Presentación Solución de Gobernabilidad SIATI
Quienes Somos Sisdata, c.a. SISDATA, C.A. Experiencia de 36 años en desarrollo e implementación de sistemas bancarios Fábrica de software de punta Consultoría en metodologías y buenas prácticas Implementación e integrador de sistemas Apoyo de personal altamente calificado con sólida experiencia en sistemas bancarios DURAN & ASOCIADOS, C.A. Experiencia de 6 años en consultoría, talleres, formación e implementación de metodologías y buenas prácticas, adecuación al cumplimiento de normas y regulaciones en tecnología de información y gestión de riesgos operacionales, gobierno de TI. Análisis, gestión y evaluación de riesgo operacional y tecnológico Auditoría basada en riesgo Apoyo consultor en implantación de sistemas Apoyo de personal altamente calificado con sólida experiencia en metodologías Modelos de medición de gestión bancaria Sisdata, c.a.
Roles y Responsabilidades SISDATA, C.A. Instalación de los sistemas y generación de bases de datos COBIT para el Banco Levantamiento de información de gobierno de TI y su integración con COBIT y otros sistemas del banco Desarrollo de adaptaciones e interfases y carga de recursos de TI de COBIT Entrenamiento de utilización de los sistemas Pruebas e implementación de los sistemas Producción de informes DURAN & ASOCIADOS, C.A. Levantamiento de información de la situación actual de los procesos de TI y objetivos de control de COBIT Análisis y evaluación de los niveles de madurez y satisfacción con normativas Evaluación de integración con COBIT de los sistemas de riesgo del banco Asesoramiento en la guías de implementación de COBIT con el habilitador Revisión y análisis de los controles actuales e indicadores de desempeño Seguimiento de la implementación de los sistemas Sisdata, c.a.
El Desarrollo de las Prácticas Orientación para el mejoramiento
Gobierno Corporativo: Qué es el Gobierno de TI Es parte integral del Gobierno Corporativo, el cual se basa en liderazgo, estructuras y procesos que aseguren que la tecnología de información de la corporación se soporte y abarque los objetivos y estrategias de la organización, siendo este Gobierno responsabilidad de la directiva y gerencia ejecutiva. Determina el marco de trabajo para soportar la toma de decisiones y asignar la responsabilidad para fomentar el comportamiento deseado en el uso de la Tecnología de Información. Es el instrumento que permite valorar el equilibrio de poderes y autonomía de las unidades en función de lograr los objetivos comunes. Gobierno Corporativo: Adecuación Adherirse a las legislación, cumplir con las políticas internas y requerimientos de auditoría Rendimiento Mejora en la rentabilidad, eficiencia, efectividad, crecimiento 5 5
Porqué se requiere el Gobierno de TI La gestión de tecnología es compleja en la medida que la organización madura La alta disponibilidad y el mantenimiento de los servicios de carácter estratégico y obligatorio Se debe alinear la tecnología (y mantenerla) a las estrategias del negocio Fortalecer la seguridad en sus principios básicos: Confidencialidad, Integridad y Disponibilidad Cumplir con las regulaciones y Hacer rentable la tecnología (Costo/Valor) 6 6
Áreas de atención del Gobierno de TI Asegurar el enlace ente los planes de TI y los planes del negocio; en la definición, mantenimiento y validación de las propuestas de valor de TI, y en la alineación de las operaciones de TI con las operaciones corporativas. Alineación estratégica Ejecutar la propuesta de valor a través del ciclo de desarrollo, asegurándose que la TI haga la entrega de los beneficios prometidos contra la estrategia, concentrándose en la optimización de costos y probando el valor intrínseco de la TI. Entrega de valor La óptima inversión y la adecuada gerencia de los recursos críticos de TI: aplicaciones, información, infraestructura y capital humano. Factores claves relacionados a la optimización del conocimiento e infraestructura. Gerencia de recursos El Comité de Riesgos debe tener claro entendimiento del apetito corporativo de riesgos, comprendiendo los requerimientos por regulación, transparencia en lo relativo al significado de riesgos, internalizando las responsabilidades de la gerencia de riesgos en toda la organización. Gerencia de riesgos Monitorear la estrategia de implantación, la culminación del proyecto, el uso de los recursos, el rendimiento de los procesos y la entrega de servicios utilizando tableros de control (balanced scorecards); que trasladen la estrategia en acción para alcanzar los objetivos, midiéndolos más allá de las mediciones convencionales. Medición de rendimiento 7 7
Análisis de Brecha Expectativas Hallazgos Areas de atención del Gobierno de TI Expectativas Hallazgos Mejora sustancial de los procesos Automatizar en forma rápida y eficiente Alto retorno sobre la inversión Creación de valor en función de la eficiencia y efectividad Fallas en la implantación de sistemas Debilidad de soporte Tecnología inadecuada Proyectos desfasados Decisiones sin soporte de información Los procesos no son tan eficientes a pesar de la tecnología Análisis de Brecha 8 8
Valor de las acciones de la Corporativa Cómo interactua el Gobierno Corporativo y el Gobierno de TI Valor de las acciones de la Corporativa Dirige Estrategia Mide Recursos Procesos Conocimiento Información Capacidad Utiliza Validación Resultados Reporta Riesgos Activos Rendimiento Mejora 9 9
Marco de trabajo El modelo a implementar en la organización 10 Rendimiento Objetivos del Negocio Adecuación SUDEBAN - Regulaciones Impulsores de valor del negocio Tablero de Mando (BSC) COSO Gobierno Corporativo Marco de trabajo Gobierno de TI Estandares y mejores prácticas ISO 9001:2000 ISO 17000 ISO 20000 Procesos y Procedimientos Procedimientos Seguridad de Información ITIL 10 10
Directorio Ejecutivo Gerencia de Negocios Gerencia de TI Conductores de valor del Gobierno de TI Directorio Ejecutivo Establece la dirección de TI, monitorea los resultados e insiste en las medidas de corrección Define los requerimientos del negocio para TI y asegura que el valor sea despachado y los riesgos sean Gerencia de Negocios Provee y mejora los servicios de TI tal como son requeridos por el negocio Gerencia de TI Auditoría de TI Provee independencia y aseguramiento para demostrar despacha lo que es requerido Riesgo y Cumplimiento Mide y evalúa el cumplimiento de las normativas con politicas, enfocados en la prevención de los riesgos 11 11
i El camino a la constitución del Gobierno de TI 12 La metodología aplicada en la consultoría, permite que se evalúen y determinen las necesidades para que cada etapa se estructure en función de la estrategia tecnológica y su armonización con la estrategia del negocio, constituyendo con esto el Gobierno Corporativo del banco para alcanzar Los objetivos del negocios i Los procesos del negocio a Información Conductores de Valor de los Accionistas Valor generado por la TI Administración de riesgo Alineación estratégica de TI Medición de desempeño proveen Los recursos de TI Capital humano y procesos 12 12
El espíritu de la Norma RIESGOS BENEFICIOS Contribuir en el logro de la minimización de las brechas entre los objetivos del negocio, las necesidades de control y los niveles de servicios en un entorno adecuado de gestión de riesgos. Auditoría de Sistemas Negocios Seguridad de Información Vicepresidencia de Tecnología Administración Integral de Riesgos TECNOLOGIA DE INFORMACION Y COMUNICACIONES BENEFICIOS RIESGOS Supervisión GENERA GARANTIZA FACILITA DISMINUYE AUMENTA Normativa Controles 13
Propuesta Evaluación Fijación de objetivos Desarrollo Consolidación El Banco Mercantil ha solicitado a SISDATA, una propuesta en la que se desarrolle un proceso de implementación del marco referencial de COBIT®, con los elementos que impulsen la operacionalización de los modelos disponibles en el SIATI para el banco, de tal forma que se identifiquen los factores claves que identifiquen el alcance de implementación y recomendaciones para adecuación, que podrían incidir en el proceso de. En síntesis, un apoyo asesor-especialista que determine la orientación de trabajo, recopilación de las fuentes de información, incorporación de las pautas del marco COBIT® en los procesos de TIC para obtener un aprovechamiento efectivo del habilitador en el formatelicimiento del gobierno de TIC en el banco. Para el objetivo se han configurado cuatro fases que permitirán de forma estructurada identificar la viabilidad de los modelos, los insumos que se requieren para “alimentarlos” y los productos que se obtendrán de los mismos. Las fases se indican a continuación: Fase I Evaluación Fase II Fijación de objetivos Fase III Desarrollo Fase IV Consolidación
Esquema Global de Trabajo El marco de trabajo utilizado se esquematiza de la siguiente forma: Evaluación contra Estándares Desarrollo de instrumentos de recolección y análisis Información general de la Organización y contexto de TIC Análisis de Brecha Evaluación entorno de TI Análisis de aspectos Fundación TIC, Gobierno y Auditoría Recomendaciones y propuestas de ajuste para implementación Modelo de gestión en SIATI Talleres de sensibilización
Multisistemas del Control Interno de Tecnología de Información Gobierno de Tecnología de Información Marco Referencial y Componentes de COBIT Análisis y Evaluación de Riesgo Tecnológico Auditoría de Tecnología de Información Sisdata, c.a.