kpmg - presentacion gobierno de ti - 24oct2012€¦ · no se ha alineado el catálogo de servicios...
TRANSCRIPT
Seminario Internacional
Cooperativas de Ahorro y Crédito
Gobierno de TIGobierno de TI
24 de octubre de 201224 de octubre de 2012
Agenda
Gobierno Corporativo de TI y CobiT
I. Resultados de la normativa CobiT de SUGEF (14-09)
Principales hallazgosPrincipales hallazgos
Nuestra experiencia
II. Gobierno Corporativo de TI
Efectos de un deficiente GCEfectos de un deficiente GC
¿Qué es? / Objetivo /Aporte /Roles
Efectos de un deficiente GC
R bilid d d l C j d Ad i i t ióResponsabilidades del Consejo de Administración
III. Recomendaciones
Esquema de evaluación propuesto - Por etapas
ÉGestión del Cumplimiento y del IT Governance - Factores Críticos de Éxito
Tendencias y Contexto
Gestión del Cumplimiento y del IT Governance - esquema general
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
1
Gestión del Cumplimiento y del IT Governance - algunos KPI relevantes
I. Resultados de la normativa CobiT de SUGEF (14-09)
Principales hallazgos
LimitacionesP l
Aspectos positivos I i i t tPersonal escaso para
implementación y seguimiento de controles requeridos por la Normativa en algunos casos no se
Inversiones importantes en implementación, capacitación y asesoría para alinear las entidades con las mejores prácticas de laNormativa, en algunos casos no se
ha asignado un responsable para estos temas.
Ti i fi i t l
con las mejores prácticas de la Industria.
Inversiones importantes en I f t t T ló iTiempo insuficiente para la
implementación de los controles.
No existe seguimiento de la
Infraestructura Tecnológica como software, hardware, centros alternos de cómputo etc.
mayoría de los controles una vez finalizada la Auditoría.
Enfoque al Cumplimiento.
Involucramiento importante de las áreas de Negocio en temas de la Normativa.
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
2
I. Resultados de la normativa CobiT de SUGEF (14-09)
Nuestra Experiencia
LIMITACIONES EN ENTIDADES
Personal escaso para implementación y seguimiento de controles requeridos por la Normativa, en algunos casos no se ha asignado un
blresponsable para estos temas.
Tiempo insuficiente para la implementación deTiempo insuficiente para la implementación de los controles.
No existe seguimiento de la mayoría de los controles una vez finalizada la Auditoría.
E f l C li i t
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
3
Enfoque al Cumplimiento.
I. Resultados de la normativa CobiT de SUGEF (14-09)
Nuestra Experiencia
Inversiones importantes en implementación, capacitación y asesoría para alinear las entidades
ASPECTOS POSITIVOS
con las mejores prácticas de la Industria.
Inversiones importantes en Infraestructura Tecnológica como software, hardware, centros galternos de cómputo etc.
Involucramiento importante de las áreas de Negocio en temas de la Normativa.
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
4
I. Resultados de la normativa CobiT de SUGEF (14-09)
Nuestra Experiencia
Incorrecta definición de:• Riesgos de TI (con esfuerzos
duplicados y sin coordinación)
PRINCIPALES HALLAZGOS
No se registran las excepciones de control
• Servicios críticos de TI• Programas de proyectos de TI
No se registran las excepciones de control
No se administra el riesgos de los proveedores.
No se han establecido niveles de confiabilidad de la información
No se acuerda con el negocio y TI la información que debe ser respaldada
No se ha alineado el catálogo de servicios del negocio al Plan de Continuidad del negocio
No se han establecido lineamientos de leyes y regulaciones que debe de cumplir la organización
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
5
No se han establecido lineamientos de leyes y regulaciones que debe de cumplir la organización
II. Gobierno Corporativo de TIEfectos de un deficiente GC
Prácticas deficientes Efecto en Efecto en en el Macro nivel el Mercado Financiero las Empresas
• Ineficiencia
• Corrupción
• Exceso de trámites• Exceso de trámites
• Inseguridad
• Poca calidad de la $%”@!!Información Financiera
• Inadecuado manejode riesgo
$% @!!
de riesgo
• Mala “reputación”internacional
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
6666
II. Gobierno Corporativo de TI ¿Qué es?
Gobierno Corporativo: La forma en que se administran y se controlan las sociedades. q y
Refleja las relaciones entre socios o accionistas, la junta directiva y la gerencia.
B G bi C tiBuen Gobierno Corporativo: Son los estándares mínimos adoptados por una sociedad, con el fin de garantizar una recta gerencia, el derecho de los socios o accionistas, las responsabilidades de la junta directiva la fluidez de la información y las relaciones con los grupos dede la junta directiva, la fluidez de la información y las relaciones con los grupos de interés “Stakeholders”
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
7
II. Gobierno Corporativo de TI ¿Cuál es el objetivo del GC?
La gerencia maneja el negocio........
El gobierno .... El gobierno corporativo vigila que el negocio se maneje adecuadamente
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
adecuadamente.
8
II. Gobierno Corporativo de TI ¿Qué aporta el GC?
Estudios aseguran que el GC:g q
Incrementa el valor de la acción en el mercado
Impulsa al inversionista a buscar acciones de Cooperativas que se administren Impulsa al inversionista a buscar acciones de Cooperativas que se administren bajo un marco de GC
Se considera tan importante como el rendimiento financiero. Esto ya que representa el potencial de generación a futurorepresenta el potencial de generación a futuro
Reduce riesgos extraordinarios de negocios
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
9
II. Gobierno Corporativo de TI Rol de los Principales Actores Corporativos
Proveer el CapitalAccionistas Elegir la Junta Directiva
Asumir el riesgo residual de la empresa
Junta Directiva
Representar a todos los accionistasDesarrollar la estrategia de alto nivelVelar por el largo plazo de la organizaciónVelar por el largo plazo de la organizaciónDesarrollar el sistema de gobierno corporativo
Gerencia Transformar la estrategia en resultados
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
10
II. Gobierno Corporativo de TI Efectos de un deficiente GC
Prácticas deficientes Efecto en Efectos en el Efectos Gobierno de Corporativo en la empresa Mercado Económicos
• Ineficiencia
• Desgreño Administrativo
Poco
•Inseguridad
•Desconfianza
•Precariedad económica
Q i b
• Compensaciónexcesiva para administrativos
crecimiento
Recesión•Disminución de las inversiones
•Quiebra
•Deudas impagables
• Inequidad en elReparto de Utilidades
• Poca calidad de la InformaciónInformación Financiera
• Inadecuado manejode riesgoF d
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
• Fraude
11
II. Gobierno Corporativo de TI Responsabilidades del Consejo de Administración
Desarrollar dirección estratégica de alto nivel, que tienda a aumentar el valor de la Cooperativa :
Objetivo general
Misión Misión,
Visión,
Valores y
Normas de conducta
Políticas generales
Propuestas de valor Propuestas de valor
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
12
III. RecomendacionesEsquema de evaluación propuesto
Por etapas
DiagnósticoDiagnóstico
R d iRecomendaciones
Seguimiento
Auditoria reglamentaria© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
13
III. RecomendacionesEsquema de evaluación propuesto
Por etapas
Actividades: Id tifi l bl d
Diagnóstico
Recomendaciones
Identificar alcance y responsable de procesos.Aplicar el diagnóstico al menos con 6 meses de anticipación. Establecer técnicas para realizar el
DiagnósticoDiagnóstico
Seguimiento
Auditoria reglamentaria
Establecer técnicas para realizar el diagnostico. Identificar las brechas existentes y las oportunidades de mejora.Aplicar la Matriz de Evaluación emitida por la SUGEF. Identificar el nivel de madurez del proceso evaluadoevaluado.Obtener una calificación aproximada por proceso y nota global .Comunicar los resultados a los responsables
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
14
interesados.
III. RecomendacionesEsquema de evaluación propuesto
Por etapas
Actividades:Entrega de recomendaciones detalladas
Diagnóstico
Recomendaciones
Entrega de recomendaciones detalladas.Consideraciones del costo- beneficio por parte
de la organización para implementar las recomendaciones emitidas.Recomendaciones
Seguimiento
Auditoria reglamentaria
Elaboración de un Plan Correctivo, :1.Proceso.2.Oportunidades de mejora.3.Prioridad.4.Descripción de las actividades a realizar.5.Responsables.6.Área. 7.Fechas de implementación.8.Recursos necesarios.
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
15
Comunicar los resultados a los interesados.
III. RecomendacionesEsquema de evaluación propuesto
Por etapas
Actividades:
Diagnóstico
Recomendaciones
Efectuar un seguimiento al Plan Correctivo.
Establecer la periodicidad del Seguimiento
Auditoria reglamentaria
pseguimiento en conjunto con la organización.
Determinar desviaciones e impacto de
Seguimiento
Determinar desviaciones e impacto de no implementar las acciones consideradas en el Plan Correctivo.
C i l lt d lComunicar los resultados a los responsables interesados.
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
16
III. RecomendacionesEsquema de evaluación propuesto
Por etapas
Actividades:Establecer el alcance y responsables de los procesos
Diagnóstico
Recomendaciones
procesos.Establecer el período de la auditoría.Establecer mecanismos de entrega de información y comunicación.
Seguimiento
Auditoria reglamentaria
información y comunicación. Identificar las oportunidades de mejora.Solicitar la evidencia soporte. Identificar el nivel de madurez del proceso
Auditoria reglamentaria p
evaluado.Obtener una calificación aproximada porproceso y nota global.D t l t i d l ió itidDocumentar la matriz de evaluación emitida porla SUGEF.Elaborar el reporte de acuerdo al formatosolicitado por la SUGEF.
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
17
pPresentación de resultados obtenidos.
III. RecomendacionesFactores Críticos de Éxito
No enfocarse en un marco de referencia “mínima”: CobiT no es suficiente para una gestión de primer nivel!!!Más bien tili ar n esq ema mi toMás bien utilizar un esquema mixto.
No pretender implementar el 100% ni el nivel de madurez máximo: Internacionalmente, las organizaciones con mayor madurez
no lo hacenno lo hacen. La relación costo /beneficios no es justificable.
No ajustar innecesariamente metodologías propias (ejemplo Desarrollo de Sistemas) a la matriz SUGEF.Desarrollo de Sistemas) a la matriz SUGEF.
Implementar un esquema aseguramiento de calidad y mejora continua - QMS.
Implementar un mecanismo de gestión de inconformidades Implementar un mecanismo de gestión de inconformidades.
Subsanar las necesidades capacitación del personal involucrado.
Incorporar la gestión del IT Governance al marco de Gobierno C i
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
18
Corporativo.
III. RecomendacionesTendencias y Contexto
Marcos de referencia disponibles COSO
SarbanesOxley
Basel IISolvencyII
8. EU AuditRichtlinie
AktG/ GmbHG
Governance
Ap R
Pro
Serv
Qu
a
GovernanceCOBIT®
IT P
rocess
pp
lication
s-
Risks &
Secu
oject M
anage
vice Man
age
ality Man
age
COBITValIT
Management
IT Factoryes
.
urity
emen
t
emen
t
emen
t
ValIT
SixSigma
CMMI
Factory IT Factory
V-Modell
ISO
27002BS
25999PMI ITIL
SixSigmaISO9000Factory
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
27002 25999 PRINCE2 ISO20000
III. RecomendacionesGestión del Cumplimiento y del IT Governance
- esquema general
Establecer un marco comprehensivo
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
III. RecomendacionesGestión del Cumplimiento y del IT Governance
- algunos KPI relevantes
A. Estrategia del proyecto de cumplimiento con la normativa SUGEF 14-09 A.1 Incorporación del proyecto de cumplimiento en el plan estratégico de negocio
No forma parte Hay algunas Cumplir con□ No forma parte de la estrategia de Negocio..
□ Hay algunas referencias generales sobre cumplimiento.
□ Cumplir con SUGEF 1409 es una prioridad estratégica documentada en el Plan de Negocio.
A.2 Estrategia formalmente declarada a un año plazoA.2 Estrategia formalmente declarada a un año plazo
□ Llegar a un nivel de normalidad.
□ Considerar CobiT 5.
□ Implementar CobiT 5.
A.3 Prácticas y normativas complementarias que actualmente se aplican como complemento a
CobiT 4 0CobiT 4.0
□ Ninguna otra (solo CobiT 4).
□ Se utilizan referencias de otras normativas.
□ Se han implementado varias normas complementarias (ITIL, ISO, …)
A.4 Esquema de atención al cumplimiento con SUGEF 14-09
□ La meta última es mantener un nivel de normalidad.
□ Se considera que CobiT podría mejorar algunos aspectos de la gestión de TI
□ CobiT es un insumo valioso para orientar, medir y mejorar la gestión de TI
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
gestión de TI. TI.
III. RecomendacionesGestión del Cumplimiento y del IT Governance
- algunos KPI relevantes
B. Dirección del proyecto
B.1 Responsabilidad en la dirección del proyecto de cumplimiento con SUGEF 14-09
□ Responsabilidad de un asesor externo.
□ Responsabilidad completa del área de TI.
□ Responsabilidad compartida entre TI y Negocio.
B.2 Cantidad de personas responsables a tiempo completo del proyecto de cumplimiento con
SUGEF 14-09
□ Ninguna persona.
□ 1 persona.
□ 2 o más personas. □ □ □
B.3 Participación de la Adminsitración en el proyecto
□ Se le informa de la
□ Han recibido alg na
□ CobiT es uno de los ins mos para el□ de la
calificación. □ alguna
capacitación en CobiT.
□ insumos para el Gobierno Corporativo.
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
III. RecomendacionesGestión del Cumplimiento y del IT Governance
- algunos KPI relevantes
C. Seguimiento al logro de beneficios y objetivos C.1 Cantidad de autoevaluaciones anuales
□ Ninguna. □ 1 (según requiere SUGEF)
□ 2 o más.
C.2 Se ha implementado un Sistema de Gestión de la Calidad de TI
□ No se ha implementado.
□ Se ha implementado para algunos procesos y
t l t
□ Se ha implementado y se aplica consistentemente.
eventualmente su aplicación es inconsistente.
C.3 Se han formalizado procedimientos de medición de la mejora continua de la gestión de TI
No se han De manera Se ha formalizado□ No se han formalizado. □
De manera puntual, se identifican algunas oportunidades de mejora.
□ Se ha formalizado un procedimiento de medición y se aplica consistentemente.
C.4 Se ha formalizado un procedimiento para la identificación y gestión de inconformidades en la
gestión y controles de TI
□ No se identifican y documentan formalmente
□ Se identifican únicamente para algunos procesos y eventualmente
□ Se ha formalizado el proceso y se aplica consistentemente.
© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
yel proceso es inconsistente
Gracias por su atenciónatención
¿Preguntas?¿ egu tas
Contactos:Luis RiveraManagement Consulting ServicesT léf +506 2201 4171Teléfono +506 [email protected]
Laura MurilloManagement ConsultingTeléfono +506 2201-4156Teléfono +506 2201 [email protected]
© 2012 KPMG S.A., sociedad anónima costarricense y firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”) una entidad suiza. Derechos reservados. Impreso en Costa Rica
KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”) una entidad suiza.