introduccion a-la-gobernabilidad-v040811

Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.

Knowledge translated into results

Gobernabilidad TI

Alto desempeño corporativo a través de la Gobernabilidad TIIntegrando ITIL y Cobit

Pink Elephant Iberoamérica



Pink Elephant• Empresa líder a nivel mundial en ITSM, reconocida

como “Los Expertos en ITIL”

• Presencia en los 5 continentes

• Buscamos facilitar la adopción exitosa de ITIL

mediante la solución completa de principio a fin

• Más de 200,000 personas capacitadas en los 5

Continentes

• Autores de uno de los libros de la nueva versión de

ITIL v3

• Nuestra solución contempla: Educación, Consultoría,

Conferencias y PinkATLAS



“En nuestra empresa, la TI es altamente relevante para facilitar el crecimiento”

“La TI ha estado inhibiendo nuestros esfuerzos de crecimiento”

BAIN & CO., Business Strategy Brief Nov-Dec 2006, Survey to 362 Senior Business & IT Executives (2006)

¿Qué piensan los Directores del Negocio de las Tecnologías de Información?



2%

4%

6%

7%

4%

13%

11%

13%

41%

DK/NA

otros

Cumplimientos regulatorios/legales

Medir el valor generado de la inversión en TI

Medición del desempeño de TI

Administrar los riesgos de TI

Monitorear el costo de los proyectos de TI

Determinar la estrategia global para la inversión

Asegurar que la inversión en TI está alineada a las prioridades del negocio

Problemas relacionados con TI

2004, the IT Governance Institute, in conjunction with Lighthouse Global

Problemas que Experimentan las Áreas de Tecnología



¿Por qué la Gobernabilidad TI?



Regulaciones

• Contables financieras• Riesgos• Continuidad del negocio• Seguridad• Confidencialidad de información• Protección a accionistas



Panorama Legislativo a Nivel Mundial• Privacía y Seguridad

• Personal Information Protection Electronic Document Act (PIPEDA)

• US Patriot Act \ Homeland Security (Critical Infrastructure)

• Personal Health Information Protection Act (PHIPA)

• Health Insurance Portability and Accountability Act (HIPAA)

• SEC Rules 17a-3 & 17a-4 re: securities transaction retention

• Gramm-Leach Bliley Act (GLBA) privacy of financial information

• Children’s Online Privacy Protection Act

• European Privacy Directive (Safe Harbor Framework)

• Clinger-Cohen Act (US Gov.)• Federal Information Security Mgmt.

Act (FISMA)

• Finanzas• Sarbanes Oxley (US)• Basel 2 (World Bank)• Turnbull Report (UK)• Canadian Bill 198 (MI 52-109 & 52-111)

• Otros Modelos Internacionales de TI• Australian Corporate Governance for ICT

DR 04198

Todo un campo de minas!!!!



Definición de Gobernabilidad de TI• Gobernabilidad TI: Es la responsabilidad de la dirección y de los

ejecutivos. Es una parte integral de la gobernabilidad corporativa que consiste en el liderazgo, las estructuras organizacionales y los procesos que aseguran que las TI de una organización, soportan y extienden las estrategias y los objetivos de la empresa. IT Governance Institute

• Alinear la estrategia de TI con la estrategia del Negocio• Asegurar el desempeño del TI• Debe contestar las siguientes preguntas:

• ¿Cómo está funcionando en general el área de TI?• ¿Cuáles son las Métricas Claves que la dirección necesita sobre TI? • ¿Qué retorno le está dando TI al negocio del la inversión que está haciendo?



La Empresa y la Gobernabilidad TI

RegulacionesInformes / Privacia

Objetivos Corporativos

Marco de Referencia Control de Riesgos Interno (COSO)

Marco de Referencia Gobernabilidad TI (COBIT)

Conductores

Toda la Empresa

Adm. Riesgos TI

Controles Estándar

ITIL / ASL / ISO27001/ PMI / ISO

Propiedad y Responsabilidad

Monitorear e Informar

Disciplinas



IT GOVERNANCE

Entregade Valor

Adm

inistración del R

iesgo

Administraciónde Recursos

Adm

inis

trac

ión

del D

esem

peño

Alineación

Estratégica

Áreas de Enfoque de Gobernabilidad TI

La relación de TI con los objetivos y planes del negocio. Definir, mantener y validar la propuesta de valor de TI. Alinear las operaciones de TI con las operaciones de la empresa

• Ejecutar la propuesta de valor a través del ciclo de vida de servicios de TI•Asegurar que TI entregue los beneficios prometidos en la estrategia• Optimizar los costos y proveer el valor intrínseco de TI

Se requiere que haya una conciencia de los directivos en relación a los riesgos operativos. Un entendimiento claro y transparente de los riesgos más significativos de la organización. Establecer responsabilidades administrativas de los riesgos dentro de la organización

Seguimiento y monitoreo de la implementación de la estrategia, uso de recursos, terminación de proyectos, desempeño de procesos y entrega de servicios. Usar p.ej. Balance Scorecards que traducen la estrategia en acciones para alcanzar objetivos medibles más allá de una contabilidad tradicional

Inversión óptima y administración correcta de recursos críticos de TI en:- Aplicaciones, Información, Infraestructura, y Personal- Puntos críticos alrededor del conocimiento e infraestructura- Mantener y mejorar los servicios y reducir costos

Source: COBIT v4.0 PDF – Figure 2 – IT Governance Focus Areas – page 6 Valor = Riesgo



Interacción con el Negocio

Proveedor de Tecnología

ClientesUsuarios Finales

Negocio Negocio

Entrega de ValorEntrega de Valor

Administración de Riesgos Administración de Riesgos

Alineación Estratégica Alineación Estratégica

Administración del DesempeñoAdministración del Desempeño

Administración de RecursosAdministración de Recursos



Estándares de Gobernabilidad Corporativa de TI

• AS 8015- 2005,

• Estándar australiano

• ISO 38500- 2008• Responsabilidad

• Estrategia

• Adquisición

• Desempeño

• Conformidad

• Comportamiento humano



Roles en la Gobernabilidad de TI

IT Governance Institute

Responsabilidad



¿Cómo habilitar la Gobernabilidad de TI?



Habilitación de la Gobernabilidad TI

• Marcos de referencia de auditoría

• Mejores prácticas• Metodologías• Modelos de calidad• Estándares

ITILCOBIT

CMMiBalanced Scorecard (BSC)

ITILCOBIT

CMMiBalanced Scorecard (BSC)

Project Management Institute (PMI)

ISO 9000 ISO 27001ISO 20000

ISO 38500

Project Management Institute (PMI)

ISO 9000 ISO 27001ISO 20000

ISO 38500

Six SigmaROI

Green IT RUPPayback

ASL

Six SigmaROI

Green IT RUPPayback

ASL

• Liderazgo• Estructura

organizacional• Procesos



OPERACIONES TI

Modelos de Auditoría

Sistemas de Calidad y Marcos de Referencia Administrativos

Adm

. de Servicios

Desarrollo de A

pl.

Adm

. de Proyectos

Adm

. Financiera

Seguridad T

I

Sistem

a de Calidad

Modelo de Gobernabilidad TI

COBIT

COSO

ISO 2700117799

PMI

ISO 9001ISO 20000ISO 38500

SixSigmaROI,

Payback

ASLRUP

Regulaciones

SOX, Basel II,

Internas, Externas

ITIL

CMMi

Adm

. Indicadores

BSC

Green ITISO 14000

Medio A

mbiente



COBIT



COBIT

• Control Objectives for IT and Related Technology (COBIT)• Conjunto de buenas prácticas y de controles para TI• Marco de referencia para auditorías• Genera la Gobernabilidad de TI



CobiTDominios, Recursos y Criterios

OBJETIVOS DEL NEGOCIOOBJETIVOS DE GOBIERNO

Eficiencia

AplicacionesInformaciónInfraestructuraPersonas

ENTREGAR Y DARSOPORTE

MONITOREARYEVALUAR

ADQUIRIREIMPLEMENTAR

INFORMACION

RECURSOSDETI

Efectividad

Confidencialidad

Integridad

DisponibilidadCumplimiento

PLANEARyORGANIZAR

Confiabilidad

DS1 Definir y administrar niveles de servicios.DS2 Administrar servicios de

terceros.DS3 Administrar desempeño y capacidad.DS4 Garantizar la continuidad del servicio.DS5 Garantizar la seguridad de los sistemas.DS6 Identificar y asignar costos.DS7 Educar y entrenar a los usuarios.DS8 Administrar la mesa de servicio y los

incidentes.DS9 Administrar la configuración.DS10 Administrar los problemas.DS11 Administrar los datos.DS12 Administrar el ambiente físico.DS13 Administrar las operaciones.

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno.

ME3 Garantizar Cumplimiento regulatorio.

ME4 Proporcionar Gobierno de TI.

PO1 Definir el plan estratégico de TI.PO2 Definir la arquitectura de la información.PO3 Determinar la dirección tecnológica.PO4 Definir procesos, organización y relaciones de

TI.PO5 Administrar la inversión en TI.PO6 Comunicar la dirección y de las aspiraciones y

la dirección de la gerencia.PO7 Administrar recursos humanos de TI.PO8 Administrar calidad.PO9 Evaluar y administrar Riesgos de TI.PO10 Administrar proyectos.

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.

AI3 Adquirir y mantener la infraestructura tecnológica.

AI4 Facilitar la operación y el uso.AI5 Adquirir recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar soluciones y

cambios.



Proc

esos

de

TI

Gen

te

Apl

icac

ione

s

Infr

aest

ruct

ura

Info

rmac

ión

Recurso

s de T

I

Efectividad

Requerimientos de Negocio

DOMINIOS

PROCESO

ACTIVIDADES

Eficiencia

Confidencialidad

Integridad

Disponibilid

ad

Cumplimiento

Confiabilid

ad

El Cubo de COBIT



COBITMatriz RACI: Asignación de responsabilidades por Rol / PO10

Definir un marco de trabajo de programas/portafolio para inversiones en TI.

C C A R C C

Establecer y mantener un marco de trabajo para la administración de proyectos de TI.

I I I A/R I C C C C R C

Establecer y mantener un sistema de monitoreo, medición y administración de sistemas.

I I I R C C C C A/R C

Elaborar contratos de proyectos, cronogramas, planes de calidad, presupuestos y planes de comunicación y administración de riesgos.

C C C C C C C A/R C

Asegurar la participación y el compromiso de los stakeholders del proyecto.

I A R C C

Asegurar el control efectivos de proyectos y de cambios a proyectos.

C C C C C A/R C

Definir e implementar métodos de revisión y aseguramiento de proyectos.

I C I A/R C

CEO

CFO

Ejec

utivo

s del

Neg

ocio

CIO

Dueñ

o Pr

oc. N

egoc

ioDi

recc

ión

Ope

raci

ones

Arqu

itect

o Je

feDi

recc

ión

Desa

rrol

loDi

recc

ión

Adm

. TI

PMO

Diagrama RACI para PO10

Func

ione

s

Actividades

Un diagrama RACI para cada proceso identifica quién es Responsable, Debe Rendir Cuentas, es Consultado, y/o es Informado

Cum

plim

ient

o, R

iesg

o,

Audi

toría

, Seg

urid

ad



COBITModelos de Madurez y Benchmarking

Los Modelos de Madurez proveen una escala para medir comparativamente las prácticas de la compañía contra los estándares y directrices de la industria. Un modelo de madurez es una medida que le permite a la organización calificar su madurez para un proceso específico desde no existente (0) hasta optimizado (5).

No existente Inicial Repetible Definido Administrado Optimizado

0 1 2 3 4

Leyenda para los símbolos utilizados Descripción de niveles de madurez

0- Los procesos adminstrativos no se aplican del todo.1- Los procesos son ad hoc y desorganizados.2- Los procesos siguen un patrón regular.3- Los procesos se documentan y comunican.4- Los procesos son monitoreados y medidos.5- Se aplican buenas prácticas y automatización.

Estatus actual de la empresa

Promedio de la industria

Meta de la empresa

5



“COBIT Extendido”Los tres Frameworks del ITGI

Administración de Riesgos

Administración del Valor

Evaluar Riesgos y Oportunidades

Eventos relacionados con TI

Actividades de TI

Risk IT Val IT

Diri

geD

irige

CobiT



ITIL & Cobit



• ITIL tiene un alto soporte a los objetivos de control de COBIT

ITIL55%

Otros marcos de referencia

45%

Soporte a COBIT



¿Qué es ITIL?

• Information Technology Infrastructure Library (ITIL)

• Marco de referencia para la Administración de Servicios TI, basado en procesos

• Estandar de facto de la industria en la Administración de Servicios TI

• Marco de referencia desarrollado • por la Oficina del Gobierno del Reino Unido • Office of Government Commerce (OGC)



Modelo de Servicios TI



Modelo de Servicios de TI



Modelo de Procesos ITIL versión 2



Mapeo de ITIL versión 2 con COBIT

Entregar y SoportarMonitorear

Adquirir e ImplementarPlanear y OrganizarAdquirir y mantener aplicaciones de software

Instalar y acreditar los sistemas

Administrar los Cambios

Asistir y aconsejar a los clientes

Administrar la configuración

Administrar problemas e incidentes

Adquirir y mantener Infraestr. tecnológica

Administrar datos

Administrar instalaciones

Administrar operaciones

Definir un plan estratégico para TI

Definir las relaciones organ./TI

Administrar la inversión TI

Determinar la dirección tecnológica

Admin. Com. de líneas/dirección

Administrar los recursos humanos

Asegurar el Cumpl. con los requer. externos

Adm. Proyectos

Adm. Calidad

Identificar soluciones automat.

Desarrollar y mantener Procedim.

Educar y entrenar a los usuarios

Monitorear el proceso

Evaluar conformidad de controles internos

Obtener garantías Independ.

Proveer para auditoría Independ.

Definir la arquitectura de la información

El NegocioClientes Usuarios finales

Servicios

Administraci—nde

Aplicaciones

Dise–ar y Planear Despliegue Operaciones

Soporte Tcnico

Administraci—n de Servicios

Administraci—n de Niveles de Servicio

Administraci—n de la Disponibilidad

Administraci—n de la Capacidad

Administraci—n Financiera Administraci—n de Liberaciones

Administraci—n de Configuraci—n

Administraci—n de Cambios

Administraci—n de Problemas

Administraci—n de Incidentes

Mesa de Servicio

Administraci—n de Infraestructura TIC

Adm. de la Continuidad de Servicios TI

El NegocioClientes Usuarios finales

ServiciosServicios

Administraci—nde

Aplicaciones

Dise–ar y Planear Despliegue Operaciones

Soporte Tcnico

Administraci—n de Servicios

Administraci—n de Niveles de Servicio

Administraci—n de la Disponibilidad

Administraci—n de la Capacidad

Administraci—n Financiera Administraci—n de Liberaciones

Administraci—n de Configuraci—n

Administraci—n de Cambios

Administraci—n de Problemas

Administraci—n de Incidentes

Mesa de Servicio

Administraci—n de Infraestructura TIC

Adm. de la Continuidad de Servicios TI

EvaluarRiesgos

Administrar capacidad y desempeño

Asegurar un servicio continuo

Asegurar la seguridad de los sistemas

Identificar y asignar costos

Administrar servicios de terceras partes

Definir y Administrar niveles de servicio



Modelo de Procesos ITIL versión 3



Mapeo de Cobit 4.1 e ITIL V3

Cobit Maping, IT Governance Institute



Mapeo deCobit 4.1 e ITIL V3

Cobit Maping, IT Governance Institute



GRC



Qué es GRC

• Definido formalmente, GRC es un sistema de personas, procesos y tecnología que permite que una organización:• Comprenda y priorice expectativas de Stakeholders• Establezca objetivos congruentes con valores y riesgos• Logre objetivos al tiempo que optimiza el perfil de riesgos

y protege el valor del negocio.• Operar dentro de fronteras legales, contractuales,

internas, sociales y éticas• Proveer información relevante, confiable y oportuna a los

stakeholders apropiados y• Permitir la medición del desempeño y la eficacia del

sistema



Desempeño con Principios (Principled Performance)

• Es el resultado de una clara articulación entre los objetivos de una organización y la aplicación de métodos de GRC, mediante los cuales se establecen fronteras, dentro de las cuales permanece mientras avanza hacia el logro de sus objetivos.

• Va más allá del desempeño ético, del desempeño económico o la responsabilidad social corporativa.

• Representa el logro de todos los objetivos de una organización, al tiempo que se emplea un enfoque efectivo, eficiente y responsivo al Gobierno, a la Administración de Riesgos y a Conformidad, el cual soporta dichos objetivos



“CobiT Extendido”Los tres Frameworks del ITGI



Risk ITLos Principios de Risk IT

• Gobierno Empresarial efectivo para Riesgos de TI:• Siempre se relaciona con objetivos de negocio• Alinea la administración de los riesgos relacionadios con TI con la

administración general de riesgos de la Empresa • Equilibra el costo y los beneficios de la administración de Riesgos

• Adminstración efectiva de Riesgos de TI:• Promueve una comunicación clara y abierta sobre riesgos de TI• Establece el tono adecuado desde la parte más alta de la empresa

al tiempo que define y refuerza la rendición de cuentas personal sobre la operación dentro de niveles de tolerancia bien definidos.

• Es un proceso contínuo y es parte de las actividades diarias



IT Risk



IT Risk Framework (Dominios y Procesos)



Val ITLos cuatro “Ases”

Val IT Framework•Presenta una estructura con un contenido similar al Framework de CobiT•Incluye para cada proceso:

• Entradas y salidas• Roles (con definiciones) y

responsabilidades• Metas y Métricas• Modelos de Madurez• Gobierno del Valor• Administración del Portafolio• Administración de las

Inversiones



Val IT Principales ConceptosValor

El (los) resultado(s) final(es) de negocio esperado(s) de una inversión de negocio habilitada por tecnología en donde tal(es) resultado(s) pueden ser financieros, no financieros o una combinación de ambos.

PortafolioUn agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados y vigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT esta interesado de manera primaria en un portafolio de programas. COBIT esta interesado en portafolios de proyectos, servicios o activos).

ProgramaUn grupo estructurado de proyectos interdependientes que son tanto necesarios como suficientes para lograr los resultados de negocio para generar valor. Estos proyectos podrían incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, el trabajo desempeñado por gente, así como las competencias requeridas para llevar al cabo el trabajo, tecnología habilitadora y estructuras organizacionales. El programa de inversión es la unidad primaria de inversión dentro de Val IT.

ProyectoUn conjunto estructurado de actividades concernientes a la entrega de una capacidad definida a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridos por el negocio) basadas en un calendario y presupuestos acordados.

ImplementarIncluye el ciclo de vida económico completo de un programa de inversión, hasta el retiro de la misma. Ie. cuando el valor esperado completo de la inversión es realizado, se ha obtenido tanto valor como se estima posible o cuando se determina que el valor esperado no puede ser realizado y el programa es terminado.



Val IT Sus procesosSu objetivo es optimizar el valor de las inversiones de negocio habilitadas por tecnología de una organización.

Su objetivo es asegurar que el portafolio general de inversiones habilitadas por TI, se encuentre alineado con los objetivos estratégicos de la organización y contribuye con un valor óptimo al logro de los mismos

Su objetivo es asegurar que los programas individuales de inversión habilitada por TI, generan un valor óptimo a un costo accesible con un nivel de riesgo conocido y aceptable



Valor



¿Qué es Valor en Gobernabilidad de TI?

• Entregar el beneficio prometido• Optimizar y ahorrar costos• Mejorar ganancias• Retención de clientes• Satisfacción de clientes• Productividad• Inversiones y proyectos que cumplen su objetivo en tiempo

y en costo• Cumplimiento de regulaciones• Retornos de inversión• Alineación con el negocio



¿Qué es valor para ITIL?

¿Es adecuado para el propósito

Utilidad La utilidad es lo que desea el cliente – el Servicio es adecuado parael propósito

Garantía La garantía es el cómo se debe entregar lo que el cliente desea – elServicio es adecuado para su uso

UTILIDAD

GARANTÍA

V/F

V/F

V/F¿Es adecuadopara el Uso?

O

Y

¿Soporta el Desempeño?

¿Se eliminaron las Restricciones?

¿Disponibilidad suficiente?

V: VerdaderoF: Falso

Crea ValorY

Crown® 2007 derechos reservados Reproducido bajo autorización de la OGC. Figura2.2 Estrategia del Servicio, página 17

¿Capacidad suficiente?

¿Continuidad suficiente?

¿Seguridad suficiente?

Utilidad + Garantía = ValorUtilidad + Garantía = Valor



¿Qué es Valor en Gobernabilidad de TI?

• Entregar el beneficio prometido• Optimizar y ahorrar costos• Mejorar ganancias• Retención de clientes• Satisfacción de clientes• Productividad• Inversiones y proyectos que cumplen su objetivo en tiempo

y en costo• Cumplimiento de regulaciones• Retornos de inversión• Alineación con el negocio



Formalidad vs Flexibilidad

FlexibilidadFlexibilidadFormalidadFormalidad

Contexto al que se enfrente el ejecutivo de tecnología: Incremento en la productividad Reducción de costos Planeación en el corto plazo Resistencia al cambio Cuotas de poder y burocracia Perfil reactivo



Ligas de intéres

• ISACA www.isaca.org

• Documentos de COBIT, Gobernabilidad TIwww.itgi.org

• SOX www.sec.gov/news/press/2004-21.htm

• ITILwww.ogc.gov.uk

www.pinkelephant.com

http://www.isaca.org/

http://www.itgi.org/

http://www.sec.gov/news/press/2004-21.htm



http://www.ogc.gov.uk/






Pink Elephant - Expertos en Gestión de Servicios de TI

[email protected]

mailto:[email protected]

http://www.pinkelephant.com/

introduccion a-la-gobernabilidad-v040811

Economy & Finance