Como aporta COBIT 5 y gobernanza de

TI a la gobernanza empresarial

Carlos Francavilla
Socio
ICG LATAM

www.isaca.org.uy
 Agenda
• ¿Qué es Gobierno Corporativo?
• Un poco de historia
• El marco COBIT 5®
• Principios de COBIT 5®
– Principios ISO 38500
• Dominio de Gobierno
• Aporte de COBIT al gobierno

www.isaca.org.uy
 Gobierno
Corporativo

Organizaciones Sistema

Controlan Dirigen

www.isaca.org.uy
Seguimientos de Resultados/Presupuestos 92,39%

Seguimiento de Operaciones/Actividades 88,04%

Estrategia 74,46%

Gestión de Riesgos 40,22%

Control Interno 35,87%

Cumplimiento Normativo 26,09%

Responsabilidad Social 20,65%

Comunicación Corporativa 17,39%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
Comité Ejecutivo / CEO 88,04%

Junta Directiva 75,54%

Unidades de Negocio 68,48%

Comité de Estrategia 20,65%

Asesores Externos 7,61%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
 Alto 82,41%

Medio 12,96%

Bajo 4,63%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
Enterprise Risk Management COSO 49,25%

Otros 41,79%

ISO 31000 5,97%

COBIT 2,99%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
 NO 42,41%

SI, limitado a Tecnología 24,61%

SI, documentado y comunicado 17,80%

SI, no comunicado 15,18%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
 SI, política específica 48,96%

NO 33,85%

SI, incluido en la política de gestión de Riesgos 17,19%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
Normas y procedimientos internos 76,63%

Mapa de Riesgos 32,07%

Sistema definido 25,54%

Simulación financiera 19,57%

Marcos de trabajo (COSO, COBIT) 9,24%

Otras 3,80%

www.isaca.org.uy
Fuente Deloite Estudio 180 Empresas España 2012
 Gobierno de TI Empresarial
Evolución del Alcance

Gobierno de TI

Val IT 2.0
Gestión (2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Un marco de negocios por ISACA, www.isaca.org/cobit

www.isaca.org.uy
 Directorio

Gerencias de Negocio

IT Funcional

Operaciones

www.isaca.org.uy
 Ayuda a crear valor óptimo de TI.
Mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el
uso de los recursos

Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera

integral para toda la empresa.
Abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las
partes interesadas internas y externas

Los 5 principios de COBIT y sus Catalizadores son de carácter genérico.

útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público

www.isaca.org.uy
 Nuevos Principios

Val IT y Risk IT Son Marcos de Trabajo

• Basados en Principios

Principios Son fáciles de entender y aplicarlos al contexto empresario

• Permitiendo derivar valor de las guías de soporte más efectivamente

ISO/IEC 38500 Incorpora Principios

• Para potenciar sus mensajes
• Los principios de ISO/IEC 38500 no son los mismos de COBIT®5

Carlos
www.isaca.org.uy 14
Francavilla
 Principios ISO 38500

• Responsabilidad
– Quien es responsable de que
Gobierno – Todos comprenden su responsabilidad
Corporativo
– Quien es responsable de la oferta y demanda
Evaluar

Dirigir Supervisar • Estrategia

– Quien debe realizar la estrategia de Tecnología
Políticas
Planes,

Propuestas

Cumplimiento
Desempeño

– Como se relacionan la estrategia de TI y de

negocios
– Debe incluir Cartera, Arquitectura y Programas
Programas de Operaciones • Adquisición
Cambio TI
– Quien toma las decisiones de invertir en
Gestión Corporativa tecnología
– Quien toma la decisión de continuar invirtiendo
en la cartera de tecnología
– Quien decide el abastecimiento de tecnología

Carlos
www.isaca.org.uy 15
Francavilla
 Principios ISO 38500

• Desempeño
– Cumplimiento de objetivos actuales
Gobierno – Cumplimiento de objetivos futuros
Corporativo
– Sistemas e infraestructura, personas, procesos
Evaluar

Dirigir Supervisar • Cumplimiento

– Comprensión de las reglas
Políticas
Planes,

Propuestas

Cumplimiento
Desempeño

– Formulación de las reglas

– Identificar y arreglar el no cumplimiento
• Comportamiento Humano
Programas de Operaciones – Respuestas al cambio
cambio TI
– Tratamiento de personas de acuerdo a las
Gestión Corporativa comunidades
– Dedicación y compromiso

Carlos
www.isaca.org.uy 16
Francavilla
 Procesos Nuevos y Modificados

COBIT® 5 Introduce 5 nuevos procesos de Gobierno

• Apalancando y Mejorando
• COBIT 4.1
• Val IT 2.0
• Risk IT

Esta Dirección Ayuda

• A las empresas a redefinir las prácticas de Gobierno de TI a nivel
ejecutivo
• Soporta la integración con las prácticas de Gobierno Empresarial
• Está alineada con ISO/IEC 38500

Carlos 17
www.isaca.org.uy
Francavilla
 Procesos Nuevos y Modificados

COBIT 5 ha clarificado los procesos del nivel de

Gestión.
Incorporado los contenidos de COBIT 4.1, Val IT y
Risk IT en un nuevo modelo de referencia.

Carlos BMIS 18
www.isaca.org.uy
Francavilla
 Prácticas y Actividades

Prácticas Gobierno o Gestión de COBIT® 5

• Son equivalentes a:
• Objetivos de Control de COBIT 4.1 ¡que desaparecen de COBIT! ¿el nombre COBIT no pierde sentido?
• Procesos de Val IT y Risk IT
• www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-Have-All-the-Control-Objectives-Gone.aspx

Actividades COBIT® 5
• Son equivalentes a:
• Prácticas de Control de COBIT 4.1
• Prácticas de Gestión de Val IT y Risk IT

Integra y Actualiza Todo el contenido previo en un solo modelo

• Facilitando la comprensión y el uso del material cuando se implantan mejoras

Carlos 19
www.isaca.org.uy
Francavilla
 1. Satisfaciendo las
necesidades de los
interesados

2. Cubriendo la
5. Separando empresa de
Gobierno y Gestión extremo a extremo
Principios
COBIT® 5

4. Posibilitando 3. Aplicando un
un enfoque solo marco
holístico integrado

Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

www.isaca.org.uy
 Principio 1. Satisfaciendo las necesidades de los interesados

Las empresas existen para crear valor para sus interesados

Necesidad de los
Interesados

Impulsa
Objetivo de Gobierno: Creación de Valor

Realización Optimización Optimización

De Beneficios de Riesgos De Recursos

Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.

www.isaca.org.uy
 Principio 1. Satisfaciendo las necesidades de los interesados

La Empresa Pueden tener muchos interesados.

• ‘Crear Valor’ puede ser interpretado de diferentes maneras – y muchas veces con conflicto – para cada uno de
ellos.

Gobierno Es acerca de la negociación y decisión.

• Entre los diferentes necesidades de los interesados.

El sistema de
Debe considerar a todos los interesados
Gobierno
• Cuando toma decisiones de beneficios, recursos y riesgos.
• Por cada decisión, puede y debe preguntarse:
• ¿Quién recibe el beneficio?
• ¿Quién asume el riego?
• ¿Qué recursos se necesitan?

www.isaca.org.uy
 Principio 1. Satisfaciendo las necesidades de los interesados
 Las necesidades de los
interesados deben
traducirse a una estrategia
de acción de la empresa.
 La cascada de objetivos de
COBIT® 5, traslada las
necesidades de los
interesados en
 Objetivos específicos
 Acciones concretas y
personalizadas dentro del
contexto de la empresa
 Objetivos relacionados de TI
 Objetivos facilitadores o
activadores de las metas.
www.isaca.org.uy
Impulsores de los Interesados
Ambiente, Evolución de la Tecnología, …
Influencian
Necesidades de los Interesados
Realización de Beneficios Optimización de Riesgo
Optimización de
Recursos
Cascada a
Objetivos de la Empresa
Cascada a
Objetivos Relacionados con TI
Cascada a
Objetivos Facilitadores
Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
 Principio 1. Satisfaciendo las necesidades de los interesados

Beneficios de la cascada de objetivos de COBIT® 5

Permiten la definición de prioridades de implantación.
Aseguramiento del gobierno de TI basado en objetivos de la empresa y sus riesgos
relacionados.

En la práctica;
Define objetivos relevantes y tangibles y objetivos a varios niveles de responsabilidad.
Filtra la base de conocimiento de COBIT 5, sobre la base de objetivos de la empresa para extraer la
orientación pertinente para su inclusión en los proyectos específicos de implantación, mejora o
aseguramiento.
Identifican y comunican claramente la importancia de los facilitadores (a veces muy operativa) para
lograr los objetivos de la empresa.

www.isaca.org.uy
 Principio 2. Cubriendo la empresa de extremo a extremo

Se refiere al Gobierno y Gestión de TI empresarial y

COBIT 5 las tecnologías relacionadas.
• Desde una perspectiva de empresa completa, de extremo a extremo.

Integra Gobierno de TI en el Gobierno Empresario.

• COBIT® 5 se integra fácilmente con cualquier sistema de Gobierno porque está
alineado con las últimas visiones de Gobierno.

Todas las funciones y procesos dentro de la

Cubre empresa.
• COBIT® 5 no solo se enfoca en la «función de TI» trata la información y las
tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro
en la empresa.

www.isaca.org.uy
 Principio 2. Cubriendo la empresa de extremo a extremo
Objetivo de Gobierno: Creación de Valor
Realización Optimización Optimización
De Beneficios de Riesgos De Recursos

Facilitadores Alcance
De Gobierno De Gobierno

Roles, Actividades y Relaciones

Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.

Roles, Actividades y Relaciones

Delega Dirección Instruye
Dueños y Cuerpo de Operación
Accionistas Gestión
Gobierno y Ejecución
Cuentas Supervisa Informa

Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.

www.isaca.org.uy
 Principio 5. Separando Gobierno y Gestión

COBIT® 5 hace una clara distinción entre Gobierno y Gestión

• Abarcan diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Sirven propósitos diferentes

Gobierno
• En la mayoría de las empresas, el Gobierno es responsabilidad del Consejo
de Dirección con el liderazgo del Presidente

Gestión
• En la mayoría de las empresas, la Gestión es responsabilidad de los
ejecutivos bajo el liderazgo del CEO

www.isaca.org.uy
Carlos Francavilla 27
 Principio 5. Separando Gobierno y Gestión
Gobierno

Gestión
• Asegura el cumplimiento de • Planea, Construye, Opera y
objetivos empresariales Supervisa (Monitor)
• Evalúa necesidades, condiciones • Las actividades fijadas y
y opciones de los interesados acordadas por el cuerpo de
• Dirige a través de la priorización gobierno
y toma de decisiones
• Supervisa (Monitor) el • Ciclo PBRM
desempeño y cumplimiento
contra la dirección y los objetivos
acordados

• Ciclo EDM

www.isaca.org.uy
Carlos Francavilla 28
 Principio 5. Separando Gobierno y Gestión
COBIT® 5 no es prescriptivo, aboga por que las organizaciones implanten procesos de gobierno y gestión de manera
tal que las áreas claves están cubiertas como se muestra en la figura

Necesidades del Negocio

Gobierno
Evaluar

Dirigir Supervisar

Gestión Retroalimentación

Planear Construir Ejecutar Supervisar

(APO) (BAI) (DSS) (MEA)
www.isaca.org.uy Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.
Carlos Francavilla 29
 Principio 5. Separando Gobierno y Gestión

COBIT® 5 Describe 7 Categorías de Catalizadores

• Los Procesos son una Categoría

Una Empresa Puede organizar sus procesos como mejor le parezca

• Siempre y cuando estén cubiertos todos los objetivos de Gobierno y Gestión
• Las pequeñas empresas pueden tener menor cantidad de Procesos

COBIT® 5 Incluye un modelo de referencia de procesos

• Process Reference Modelo (PRM)
• Describe en detalle Procesos de Gobierno y Gestión
• Los detalles se encuentran en la publicación COBIT® 5 Enabling Processess

www.isaca.org.uy
Carlos Francavilla 30
 3. Estructura 4. Cultura, Ética y
2. Procesos
Organizacional Comportamiento

1. Principios, Políticas y Marcos de Trabajo

6. Servicios, 7. Personas,
5. Información Infraestructura y Habilidades y
Aplicaciones Competencias
Recursos
Fuente: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.
www.isaca.org.uy
 Modelo de Referencia Subdivide la prácticas relacionadas de TI
• Dos áreas principales;
• Gobierno
• Gestión, dividida en: Dominios y Procesos

Dominio Gobierno Contiene 5 procesos

• Dentro de cada proceso se definen las actividades de;
• Evaluar, Dirigir, Supervisar

• Ciclo EDM

4 Dominios de Gestión Están en línea con las áreas de responsabilidad

• Planear, Construir, Ejecutar, Supervisar

• Ciclo PBRM

www.isaca.org.uy
Carlos Francavilla 32
 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI

EDM01 Definir y EDM04 Asegurar EDM05 Asegurar

EDM02 Asegurar EDM03 Asegurar
Mantener el Marco de Optimización de Transparencia para los
Entrega de Beneficios Optimización de Riesgo
Gobierno Recursos Interesados

Alinear, Planear, Organizar (APO) - Procesos Gestión de TI Supervisar, Evaluar,

Valorar (MEA)
APO01 APO03 APO06 APO07
Gestionar el
APO02
Gestionar la
APO04 APO05
Gestionar Gestionar Procesos Gestión
Gestionar la Gestionar Gestionar
Marco de
Estrategia
Arquitectura
Innovación Cartera
Presupuesto y Recursos de TI
Gestión de TI Empresarial Costos Humanos

APO09
APO08 APO10 APO11 APO12 AP13
Gestionar
Gestionar Gestionar Gestionar Gestionar Gestionar
Acuerdos de
Relaciones Proveedores Calidad Riesgo Seguridad
Servicio MEA01
Desempeño y
Conformidad
Construir, Adquirir, Implantar (BAI) – Procesos Gestión de TI

BAI03 Gestionar BAI05 Gestionar BAI07 Gestionar

BAI01 Gestionar BAI02 Gestionar BAI04 Gestionar
Identificación de Facilitación del BAI06 Gestionar Aceptación del
Programas y Definición de Disponibilidad y MEA02
Soluciones y Cambio Cambios Cambio y
Proyectos Requerimientos Capacidad
Construir Organizacional Transición
Sistema de
Control Interno
BAI08 Gestionar BAI09 Gestionar BAI10 Gestionar
Conocimiento Activos Configuración

MEA03
Cumplimiento
Entrega, Servicio, Soporte (DSS) – Procesos Gestión de TI Requerimientos
Externos
DSS02 Gestionar DSS06 Gestionar
DSS01 Gestionar DSS03 Gestionar DSS04 Gestionar DSS05 Gestionar
Requerimientos de Control de Procesos de
Operaciones Problemas Continuidad Servicios de Seguridad
Servicio e Incidentes Negocio

www.isaca.org.uy
Carlos Francavilla 33
Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01 EDM02 EDM03 EDM04 EDM05
Definir y Mantener el Asegurar Entrega de Asegurar Optimización de Asegurar Optimización de Asegurar Transparencia
Marco de Gobierno Beneficios Riesgo Recursos para los Interesados

Descripción y Propósito del Proceso

Métricas
Objetivo relacionado de TI
Relacionadas

Objetivos del Métricas del

Cuadro RACI
Proceso Proceso

www.isaca.org.uy
Carlos Francavilla 34
 Evaluar, Dirigir, Supervisar (EDM) - Procesos Gobierno de TI
EDM01 EDM02 EDM03 EDM04 EDM05
Definir y Mantener el Asegurar Entrega de Asegurar Optimización de Asegurar Optimización de Asegurar Transparencia
Marco de Gobierno Beneficios Riesgo Recursos para los Interesados

Práctica de Gobierno
Guias
Entradas Salidas Actividades
Relacionadas

www.isaca.org.uy
Carlos Francavilla 35
 Integrando Tecnología al Gobierno
Corporativo

Definiendo cual es el rol del directorio en el

Gobierno de Tecnología

Separando claramente las actividades de

Gestión de las de Gobierno

Comprender que Tecnología no está separada

del negocio, en una empresa todos somos el
negocio y tecnología esta fusionada

Vinculando cada Inversión en Tecnología con

Beneficios, Recursos, Riesgos y Transparencia

www.isaca.org.uy
Carlos Francavilla 36
 La pregunta de valor
La pregunta estratégica
¿ Tenemos:
¿ Está la inversión:
 Un conocimiento claro y compartido
 De acuerdo con nuestra visión
de los beneficios esperados
 Coherente con nuestros objetivos de
 Una responsabilidad clara para
negocio
realizar los beneficios
 Contribuyendo a nuestros objetivos
 Una métrica relevante
estratégicos ¿Estamos ¿Estamos  Un proceso eficaz de realización de
 Proporcionando valor a un costo haciendo lo obteniendo los beneficios?
económico y niveles de riego correcto? beneficios?
aceptable ?

¿ Lo estamos
¿ Lo estamos
La pregunta de arquitectura haciendo La pregunta de entrega
logrando bien?
¿ Está la inversión: correctamente? ¿ Tenemos:
 De acuerdo con nuestra arquitectura  Procesos eficaces y disciplinados de
 Coherente con nuestros principios dirección, entrega y gestión de
arquitectónicos cambios
 Contribuyendo a la población de  Recursos técnicos y de negocio
nuestra arquitectura competentes y disponibles para
 En línea con otras iniciativas? entregar:
 Las capacidades necesarias
 Los cambios de organización
necesarios para potenciar las
capacidades?

www.isaca.org.uy
Carlos Francavilla 37
 Muchas Gracias

¿Preguntas?

Carlos Francavilla
carlos@icglatam.com

www.isaca.org.uy
 Como aporta COBIT 5 y gobernanza de
TI a la gobernanza empresarial

Carlos Francavilla
Socio ICG LATAM

www.isaca.org.uy