COBIT 5 & GRC - ERRORES Y ACIERTOS EN SU ... del Gobierno: las empresas existen para crear valor...
Transcript of COBIT 5 & GRC - ERRORES Y ACIERTOS EN SU ... del Gobierno: las empresas existen para crear valor...
COBIT 5 & GRC - ERRORES Y ACIERTOS EN SU IMPLEMENTACIÓN Alexander Zapata, Presidente ISACA Medellín
QUIEN LES HABLA
Alexander Zapata
• Consultor Internacional en Gobierno y Mejoramiento de TI con experiencia en México, Colombia, Panamá y Perú.
• Director Internacional de ISACA 2014 – 2015 y actual Presidente del Capítulo ISACA Medellín.
• Certificaciones: Fundamentos, Implementación y Evaluación de COBIT® 5
• Experiencia en proyectos de implementación de COBIT 5 en Colombia, México, Panamá y Perú – Casos de éxito Suramericana y Bancolombia
OBJETIVO
5
Compartir los principales
errores y aciertos que se han
presentado en proyectos de
esta índole, a nivel de
Latinoamérica.
Optimización
de recursos
Optimización
de riesgos
Obtención
de los
beneficios
Necesidades de
los interesados Objetivos
principales
del Gobierno
Creación de valor: obtención de beneficios con
un uso óptimo de recursos y un riesgo optimizado
Objetivo del Gobierno: las empresas existen para crear valor
Objetivo de gobierno: la creación de valor
OBJETIVOS DEL GOBIERNO EMPRESARIAL DE TI
2. PROCESOS 3. ESTRUCTURA
ORGANIZACIONAL 4. CULTURA, ÉTICA Y COMPORTAMIENTO
5. INFORMACIÓN 6. SERVICIOS,
INFRAESTRUCTURA Y APLICACIONES
7. HABILIDADES Y COMPETENCIAS DE
LAS PERSONAS
1. PRINCIPIOS, POLÍTICAS Y MARCOS DE REFERENCIA
HABILITADORES
APO02 Gestionar la estrategia
APO03 Gestionar la arquitectura empresarial
APO04 Gestionar la innovación
APO05 Gestionar el
portafolio
APO06 Gestionar el
presupuesto y los costos
APO07 Gestionar los
recursos humanos
APO08 Gestionar las
relaciones
APO09 Gestionar los acuerdos del
servicio
APO10 Gestionar los proveedores
APO11 Gestionar calidad
APO12 Gestionar el
riesgo
APO13 Gestionar la seguridad
APO01 Gestionar el marco de
Admón. de TI
PROCESOS PARA EL
GOBIERNO DE TI EVALUAR, DIRIGIR Y
MONITOREAR
MEA01 Monitorear, evaluar y valorar el desempeño
y cumplimiento
MEA02 Monitorear, evaluar y valorar el sistema de
control interno
MEA03 Monitorear, evaluar y valorar el cumplimiento de los requisitos externos
DSS01 Gestionar
operaciones
DSS02 Gestionar
solicitudes de servicio e incidentes
DSS03 Gestionar los problemas
DSS04 Gestionar la continuidad
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar los
controles de los procesos del
negocio
BAI02 Gestionar la definición de
requisitos
BAI03 Gestionar la
identificación y construcción de
soluciones
BAI04 Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
habilitación de cambio
organizacional
BAI06 Gestionar los
cambios
BAI07 Gestionar la
aceptación del cambio y la transición
BAI08 Gestionar el
conocimiento
BAI09 Gestionar los
activos
BAI10 Gestionar la
configuración
BAI01 Gestionar
programas y proyectos
Alinear, planear y organizar
Construir, adquirir e implementar
Entregar , servir y soportar
Monitorear, evaluar y valorar
PROCESOS PARA LA ADMINISTRACIÓN DE TI
EDM01 Establecer y
mantener el marco de gobierno de TI
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la
optimización de riesgos
EDM04 Asegurar la
optimización de recursos
EDM05 Asegurar la
transparencia a interesados
PROCESOS DE TI ENFOCADOS AL GOBIERNO, RIESGO Y CUMPLIMIENTO
APO02 Gestionar la estrategia
APO03 Gestionar la arquitectura empresarial
APO04 Gestionar la innovación
APO05 Gestionar el
portafolio
APO06 Gestionar el
presupuesto y los costos
APO07 Gestionar los
recursos humanos
APO08 Gestionar las
relaciones
APO09 Gestionar los acuerdos del
servicio
APO10 Gestionar los proveedores
APO11 Gestionar calidad
APO12 Gestionar el
riesgo
APO13 Gestionar la seguridad
APO01 Gestionar el marco de
Admón. de TI
PROCESOS PARA EL
GOBIERNO DE TI EVALUAR, DIRIGIR Y
MONITOREAR
MEA01 Monitorear, evaluar y valorar el desempeño
y cumplimiento
MEA02 Monitorear, evaluar y valorar el sistema de
control interno
MEA03 Monitorear, evaluar y valorar el cumplimiento de los requisitos externos
DSS01 Gestionar
operaciones
DSS02 Gestionar
solicitudes de servicio e incidentes
DSS03 Gestionar los problemas
DSS04 Gestionar la continuidad
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar los
controles de los procesos del
negocio
BAI02 Gestionar la definición de
requisitos
BAI03 Gestionar la
identificación y construcción de
soluciones
BAI04 Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
habilitación de cambio
organizacional
BAI06 Gestionar los
cambios
BAI07 Gestionar la
aceptación del cambio y la transición
BAI08 Gestionar el
conocimiento
BAI09 Gestionar los
activos
BAI10 Gestionar la
configuración
BAI01 Gestionar
programas y proyectos
Alinear, planear y organizar
Construir, adquirir e implementar
Entregar , servir y soportar
Monitorear, evaluar y valorar
PROCESOS PARA LA ADMINISTRACIÓN DE TI
EDM01 Establecer y
mantener el marco de gobierno de TI
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la
optimización de riesgos
EDM04 Asegurar la
optimización de recursos
EDM05 Asegurar la
transparencia a interesados
IDENTIFICACIÓN DE LOS PROCESOS CRÍTICOS DE TI
ERRORES
1. Intentar implementar todos
los procesos de TI del marco de COBIT 5.
2. Aplicar el modelo de
capacidad a todos los 37 procesos, sin identificar
temas claves.
BAI
APO EDM
DSS MEA
ACIERTOS
4. Evolucionar al modelo
de capacidad en lugar de madurez
3. Entender el ciclo de mejora de TI
ERRORES
5. No enfocarse a los
habilitadores, sólo a proceso o a
las políticas.
6. Realizar imposiciones. Parecen
actividades adicionales que
generan más carga operativa, se
debe buscar el sentido
ERRORES
8. Considerar que Cobit contradice a las metodologías ágiles: Agilidad tomado con calidad y controles.
ERRORES
9. Alta Dirección delega la implementación en mandos medios sin
involucrarse lo suficiente, y el esfuerzo termina diluyéndose.
10. implementar con un consultor pero no capacitar al personal
(transferencia de conocimiento)
¿
ACIERTOS
1. Trabajo coordinado con: Auditoría Interna, Riesgos, áreas corporativas
como Desarrollo Organizacional.
Alineación con el corporativo.
Riesgos
AI
Corporativo
ACIERTOS
4. Establecer esquemas de comunicación
entre procesos.
5. Empoderamiento y capacidad de los
líderes de proceso para que tomen sus
propias decisiones.
6. Hacer énfasis en ganancias rápidas
ACIERTOS
8. Tres líneas de defensa – el dueño de proceso define sus controles para el logro de objetivos de su proceso y se deben reflejar en el flujo y la narrativa, la segunda es riesgos.
9. Adaptación de las buenas prácticas.
Tercer línea
de defensa
Segunda línea
de defensa 1er. Línea
de defensa