Como aporta COBIT 5 y gobernanza de

TI a la gobernanza empresarial

Carlos Francavilla
Socio
ICG LATAM

www.isaca.org.uy
 Agenda
Qu es Gobierno Corporativo?
Un poco de historia
El marco COBIT 5
Principios de COBIT 5
Principios ISO 38500
Dominio de Gobierno
Aporte de COBIT al gobierno

www.isaca.org.uy
 Gobierno
Corporativo

Organizaciones Sistema

Controlan Dirigen

www.isaca.org.uy
Seguimientos de Resultados/Presupuestos 92,39%

Seguimiento de Operaciones/Actividades 88,04%

Estrategia 74,46%

Gestin de Riesgos 40,22%

Control Interno 35,87%

Cumplimiento Normativo 26,09%

Responsabilidad Social 20,65%

Comunicacin Corporativa 17,39%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas Espaa 2012
Comit Ejecutivo / CEO 88,04%

Junta Directiva 75,54%

Unidades de Negocio 68,48%

Comit de Estrategia 20,65%

Asesores Externos 7,61%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas Espaa 2012
 Alto 82,41%

Medio 12,96%

Bajo 4,63%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas Espaa 2012
Enterprise Risk Management COSO 49,25%

Otros 41,79%

ISO 31000 5,97%

COBIT 2,99%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas Espaa 2012
 NO 42,41%

SI, limitado a Tecnologa 24,61%

SI, documentado y comunicado 17,80%

SI, no comunicado 15,18%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas Espaa 2012
 SI, poltica especfica 48,96%

NO 33,85%

SI, incluido en la poltica de gestin de Riesgos 17,19%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas Espaa 2012
Normas y procedimientos internos 76,63%

Mapa de Riesgos 32,07%

Sistema definido 25,54%

Simulacin financiera 19,57%

Marcos de trabajo (COSO, COBIT) 9,24%

Otras 3,80%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas Espaa 2012
 Gobierno de TI Empresarial
Evolucin del Alcance

Gobierno de TI

Val IT 2.0
Gestin (2008)

Control
Risk IT
(2009)
Auditora

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Un marco de negocios por ISACA, www.isaca.org/cobit

www.isaca.org.uy
 Directorio

Gerencias de Negocio

IT Funcional

Operaciones

www.isaca.org.uy
 Ayuda a crear valor ptimo de TI.
Mantener un equilibrio entre la obtencin de beneficios y la optimizacin de los niveles de riesgo y el
uso de los recursos

Permite que la informacin y la tecnologa relacionada sean gobernadas y gestionadas de manera

integral para toda la empresa.
Abarcando de principio a fin el negocio y reas funcionales, teniendo en cuenta los intereses de las
partes interesadas internas y externas

Los 5 principios de COBIT y sus Catalizadores son de carcter genrico.

til para las empresas de todos los tamaos, ya sea comercial, sin fines de lucro o del sector pblico

www.isaca.org.uy
 Nuevos Principios

Val IT y Risk IT Son Marcos de Trabajo

Basados en Principios

Principios Son fciles de entender y aplicarlos al contexto empresario

Permitiendo derivar valor de las guas de soporte ms efectivamente

ISO/IEC 38500 Incorpora Principios

Para potenciar sus mensajes
Los principios de ISO/IEC 38500 no son los mismos de COBIT5

Carlos
www.isaca.org.uy 14
Francavilla
 Principios ISO 38500

Responsabilidad
Quien es responsable de que
Gobierno Todos comprenden su responsabilidad
Corporativo
Quien es responsable de la oferta y demanda
Evaluar

Dirigir Supervisar Estrategia

Quien debe realizar la estrategia de Tecnologa
Polticas
Planes,

Propuestas

Cumplimiento
Desempeo

Como se relacionan la estrategia de TI y de

negocios
Debe incluir Cartera, Arquitectura y Programas
Programas de Operaciones Adquisicin
Cambio TI
Quien toma las decisiones de invertir en
Gestin Corporativa tecnologa
Quien toma la decisin de continuar invirtiendo
en la cartera de tecnologa
Quien decide el abastecimiento de tecnologa

Carlos
www.isaca.org.uy 15
Francavilla
 Principios ISO 38500

Desempeo
Cumplimiento de objetivos actuales
Gobierno Cumplimiento de objetivos futuros
Corporativo
Sistemas e infraestructura, personas, procesos
Evaluar

Dirigir Supervisar Cumplimiento

Comprensin de las reglas
Polticas
Planes,

Propuestas

Cumplimiento
Desempeo

Formulacin de las reglas

Identificar y arreglar el no cumplimiento
Comportamiento Humano
Programas de Operaciones Respuestas al cambio
cambio TI
Tratamiento de personas de acuerdo a las
Gestin Corporativa comunidades
Dedicacin y compromiso

Carlos
www.isaca.org.uy 16
Francavilla
 Procesos Nuevos y Modificados

COBIT 5 Introduce 5 nuevos procesos de Gobierno

Apalancando y Mejorando
COBIT 4.1
Val IT 2.0
Risk IT

Esta Direccin Ayuda

A las empresas a redefinir las prcticas de Gobierno de TI a nivel
ejecutivo
Soporta la integracin con las prcticas de Gobierno Empresarial
Est alineada con ISO/IEC 38500

Carlos 17
www.isaca.org.uy
Francavilla
 Procesos Nuevos y Modificados

COBIT 5 ha clarificado los procesos del nivel de

Gestin.
Incorporado los contenidos de COBIT 4.1, Val IT y
Risk IT en un nuevo modelo de referencia.

Carlos BMIS 18
www.isaca.org.uy
Francavilla
 Prcticas y Actividades

Prcticas Gobierno o Gestin de COBIT 5

Son equivalentes a:
Objetivos de Control de COBIT 4.1 que desaparecen de COBIT! el nombre COBIT no pierde sentido?
Procesos de Val IT y Risk IT
www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx

Actividades COBIT 5
Son equivalentes a:
Prcticas de Control de COBIT 4.1
Prcticas de Gestin de Val IT y Risk IT

Integra y Actualiza Todo el contenido previo en un solo modelo

Facilitando la comprensin y el uso del material cuando se implantan mejoras

Carlos 19
www.isaca.org.uy
Francavilla
 1. Satisfaciendo las
necesidades de los
interesados

2. Cubriendo la
5. Separando empresa de
Gobierno y Gestin extremo a extremo
Principios
COBIT 5

4. Posibilitando 3. Aplicando un
un enfoque solo marco
holstico integrado

Fuente: COBIT 5, figure 2. 2012 ISACA All rights reserved.

www.isaca.org.uy
 Principio 1. Satisfaciendo las necesidades de los interesados

Las empresas existen para crear valor para sus interesados

Necesidad de los
Interesados

Impulsa
Objetivo de Gobierno: Creacin de Valor

Realizacin Optimizacin Optimizacin

De Beneficios de Riesgos De Recursos

Source: COBIT 5, figure 3. 2012 ISACA All rights reserved.

www.isaca.org.uy
 Principio 1. Satisfaciendo las necesidades de los interesados

La Empresa Pueden tener muchos interesados.

Crear Valor puede ser interpretado de diferentes maneras y muchas veces con conflicto para cada uno de
ellos.

Gobierno Es acerca de la negociacin y decisin.

Entre los diferentes necesidades de los interesados.

El sistema de
Debe considerar a todos los interesados
Gobierno
Cuando toma decisiones de beneficios, recursos y riesgos.
Por cada decisin, puede y debe preguntarse:
Quin recibe el beneficio?
Quin asume el riego?
Qu recursos se necesitan?

www.isaca.org.uy
 Principio 1. Satisfaciendo las necesidades de los interesados
Las necesidades de los
interesados deben
traducirse a una estrategia
de accin de la empresa.
La cascada de objetivos de
COBIT 5, traslada las
necesidades de los
interesados en
Objetivos especficos
Acciones concretas y
personalizadas dentro del
contexto de la empresa
Objetivos relacionados de TI
Objetivos facilitadores o
activadores de las metas.
www.isaca.org.uy
Impulsores de los Interesados
Ambiente, Evolucin de la Tecnologa,
Influencian
Necesidades de los Interesados
Realizacin de Beneficios Optimizacin de Riesgo
Optimizacin de
Recursos
Cascada a
Objetivos de la Empresa
Cascada a
Objetivos Relacionados con TI
Cascada a
Objetivos Facilitadores
Source: COBIT 5, figure 4. 2012 ISACA All rights reserved.
 Principio 1. Satisfaciendo las necesidades de los interesados

Beneficios de la cascada de objetivos de COBIT 5

Permiten la definicin de prioridades de implantacin.
Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos
relacionados.

En la prctica;
Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad.
Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la
orientacin pertinente para su inclusin en los proyectos especficos de implantacin, mejora o
aseguramiento.
Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para
lograr los objetivos de la empresa.

www.isaca.org.uy
 Principio 2. Cubriendo la empresa de extremo a extremo

Se refiere al Gobierno y Gestin de TI empresarial y

COBIT 5 las tecnologas relacionadas.
Desde una perspectiva de empresa completa, de extremo a extremo.

Integra Gobierno de TI en el Gobierno Empresario.

COBIT 5 se integra fcilmente con cualquier sistema de Gobierno porque est
alineado con las ltimas visiones de Gobierno.

Todas las funciones y procesos dentro de la

Cubre empresa.
COBIT 5 no solo se enfoca en la funcin de TI trata la informacin y las
tecnologas relacionadas como activos que necesitan ser tratados como cualquier otro
en la empresa.

www.isaca.org.uy
 Principio 2. Cubriendo la empresa de extremo a extremo
Objetivo de Gobierno: Creacin de Valor
Realizacin Optimizacin Optimizacin
De Beneficios de Riesgos De Recursos

Facilitadores Alcance
De Gobierno De Gobierno

Roles, Actividades y Relaciones

Source: COBIT 5, figure 8. 2012 ISACA All rights reserved.

Roles, Actividades y Relaciones

Delega Direccin Instruye
Dueos y Cuerpo de Operacin
Accionistas Gestin
Gobierno y Ejecucin
Cuentas Supervisa Informa

Source: COBIT 5, figure 9. 2012 ISACA All rights reserved.

www.isaca.org.uy
 Principio 5. Separando Gobierno y Gestin

COBIT 5 hace una clara distincin entre Gobierno y Gestin

Abarcan diferentes tipos de actividades
Requieren diferentes estructuras organizacionales
Sirven propsitos diferentes

Gobierno
En la mayora de las empresas, el Gobierno es responsabilidad del Consejo
de Direccin con el liderazgo del Presidente

Gestin
En la mayora de las empresas, la Gestin es responsabilidad de los
ejecutivos bajo el liderazgo del CEO

www.isaca.org.uy
Carlos Francavilla 27
 Principio 5. Separando Gobierno y Gestin
Gobierno

Gestin
Asegura el cumplimiento de Planea, Construye, Opera y
objetivos empresariales Supervisa (Monitor)
Evala necesidades, condiciones Las actividades fijadas y
y opciones de los interesados acordadas por el cuerpo de
Dirige a travs de la priorizacin gobierno
y toma de decisiones
Supervisa (Monitor) el Ciclo PBRM
desempeo y cumplimiento
contra la direccin y los objetivos
acordados

Ciclo EDM

www.isaca.org.uy
Carlos Francavilla 28
 Principio 5. Separando Gobierno y Gestin
COBIT 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestin de manera
tal que las reas claves estn cubiertas como se muestra en la figura

Necesidades del Negocio

Gobierno
Evaluar

Dirigir Supervisar

Gestin Retroalimentacin

Planear Construir Ejecutar Supervisar

(APO) (BAI) (DSS) (MEA)
www.isaca.org.uy Source: COBIT 5, figure 15. 2012 ISACA All rights reserved.
Carlos Francavilla 29
 Principio 5. Separando Gobierno y Gestin

COBIT 5 Describe 7 Categoras de Catalizadores

Los Procesos son una Categora

Una Empresa Puede organizar sus procesos como mejor le parezca

Siempre y cuando estn cubiertos todos los objetivos de Gobierno y Gestin
Las pequeas empresas pueden tener menor cantidad de Procesos

COBIT 5 Incluye un modelo de referencia de procesos

Process Reference Modelo (PRM)
Describe en detalle Procesos de Gobierno y Gestin
Los detalles se encuentran en la publicacin COBIT 5 Enabling Processess

www.isaca.org.uy
Carlos Francavilla 30
 3. Estructura 4. Cultura, tica y
2. Procesos
Organizacional Comportamiento

1. Principios, Polticas y Marcos de Trabajo

6. Servicios, 7. Personas,
5. Informacin Infraestructura y Habilidades y
Aplicaciones Competencias
Recursos
Fuente: COBIT 5, figure 2. 2012 ISACA All rights reserved.
www.isaca.org.uy
 Modelo de Referencia Subdivide la prcticas relacionadas de TI
Dos reas principales;
Gobierno
Gestin, dividida en: Dominios y Procesos

Dominio Gobierno Contiene 5 procesos

Dentro de cada proceso se definen las actividades de;
Evaluar, Dirigir, Supervisar

Ciclo EDM

4 Dominios de Gestin Estn en lnea con las reas de responsabilidad

Planear, Construir, Ejecutar, Supervisar

Ciclo PBRM

www.isaca.org.uy
Carlos Francavilla 32
 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI

EDM01 Definir y EDM04 Asegurar EDM05 Asegurar

EDM02 Asegurar EDM03 Asegurar
Mantener el Marco de Optimizacin de Transparencia para los
Entrega de Beneficios Optimizacin de Riesgo
Gobierno Recursos Interesados

Alinear, Planear, Organizar (APO) - Procesos Gestin de TI Supervisar, Evaluar,

Valorar (MEA)
APO01 APO03 APO06 APO07
Gestionar el
APO02
Gestionar la
APO04 APO05
Gestionar Gestionar Procesos Gestin
Gestionar la Gestionar Gestionar
Marco de
Estrategia
Arquitectura
Innovacin Cartera
Presupuesto y Recursos de TI
Gestin de TI Empresarial Costos Humanos

APO09
APO08 APO10 APO11 APO12 AP13
Gestionar
Gestionar Gestionar Gestionar Gestionar Gestionar
Acuerdos de
Relaciones Proveedores Calidad Riesgo Seguridad
Servicio MEA01
Desempeo y
Conformidad
Construir, Adquirir, Implantar (BAI) Procesos Gestin de TI

BAI03 Gestionar BAI05 Gestionar BAI07 Gestionar

BAI01 Gestionar BAI02 Gestionar BAI04 Gestionar
Identificacin de Facilitacin del BAI06 Gestionar Aceptacin del
Programas y Definicin de Disponibilidad y MEA02
Soluciones y Cambio Cambios Cambio y
Proyectos Requerimientos Capacidad
Construir Organizacional Transicin
Sistema de
Control Interno
BAI08 Gestionar BAI09 Gestionar BAI10 Gestionar
Conocimiento Activos Configuracin

MEA03
Cumplimiento
Entrega, Servicio, Soporte (DSS) Procesos Gestin de TI Requerimientos
Externos
DSS02 Gestionar DSS06 Gestionar
DSS01 Gestionar DSS03 Gestionar DSS04 Gestionar DSS05 Gestionar
Requerimientos de Control de Procesos de
Operaciones Problemas Continuidad Servicios de Seguridad
Servicio e Incidentes Negocio

www.isaca.org.uy
Carlos Francavilla 33
Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.
 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01 EDM02 EDM03 EDM04 EDM05
Definir y Mantener el Asegurar Entrega de Asegurar Optimizacin de Asegurar Optimizacin de Asegurar Transparencia
Marco de Gobierno Beneficios Riesgo Recursos para los Interesados

Descripcin y Propsito del Proceso

Mtricas
Objetivo relacionado de TI
Relacionadas

Objetivos del Mtricas del

Cuadro RACI
Proceso Proceso

www.isaca.org.uy
Carlos Francavilla 34
 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01 EDM02 EDM03 EDM04 EDM05
Definir y Mantener el Asegurar Entrega de Asegurar Optimizacin de Asegurar Optimizacin de Asegurar Transparencia
Marco de Gobierno Beneficios Riesgo Recursos para los Interesados

Prctica de Gobierno
Guias
Entradas Salidas Actividades
Relacionadas

www.isaca.org.uy
Carlos Francavilla 35
 Integrando Tecnologa al Gobierno
Corporativo

Definiendo cual es el rol del directorio en el

Gobierno de Tecnologa

Separando claramente las actividades de

Gestin de las de Gobierno

Comprender que Tecnologa no est separada

del negocio, en una empresa todos somos el
negocio y tecnologa esta fusionada

Vinculando cada Inversin en Tecnologa con

Beneficios, Recursos, Riesgos y Transparencia

www.isaca.org.uy
Carlos Francavilla 36
 La pregunta de valor
La pregunta estratgica
Tenemos:
Est la inversin:
Un conocimiento claro y compartido
De acuerdo con nuestra visin
de los beneficios esperados
Coherente con nuestros objetivos de
Una responsabilidad clara para
negocio
realizar los beneficios
Contribuyendo a nuestros objetivos
Una mtrica relevante
estratgicos Estamos Estamos Un proceso eficaz de realizacin de
Proporcionando valor a un costo haciendo lo obteniendo los beneficios?
econmico y niveles de riego correcto? beneficios?
aceptable ?

Lo estamos
Lo estamos
La pregunta de arquitectura haciendo La pregunta de entrega
logrando bien?
Est la inversin: correctamente? Tenemos:
De acuerdo con nuestra arquitectura Procesos eficaces y disciplinados de
Coherente con nuestros principios direccin, entrega y gestin de
arquitectnicos cambios
Contribuyendo a la poblacin de Recursos tcnicos y de negocio
nuestra arquitectura competentes y disponibles para
En lnea con otras iniciativas? entregar:
Las capacidades necesarias
Los cambios de organizacin
necesarios para potenciar las
capacidades?

www.isaca.org.uy
Carlos Francavilla 37
 Muchas Gracias

Preguntas?

Carlos Francavilla
carlos@icglatam.com

www.isaca.org.uy
 Como aporta COBIT 5 y gobernanza de
TI a la gobernanza empresarial

Carlos Francavilla
Socio ICG LATAM

www.isaca.org.uy