Gobierno de TI Fernando Ferrer Olivares Gobierno de TI · Mapa Conceptual IT Governance Gobierno...

Gobierno de TI

Fernando Ferrer Olivares

1

Gobierno de TI

Gobierno de TI

Escuela Colombiana de Ingenieria

Fernando Ferrer OlivaresIngeniero de Sistemas y Computación

Especialista en Auditoría de Sistemas de Información

Programa de Gerencia Estratégica en Informática

CISA, CISM, CCSA, PMP, CFC 4.1 y 5, COBIT Accredited Trainer by ISACA and APMG

Profesional Experto Banco de la República

Past- President ISACA Capítulo Bogotá

Socio Fundador FERROL International Group

Participante en varios Comités de ISACA y Presidente Actual ISACA Bogotá

Más de 28 años de experiencia como Consultor, Profesor Universitario y Expositor en Eventos Nacionales e Internacionales (IT/Governance, Auditoría, Seguridad Informática, Gestión, Controles y Desarrollo Organizacional)

[email protected] ; [email protected];

[email protected] ;

57-3142950236 o 57-1-2203785 o 57-3176441845

Conferencista

30/11/20152

mailto:[email protected]



Gobierno de TI


3

Gobierno de TI

- Nacimiento

- Dominios

- Marcos de referencia

Gobierno de TI


4

Presentación

Nacimiento del

Gobierno de TI

Gobierno de TI


Sin un Gobierno efectivo

Los proyectos No se

cancelan

Conduce a..

Demasiados

proyectos

Calidad sacrificada

durante la ejecución

Baja estimación de

riesgos y costos

Proyectos no

alineados con la

estrategia

Inversiones

cada vez más

altas

Se excede el

presupuesto

El negocio no

satisface sus

necesidades

No hay

beneficios

Falta de

confianza en TI

Resultados...Situación

Aversión a decir NO

a los proyectos

Falta de enfoque de

estrategia

Los proyectos se “venden”

sobre bases emocionales

No hay una fuerte

revisión de los procesos

Enfasis en el ROI

financiero

No hay claros

criterios

estratégicos

para la selección

Gobierno de TI


Desconexión entre TI y negocio Incapacidad de alcanzar el potencial pleno del

negocio Falla en identificar y capitalizar oportunidades de

negocio que pueden ser habilitadas por TI Costos operativos más altos Desventaja competitiva por no reemplazar

procesos manuales costosos por tecnología más barata

Foco incorrecto o inefectivo para recursos relacionados con TI

Incapacidad de contratar y retener personal de alta calidad, tanto de negocio como de TI

Erosión del valor de las partes interesadas con el paso del tiempo

Sin un Gobierno efectivo (Más)

Gobierno de TI

Escuela Colombiana de Ingenieria 7Fernando Ferrer Olivares 7Fernando Ferrer Olivares

La Paradoja de la Información

Cada vez se cuestiona más el valor que provee TI ...

… las organizaciones continuangastando más y más en TI

Estamos administrando nuestrainversión en TI para posibilitar el

logro de un valor óptimo con costosadecuados y con un aceptable nivel

de riesgo??

7

En este contexto, las personas especialistas en TI, incluyendo los auditores deben conocer como lograr el despertar ese interés, y en los métodos que se promueven para administrar y comunicar el valor que genera TI y la administración apropiada de las inversiones de TI

Gobierno de TI

Escuela Colombiana de Ingenieria Fernando Ferrer Olivares

Mapa Conceptual IT Governance

Gobierno

Corporativo

Gobierno de TI

Frameworks de

Gobierno de TI

Forma parte del Es documentado en

“La estructura de procesos y relaciones para

dirigir y controlar la empresa

hacia el logro de sus objetivos

adicionando valor mientras

balancea el riesgo y el retorno

de las inversiones de TI y sus procesos”

IT Governance

Gobierno de TI


Frameworks de IT Governance

Gobierno de TI


Alineamiento Estratégico

Dominio 1

Gobierno de TI


Factores más importantes para alcanzar el éxito del negocio basado en TI

Lighthouse Global - 2004

‘For many years, IT alignment has been the No. 1 issue on IT executives’

minds. However, despite the focus and attention we've paid to this idea,

we're no closer to IT alignment today than we were 20 years ago’

Gobierno de TI


Alineamiento

Alinear la estrategia de TI con la estrategia de negocio y los procesos de TI con los procesos de la empresa

(Objetivos, Inversiones, Organización)

¿Qué pasa si aseguramos un alineamiento de TI con la estrategia de la empresa, pero la estrategia de la empresa es errónea?

Gobierno de TI


Problemas reales !!!!!

Problema Técnica

Falta de claridad entendimiento de la Junta

Empleo de estándares y buenas prácticas

Estructuras de Gobierno (Comités –Junta Directiva y Nivel C+) –Determinación e implementación de la estrategia

Capacitación en Alineamiento Entendimiento de objetivos de la

organización

Necesidades de las Partes Interesadas

Cascada de metas PETI Necesidades de información gerencial

Liderazgo y compromiso TI en la agenda de la Junta (BSC) TI miembro de la Junta

Dificultad de la Junta para trabajar cerradamente con TI (participación)

Inhabilidad de TI de interpretar y trasladar lo que la Junta desea en términos de negocio en acciones aplicables para las funciones de TI

Dificultad de TI para involucrarse en el negocio o ambas

Gobierno de TI


COBIT y alineamiento

Define Objetivos

Mid

e L

og

ros

Dirige Desempeño

Me

jora

y r

ea

line

a

Objetivo de Actividad Objetivo de Proceso Objetivo de TI Objetivo de Negocio

es medido mediante es medido mediante es medido mediante es medido mediante

KPI Métrica de Proceso KGI

KPI Métrica de TI KGI

KPI Métrica de Negocio KGI

Comprender

requerimientos,

vulnerabilidades y

amenazas de

seguridad

Frecuencia de

revisión del tipo de

eventos de

seguridad a ser

monitoreados

Número de

violaciones de

acceso

Número de

incidentes de TI

que realmente

impactan el

negocio

Número de incidentes que

provocan situaciones

públicas embarazosas

Detectar y resolver accesos no

autorizados a información,

aplicaciones e infraestructura

Asegurar que los

servicios de TI

pueden resistir y

recobrarse de

ataques

Mantener la

reputación y

liderazgo de la

empresa

Gobierno de TI


Stakeholders

Accionistas

Empleados

Proveedores

Secuencias de alineamiento

Rentabilidad

Crecimiento

Expectativas de

Stakeholders

Retorno sobre la inversión

Participación de utilidades

Estabilidad laboral

Continuidad de Negocios

Utilidad

Satisfacción de Ctes.

Satisfacción retiene actuales y capta

nuevos Ctes.

Mayor utilidad incrementa la rentabilidad

Objetivos de negocio

Mermas

Tiempo de respuesta

Objetivos de negocio

(FCE)

Oportunidad en la entrega cumple compromisos

Menores mermas

reducen costos y aumentan

utilidad.

Compromisos cumplidos

incrementa la satisfacción de Ctes

Proceso de Ventas

Proceso de Negocio

Adecuado manejo físico

reduce las mermas

Sistema de distribución

Programa entregas,

sugiere rutas y acomodo de

productos

Metas de TI

Gobierno de TI


Entrega de Valor

Dominio 2

Gobierno de TI

Escuela Colombiana de Ingenieria 17Fernando Ferrer Olivares

Entrega de Valor

Ejecutar la propuesta de valor a través del ciclo de entrega, asegurando que TI entrega los beneficios prometidos con referencia a la

estrategia, concentrándose en la optimización de costos y proveyendo el valor intrínseco de

TI

Gobierno de TI


Problemas reales !!!!!

Problema Técnica

Cómo determinar el valor real y la contribución al éxito corporativo y a la sostenibilidad del valor esperado por los interesados

Seleccionar inversiones óptimasque entreguen valor

Administrar el valor para el negocio de TI maximizando los beneficios (rentabilidad y crecimiento) de las inversiones actuales y futuras

Administrar la capacidad de TI para permitir ventajas competitivas sostenibles derivadas de TI

Administrar el presupuesto de TI para reducir costos y permitir cambios (pasar de inversiones de potencial bajo a inversiones que entregarán ventaja competitiva)

Gestionar TI como una empresa a fin de que el empleo de prácticas de negocio ganadoras permitan a las organizaciones de TI tener éxito en sus misiones

Gobierno de TI


Categorías de Inversiones de TI

Cada organización debe seleccionar y adoptar el esquemade categorización que sea más relevante

Gobierno de TI


Proceso de aprobación de inversionesComponentes claves

Preparación de un caso de negocios

Comité o Junta de Aprobación

Métricas financieras

Rendición de cuentas por la

entrega de valor

Definición de tasas apropiadas (hurdle rate

- retorno mínimo esperado)

Empleo de gerencia de proyectos –

personal calificado y Comité

Participación y compromiso de áreas afectadas

Entendimiento de impactos potenciales históricos

Gobierno de TI


An IT portfolio view

IT

efficiency

Business value

Gobierno de TI


Realizando los beneficios

Gobierno de TI


Administrando el portafolio de

inversiones de TI

Necesidad de recursos

Atención primaria

Mayor prioridad

Gobierno de TI



inversiones de TI

Administración y asignación de recursos apropiados Revisar proyectos

Cancelación, racionalización o redefenición

Gobierno de TI



inversiones de TI

Gobierno de TI

Escuela Colombiana de Ingenieria Fernando Ferrer Olivares

Iniciativa Val IT™

Valor de la Empresa:

El Gobierno de las Inversiones de TI

Gobierno de TI


Relaciones entre Procesos y Practicas de Administracion

Proveer direccionamiento estrategico

Establecer parametros del portafolio

Mantener el perfil de los

recursos

Mantener el perfil de los

fondos

Evaluar y priorizar

inversiones

Mover inversiones

seleccionadas a portafolio activo

Administrar todo el

portafoliio

Monitorear y reportar sobre el desempeño del portafoliio

Identificar requerimient. del negocio

Definir programas probables

Analizar alternativas Asignar rendicion de cuentas

Administrar la ejecucion del programa

Document casos del negocio

Lanzar programa

Monitorear y reportar sobre el desempeño del programa

VG1-

4, 6 -7

VG5,

9-11VG8

PM1-5 PM6

PM7-

10

PM11 PM12-13

PM14

IM1-2 IM3, 5-7

IM4 IM9IM8, 13

IM10 IM 11-12IM14

Establecer el marco de trabajo de Gobierno

Retirar programa

IM15

VG

PM

IM

Gobierno de TI


Gobierno de TI


Administración de Riesgos

Dominio 3

Gobierno de TI


Administración de Riesgos

Generar conciencia y entendimiento de los riesgosy del apetito de riesgo de la empresa; entendiendo los compromisos de cumplimiento y transparencia

sobre los riesgos significativos

Gobierno de TI


Establecer el Contexto

Estratégico y Organizacional

Administración de riesgo

Identificar áreas, procesos y/o activos

Definir los criterios de la evaluación de riesgos

Buenas Prácticas COSO-ERM / COBIT.

Definir la estructura de riesgos

Establecer el contexto1

Gobierno de TI


Frecuencia estimada

o conocida, con la

que podría ocurrir el

hecho incierto

Resultado que el

hecho incierto

podría ocasionar

PROBABILIDAD

IMPACTO

Analizar los Riesgos3

Analizar los Riesgos

Gobierno de TI


Medidas de PROBABILIDAD

Nivel Denominación Descripción

Entre 81% y 100% (Valor 5)

Casi certeza Se espera que ocurra en la mayoría de las circunstancias.

Entre 61% y 80% (Valor 4) Probable

Probablemente ocurrirá en la mayoría de las circunstancias.

Entre 41% y 60% (Valor 3) Posible

Podría ocurrir en algún momento.


Improbable Pudo ocurrir en algún momento.


Raro Puede ocurrir sólo en circunstancias excepcionales.



Gobierno de TI


Medidas de IMPACTONivel Denominación Descripción

1 Insignificante Requiere tratamiento mínimo, baja pérdida financiera.

2 Menor Requiere tratamiento menor, pérdida financiera media.

3 Moderado Requiere tratamiento, pérdida financiera alta.

4 Mayor Requiere tratamiento intenso, pérdida financiera mayor.

5 Catastrófico Requiere tratamiento mayor, enorme pérdida financiera.



Gobierno de TI


Riesgo Extremo (EXTREME RISK), requiere accióninmediata

Riesgo Alto (HIGH RISK), necesita atención de la altagerencia

Riesgo Moderado (MODERATE RISK), debeespecificarse responsabilidad gerencial

Riesgo Bajo (LOW RISK), administrar medianteprocedimientos de rutina

E

H

M

L

Insignificante Menor Moderado Mayor Catastrófico

1 2 3 4 5

Casi

certeza(entre 81% y 100%) H H E E E

Probable (entre 61% y 80%) M H H E E

Posible (entre 41% y 60%) L M H E E

Improbable (entre 21% y 40%) L L M H E

Raro (entre 0% y 20%) L L M H H

IMPACTO

PROBABILIDAD

Evaluar los Riesgos

Evaluar los Riesgos4

Gobierno de TI


Tratar los Riesgos

Tratar los Riesgos5

Identificar las diferentes opciones para tratar cada riesgo

Evaluar esas opciones

Preparar planes de tratamiento

Implementar los planes de tratamiento

TRATAR tomar medidas tendientes a reducir la probabilidad de ocurrencia y/o impacto

RENUNCIAR no proseguir con la actividad riesgosa (cuando esto sea practicable)

ASUMIR aceptar el riesgo inherente sin administrarlo

PASAR (Trasladar) que otra parte

soporte o comparta parte del riesgo

T R A P

Gobierno de TI


Administración de Recursos

Dominio 4

Gobierno de TI


Administración de Recursos

Outsourcing

Mecanismo que permite a las

organizaciones transferir la entrega de

servicios a terceras partes

Gobierno de TI


Razones para un Outsourcing

Gobierno de TI


Mejores prácticas

Estrategía Operación

Gobierno de TI


Mejores prácticas

Gobierno de TI


Medición del Desempeño

Dominio 5

Gobierno de TI


La Entrega y la Medición de valor como factor

crítico del Gobierno de TI

Administración

de Recursos

Rastrear y monitorear la implementación de la estrategia, conclusión de proyectos, uso de recursos, desempeño de procesos y entrega de servicio

Gobierno de TI


Hablando de gestión …

“El problema” no es la FALTA DE INDICADORES…

Gobierno de TI


Objetivo: Identificación y cuantificación de costos y beneficios tangibles e intangibles

Los niveles ejecutivos y los usuarios perciben los beneficios de manera

diferente

Dif

icu

lta

d e

n la

me

dic

ión

Enfoques de medición del desempeño

Gobierno de TI


Medidas financieras

Project A Project B Project C

NPV

ROI 3.0 2.0 1.5

Level of investment

$200.000 $150.000 $100.000

Option value

IRR 15 % 20 % 25 %

Payback 3 años 2 años 1 año

EVA (Economic Value Added)

Payback 3 años 2 años 1 año

Demasiadas opciones

Implican una precisión que no existe

NPV = I0 + I1/1+r + I2/(1+r)2 + … + In/(1+r)n

No incluyen beneficios intangibles

No incorporan riesgos

Gobierno de TI


Total Economic Impact

Flexibility

Costs (TCO)

Benefits

R

I

S

K

Total

Economic

Impact

(TEI)

Uncertainty

• Impact of assumptions

• More accuracy

• Higher success

Options created

• Base for future

• Valued financially

• Communicated

Business value

• Quantified and valued

• Measured outside of IT

• BU accountability

Technology cost

• IT budget

• IT accountability

Gobierno de TI


Método de evaluación que incorpora valores tangibles e intangibles

Modelo de implementación estratégica orientada a la medición

Sistema de gestión de desempeño que habilita a la organización a conducir sus estrategias con base en mediciones

Sistema de gestión para permitir el alineamiento entre TI y el negocio

Medio efectivo de comunicar y reportarle a la Junta y a la Alta Gerencia sobre el valor para el negocio de TI

IT BSC – Balanced Scorecard

Métodos Multicriterio

Gobierno de TI


The Balanced Scorecard for communication

1.

IT value

perspective

IT budget

Q1 ’06

95%

Innovation

budget Q1 ’06

30%

Strategic

projects Q1 ’06

90%

2.

User

perspective

User survey

Q1 ’06

65%

SLA perf.

Q1 ’06

76%

3.

Operational

excellence

perspective

Project

execution

95%

Number of

security issues

23

Unplanned

outages

2

4.

Future orientation

perspective

Employee

retention

95%

Training

days/employee

3.2

Employee

satisfaction

60%

Q1 ’06 Information Technology Balanced Scorecard

Gobierno de TI


Las relaciones CAUSA –

EFECTO se articulan en

indicadores de resultado

(KGI) e indicadores de

desempeño (KPI)

La perspectiva de

“Contribución al Negocio”

garantiza la alineación de TI

con los objetivos de la

organización

Hay indicadores propuestos,

pero no hay propuesta para

construirlos

BSC de TI genérico

Gobierno de TI


Cascada de BSC

Gobierno de TI


COBIT e Indicadores

Define Metas

Mid

e L

ogro

s

Dirige Desempeño

Mejo

ra y

realin

ea

Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio

es medido mediante es medido mediante es medido mediante es medido mediante

KPI Métrica de Proceso KGI

KPI Métrica de TI KGI

KPI Métrica de Negocio KGI

Comprender

requerimientos,

vulnerabilidades y

amenazas de

seguridad

Frecuencia de

revisión del tipo de

eventos de

seguridad a ser

monitoreados

Número de

violaciones de

acceso

Número de

incidentes de TI

que realmente

impactan el

negocio

Número de incidentes que

provocan situaciones

públicas embarazosas

Detectar y resolver accesos no

autorizados a información,

aplicaciones e infraestructura

Asegurar que los

servicios de TI

pueden resistir y

recobrarse de

ataques

Mantener la

reputación y

liderazgo de la

empresa

2 tipos de

métricas

Los KGIs de un nivel

inferior se convierten en los

KPIs del siguiente nivel

¡No es fácil

encontrar esta

relación!

Gobierno de TI


ISO 38500

COBIT 5

Otros

Marcos de

referencia

Gobierno de TI


ISO 38500

55Fernando Ferrer Olivares

INTERNATIONAL STANDARD ISO/IEC 38500

2.1.1 Principle 1: Responsibility

Individuals and groups within the organization understand and accept

their responsibilities in respect of both supply of, and demand for IT.

Those with responsibility for actions also have the authority to perform

those actions.

2.1.2 Principle 2: Strategy

The organization’s business strategy takes into account the current

and future capabilities of IT; the strategic plans for IT satisfy the

current and ongoing needs of the organization’s business strategy.

2.1.3 Principle 3: Acquisition

IT acquisitions are made for valid reasons, on the basis of appropriate

and ongoing analysis, with clear and transparent decision making.

There is appropriate balance between benefits, opportunities, costs,

and risks, in both the short term and the long term.

2.1.4 Principle 4: Performance

IT is fit for purpose in supporting the organization, providing the

services, levels of service and service quality required to meet current

and future business requirements.

2.1.5 Principle 5: Conformance

IT complies with all mandatory legislation and regulations. Policies and

practices are clearly defined, implemented and enforced.

2.1.6 Principle 6: Human Behaviour

IT policies, practices and decisions demonstrate respect for Human

Behaviour, including the current and evolving needs of all the ‘people

in the process’.

Gobierno de TI


COBIT 5

56Fernando Ferrer Olivares

Gobierno de TI

Fernando Ferrer OlivaresConclusiones

Gobierno de TI


Conclusiones

Los temas vistos no tienen discusión y no sucederán por accidente

Existen prácticas y técnicas que permitirán alcanzar un adecuado Gobierno

Se requiere en mayor medida: Liderazgo del negocio Comunicación apropiada y entendimiento mutuo Responsabilidad y Rendición de cuentas sobre TI Educación sobre TI y temas relacionados Desarrollar TI desde la perspectiva de negocio

CT

OB

IT

M

Preguntas?

OBI TM

[email protected]

[email protected];

[email protected];

Tel. 2203785 Cel. 3176441845 - 3142950236

Bogotá, Colombia

COBITTM es marca registrada de IT Governance Insitute e Information Systems Audit and Control Association

Fernando Ferrer OlivaresCISA, PMP, CCSA, CISM

COBIT Accredited Trainer




Gobierno de TI Fernando Ferrer Olivares Gobierno de TI · Mapa Conceptual IT Governance Gobierno...

Documents

Transcript of Gobierno de TI Fernando Ferrer Olivares Gobierno de TI · Mapa Conceptual IT Governance Gobierno...