COBIT 5 & GRC - ERRORES Y ACIERTOS EN SU IMPLEMENTACIÓN Alexander Zapata, Presidente ISACA Medellín

president@isacamedellin.org

QUIEN LES HABLA

Alexander Zapata

• Consultor Internacional en Gobierno y Mejoramiento de TI con experiencia en México, Colombia, Panamá y Perú.

• Director Internacional de ISACA 2014 – 2015 y actual Presidente del Capítulo ISACA Medellín.

• Certificaciones: Fundamentos, Implementación y Evaluación de COBIT® 5

• Experiencia en proyectos de implementación de COBIT 5 en Colombia, México, Panamá y Perú – Casos de éxito Suramericana y Bancolombia

AGENDA

1. Objetivo

2. Errores

3. Aciertos

4. Preguntas y Conclusiones

OBJETIVO

OBJETIVO

5

Compartir los principales

errores y aciertos que se han

presentado en proyectos de

esta índole, a nivel de

Latinoamérica.

Optimización

de recursos

Optimización

de riesgos

Obtención

de los

beneficios

Necesidades de

los interesados Objetivos

principales

del Gobierno

Creación de valor: obtención de beneficios con

un uso óptimo de recursos y un riesgo optimizado

Objetivo del Gobierno: las empresas existen para crear valor

Objetivo de gobierno: la creación de valor

OBJETIVOS DEL GOBIERNO EMPRESARIAL DE TI

2. PROCESOS 3. ESTRUCTURA

ORGANIZACIONAL 4. CULTURA, ÉTICA Y COMPORTAMIENTO

5. INFORMACIÓN 6. SERVICIOS,

INFRAESTRUCTURA Y APLICACIONES

7. HABILIDADES Y COMPETENCIAS DE

LAS PERSONAS

1. PRINCIPIOS, POLÍTICAS Y MARCOS DE REFERENCIA

HABILITADORES

APO02 Gestionar la estrategia

APO03 Gestionar la arquitectura empresarial

APO04 Gestionar la innovación

APO05 Gestionar el

portafolio

APO06 Gestionar el

presupuesto y los costos

APO07 Gestionar los

recursos humanos

APO08 Gestionar las

relaciones

APO09 Gestionar los acuerdos del

servicio

APO10 Gestionar los proveedores

APO11 Gestionar calidad

APO12 Gestionar el

riesgo

APO13 Gestionar la seguridad

APO01 Gestionar el marco de

Admón. de TI

PROCESOS PARA EL

GOBIERNO DE TI EVALUAR, DIRIGIR Y

MONITOREAR

MEA01 Monitorear, evaluar y valorar el desempeño

y cumplimiento

MEA02 Monitorear, evaluar y valorar el sistema de

control interno

MEA03 Monitorear, evaluar y valorar el cumplimiento de los requisitos externos

DSS01 Gestionar

operaciones

DSS02 Gestionar

solicitudes de servicio e incidentes

DSS03 Gestionar los problemas

DSS04 Gestionar la continuidad

DSS05 Gestionar los servicios de seguridad

DSS06 Gestionar los

controles de los procesos del

negocio

BAI02 Gestionar la definición de

requisitos

BAI03 Gestionar la

identificación y construcción de

soluciones

BAI04 Gestionar la

disponibilidad y capacidad

BAI05 Gestionar la

habilitación de cambio

organizacional

BAI06 Gestionar los

cambios

BAI07 Gestionar la

aceptación del cambio y la transición

BAI08 Gestionar el

conocimiento

BAI09 Gestionar los

activos

BAI10 Gestionar la

configuración

BAI01 Gestionar

programas y proyectos

Alinear, planear y organizar

Construir, adquirir e implementar

Entregar , servir y soportar

Monitorear, evaluar y valorar

PROCESOS PARA LA ADMINISTRACIÓN DE TI

EDM01 Establecer y

mantener el marco de gobierno de TI

EDM02 Asegurar la entrega de beneficios

EDM03 Asegurar la

optimización de riesgos

EDM04 Asegurar la

optimización de recursos

EDM05 Asegurar la

transparencia a interesados

PROCESOS DE TI ENFOCADOS AL GOBIERNO, RIESGO Y CUMPLIMIENTO

ERRORES

APO02 Gestionar la estrategia

APO03 Gestionar la arquitectura empresarial

APO04 Gestionar la innovación

APO05 Gestionar el

portafolio

APO06 Gestionar el

presupuesto y los costos

APO07 Gestionar los

recursos humanos

APO08 Gestionar las

relaciones

APO09 Gestionar los acuerdos del

servicio

APO10 Gestionar los proveedores

APO11 Gestionar calidad

APO12 Gestionar el

riesgo

APO13 Gestionar la seguridad

APO01 Gestionar el marco de

Admón. de TI

PROCESOS PARA EL

GOBIERNO DE TI EVALUAR, DIRIGIR Y

MONITOREAR

MEA01 Monitorear, evaluar y valorar el desempeño

y cumplimiento

MEA02 Monitorear, evaluar y valorar el sistema de

control interno

MEA03 Monitorear, evaluar y valorar el cumplimiento de los requisitos externos

DSS01 Gestionar

operaciones

DSS02 Gestionar

solicitudes de servicio e incidentes

DSS03 Gestionar los problemas

DSS04 Gestionar la continuidad

DSS05 Gestionar los servicios de seguridad

DSS06 Gestionar los

controles de los procesos del

negocio

BAI02 Gestionar la definición de

requisitos

BAI03 Gestionar la

identificación y construcción de

soluciones

BAI04 Gestionar la

disponibilidad y capacidad

BAI05 Gestionar la

habilitación de cambio

organizacional

BAI06 Gestionar los

cambios

BAI07 Gestionar la

aceptación del cambio y la transición

BAI08 Gestionar el

conocimiento

BAI09 Gestionar los

activos

BAI10 Gestionar la

configuración

BAI01 Gestionar

programas y proyectos

Alinear, planear y organizar

Construir, adquirir e implementar

Entregar , servir y soportar

Monitorear, evaluar y valorar

PROCESOS PARA LA ADMINISTRACIÓN DE TI

EDM01 Establecer y

mantener el marco de gobierno de TI

EDM02 Asegurar la entrega de beneficios

EDM03 Asegurar la

optimización de riesgos

EDM04 Asegurar la

optimización de recursos

EDM05 Asegurar la

transparencia a interesados

IDENTIFICACIÓN DE LOS PROCESOS CRÍTICOS DE TI

ERRORES

1. Intentar implementar todos

los procesos de TI del marco de COBIT 5.

2. Aplicar el modelo de

capacidad a todos los 37 procesos, sin identificar

temas claves.

BAI

APO EDM

DSS MEA

ACIERTOS

4. Evolucionar al modelo

de capacidad en lugar de madurez

3. Entender el ciclo de mejora de TI

ERRORES

5. No enfocarse a los

habilitadores, sólo a proceso o a

las políticas.

6. Realizar imposiciones. Parecen

actividades adicionales que

generan más carga operativa, se

debe buscar el sentido

ERRORES

7. Falta de adaptación al contexto de la empresa en los procesos, prácticas y

salidas.

ERRORES

8. Considerar que Cobit contradice a las metodologías ágiles: Agilidad tomado con calidad y controles.

ERRORES

9. Alta Dirección delega la implementación en mandos medios sin

involucrarse lo suficiente, y el esfuerzo termina diluyéndose.

10. implementar con un consultor pero no capacitar al personal

(transferencia de conocimiento)

¿

ACIERTOS

ACIERTOS

1. Trabajo coordinado con: Auditoría Interna, Riesgos, áreas corporativas

como Desarrollo Organizacional.

Alineación con el corporativo.

Riesgos

AI

Corporativo

ACIERTOS

2. Cambio cultural.

3. Contar con un adecuado patrocinio de la Dirección.

ACIERTOS

4. Establecer esquemas de comunicación

entre procesos.

5. Empoderamiento y capacidad de los

líderes de proceso para que tomen sus

propias decisiones.

6. Hacer énfasis en ganancias rápidas

ACIERTOS

7. Mayor entrenamiento.

ACIERTOS

8. Tres líneas de defensa – el dueño de proceso define sus controles para el logro de objetivos de su proceso y se deben reflejar en el flujo y la narrativa, la segunda es riesgos.

9. Adaptación de las buenas prácticas.

Tercer línea

de defensa

Segunda línea

de defensa 1er. Línea

de defensa

PREGUNTAS Y CONCLUSIONES

MUCHAS GRACIAS !!