:
De acuerdo con nuestra arquitectura
Coherente con nuestros principios
arquitectónicos
Contribuyendo a la población de
nuestra arquitectura
En línea con otras iniciativas?
La pregunta de entrega
¿ Tenemos:
Procesos eficaces y disciplinados de
dirección, entrega y gestión de
cambios
Recursos técnicos y de negocio
competentes y disponibles para
entregar:
Las capacidades necesarias
Los cambios de organización
necesarios para potenciar las
capacidades?
Carwlows wFr.aisnaccaav.iollarg.uy 37