Cobit v5.0 BSC de TI con COBIT

8/18/2019 Cobit v5.0 BSC de TI con COBIT

1/52

Balanced Scorecard de TI con COBIT 5

Beneficios y desafíos para Auditoría

Lic. Franco N. Rigante, CISA,CRISC,PMP


2/52

Conferencista – Biografía

Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad

de Buenos Aires, certificado como PMP, con estudios de Posgrado enAdministración y Planeamiento Estratégico.

Trabajó durante 10 años en el Banco Central de la República Argentina,

auditando sistemas informáticos de entidades financieras. Actualmente es

Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos

internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee

experiencia laboral en Alemania, España y Honduras, fue profesor en una

Maestría de Auditoría y en carreras universitarias de grado, se ha

desempeñado como Consultor para el BID y el Banco Mundial y ha dictado

conferencias para PMI (Argentina), ITSMF (España) e ISACA (Uruguay).

Es autor de artículos sobre IT-GRC para medios gráficos especializados y forma

parte del equipo de trabajo de ISACA Madrid para la traducción oficial al

castellano de COBIT 5.


3/52


4/52


5/52

Estrategia Organizacional

Describe de qué manera la organización se proponemaximizar la Creación de Valor:

• Medio para alcanzar la Misión y la Visión•

Un posicionamiento único de la organización• Opciones y alternativas frente a competidores• Define lo que la organización hace y NO hace

Fuente: Michael Porter , “ What is strategy ?” Harvard Business Review, Nov/1996


6/52

Herramientas Estratégicas


7/52

Mapa Estratégico y Perspectivas


8/52

Introducción

Estrategia

Balanced

Scorecard

AplicandoCOBIT 5 alBalancedScorecard

BalancedScorecard yAuditoría

Conclusionesy

Cierre

Agenda – Road Map


9/52

Balanced Scorecard - Definición

“Sistema de gestión y planificación estratégica usadopara alinear las actividades del negocio con la visión yla estrategia, mejorando la comunicación interna y

externa y monitoreando la performance de la empresacontra los objetivos estratégicos.” (Balanced Scorecard Institute)

Robert

Kaplan

David

Norton


10/52

BSC: 4 Perspectivas Balanceadas

9


11/52

Relacionando las 4 Perspectivas


12/52

Introducción

Estrategia

Balanced

Scorecard



Conclusionesy

Cierre

Agenda – Road Map


13/52

Escenario Real: COBIT 5 + BSC

COBIT 5

ITIL CMMI

BALANCEDSCORECARD 6SIGMAPMBOK


14/52

Mapa de procesos de COBIT 5


15/52

Relación de COBIT 5 con el BSC

Modelo de Objetivosen Cascada

Facilitadoresinterconectados para

alcanzar las Metas de TI


16/52

Objetivos Gobierno / Metas Negocio


17/52

Metas del Negocio a Metas de TI


18/52

Metas de TI y Procesos de TI


19/52

Construyendo el Balanced Scorecard

• Tenemos trazabilidad total desde: los Procesos deTI hasta los Objetivos de Gobierno

•

Se pueden establecer métricas a distintos niveles: Objetivos de Gobierno Metas del Negocio

Metas de TI Metas del Proceso de TI

Ejemplos de

Métricas enCOBIT 5


20/52

Se repiten por

Meta de TI

Métricas: Proceso y Metas de TI

Sólo lasPrimarias

Específicas


21/52

Ejemplo: Métricas de Distinto Nivel

Meta de IT y métrica relacionada:Alineamiento entre IT y la estrategia del Negocio.

• métrica: % de objetivos estratégicos de la empresa que sonsoportados por objetivos estratégicos de IT.

Meta del Proceso EDM01 y métrica relacionada:

Aseguramiento de que el sistema de IT Governance estáfuncionando en forma efectiva.

• métrica: Frecuencia de revisiones independientes del sistemade IT Governance.


22/52

Construyendo el Balanced Scorecard

(Ejemplo de 2 Niveles posibles)

Basado enMetas de TI

Basado en

Procesos de TI


23/52

Establecer

Metas deNegociocríticas

IdentificarMetas de TIrelacionadas

Seleccionar métricas

claves para cadaMeta de TI relevante

Enfoque basado en Metas de TI


24/52

EstablecerMetas deNegociocríticas

IdentificarMetas de TIrelacionadas

IdentificarProcesosrelacionados

Seleccionarmétricasclaves paracada Proceso

Propagar haciaarriba a lasMetas de TI

Enfoque basado en Procesos de TI


25/52

Metas del Negocio Críticas

• La Dirección establecerá cuáles serán las Metas deNegocio claves que TI debe soportar y potenciar


26/52


27/52

Metas de TI por Perspectivas BSC

Perspectiva Financiera –

Metas de TI:• Alineamiento de TI con la Estrategia de Negocio

• Compliance de TI y soporte para el Compliance del Negocio conregulaciones externas y leyes vigentes

•

Compromiso de la Alta Dirección con la toma de decisiones de TI• Gestión de los Riesgos de TI para el Negocio

• Beneficios alcanzados de las inversiones relacionadas con TI

• Transparencia de los costos, los beneficios y los riesgos de TI

Perspectiva del Cliente –

Metas de TI:

• Entrega de servicios de TI en línea con necesidades del Negocio

• Adecuado uso de aplicaciones, información y soluciones de TI


28/52

Metas de TI por Perspectivas BSC

Perspectiva Interna –

Metas de TI:• Agilidad de TI

• Seguridad de la Información, aplicaciones e infraestructura de TI

• Optimización de los activos, recursos y capacidades de TI

•

Facilitación y soporte de los procesos del Negocio integrándoles TI• Entrega de programas brindando beneficios en tiempo y forma

• Disponibilidad de información confiable para toma de decisiones

• Compliance de IT con las políticas internas

Perspectiva del Aprendizaje y Crecimiento –

Metas de TI:

• Personal de TI competente y motivado

• Conocimiento y experiencia para la innovación del Negocio


29/52

Métricas claves por Perspectivas BSC

Perspectiva Financiera –

5 Métricas claves:

• % de Objetivos estratégicos de la empresa soportados por los objetivosestratégicos de TI

• Nº de puntos de NO-Compliance relacionados con TI reportados alDirectorio o causando perjuicio en la opinión pública

• % de Roles gerenciales con responsabilidades claramente definidas paralas decisiones de TI

•

% de procesos críticos del Negocio y servicios de TI cubierto por lasevaluaciones de riesgos

• % de servicios de TI con costos y beneficios claramente definidos


30/52


Perspectiva del Cliente –

Métricas claves:• Nº de interrupciones en servicios al cliente causados por incidentes TI

• Cantidad de quejas y reclamos de clientes por servicios de TI

• Niveles de satisfacción de la Dirección con los costos de servicios de TI

Perspectiva Interna – Métricas claves:

• % de Proyectos en tiempo y dentro del presupuesto

• Cantidad de incidentes relacionados con falta de compliance interno

• % de Stakeholders satisfechos con la entrega de programas


31/52


Perspectiva del Aprendizaje –

5 Métricas claves:

• % del Staff cuyo skill es acorde con las necesidades del rol

• % del Staff satisfecho con las condiciones laborales

• Nº de productos aprobados basados en iniciativas de innovación

• Nivel de concientización y entendimientos sobre las oportunidades deinnovación para el Negocio

• Nivel de satisfacción de los Stakeholders con las ideas innovadoras


32/52


33/52

Implementación de las Métricas

Parámetros iniciales


34/52


35/52

Resultados por Metas de TI


36/52

Resultados por Metas de Negocio


37/52

Resultados por Perspectivas BSC


38/52

Introducción

Estrategia

Balanced

Scorecard



Conclusionesy

Cierre

Agenda – Road Map


39/52

Auditoría del BSC – Hoja de Ruta


40/52

Entrevistar a Roles Claves

• CIO (Chief Information Officer)• Área de Control de Gestión

• Alta Gerencia / Board / Comités

•

Responsables de las principales métricas: – Information Security Manager

– Business Continuity Manager

– Chief Risk Officer

– Chief Operations Officer

• Usuarios claves del Negocio


41/52

Evidencia a Requerir y Analizar

• Organigrama, Misiones y Funciones relacionados• Políticas y Procedimientos en relación con el BSC

• Plan Estratégico de Negocio y de IT

•

Catálogo de Indicadores implementados• Actas de Comités y Minutas de reunión

• Documentación Técnica del Software del BSC

• Diseño de interfaces utilizados como input

• Esquema de permisos y seguridad del BSC• Evidencia de Capacitación y entrenamiento sobre BSC


42/52

Riesgos frecuentes de un BSC

• Falta de soporte e involucramiento de la Alta Gerencia• Falta de una estrategia bien definida desde la Alta Gerencia

• Objetivos y métricas no alineados a las perspectivas

•

BSC como un sistema de medición pero no de gestión.• Mala comunicación del BSC a la Organización

• Definición ambigua de objetivos y métricas

• Acceso no autorizado a parámetros críticos:

– Valores objetivos, fórmulas de cálculo, rangos de semáforos, etc

• Integridad o confidencialidad de resultados comprometida


43/52

Riesgos frecuentes en un BSC

• Inadecuada priorización de las Metas de Negocio• Metas de TI críticas para el Negocio no identificadas

• Ausencia de procedimientos formales para utilizar el BSC

•

Falta de capacitación sobre el mejor uso del BSC• Resistencia al cambio por sensación de control

• Selección de demasiadas métricas difíciles de mantener

• Dificultades para conseguir los inputs para los cálculos

• Necesidad de ingresos de datos críticos en forma manual

• Seleccionar sólo métricas favorables


44/52

Evaluando las métricas

• Relevancia: ¿Es significativo contar con esta métrica?• Interesados: ¿Qué necesidad de los Stakeholders cubre?

• Consistencia: ¿Cómo se asegura durante todo el proceso?

•

Costo-Beneficio: ¿Se justifica el esfuerzo de mantenerla?• Comportamiento: ¿Esta métrica puede distorsionarlo?

• Interpretación: ¿Esta métrica evita ambigüedades?

• Iniciativas: ¿Cómo sus resultados impulsarán mejoras?

• Ámbito: ¿Alcanzar el valor objetivo es facultad de TI?


45/52

¿BSC en la Gerencia de Auditoría?

Perspectiva Financiera:

• % de Cumplimiento del Presupuesto de Auditoría

Perspectiva del Cliente:

• % de Clientes Internos satisfechos con las Auditorías

Perspectiva Interna:

• Frecuencia de revisiones a la metodología de Auditoría

Perspectiva de Aprendizaje:

• % de Horas de entrenamiento recibidos por los Auditores


46/52

Introducción

Estrategia

Balanced

Scorecard



Conclusionesy

Cierre

Agenda – Road Map


47/52

Beneficios de implementar un BSC

• Alineamiento de objetivos de IT con estrategia del Negocio• Traducción de la visión y misión en metas concretas.

• Comunicación efectiva y mayor entendimiento compartido

•

Retroalimentación y aprendizaje estratégico• Entendimiento de las relaciones lógicas de “causa y efecto”

• Mayor enfoque en intangibles, no sólo en finanzas.

• Responsabilidades individuales claras sobre resultados

• Detección temprana de áreas de oportunidad de mejoras

• Priorización adecuada de iniciativas estratégicas


48/52

Recomendaciones finales• Asegurar el apoyo clave de la Dirección

• Identifica e involucrar a todos los interesados

• Utilizar brainstorming y benchmarking para métricas

• Comenzar con pocas métricas (< 20)

•

Documentar y formalizar el Catálogo de Métricas• “Quick-wins”: métricas fáciles de obtener y entender

• Probar el modelo en planillas de cálculo

• Utilizar gráficos simples y concretos

• Someterlo a mejora continua para mayor madurez• Una vez implementado el BSC: Utilizarlo!


49/52


50/52


51/52

¡Muchas Gracias!

Lic. Franco N. Rigante, CISA,CRISC,PMP

[email protected]

Blog: http://francoitgrc.wordpress.com

@FrancoIT_GRC

mailto:[email protected]://francoitgrc.wordpress.com/http://francoitgrc.wordpress.com/mailto:[email protected]


52/52

Colaborar – Contribuir – Conectar

El Knowledge Center es una colección de

recursos y comunidades en línea que conecta los

miembros de ISACA –

globalmente, sobre

industrias y por enfoque profesional – todo en

un solo lugar. Usted puede agregar o responder

a una discusión, publicar un documento o link,

conectar con otros miembros de ISACA, o crear

un wiki por participando en una comunidad hoy!

http://www.isaca.org/Knowledge-Center
http://www.isaca.org/Knowledge-Center/Pages/default.aspxhttp://www.isaca.org/Knowledge-Center/Pages/default.aspxhttp://www.isaca.org/Knowledge-Center/Pages/default.aspxhttp://www.isaca.org/Knowledge-Center/Pages/default.aspx

Cobit v5.0 BSC de TI con COBIT

Documents

Transcript of Cobit v5.0 BSC de TI con COBIT