Gobierno de TI Fernando Ferrer Olivares Gobierno de TI · Mapa Conceptual IT Governance Gobierno...
Transcript of Gobierno de TI Fernando Ferrer Olivares Gobierno de TI · Mapa Conceptual IT Governance Gobierno...
Gobierno de TI
Escuela Colombiana de Ingenieria
Fernando Ferrer OlivaresIngeniero de Sistemas y Computación
Especialista en Auditoría de Sistemas de Información
Programa de Gerencia Estratégica en Informática
CISA, CISM, CCSA, PMP, CFC 4.1 y 5, COBIT Accredited Trainer by ISACA and APMG
Profesional Experto Banco de la República
Past- President ISACA Capítulo Bogotá
Socio Fundador FERROL International Group
Participante en varios Comités de ISACA y Presidente Actual ISACA Bogotá
Más de 28 años de experiencia como Consultor, Profesor Universitario y Expositor en Eventos Nacionales e Internacionales (IT/Governance, Auditoría, Seguridad Informática, Gestión, Controles y Desarrollo Organizacional)
[email protected] ; [email protected];
57-3142950236 o 57-1-2203785 o 57-3176441845
Conferencista
30/11/20152
Gobierno de TI
Fernando Ferrer Olivares
3
Gobierno de TI
- Nacimiento
- Dominios
- Marcos de referencia
Gobierno de TI
Escuela Colombiana de Ingenieria
Sin un Gobierno efectivo
Los proyectos No se
cancelan
Conduce a..
Demasiados
proyectos
Calidad sacrificada
durante la ejecución
Baja estimación de
riesgos y costos
Proyectos no
alineados con la
estrategia
Inversiones
cada vez más
altas
Se excede el
presupuesto
El negocio no
satisface sus
necesidades
No hay
beneficios
Falta de
confianza en TI
Resultados...Situación
Aversión a decir NO
a los proyectos
Falta de enfoque de
estrategia
Los proyectos se “venden”
sobre bases emocionales
No hay una fuerte
revisión de los procesos
Enfasis en el ROI
financiero
No hay claros
criterios
estratégicos
para la selección
Gobierno de TI
Escuela Colombiana de Ingenieria
Desconexión entre TI y negocio Incapacidad de alcanzar el potencial pleno del
negocio Falla en identificar y capitalizar oportunidades de
negocio que pueden ser habilitadas por TI Costos operativos más altos Desventaja competitiva por no reemplazar
procesos manuales costosos por tecnología más barata
Foco incorrecto o inefectivo para recursos relacionados con TI
Incapacidad de contratar y retener personal de alta calidad, tanto de negocio como de TI
Erosión del valor de las partes interesadas con el paso del tiempo
Sin un Gobierno efectivo (Más)
Gobierno de TI
Escuela Colombiana de Ingenieria 7Fernando Ferrer Olivares 7Fernando Ferrer Olivares
La Paradoja de la Información
Cada vez se cuestiona más el valor que provee TI ...
… las organizaciones continuangastando más y más en TI
Estamos administrando nuestrainversión en TI para posibilitar el
logro de un valor óptimo con costosadecuados y con un aceptable nivel
de riesgo??
7
En este contexto, las personas especialistas en TI, incluyendo los auditores deben conocer como lograr el despertar ese interés, y en los métodos que se promueven para administrar y comunicar el valor que genera TI y la administración apropiada de las inversiones de TI
Gobierno de TI
Escuela Colombiana de Ingenieria Fernando Ferrer Olivares
Mapa Conceptual IT Governance
Gobierno
Corporativo
Gobierno de TI
Frameworks de
Gobierno de TI
Forma parte del Es documentado en
“La estructura de procesos y relaciones para
dirigir y controlar la empresa
hacia el logro de sus objetivos
adicionando valor mientras
balancea el riesgo y el retorno
de las inversiones de TI y sus procesos”
IT Governance
Gobierno de TI
Escuela Colombiana de Ingenieria
Factores más importantes para alcanzar el éxito del negocio basado en TI
Lighthouse Global - 2004
‘For many years, IT alignment has been the No. 1 issue on IT executives’
minds. However, despite the focus and attention we've paid to this idea,
we're no closer to IT alignment today than we were 20 years ago’
Gobierno de TI
Escuela Colombiana de Ingenieria
Alineamiento
Alinear la estrategia de TI con la estrategia de negocio y los procesos de TI con los procesos de la empresa
(Objetivos, Inversiones, Organización)
¿Qué pasa si aseguramos un alineamiento de TI con la estrategia de la empresa, pero la estrategia de la empresa es errónea?
Gobierno de TI
Escuela Colombiana de Ingenieria
Problemas reales !!!!!
Problema Técnica
Falta de claridad entendimiento de la Junta
Empleo de estándares y buenas prácticas
Estructuras de Gobierno (Comités –Junta Directiva y Nivel C+) –Determinación e implementación de la estrategia
Capacitación en Alineamiento Entendimiento de objetivos de la
organización
Necesidades de las Partes Interesadas
Cascada de metas PETI Necesidades de información gerencial
Liderazgo y compromiso TI en la agenda de la Junta (BSC) TI miembro de la Junta
Dificultad de la Junta para trabajar cerradamente con TI (participación)
Inhabilidad de TI de interpretar y trasladar lo que la Junta desea en términos de negocio en acciones aplicables para las funciones de TI
Dificultad de TI para involucrarse en el negocio o ambas
Gobierno de TI
Escuela Colombiana de Ingenieria
COBIT y alineamiento
Define Objetivos
Mid
e L
og
ros
Dirige Desempeño
Me
jora
y r
ea
line
a
Objetivo de Actividad Objetivo de Proceso Objetivo de TI Objetivo de Negocio
es medido mediante es medido mediante es medido mediante es medido mediante
KPI Métrica de Proceso KGI
KPI Métrica de TI KGI
KPI Métrica de Negocio KGI
Comprender
requerimientos,
vulnerabilidades y
amenazas de
seguridad
Frecuencia de
revisión del tipo de
eventos de
seguridad a ser
monitoreados
Número de
violaciones de
acceso
Número de
incidentes de TI
que realmente
impactan el
negocio
Número de incidentes que
provocan situaciones
públicas embarazosas
Detectar y resolver accesos no
autorizados a información,
aplicaciones e infraestructura
Asegurar que los
servicios de TI
pueden resistir y
recobrarse de
ataques
Mantener la
reputación y
liderazgo de la
empresa
Gobierno de TI
Escuela Colombiana de Ingenieria
Stakeholders
Accionistas
Empleados
Proveedores
Secuencias de alineamiento
Rentabilidad
Crecimiento
Expectativas de
Stakeholders
Retorno sobre la inversión
Participación de utilidades
Estabilidad laboral
Continuidad de Negocios
Utilidad
Satisfacción de Ctes.
Satisfacción retiene actuales y capta
nuevos Ctes.
Mayor utilidad incrementa la rentabilidad
Objetivos de negocio
Mermas
Tiempo de respuesta
Objetivos de negocio
(FCE)
Oportunidad en la entrega cumple compromisos
Menores mermas
reducen costos y aumentan
utilidad.
Compromisos cumplidos
incrementa la satisfacción de Ctes
Proceso de Ventas
Proceso de Negocio
Adecuado manejo físico
reduce las mermas
Sistema de distribución
Programa entregas,
sugiere rutas y acomodo de
productos
Metas de TI
Gobierno de TI
Escuela Colombiana de Ingenieria 17Fernando Ferrer Olivares
Entrega de Valor
Ejecutar la propuesta de valor a través del ciclo de entrega, asegurando que TI entrega los beneficios prometidos con referencia a la
estrategia, concentrándose en la optimización de costos y proveyendo el valor intrínseco de
TI
Gobierno de TI
Escuela Colombiana de Ingenieria 18Fernando Ferrer Olivares
Problemas reales !!!!!
Problema Técnica
Cómo determinar el valor real y la contribución al éxito corporativo y a la sostenibilidad del valor esperado por los interesados
Seleccionar inversiones óptimasque entreguen valor
Administrar el valor para el negocio de TI maximizando los beneficios (rentabilidad y crecimiento) de las inversiones actuales y futuras
Administrar la capacidad de TI para permitir ventajas competitivas sostenibles derivadas de TI
Administrar el presupuesto de TI para reducir costos y permitir cambios (pasar de inversiones de potencial bajo a inversiones que entregarán ventaja competitiva)
Gestionar TI como una empresa a fin de que el empleo de prácticas de negocio ganadoras permitan a las organizaciones de TI tener éxito en sus misiones
Gobierno de TI
Escuela Colombiana de Ingenieria 19Fernando Ferrer Olivares
Categorías de Inversiones de TI
Cada organización debe seleccionar y adoptar el esquemade categorización que sea más relevante
Gobierno de TI
Escuela Colombiana de Ingenieria 20Fernando Ferrer Olivares
Proceso de aprobación de inversionesComponentes claves
Preparación de un caso de negocios
Comité o Junta de Aprobación
Métricas financieras
Rendición de cuentas por la
entrega de valor
Definición de tasas apropiadas (hurdle rate
- retorno mínimo esperado)
Empleo de gerencia de proyectos –
personal calificado y Comité
Participación y compromiso de áreas afectadas
Entendimiento de impactos potenciales históricos
Gobierno de TI
Escuela Colombiana de Ingenieria 22Fernando Ferrer Olivares
Realizando los beneficios
Gobierno de TI
Escuela Colombiana de Ingenieria 23Fernando Ferrer Olivares
Administrando el portafolio de
inversiones de TI
Necesidad de recursos
Atención primaria
Mayor prioridad
Gobierno de TI
Escuela Colombiana de Ingenieria 24Fernando Ferrer Olivares
Administrando el portafolio de
inversiones de TI
Administración y asignación de recursos apropiados Revisar proyectos
Cancelación, racionalización o redefenición
Gobierno de TI
Escuela Colombiana de Ingenieria 25Fernando Ferrer Olivares
Administrando el portafolio de
inversiones de TI
Gobierno de TI
Escuela Colombiana de Ingenieria 26Fernando Ferrer Olivares
Administrando el portafolio de
inversiones de TI
Gobierno de TI
Escuela Colombiana de Ingenieria Fernando Ferrer Olivares
Iniciativa Val IT™
Valor de la Empresa:
El Gobierno de las Inversiones de TI
Gobierno de TI
Escuela Colombiana de Ingenieria 28Fernando Ferrer Olivares
Relaciones entre Procesos y Practicas de Administracion
Proveer direccionamiento estrategico
Establecer parametros del portafolio
Mantener el perfil de los
recursos
Mantener el perfil de los
fondos
Evaluar y priorizar
inversiones
Mover inversiones
seleccionadas a portafolio activo
Administrar todo el
portafoliio
Monitorear y reportar sobre el desempeño del portafoliio
Identificar requerimient. del negocio
Definir programas probables
Analizar alternativas Asignar rendicion de cuentas
Administrar la ejecucion del programa
Document casos del negocio
Lanzar programa
Monitorear y reportar sobre el desempeño del programa
VG1-
4, 6 -7
VG5,
9-11VG8
PM1-5 PM6
PM7-
10
PM11 PM12-13
PM14
IM1-2 IM3, 5-7
IM4 IM9IM8, 13
IM10 IM 11-12IM14
Establecer el marco de trabajo de Gobierno
Retirar programa
IM15
VG
PM
IM
Gobierno de TI
Escuela Colombiana de Ingenieria
Administración de Riesgos
Generar conciencia y entendimiento de los riesgosy del apetito de riesgo de la empresa; entendiendo los compromisos de cumplimiento y transparencia
sobre los riesgos significativos
Gobierno de TI
Escuela Colombiana de Ingenieria
Establecer el Contexto
Estratégico y Organizacional
Administración de riesgo
Identificar áreas, procesos y/o activos
Definir los criterios de la evaluación de riesgos
Buenas Prácticas COSO-ERM / COBIT.
Definir la estructura de riesgos
Establecer el contexto1
Gobierno de TI
Escuela Colombiana de Ingenieria
Frecuencia estimada
o conocida, con la
que podría ocurrir el
hecho incierto
Resultado que el
hecho incierto
podría ocasionar
PROBABILIDAD
IMPACTO
Analizar los Riesgos3
Analizar los Riesgos
Gobierno de TI
Escuela Colombiana de Ingenieria
Medidas de PROBABILIDAD
Nivel Denominación Descripción
Entre 81% y 100% (Valor 5)
Casi certeza Se espera que ocurra en la mayoría de las circunstancias.
Entre 61% y 80% (Valor 4) Probable
Probablemente ocurrirá en la mayoría de las circunstancias.
Entre 41% y 60% (Valor 3) Posible
Podría ocurrir en algún momento.
Entre 21% y 40% (Valor 2)
Improbable Pudo ocurrir en algún momento.
Entre 0% y 20% (Valor 1)
Raro Puede ocurrir sólo en circunstancias excepcionales.
Analizar los Riesgos3
Analizar los Riesgos
Gobierno de TI
Escuela Colombiana de Ingenieria
Medidas de IMPACTONivel Denominación Descripción
1 Insignificante Requiere tratamiento mínimo, baja pérdida financiera.
2 Menor Requiere tratamiento menor, pérdida financiera media.
3 Moderado Requiere tratamiento, pérdida financiera alta.
4 Mayor Requiere tratamiento intenso, pérdida financiera mayor.
5 Catastrófico Requiere tratamiento mayor, enorme pérdida financiera.
Analizar los Riesgos3
Analizar los Riesgos
Gobierno de TI
Escuela Colombiana de Ingenieria
Riesgo Extremo (EXTREME RISK), requiere accióninmediata
Riesgo Alto (HIGH RISK), necesita atención de la altagerencia
Riesgo Moderado (MODERATE RISK), debeespecificarse responsabilidad gerencial
Riesgo Bajo (LOW RISK), administrar medianteprocedimientos de rutina
E
H
M
L
Insignificante Menor Moderado Mayor Catastrófico
1 2 3 4 5
Casi
certeza(entre 81% y 100%) H H E E E
Probable (entre 61% y 80%) M H H E E
Posible (entre 41% y 60%) L M H E E
Improbable (entre 21% y 40%) L L M H E
Raro (entre 0% y 20%) L L M H H
IMPACTO
PROBABILIDAD
Evaluar los Riesgos
Evaluar los Riesgos4
Gobierno de TI
Escuela Colombiana de Ingenieria
Tratar los Riesgos
Tratar los Riesgos5
Identificar las diferentes opciones para tratar cada riesgo
Evaluar esas opciones
Preparar planes de tratamiento
Implementar los planes de tratamiento
TRATAR tomar medidas tendientes a reducir la probabilidad de ocurrencia y/o impacto
RENUNCIAR no proseguir con la actividad riesgosa (cuando esto sea practicable)
ASUMIR aceptar el riesgo inherente sin administrarlo
PASAR (Trasladar) que otra parte
soporte o comparta parte del riesgo
T R A P
Gobierno de TI
Escuela Colombiana de Ingenieria
Administración de Recursos
Outsourcing
Mecanismo que permite a las
organizaciones transferir la entrega de
servicios a terceras partes
Gobierno de TI
Escuela Colombiana de Ingenieria
La Entrega y la Medición de valor como factor
crítico del Gobierno de TI
Administración
de Recursos
Rastrear y monitorear la implementación de la estrategia, conclusión de proyectos, uso de recursos, desempeño de procesos y entrega de servicio
Gobierno de TI
Escuela Colombiana de Ingenieria
Hablando de gestión …
“El problema” no es la FALTA DE INDICADORES…
Gobierno de TI
Escuela Colombiana de Ingenieria
Objetivo: Identificación y cuantificación de costos y beneficios tangibles e intangibles
Los niveles ejecutivos y los usuarios perciben los beneficios de manera
diferente
Dif
icu
lta
d e
n la
me
dic
ión
Enfoques de medición del desempeño
Gobierno de TI
Escuela Colombiana de Ingenieria
Medidas financieras
Project A Project B Project C
NPV
ROI 3.0 2.0 1.5
Level of investment
$200.000 $150.000 $100.000
Option value
IRR 15 % 20 % 25 %
Payback 3 años 2 años 1 año
EVA (Economic Value Added)
Payback 3 años 2 años 1 año
Demasiadas opciones
Implican una precisión que no existe
NPV = I0 + I1/1+r + I2/(1+r)2 + … + In/(1+r)n
No incluyen beneficios intangibles
No incorporan riesgos
Gobierno de TI
Escuela Colombiana de Ingenieria
Total Economic Impact
Flexibility
Costs (TCO)
Benefits
R
I
S
K
Total
Economic
Impact
(TEI)
Uncertainty
• Impact of assumptions
• More accuracy
• Higher success
Options created
• Base for future
• Valued financially
• Communicated
Business value
• Quantified and valued
• Measured outside of IT
• BU accountability
Technology cost
• IT budget
• IT accountability
Gobierno de TI
Escuela Colombiana de Ingenieria
Método de evaluación que incorpora valores tangibles e intangibles
Modelo de implementación estratégica orientada a la medición
Sistema de gestión de desempeño que habilita a la organización a conducir sus estrategias con base en mediciones
Sistema de gestión para permitir el alineamiento entre TI y el negocio
Medio efectivo de comunicar y reportarle a la Junta y a la Alta Gerencia sobre el valor para el negocio de TI
IT BSC – Balanced Scorecard
Métodos Multicriterio
Gobierno de TI
Escuela Colombiana de Ingenieria
The Balanced Scorecard for communication
1.
IT value
perspective
IT budget
Q1 ’06
95%
Innovation
budget Q1 ’06
30%
Strategic
projects Q1 ’06
90%
2.
User
perspective
User survey
Q1 ’06
65%
SLA perf.
Q1 ’06
76%
3.
Operational
excellence
perspective
Project
execution
95%
Number of
security issues
23
Unplanned
outages
2
4.
Future orientation
perspective
Employee
retention
95%
Training
days/employee
3.2
Employee
satisfaction
60%
Q1 ’06 Information Technology Balanced Scorecard
Gobierno de TI
Escuela Colombiana de Ingenieria
Las relaciones CAUSA –
EFECTO se articulan en
indicadores de resultado
(KGI) e indicadores de
desempeño (KPI)
La perspectiva de
“Contribución al Negocio”
garantiza la alineación de TI
con los objetivos de la
organización
Hay indicadores propuestos,
pero no hay propuesta para
construirlos
BSC de TI genérico
Gobierno de TI
Escuela Colombiana de Ingenieria
COBIT e Indicadores
Define Metas
Mid
e L
ogro
s
Dirige Desempeño
Mejo
ra y
realin
ea
Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio
es medido mediante es medido mediante es medido mediante es medido mediante
KPI Métrica de Proceso KGI
KPI Métrica de TI KGI
KPI Métrica de Negocio KGI
Comprender
requerimientos,
vulnerabilidades y
amenazas de
seguridad
Frecuencia de
revisión del tipo de
eventos de
seguridad a ser
monitoreados
Número de
violaciones de
acceso
Número de
incidentes de TI
que realmente
impactan el
negocio
Número de incidentes que
provocan situaciones
públicas embarazosas
Detectar y resolver accesos no
autorizados a información,
aplicaciones e infraestructura
Asegurar que los
servicios de TI
pueden resistir y
recobrarse de
ataques
Mantener la
reputación y
liderazgo de la
empresa
2 tipos de
métricas
Los KGIs de un nivel
inferior se convierten en los
KPIs del siguiente nivel
¡No es fácil
encontrar esta
relación!
Gobierno de TI
Escuela Colombiana de Ingenieria
ISO 38500
55Fernando Ferrer Olivares
INTERNATIONAL STANDARD ISO/IEC 38500
2.1.1 Principle 1: Responsibility
Individuals and groups within the organization understand and accept
their responsibilities in respect of both supply of, and demand for IT.
Those with responsibility for actions also have the authority to perform
those actions.
2.1.2 Principle 2: Strategy
The organization’s business strategy takes into account the current
and future capabilities of IT; the strategic plans for IT satisfy the
current and ongoing needs of the organization’s business strategy.
2.1.3 Principle 3: Acquisition
IT acquisitions are made for valid reasons, on the basis of appropriate
and ongoing analysis, with clear and transparent decision making.
There is appropriate balance between benefits, opportunities, costs,
and risks, in both the short term and the long term.
2.1.4 Principle 4: Performance
IT is fit for purpose in supporting the organization, providing the
services, levels of service and service quality required to meet current
and future business requirements.
2.1.5 Principle 5: Conformance
IT complies with all mandatory legislation and regulations. Policies and
practices are clearly defined, implemented and enforced.
2.1.6 Principle 6: Human Behaviour
IT policies, practices and decisions demonstrate respect for Human
Behaviour, including the current and evolving needs of all the ‘people
in the process’.
Gobierno de TI
Escuela Colombiana de Ingenieria 58Fernando Ferrer Olivares
Conclusiones
Los temas vistos no tienen discusión y no sucederán por accidente
Existen prácticas y técnicas que permitirán alcanzar un adecuado Gobierno
Se requiere en mayor medida: Liderazgo del negocio Comunicación apropiada y entendimiento mutuo Responsabilidad y Rendición de cuentas sobre TI Educación sobre TI y temas relacionados Desarrollar TI desde la perspectiva de negocio
OBI TM
Tel. 2203785 Cel. 3176441845 - 3142950236
Bogotá, Colombia
COBITTM es marca registrada de IT Governance Insitute e Information Systems Audit and Control Association
Fernando Ferrer OlivaresCISA, PMP, CCSA, CISM
COBIT Accredited Trainer