Gobernabilidad de TI basada en COBIT Nuestro caso BANCO DE LA REPUBLICA ORIENTAL DEL URUGUAY División Tecnología y Operaciones Gobernabilidad de TI basada en COBIT Nuestro caso Miguel A. Galán, CISA V Congreso Estratégico de Tecnología y Mercadeo Financiero - Agosto 2005 Cartagena de Indias – Colombia 1 @ Copyright B.R.O.U .- 1998 - División Recursos Humanos - Miguel A. Galán
AGENDA BASELINE ESTRATEGIA Alternativas Decisiones Aseguramiento externo SITUACIÓN ACTUAL
BRASIL ARGENTINA Fundado en 1896 114 Sucursales en Uruguay 3 Sucursales en el exterior: Buenos Aires Nueva York San Pablo 3.500 Funcionarios Activos: U$S 4:779 millones + del 50% del mercado. Red de Cajeros Automáticos desde 1978. Actualmente 152 ATMs Acuerdo con 2 redes de pago equivalentes a 100 ATMs. Tarjetas VISA y MasterCard Acuerdo con redes Maestro, Link y Cirrus Banca Telefónica FONOBROU desde 1996 e:BROU desde 2004 100 millones de transacciones anuales Créditos pagos en el momento desde noviembre de 2003 BRASIL ARGENTINA
BRASIL ARGENTINA Fundado en 1896 114 Sucursales en Uruguay 3 Sucursales en el exterior: Buenos Aires Nueva York San Pablo 3.500 Funcionarios Activos: U$S 4:779 millones + del 50% del mercado. Red de Cajeros Automáticos desde 1978. Actualmente 152 ATMs Acuerdo con 2 redes de pago equivalentes a 100 ATMs. Tarjetas VISA y MasterCard Acuerdo con redes Maestro, Link y Cirrus Banca Telefónica FONOBROU desde 1996 e:BROU desde 2004 100 millones de transacciones anuales Créditos pagos en el momento noviembre de 2003 ARGENTINA BRASIL
BASELINE (2000) Instalación informática con larga tradición (+40 años) Reestructura general que incluyó cambio de sistemas y sus tecnologías de base Nuevos sistemas en desarrollo o primeras implementaciones Problemas frecuentes que hacen dudar de los mismos Mayor complejidad y cantidad de elementos Manifiesta necesidad de incorporar nuevos procesos en general, a fin de estabilizar el funcionamiento Falta de implementación de contingencia
Estrategia Accionar de acuerdo a la visión de que nuestras actividades estarán centradas en procesos, así como en la mejora continua de los mismos
VISION DE LA ACTIVIDAD DEL BANCO COMO CONJUNTO DE PROCESOS COBIT, BS 7799 Costeo ABC Control Interno (COSO) Basilea II ISO9000 Mejora continua SOX
Visión a Junio del 2000 Visión Orientación hacia la nueva organización Liderazgo ejecutivo Indicadores Satisfacción del cliente Dueño del proceso Calidad en Procesos Proceso 1 Equipo multifuncional Aprendizaje Alineación al negocio Proceso 2 Desempeño Financiero Proceso 3
Visión de proceso Prácticas producto Personas Tecnología Actúan pensando globalmente, enfocados en el producto
Pero hay malos entendidos Procesos no son necesarios si tenemos.. La mejor gente La tecnología más avanzada Gerentes con experiencia Procesos interfieren con la creatividad Procesos = Burocracia + Autoritarismo Procesos interfieren con las necesidades actuales de ... Procesos solo sirven para proyectos ...
Visión a Junio del 2000 Visión Diagrama de Nadler Lo ideal Teóricamente posible Mi situación real Líder mundial Líder local P1 P2 P3 P4 P5 P6 Zona de oportunidades La expansión de las oportunidades debido al cambio vertiginoso
Visión a Junio del 2000 Visión ¡Qué oportunidad! Zona de oportunidades Riesgos de no adaptarse al cambio ¡Qué oportunidad! Ignorar la expansión de las oportunidades Zona de oportunidades CLIENTE
Visión a Junio del 2000 Visión Nueva dinámica POSIBLE MI SITUACION CLIENTE Todos mirando las oportunidades Todos pensando en nuestros entregables Colaboración
Utilizar algún estándar Estrategia Alternativas Definir los procesos por nuestra cuenta y desarrollar el sistema de mejora sobre los mismos Utilizar algún estándar
¿Porqué usar un estándar? Para obtener: Desde donde comenzar Lenguaje y visión común Experiencia acumulada Modelo de procesos Marco para priorizar acciones y mejoras Prácticas que aseguren procesos efectivos Un marco para compararnos
Modelo de procesos Es una estructura de elementos que describen las características de procesos efectivos. Un buen modelo viene con experiencia de buenas prácticas en su estructura.
COBIT un modelo estándar Objetivos de control como herramienta de auditoria + Enfoque hacia los requerimientos del negocio + Aplicación de modelos de control y estándares internacionales Herramienta para la gestión integral de IT y los riesgos asociados basada en procesos
COBIT ¿Cómo se lleva a cabo el control en IT? Requerimientos del negocio Deben resolverse con Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad ¿Qué obtiene? Para soportar sus procesos Procesos de IT Recursos de IT Utilizando Datos Aplicaciones Tecnología Instalaciones Personal Administrados Medidos (indicadores) Objetivos Performance
Estrategia PLANIFICAR PO ENTENDER SITUACIÓN ENTREGAR DS DISTRIBUCION MONITOREAR M MIDE, CONTROLA Y ASEGURA HACER AI AJUSTAR EL MODELO OPERATIVO ENTREGAR DS DISTRIBUCION Y SOPORTE
Para cada proceso se identifican: Factores Críticos de Éxito (Critical Success Factors — CSFs) Indicadores Claves de objetivos/resultados (Key Goal Indicators—KGIs) Indicadores Claves de Desempeño (Key Performance Indicators—KPIs) Las necesidades del negocio son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indicadores Clave de desempeño - KPIs los cuales consideran los Factores críticos de Éxito - CSFs. La Gobernabilidad de TI se puede apreciar midiendo los procesos.
Estrategia Decisiones Abrir al otro día (2000) Establecer control por proyectos con intervención corporativa, plan operativo y su medición (2000) Adopción interna de COBIT (31/10/2000) Marco de relacionamiento con los clientes y priorización de proyectos (2001) (institucionalización del sistema de proyectos y toma de decisión corporativa)
Estrategia Decisiones Adecuación Tecnológica (2001) Infraestructura Contingencia (Site paralelo) Automatización de procesos Seguridad según BS 7799 Formalización 1er plan estratégico y operativo T&O con institucionalización de COBIT (Febrero 2002) Proceso de toma de decisiones con la Alta Dirección Comisión de Tecnología (2002) Comité Proyectos Tecnológicos (2002)
PLANIFICADAMENTE (febrero 2002) A PARTIR DEL PLAN ESTRATÉGICO EN EL QUE INTERVIENE T&O PLAN ESTRATÉGICO TECNOLÓGICO BASADO EN EL NEGOCIO CORROBORADO EN COMISIÓN DE TECNOLOGÍA PLAN OPERATIVO TECNOLÓGICO CONSTRUÍDO CON EL NEGOCIO PRIORIZADO POR EL COMITÉ DE PROYECTOS TECNOLÓGICOS
Estrategia Aseguramiento externo Oficina de Auditoria Interna Banco Central del Uruguay Auditoria externa (2000 - 2003) Auditoria en Sistemas del Tribunal de Cuentas (2001) Asesorías Externas Benchmarking (2002) Metodología propietaria de una consultora COBIT realizado por OAI
SITUACIÓN ACTUAL En el Plan estratégico aprobado a nivel de Directorio está establecido COBIT y los principios de IT Governance como estándar a seguir Lo que se ha decidido desde el 2000 coincide con la visión COBIT Se han asignado responsabilidades para los procesos COBIT (2002)
SITUACIÓN ACTUAL Se comienza en el 2002 con mediciones de acuerdo a los niveles de madurez definidos en COBIT Management Guidelines Decisión del BCU acerca de COBIT oficia como acelerador de la implantación (2003)
Niveles de madurez 0 No existente – No se aplican procesos. 1 2 3 4 5 0 No existente – No se aplican procesos. 1 Inicial – Procesos ad-hoc y desorganizados. 2 Repetible – Procesos con patrón regular. 3 Definido – Procesos documentados y comunicados. 4 Administrados – Procesos monitoreados y medidos. 5 Optimizados – Se siguen las mejores prácticas y están automatizadas
MIDIENDO
MIDIENDO
MIDIENDO
MIDIENDO
La Gobernabilidad de TI se puede apreciar midiendo los procesos. CONCLUSION La Gobernabilidad de TI se puede apreciar midiendo los procesos. COBIT aporta un modelo estándar para hacerlo.
División Tecnología y Operaciones BANCO DE LA REPUBLICA ORIENTAL DEL URUGUAY División Tecnología y Operaciones Nuestra experiencia en COBIT Muchas Gracias ! Miguel.galan@brou.com.uy