Como aporta COBIT 5 y gobernanza de

TI a la gobernanza empresarial
Carlos Francavilla
Socio
ICG LATAM
www.isaca.org.uy

Agenda

Qu es Gobierno Corporativo?
Un poco de historia
El marco COBIT 5
Principios de COBIT 5
Principios ISO 38500
Dominio de Gobierno
Aporte de COBIT al gobierno
www.isaca.org.uy

Gobierno
Corporativo

Organizaciones

Controlan

www.isaca.org.uy

Sistema

Dirigen

Seguimientos de Resultados/Presupuestos

92,39%

Seguimiento de Operaciones/Actividades

88,04%

Estrategia

74,46%

Gestin de Riesgos

40,22%

Control Interno

Cumplimiento Normativo

Responsabilidad Social

Comunicacin Corporativa

www.isaca.org.uy

35,87%

26,09%

20,65%

17,39%

Fuente Deloite Estudio 180 Empresas Espaa 2012

Comit Ejecutivo / CEO

88,04%

Junta Directiva

75,54%

Unidades de Negocio

68,48%

Comit de Estrategia

Asesores Externos

www.isaca.org.uy

20,65%

7,61%

Fuente Deloite Estudio 180 Empresas Espaa 2012

Alto

82,41%

Medio

Bajo

12,96%

4,63%

www.isaca.org.uy

Fuente Deloite Estudio 180 Empresas Espaa 2012

Enterprise Risk Management COSO

49,25%

Otros

ISO 31000

COBIT

www.isaca.org.uy

41,79%

5,97%

2,99%

Fuente Deloite Estudio 180 Empresas Espaa 2012

NO

42,41%

SI, limitado a Tecnologa

SI, documentado y comunicado

SI, no comunicado

www.isaca.org.uy

24,61%

17,80%

15,18%

Fuente Deloite Estudio 180 Empresas Espaa 2012

SI, poltica especfica

48,96%

NO

SI, incluido en la poltica de gestin de Riesgos

www.isaca.org.uy

33,85%

17,19%

Fuente Deloite Estudio 180 Empresas Espaa 2012

Normas y procedimientos internos

76,63%

Mapa de Riesgos

32,07%

Sistema definido

25,54%

Simulacin financiera

Marcos de trabajo (COSO, COBIT)

Otras

www.isaca.org.uy

19,57%

9,24%

3,80%

Fuente Deloite Estudio 180 Empresas Espaa 2012

Evolucin del Alcance

Gobierno de TI Empresarial
Gobierno de TI
Val IT 2.0

Gestin

(2008)

Control
Risk IT
(2009)

Auditora
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1

2005/7 2012

Un marco de negocios por ISACA, www.isaca.org/cobit

www.isaca.org.uy

COBIT 5

Directorio
Gerencias de Negocio
IT Funcional
Operaciones
www.isaca.org.uy

Ayuda a crear valor ptimo de TI.

Mantener un equilibrio entre la obtencin de beneficios y la optimizacin de los niveles de riesgo y el
uso de los recursos

Permite que la informacin y la tecnologa relacionada sean gobernadas y gestionadas de manera

integral para toda la empresa.
Abarcando de principio a fin el negocio y reas funcionales, teniendo en cuenta los intereses de las
partes interesadas internas y externas

Los 5 principios de COBIT y sus Catalizadores son de carcter genrico.

til para las empresas de todos los tamaos, ya sea comercial, sin fines de lucro o del sector pblico

www.isaca.org.uy

Nuevos Principios
Val IT y Risk IT

Son Marcos de Trabajo

Basados en Principios

Principios

Son fciles de entender y aplicarlos al contexto empresario

Permitiendo derivar valor de las guas de soporte ms efectivamente

ISO/IEC 38500

Incorpora Principios

Para potenciar sus mensajes

Los principios de ISO/IEC 38500 no son los mismos de COBIT5

Carlos
www.isaca.org.uy
Francavilla

14

Principios ISO 38500

Responsabilidad
Quien es responsable de que
Todos comprenden su responsabilidad
Quien es responsable de la oferta y demanda

Gobierno
Corporativo
Evaluar
Dirigir

Programas de
Cambio

Desempeo
Cumplimiento

Propuestas

Planes,
Polticas

Supervisar

Operaciones
TI

Gestin Corporativa

Carlos
www.isaca.org.uy
Francavilla

Estrategia
Quien debe realizar la estrategia de Tecnologa
Como se relacionan la estrategia de TI y de
negocios
Debe incluir Cartera, Arquitectura y Programas

Adquisicin
Quien toma las decisiones de invertir en
tecnologa
Quien toma la decisin de continuar invirtiendo
en la cartera de tecnologa
Quien decide el abastecimiento de tecnologa

15

Principios ISO 38500

Desempeo
Cumplimiento de objetivos actuales
Cumplimiento de objetivos futuros
Sistemas e infraestructura, personas, procesos

Gobierno
Corporativo
Evaluar
Dirigir

Programas de
cambio

Desempeo
Cumplimiento

Propuestas

Planes,
Polticas

Supervisar

Operaciones
TI

Gestin Corporativa

Carlos
www.isaca.org.uy
Francavilla

Cumplimiento
Comprensin de las reglas
Formulacin de las reglas
Identificar y arreglar el no cumplimiento

Comportamiento Humano
Respuestas al cambio
Tratamiento de personas de acuerdo a las
comunidades
Dedicacin y compromiso

16

Procesos Nuevos y Modificados

COBIT 5

Introduce 5 nuevos procesos de Gobierno

Apalancando y Mejorando
COBIT 4.1
Val IT 2.0
Risk IT

Esta Direccin Ayuda

A las empresas a redefinir las prcticas de Gobierno de TI a nivel
ejecutivo
Soporta la integracin con las prcticas de Gobierno Empresarial
Est alineada con ISO/IEC 38500
Carlos
www.isaca.org.uy
Francavilla

17

Procesos Nuevos y Modificados

COBIT 5 ha clarificado los procesos del nivel de
Gestin.
Incorporado los contenidos de COBIT 4.1, Val IT y
Risk IT en un nuevo modelo de referencia.

BMIS
Carlos
www.isaca.org.uy
Francavilla

18

Prcticas y Actividades
Prcticas

Gobierno o Gestin de COBIT 5

Son equivalentes a:
Objetivos de Control de COBIT 4.1 que desaparecen de COBIT! el nombre COBIT no pierde sentido?
Procesos de Val IT y Risk IT
www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx

Actividades

COBIT 5

Son equivalentes a:
Prcticas de Control de COBIT 4.1
Prcticas de Gestin de Val IT y Risk IT

Integra y Actualiza Todo el contenido previo en un solo modelo

Facilitando la comprensin y el uso del material cuando se implantan mejoras

Carlos
www.isaca.org.uy
Francavilla

19

1. Satisfaciendo las
necesidades de los
interesados

2. Cubriendo la
empresa de
extremo a extremo

5. Separando
Gobierno y Gestin

Principios
COBIT 5

4. Posibilitando
un enfoque
holstico

3. Aplicando un
solo marco
integrado

Fuente: COBIT 5, figure 2. 2012 ISACA All rights reserved.

www.isaca.org.uy

Principio 1. Satisfaciendo las necesidades de los interesados

Las empresas existen para crear valor para sus interesados

Necesidad de los
Interesados
Impulsa
Objetivo de Gobierno: Creacin de Valor

Realizacin
De Beneficios

Optimizacin
de Riesgos

Optimizacin
De Recursos

Source: COBIT 5, figure 3. 2012 ISACA All rights reserved.

www.isaca.org.uy

Principio 1. Satisfaciendo las necesidades de los interesados

La Empresa

Pueden tener muchos interesados.

Crear Valor puede ser interpretado de diferentes maneras y muchas veces con conflicto para cada uno de
ellos.

Gobierno

Es acerca de la negociacin y decisin.

Entre los diferentes necesidades de los interesados.

El sistema de
Gobierno

Debe considerar a todos los interesados

Cuando toma decisiones de beneficios, recursos y riesgos.

Por cada decisin, puede y debe preguntarse:
Quin recibe el beneficio?
Quin asume el riego?
Qu recursos se necesitan?
www.isaca.org.uy

Principio 1. Satisfaciendo las necesidades de los interesados

Las necesidades de los

interesados deben
traducirse a una estrategia
de accin de la empresa.
La cascada de objetivos de
COBIT 5, traslada las
necesidades de los
interesados en
Objetivos especficos
Acciones concretas y
personalizadas dentro del
contexto de la empresa
Objetivos relacionados de TI
Objetivos facilitadores o
activadores de las metas.

www.isaca.org.uy

Impulsores de los Interesados

Ambiente, Evolucin de la Tecnologa,

Influencian
Necesidades de los Interesados
Realizacin de Beneficios

Optimizacin de Riesgo

Optimizacin de
Recursos

Cascada a
Objetivos de la Empresa

Cascada a
Objetivos Relacionados con TI

Cascada a
Objetivos Facilitadores

Source: COBIT 5, figure 4. 2012 ISACA All rights reserved.

Principio 1. Satisfaciendo las necesidades de los interesados

Beneficios de la cascada de objetivos de COBIT 5

Permiten la definicin de prioridades de implantacin.
Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos
relacionados.

En la prctica;
Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad.
Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la
orientacin pertinente para su inclusin en los proyectos especficos de implantacin, mejora o
aseguramiento.
Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para
lograr los objetivos de la empresa.

www.isaca.org.uy

Principio 2. Cubriendo la empresa de extremo a extremo

COBIT 5

Se refiere al Gobierno y Gestin de TI empresarial y

las tecnologas relacionadas.

Desde una perspectiva de empresa completa, de extremo a extremo.

Integra

Gobierno de TI en el Gobierno Empresario.

COBIT 5 se integra fcilmente con cualquier sistema de Gobierno porque est

alineado con las ltimas visiones de Gobierno.

Cubre

Todas las funciones y procesos dentro de la

empresa.

COBIT 5 no solo se enfoca en la funcin de TI trata la informacin y las

tecnologas relacionadas como activos que necesitan ser tratados como cualquier otro
en la empresa.

www.isaca.org.uy

Principio 2. Cubriendo la empresa de extremo a extremo

Objetivo de Gobierno: Creacin de Valor
Optimizacin
Realizacin
Optimizacin
de Riesgos
De Beneficios
De Recursos

Facilitadores
De Gobierno

Alcance
De Gobierno

Roles, Actividades y Relaciones

Source: COBIT 5, figure 8. 2012 ISACA All rights reserved.

Roles, Actividades y Relaciones

Dueos y
Accionistas

Direccin

Delega

Cuerpo de
Gobierno
Cuentas

Instruye

Gestin
Supervisa

Source: COBIT 5, figure 9. 2012 ISACA All rights reserved.

www.isaca.org.uy

Informa

Operacin
y Ejecucin

Principio 5. Separando Gobierno y Gestin

COBIT 5 hace una clara distincin entre Gobierno y Gestin

Abarcan diferentes tipos de actividades
Requieren diferentes estructuras organizacionales
Sirven propsitos diferentes

Gobierno
En la mayora de las empresas, el Gobierno es responsabilidad del Consejo
de Direccin con el liderazgo del Presidente

Gestin
En la mayora de las empresas, la Gestin es responsabilidad de los
ejecutivos bajo el liderazgo del CEO
www.isaca.org.uy
Carlos
Francavilla

27

 Asegura el cumplimiento de
objetivos empresariales
Evala necesidades, condiciones
y opciones de los interesados
Dirige a travs de la priorizacin
y toma de decisiones
Supervisa (Monitor) el
desempeo y cumplimiento
contra la direccin y los objetivos
acordados

Gestin

Gobierno

Principio 5. Separando Gobierno y Gestin

Planea, Construye, Opera y

Supervisa (Monitor)
Las actividades fijadas y
acordadas por el cuerpo de
gobierno
Ciclo PBRM

Ciclo EDM
www.isaca.org.uy
Carlos
Francavilla

28

Principio 5. Separando Gobierno y Gestin

COBIT 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestin de manera
tal que las reas claves estn cubiertas como se muestra en la figura
Necesidades del Negocio

Gobierno

Evaluar
Supervisar

Dirigir

Gestin

Planear
(APO)
www.isaca.org.uy
Carlos
Francavilla

Retroalimentacin

Construir
(BAI)

Ejecutar
(DSS)

Source: COBIT 5, figure 15. 2012 ISACA All rights reserved.

Supervisar
(MEA)
29

Principio 5. Separando Gobierno y Gestin

COBIT 5

Describe 7 Categoras de Catalizadores

Los Procesos son una Categora

Una Empresa

Puede organizar sus procesos como mejor le parezca

Siempre y cuando estn cubiertos todos los objetivos de Gobierno y Gestin

Las pequeas empresas pueden tener menor cantidad de Procesos

COBIT 5

Incluye un modelo de referencia de procesos

Process Reference Modelo (PRM)

Describe en detalle Procesos de Gobierno y Gestin
Los detalles se encuentran en la publicacin COBIT 5 Enabling Processess
www.isaca.org.uy
Carlos
Francavilla

30

2. Procesos

3. Estructura
Organizacional

4. Cultura, tica y
Comportamiento

1. Principios, Polticas y Marcos de Trabajo

5. Informacin

6. Servicios,
Infraestructura y
Aplicaciones

Recursos
www.isaca.org.uy

Fuente: COBIT 5, figure 2. 2012 ISACA All rights reserved.

7. Personas,
Habilidades y
Competencias

Modelo de Referencia Subdivide la prcticas relacionadas de TI

Dos reas principales;
Gobierno
Gestin, dividida en: Dominios y Procesos

Dominio Gobierno

Contiene 5 procesos

Dentro de cada proceso se definen las actividades de;

Evaluar, Dirigir, Supervisar
Ciclo EDM

4 Dominios de Gestin Estn en lnea con las reas de responsabilidad

Planear, Construir, Ejecutar, Supervisar
Ciclo PBRM

www.isaca.org.uy
Carlos
Francavilla

32

Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI

EDM01 Definir y
Mantener el Marco de
Gobierno

EDM02 Asegurar
Entrega de Beneficios

EDM04 Asegurar
Optimizacin de
Recursos

EDM03 Asegurar
Optimizacin de Riesgo

EDM05 Asegurar
Transparencia para los
Interesados

Alinear, Planear, Organizar (APO) - Procesos Gestin de TI

Supervisar, Evaluar,
Valorar (MEA)

APO01
Gestionar el
Marco de
Gestin de TI

APO02
Gestionar la
Estrategia

APO03
Gestionar la
Arquitectura
Empresarial

APO04
Gestionar
Innovacin

APO05
Gestionar
Cartera

APO06
Gestionar
Presupuesto y
Costos

APO08
Gestionar
Relaciones

APO09
Gestionar
Acuerdos de
Servicio

APO10
Gestionar
Proveedores

APO11
Gestionar
Calidad

APO12
Gestionar
Riesgo

AP13
Gestionar
Seguridad

BAI05 Gestionar
Facilitacin del
Cambio
Organizacional

BAI06 Gestionar
Cambios

APO07
Gestionar
Recursos
Humanos

MEA01
Desempeo y
Conformidad

Construir, Adquirir, Implantar (BAI) Procesos Gestin de TI

BAI01 Gestionar
Programas y
Proyectos

BAI08 Gestionar
Conocimiento

BAI02 Gestionar
Definicin de
Requerimientos

BAI09 Gestionar
Activos

BAI03 Gestionar
Identificacin de
Soluciones y
Construir

BAI04 Gestionar
Disponibilidad y
Capacidad

BAI07 Gestionar
Aceptacin del
Cambio y
Transicin

DSS02 Gestionar
Requerimientos de
Servicio e Incidentes

www.isaca.org.uy
Carlos
Francavilla

MEA02
Sistema de
Control Interno

BAI10 Gestionar
Configuracin

Entrega, Servicio, Soporte (DSS) Procesos Gestin de TI

DSS01 Gestionar
Operaciones

Procesos Gestin
de TI

DSS03 Gestionar
Problemas

DSS04 Gestionar
Continuidad

DSS05 Gestionar
Servicios de Seguridad

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

DSS06 Gestionar
Control de Procesos de
Negocio

MEA03
Cumplimiento
Requerimientos
Externos

33

Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI

EDM01

EDM02

EDM03

EDM04

EDM05

Definir y Mantener el
Marco de Gobierno

Asegurar Entrega de
Beneficios

Asegurar Optimizacin de
Riesgo

Asegurar Optimizacin de
Recursos

Asegurar Transparencia
para los Interesados

Descripcin y Propsito del Proceso

Objetivo relacionado de TI
Objetivos del
Proceso

www.isaca.org.uy
Carlos
Francavilla

Mtricas del
Proceso

Mtricas
Relacionadas
Cuadro RACI

34

Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI

EDM01

EDM02

EDM03

EDM04

EDM05

Definir y Mantener el
Marco de Gobierno

Asegurar Entrega de
Beneficios

Asegurar Optimizacin de
Riesgo

Asegurar Optimizacin de
Recursos

Asegurar Transparencia
para los Interesados

Prctica de Gobierno
Entradas

www.isaca.org.uy
Carlos
Francavilla

Salidas

Actividades

Guias
Relacionadas

35

Integrando Tecnologa al Gobierno

Corporativo

Definiendo cual es el rol del directorio en el

Gobierno de Tecnologa

Separando claramente las actividades de

Gestin de las de Gobierno
Comprender que Tecnologa no est separada
del negocio, en una empresa todos somos el
negocio y tecnologa esta fusionada
Vinculando cada Inversin en Tecnologa con
Beneficios, Recursos, Riesgos y Transparencia

www.isaca.org.uy
Carlos
Francavilla

36

La pregunta estratgica
Est la inversin:
De acuerdo con nuestra visin
Coherente con nuestros objetivos de
negocio
Contribuyendo a nuestros objetivos
estratgicos
Proporcionando valor a un costo
econmico y niveles de riego
aceptable ?

La pregunta de arquitectura
Est la inversin:
De acuerdo con nuestra arquitectura
Coherente con nuestros principios
arquitectnicos
Contribuyendo a la poblacin de
nuestra arquitectura
En lnea con otras iniciativas?

www.isaca.org.uy
Carlos
Francavilla

Estamos
haciendo lo
correcto?

Estamos
obteniendo los
beneficios?

Lo estamos
haciendo
correctamente?

Lo estamos
logrando bien?

La pregunta de valor
Tenemos:
Un conocimiento claro y compartido
de los beneficios esperados
Una responsabilidad clara para
realizar los beneficios
Una mtrica relevante
Un proceso eficaz de realizacin de
beneficios?

La pregunta de entrega
Tenemos:
Procesos eficaces y disciplinados de
direccin, entrega y gestin de
cambios
Recursos tcnicos y de negocio
competentes y disponibles para
entregar:
Las capacidades necesarias
Los cambios de organizacin
necesarios para potenciar las
capacidades?

37

Muchas Gracias
Preguntas?
Carlos Francavilla
carlos@icglatam.com

www.isaca.org.uy

Como aporta COBIT 5 y gobernanza de

TI a la gobernanza empresarial
Carlos Francavilla
Socio ICG LATAM

www.isaca.org.uy