Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13

Modelos de Gobernabilidad, Riesgo y Cumplimiento aplicados a las TIC
Revisión de marcos de referencia para garantizar que las TIC están siendo bien administradas en las organizaciones
Mario Javier Monsalve Hazbón
Gerente de Proyectos & Consultor en Arquitectura Empresarial, TOGAF, PETI, SOA, BPM, ITIL, COBIT, ISO 27001, CMMi & eSCM
Bogotá Agosto 21 de 2014
Consultoría Gerencial y Tecnológica
Proveemos capital intelectual generador de valor,
productividad y competitividad en las organizaciones

PROPÓSITO
El propósito de esta conferencia es presentar un
contexto al respecto de los diferentes modelos de
gobernabilidad, riesgo cumplimiento regulatorio de
TI y de cómo aplicarlos estratégica y productivamente
en las organizaciones Latinoamericanas.
Proponer Acciones que encaminar en la agenda de
nuestros CIO´s para que se logren avances
significativos en la adopción de estos modelos para
garantizar la entrega de los servicios de TI
Presentación Preparada por: Mario Javier Monsalve Hazbón ( Mario.Monsalve@Raginwald.com) Diapositiva 2

AGENDA
1.Contexto de la Gobernabilidad de las TI
2.El aporte de los modelos de GRC a la gestión de TI
3.Las consecuencias de la carencia de modelos de
gobierno en las TIC
4.Panorama de Marcos de Referencia (GRC, Cobit v5,
Iso 38500, ITIL, TOGAF, SOX, etc.)
5.Una primera aproximación a la hoja de ruta que
conduzca a la adopción de estos modelos
6.Conclusiones y Desafíos

Contexto e
Introducción
de la
Gobernabilidad
de las TI

Reflexión
La complejidad de las organizaciones
demanda modelos que permitan
administrarlas !
Las unidades de TI son muy complejas
Los logros planeados generalmente no se cumplen
Los imprevistos crecen exponencialmente
Las Regulaciones cada vez son mayores
Los recursos son escasos
El sentido de urgencia es alto

Administrar TI es tan complejo como administrar todo un
Negocio !!
Hay que administrar un plan estratégico con metas a corto y largo plazo,
con un portafolio de inversión
Operar con unas líneas de producción y con la visión del éxito empresarial
definida y compartida por todo el equipo.
Negociar proyectos, alcances y tiempos
Conseguir patrocinios y recursos financieros para ejecutar nuevas iniciativas
Tener buenas ideas (mejor si son innovadoras)
Supervisar contratos de millones de dólares
Liderar un equipo humano capacitado
Lidiar diariamente con un sinnúmero de incidentes
Interactuar con los otros directivos de la organización
Disponer de una oferta competitiva para que no los tercericen
Correr muchos riesgos (ojalá controlados)
…Y poner la cara cuando las cosas salgan mal
Muchas variables incontrolables que siempre están rodeando en la gestión

Con ciertos detalles particulares …
Es una entidad sin ánimo de lucro
Beneficia a todos grupos de interés
Que tiene productos de información muy valiosos y
que debía poner estos en manos de los clientes y
usuarios
Que suele ser bien apreciada por cierto sector de
los grupos de interés, pero a su vez tiene
detractores, bien porque no están de acuerdo con
la calidad del servicio, porque el producto no los
satisface o porque lo que es más delicado y es que
creen que no necesitaban el servicio/producto.

Particularidades de la Gestión de TI
Como en una fábrica, hay que encargarse de
identificar las necesidades de los usuarios, diseñar el
producto, producir y asegurar la calidad de sus
requerimientos y para adelantar estas labores
necesita un equipo humano conocedor de los temas
de información, de las necesidades del cliente y las
características del producto que se debían tener en
cuenta para satisfacer las normas vigentes y las
expectativas de los consumidores.

Como en un negocio de distribución de crudo se requiere una
red logística de gran capacidad, para que el producto llegara
a todas partes.
La logística debe lidiar con problemáticas de capacidad,
velocidad de distribución, incidentes en la red y
mantenimientos programados y no programados. Como en una
red dispuesta en todo el país con diferentes subestaciones y
plantas de bombeo de distintas marcas y diversas
características, hay que hacerlas a todas compatibles y
eficientes en cuanto a sostenibilidad y crecimiento.

Y a la entrega del producto al cliente. Lamentablemente al
ser un producto relativamente nuevo, los consumidores finales
acusan a la falta de tres características importantes para
acogerlo: no tienen la tecnología para recibirlo, no tienen los
conocimientos ni tampoco tienen el hábito para usarlo y
aprovecharlo.
Este negocio planteaba varios inconvenientes en cuanto a la
necesidad de que los consumidores tuviesen las capacidades
para consumir el producto de información, aprovecharlo (no
desperdiciarlo), que lo usen para su vida diaria y prevengan
accidentes, fugas y usos inadecuados que pueden poner en
riesgo su vida, disfrutarlo y volver a querer comprarlo.

REFLEXION
QUE AJUSTES LE DEBO
PRACTICAR A LA
ORGANIZACIÓN DE TI
PARA QUE ESTE
ALINEADA A LOS
RETOS Y DESAFÍOS DEL
NEGOCIO ?

REFLEXION

LA GESTIÓN DE TI DEBE EXPERIMENTAR UNA “METAMORFOSIS”
(Cambio de Naturaleza)
Apalancamiento
Tecnológico
Generar Valor
Enfoque de
Servicio
Trazabilidad
Un cambio en el lenguaje del CIO
Desarrollo Sostenible
Gobierno

DE GESTION DE RECURSOS A GESTION DE
RESULTADOS

QUE SE ESPERA DE LA GESTION DE TI

Objetivos a los que debe conducir la gestión de TI
Alinear TI con el Negocio (Mayor apalancamiento
de TI a la oferta de valor del negocio)
Mantener TI en marcha (Continuidad)
Generar Valor y mejorar la calidad de los servicios
de TI para los diferentes grupos de Interés
Optimizar Costos del servicio de TI
Controlar la complejidad de los diferentes
componentes tecnológicos y la gestión que
demanda.
Cumplimiento Regulatorio
Administrar la Seguridad

Actitud hacia el futuro
Sufrir los cambios
Reaccionar a los cambios
El fin justifica los medios
Prevenir el impacto de los cambios
Proactividad, Dejarse orientar, Actuar coherentemente

La Adaptacion es la Clave para Sobrevivir
No es el mas inteligente o el
“
mas fuerte el que sobrevive, sino
el que mas de adapta“
Charles Darwin

El aporte de los
modelos de GRC
a la gestión de
TI

Definición inicial de IT-GRC
Es el Enfoque holístico para maximizar
la creación de valor desde IT para los
stakeholders, alineando e integrando
las actividades que la organización
realiza sobre:
G: Gobierno Corporativo
• Alcanzar Objetivos Estratégicos
R: Gestión Integral del Riesgo (ERM)
• Mitigar y minimizar el impacto de los Riesgos
C: Cumplimiento de leyes y regulaciones
aplicables.
• Evitar sanciones de los entes de Control (….ías)

Definición de GRC
GRC es un modelo de gestión que promueve la unificación
de criterios, la coordinación de esfuerzos y colaboración
entre los diferentes involucrados en la dirección de la
organización a través de:
La integración de los órganos/responsables del gobierno,
la administración y gestión de riesgos, el control interno
y el cumplimiento
La asignación puntual de roles y responsabilidades del
personal clave
La formalización de los canales de comunicación
La aplicación de un enfoque basado en riesgos
La implementación de un programa de cumplimiento

Las consecuencias
de la carencia de
modelos de
gobierno en las TIC

Consecuencias de no adoptarlos
Seguir asumiendo una posición defensiva
que siempre tiene una gran lista de
argumentos para justificar porque no se
logran los resultados
Seguir manejando la improvisación
(prueba error hasta que descubra la solución)
Perdida reputacional
Destruir valor
Desaprovechar el alto potencial de las
TIC en el negocio

A DONDE SUELEN LLEVAR LAS MALAS PRACTICAS
ASUMIR DEMASIADOS RIESGOS
PERDIDA DE INVERSIONES
LIDERES FRUSTRADOS
DETERIORAR LA IMAGEN INSTITUCIONAL
PERDIDA DE CREDIBILIDAD EN EL POTENCIAL DE
LAS TICs
PERDIDA DE OPORTUNIDADES
DISCUSIONES IMPRODUCTIVAS
ESCEPTICISMOS, CAPRICHOS, ETC
REZAGOS Y SUBDESARROLLO
FRENAR/HUNDIR EN LUGAR DE APALANCAR
UN ENTORNO DE ENTROPIA QUE DESAFIA A
PONER LA CASA EN ORDEN

Panorama de
Marcos de
Referencia de
GRC para TI

Algunos Modelos de IT GRC
Cobit v5
Ley Regulatoria Sarbanex Oxley (SOX)
Modelo OCEG (Open Compliance and Ethics Group)
Iso 38,500
AS/NZS 8016
COSO
Basilea
Iso 27,000

Propuesta de Cobit
Principios del gobierno y la Gestión de TI
Modelo de Procesos habilitadores del gobierno y la
gestión de TI
Modelo de roles y responsabilidades del equipo de
trabajo de TI (Matrices RACI)
Guías de Implementación
Balanced Scorecard para evaluar el cumplimiento de
la estrategia de TI

Los 5 Principios de COBIT
Los 5 Principios de COBIT 5:
1. Satisfacer las necesidades de las Partes
Interesadas
2. Cubrir la Compañía de Forma Integral
3. Aplicar un solo Marco Integrado
4. Habilitar un Enfoque Holístico
5. Separar el Gobierno de la Administración

Procesos de Gobierno Gestión de las TICs

COBIT 5: Procesos Habilitadores
¿Se Aplican ¿Se logran las Metas de los ¿Se Administra el Ciclo de Vida? Buenas Prácticas?
Habilitadores?
¿Se Atienden las Necesidades
de las Partes Interesadas?
Métricas para el Logro de las Metas
(Indicadores de Resultados)
Métricas para la Aplicación de Prácticas
(Indicadores de Desempeño)
Fuente: COBIT® 5, Figura 29. © 2012 ISACA® Todos derechos reservados.
Administración del Desempeño de Dimensión de Habilitadores
los Habilitadores
Partes Interesadas Metas Ciclo de Vida Buenas Prácticas
• Internas
• Externas
• Calidad Intrínseca
• Calidad Contextual
(Relevancia,
Efectividad)
• Accesabilidad y
Seguridad
• Planificar
• Diseñar
•Construir/Adquirir/
Crear/Implementar
• Usar/Operar
• Evaluar/Monitorear
• Actualizar/Disponer
Prácticas genéricas para los procesos
• Prácticas del Proceso,
Actividades, Actividades
detalladas
• Productos de Trabajo
(Entradas/Salidas)

COBIT 5: 37 Procesos Habilitadores
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte
Monitorear, Evaluar
y Valorar
EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento
EDM02 Asegurar
la Entrega de Valor
EDM03 Asegurar
la Optimización de
los Riesgos
EDM04 Asegurar
la Optimización de
los Recursos
EDM05 Asegurar
la Transparencia a
las partes
interesadas
APO01 Administrar
el Marco de la
Administración de TI
APO02 Administrar
la Estrategia
APO04 Administrar
la Innovación
APO03 Administrar
la Arquitectura
Corporativa
APO05 Administrar
el Portafolio
APO06 Administrar
el Presupuesto y los
Costos
APO07 Administrar
el Recurso Humano
APO08 Administrar
las Relaciones
APO09 Administrar
los Contratos de
Servicios
APO11 Administrar
la Calidad
APO10 Administrar
los Proveedores
APO12 Administrar
los Riesgos
APO13 Administrar
la Seguridad
BAI01 Administrar
Programas y
Proyectos
BAI02 Administrar
la Definición de
Requerimientos
BAI04 Administrar la
Disponibilidad y
Capacidad
BAI03 Administrar
la Identificación y
Construcción de
Soluciones
Habilitación del
Cambio
BAI06 Administrar
Cambios
Aceptación de
Cambios y
Transiciones
BAI08 Administrar el
Conocimiento
BAI09 Administrar
los Activos
BAI10 Admnistrar la
Configuración
DSS01 Administrar
las Operaciones
DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes
DSS04 Administrar
la Continuidad
DSS03 Administrar
Problemas
DSS05 Administrar
los Servicios de
Seguridad
DSS06 Administrar
los Controles en los
Procesos de Negocio
MEA01 Monitorear,
Evaluar y Valorar el
Desempeño y
Cumplimiento
MEA02 Monitorear,
Sistema de Control
Interno
MEA03 Monitorear,
Cumplimiento con
Requisitos Externos

COBIT 5 Implementación
Fuente: COBIT® 5, Figura 17. © 2012
ISACA® Todos derechos reservados.
• Gestión del Programa
(anillo exterior)
• Habilitación del Cambio
(anillo medio)
• Ciclo de Vida de Mejora Continua
(anillo interior)

A GRC Model Example
From the OCEG Red Book GRC Capability
Model version 2.1

Corporate Governance of IT
ISO/IEC 38500: 2008
Corporate governance of
information technology
1.1 Scope
This standard provides guiding principles for
directors of organizations (including owners,
board members, directors, partners, senior
executives, or similar) on the effective,
efficient, and acceptable use of Information
Technology (IT) within their organizations.
This standard applies to the governance of
management processes (and decisions)
relating to the information and
communication services used by an
organization. These processes could be
controlled by IT specialists within the
organization or external service providers, or
by business units within the organization.

Corporate Governance of IT (cont.)
ISO/IEC 38500: 2008
Corporate governance of information
technology
2.1 Principles
2.1.1 Principle 1: Responsibility
2.1.2 Principle 2: Strategy
2.1.3 Principle 3: Acquisition
2.1.4 Principle 4: Performance
2.1.5 Principle 5: Conformance
2.1.6 Principle 6: Human Behaviour

Corporate Governance of IT (cont.)
ISO/IEC 38500: 2008
Corporate governance of
information technology
2.2 Model
Directors should govern IT through three main tasks:
a) Evaluate the current and future use of IT.
b) Direct preparation and implementation of plans and
policies to ensure that use of IT meets business objectives.
c) Monitor conformance to policies, and performance against
the plans.

Una primera
aproximación a la
hoja de ruta que
conduzca a la
adopción de estos
modelos de GRC en TI

Ruta de Adopción de GRC

HOJA DE RUTA GUIADA POR BRECHAS

Modelos de Madurez de GRC

IT Roadmap for GRC

CONCLUSIONES
DESAFÍOS

RETOS DESAFIOS
La gestión de las TIC se mide por los resultados de
apalancamiento tecnológico a metas del negocio y no por
el presupuesto que maneja, la complejidad de sus
procesos, metodologías o recursos y para que los
resultados se den se requieren modelos de gobierno, riesgo
cumplimiento.
Hay muchas “cosas en juego” y en nuestras organizaciones
no se debe perder la óptica productiva, confiable y
sostenible de la gestión de los servicios de TI.
La adopción de los modelos de GRC en TI esta por
desarrollarse en nuestras organizaciones y no debe verse
como una moda sino una necesidad para habilitar ventajas
competitivas

Quiénes Somos?
• Raginwald Consulting fue fundada en mayo de 2007,
con el propósito de fortalecer la productividad y
competitividad de la organizaciones latinoamericanas
mediante estrategias innovadoras que involucren
nuevos modelos de negocio, mejores prácticas de
gestión e innovaciones tecnológicas
www.raginwald.com

NUESTRO PORTAFOLIO

MARIO JAVIER MONSALVE HAZBÓN
Mario.Monsalve@Raginwald.com (57)300-210-98-46
Consultor Empresarial, Especializado en las áreas Organizacional y Tecnológica, con estudios en Estados
Unidos en técnicas de optimización de procesos industriales y nuevas tecnologías habilitadoras.
Ingeniero de Sistemas Cum Laude de la Universidad Industrial de Santander con especialización en
Ingeniería de Software.
Áreas de Competencia:
Arquitectura Empresarial TOGAF
Gestión Estratégica Corporativa, Balanced ScoreCard, Planeación Estratégica de TICs,
Gobernabilidad de TI
Aseguramiento de la Calidad en Ingeniería de Software (CMMi)
Gerencia de Proyectos (PMO, PMI, Prince2) y Gestión de Asimilación del Cambio
Arquitectura de Soluciones BPM SOA, BI, ERP, CRM HCM
Adopción de Modelos de Mejores Prácticas de Gestión de TI (CMMi, ITIL, Cobit, Iso 27000, eTOM)
Actualmente CEO, Gerente de Consultoría de la Firma Raginwald Consulting
Ha sido director de departamentos de tecnología informática y de sistemas de varias compañías
Colombianas.
Fue durante 6 años Director de Control de Calidad de Software de la División de Sistemas Corporativos
del GRUPO AVAL.
Asesor de Varias Compañías y participante en proyectos de implementación de nuevas tecnologías de las
siguientes Empresas: MINISTERIO DEL TRABAJO, DIAN, NUEVA EPS, ZONA FRANCA DE BOGOTA,
UNIVERSIDAD NACIONAL, COLCIENCIAS, UNIVERSIDAD MINUTO DE DIOS, INVIAS,
METROTEL,CitiCOLFONDOS, SECRETARIA MOVILIDAD BOGOTA, BANCO DE COSTA RICA, CONFAMILIARES DE
CALDAS, ICONTEC, UNIVERSIDAD JORGE TADEO LOZANO, COMCEL, AV-VILLAS, DATA TOOLS,
SUPERINTENDENCIA DE SERVICIOS PUBLICOS, ATH, ETB, CERREJON, PRACO-DIDACOL, BANCO DE BOGOTA,
BANCO POPULAR, CARULLA-VIVERO, TEXACO GAS UNIT, LABORATORIOS BAXTER, SECRETARIA DE
HACIENDA DISTRITAL, SHELL, HOCOL, PORVENIR, JABONERIAS HADA, TERPEL, LASMO OIL, LINALCA,
CONGRUPO, FEDESOFT,
Profesor Invitado de Varias Universidades: ANDES, JAVERIANA, UNINORTE, UIS, UNIVALLE, UNAB,
USTA, UNICAUCA, UNILIBRE, UCC, UDLA y EIN en programas de Postgrado y Maestrías

Consultoría Gerencial y Tecnológica
Proveemos capital intelectual generador de valor, productividad y competitividad en las organizaciones

Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13

Similar a Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13 (20)

Más de Mario Javier Monsalve Hazbón

Más de Mario Javier Monsalve Hazbón (8)

Último

Último (20)

Modelos de gobernabilidad riesgo y cumplimiento ti v2014 02-13