kpmg - presentacion gobierno de ti - 24oct2012€¦ · no se ha alineado el catálogo de servicios...

Seminario Internacional

Cooperativas de Ahorro y Crédito

Gobierno de TIGobierno de TI

24 de octubre de 201224 de octubre de 2012

Agenda

Gobierno Corporativo de TI y CobiT

I. Resultados de la normativa CobiT de SUGEF (14-09)

Principales hallazgosPrincipales hallazgos

Nuestra experiencia

II. Gobierno Corporativo de TI

Efectos de un deficiente GCEfectos de un deficiente GC

¿Qué es? / Objetivo /Aporte /Roles

Efectos de un deficiente GC

R bilid d d l C j d Ad i i t ióResponsabilidades del Consejo de Administración

III. Recomendaciones

Esquema de evaluación propuesto - Por etapas

ÉGestión del Cumplimiento y del IT Governance - Factores Críticos de Éxito

Tendencias y Contexto

Gestión del Cumplimiento y del IT Governance - esquema general

© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.

1

Gestión del Cumplimiento y del IT Governance - algunos KPI relevantes


Principales hallazgos

LimitacionesP l

Aspectos positivos I i i t tPersonal escaso para

implementación y seguimiento de controles requeridos por la Normativa en algunos casos no se

Inversiones importantes en implementación, capacitación y asesoría para alinear las entidades con las mejores prácticas de laNormativa, en algunos casos no se

ha asignado un responsable para estos temas.

Ti i fi i t l

con las mejores prácticas de la Industria.

Inversiones importantes en I f t t T ló iTiempo insuficiente para la

implementación de los controles.

No existe seguimiento de la

Infraestructura Tecnológica como software, hardware, centros alternos de cómputo etc.

mayoría de los controles una vez finalizada la Auditoría.

Enfoque al Cumplimiento.

Involucramiento importante de las áreas de Negocio en temas de la Normativa.


2


Nuestra Experiencia

LIMITACIONES EN ENTIDADES

Personal escaso para implementación y seguimiento de controles requeridos por la Normativa, en algunos casos no se ha asignado un

blresponsable para estos temas.

Tiempo insuficiente para la implementación deTiempo insuficiente para la implementación de los controles.

No existe seguimiento de la mayoría de los controles una vez finalizada la Auditoría.

E f l C li i t


3

Enfoque al Cumplimiento.


Nuestra Experiencia

Inversiones importantes en implementación, capacitación y asesoría para alinear las entidades

ASPECTOS POSITIVOS

con las mejores prácticas de la Industria.

Inversiones importantes en Infraestructura Tecnológica como software, hardware, centros galternos de cómputo etc.

Involucramiento importante de las áreas de Negocio en temas de la Normativa.


4


Nuestra Experiencia

Incorrecta definición de:• Riesgos de TI (con esfuerzos

duplicados y sin coordinación)

PRINCIPALES HALLAZGOS

No se registran las excepciones de control

• Servicios críticos de TI• Programas de proyectos de TI

No se registran las excepciones de control

No se administra el riesgos de los proveedores.

No se han establecido niveles de confiabilidad de la información

No se acuerda con el negocio y TI la información que debe ser respaldada

No se ha alineado el catálogo de servicios del negocio al Plan de Continuidad del negocio

No se han establecido lineamientos de leyes y regulaciones que debe de cumplir la organización


5

No se han establecido lineamientos de leyes y regulaciones que debe de cumplir la organización

II. Gobierno Corporativo de TIEfectos de un deficiente GC

Prácticas deficientes Efecto en Efecto en en el Macro nivel el Mercado Financiero las Empresas

• Ineficiencia

• Corrupción

• Exceso de trámites• Exceso de trámites

• Inseguridad

• Poca calidad de la $%”@!!Información Financiera

• Inadecuado manejode riesgo

$% @!!

de riesgo

• Mala “reputación”internacional


6666

II. Gobierno Corporativo de TI ¿Qué es?

Gobierno Corporativo: La forma en que se administran y se controlan las sociedades. q y

Refleja las relaciones entre socios o accionistas, la junta directiva y la gerencia.

B G bi C tiBuen Gobierno Corporativo: Son los estándares mínimos adoptados por una sociedad, con el fin de garantizar una recta gerencia, el derecho de los socios o accionistas, las responsabilidades de la junta directiva la fluidez de la información y las relaciones con los grupos dede la junta directiva, la fluidez de la información y las relaciones con los grupos de interés “Stakeholders”


7

II. Gobierno Corporativo de TI ¿Cuál es el objetivo del GC?

La gerencia maneja el negocio........

El gobierno .... El gobierno corporativo vigila que el negocio se maneje adecuadamente


adecuadamente.

8

II. Gobierno Corporativo de TI ¿Qué aporta el GC?

Estudios aseguran que el GC:g q

Incrementa el valor de la acción en el mercado

Impulsa al inversionista a buscar acciones de Cooperativas que se administren Impulsa al inversionista a buscar acciones de Cooperativas que se administren bajo un marco de GC

Se considera tan importante como el rendimiento financiero. Esto ya que representa el potencial de generación a futurorepresenta el potencial de generación a futuro

Reduce riesgos extraordinarios de negocios


9

II. Gobierno Corporativo de TI Rol de los Principales Actores Corporativos

Proveer el CapitalAccionistas Elegir la Junta Directiva

Asumir el riesgo residual de la empresa

Junta Directiva

Representar a todos los accionistasDesarrollar la estrategia de alto nivelVelar por el largo plazo de la organizaciónVelar por el largo plazo de la organizaciónDesarrollar el sistema de gobierno corporativo

Gerencia Transformar la estrategia en resultados


10

II. Gobierno Corporativo de TI Efectos de un deficiente GC

Prácticas deficientes Efecto en Efectos en el Efectos Gobierno de Corporativo en la empresa Mercado Económicos

• Ineficiencia

• Desgreño Administrativo

Poco

•Inseguridad

•Desconfianza

•Precariedad económica

Q i b

• Compensaciónexcesiva para administrativos

crecimiento

Recesión•Disminución de las inversiones

•Quiebra

•Deudas impagables

• Inequidad en elReparto de Utilidades

• Poca calidad de la InformaciónInformación Financiera

• Inadecuado manejode riesgoF d


• Fraude

11

II. Gobierno Corporativo de TI Responsabilidades del Consejo de Administración

Desarrollar dirección estratégica de alto nivel, que tienda a aumentar el valor de la Cooperativa :

Objetivo general

Misión Misión,

Visión,

Valores y

Normas de conducta

Políticas generales

Propuestas de valor Propuestas de valor


12

III. RecomendacionesEsquema de evaluación propuesto

Por etapas

DiagnósticoDiagnóstico

R d iRecomendaciones

Seguimiento

Auditoria reglamentaria© 2012 KPMG, S.A., a Costa Rican Corporation, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.

13


Por etapas

Actividades: Id tifi l bl d

Diagnóstico

Recomendaciones

Identificar alcance y responsable de procesos.Aplicar el diagnóstico al menos con 6 meses de anticipación. Establecer técnicas para realizar el

DiagnósticoDiagnóstico

Seguimiento

Auditoria reglamentaria

Establecer técnicas para realizar el diagnostico. Identificar las brechas existentes y las oportunidades de mejora.Aplicar la Matriz de Evaluación emitida por la SUGEF. Identificar el nivel de madurez del proceso evaluadoevaluado.Obtener una calificación aproximada por proceso y nota global .Comunicar los resultados a los responsables


14

interesados.


Por etapas

Actividades:Entrega de recomendaciones detalladas

Diagnóstico

Recomendaciones

Entrega de recomendaciones detalladas.Consideraciones del costo- beneficio por parte

de la organización para implementar las recomendaciones emitidas.Recomendaciones

Seguimiento


Elaboración de un Plan Correctivo, :1.Proceso.2.Oportunidades de mejora.3.Prioridad.4.Descripción de las actividades a realizar.5.Responsables.6.Área. 7.Fechas de implementación.8.Recursos necesarios.


15

Comunicar los resultados a los interesados.


Por etapas

Actividades:

Diagnóstico

Recomendaciones

Efectuar un seguimiento al Plan Correctivo.

Establecer la periodicidad del Seguimiento


pseguimiento en conjunto con la organización.

Determinar desviaciones e impacto de

Seguimiento

Determinar desviaciones e impacto de no implementar las acciones consideradas en el Plan Correctivo.

C i l lt d lComunicar los resultados a los responsables interesados.


16


Por etapas

Actividades:Establecer el alcance y responsables de los procesos

Diagnóstico

Recomendaciones

procesos.Establecer el período de la auditoría.Establecer mecanismos de entrega de información y comunicación.

Seguimiento


información y comunicación. Identificar las oportunidades de mejora.Solicitar la evidencia soporte. Identificar el nivel de madurez del proceso

Auditoria reglamentaria p

evaluado.Obtener una calificación aproximada porproceso y nota global.D t l t i d l ió itidDocumentar la matriz de evaluación emitida porla SUGEF.Elaborar el reporte de acuerdo al formatosolicitado por la SUGEF.


17

pPresentación de resultados obtenidos.

III. RecomendacionesFactores Críticos de Éxito

No enfocarse en un marco de referencia “mínima”: CobiT no es suficiente para una gestión de primer nivel!!!Más bien tili ar n esq ema mi toMás bien utilizar un esquema mixto.

No pretender implementar el 100% ni el nivel de madurez máximo: Internacionalmente, las organizaciones con mayor madurez

no lo hacenno lo hacen. La relación costo /beneficios no es justificable.

No ajustar innecesariamente metodologías propias (ejemplo Desarrollo de Sistemas) a la matriz SUGEF.Desarrollo de Sistemas) a la matriz SUGEF.

Implementar un esquema aseguramiento de calidad y mejora continua - QMS.

Implementar un mecanismo de gestión de inconformidades Implementar un mecanismo de gestión de inconformidades.

Subsanar las necesidades capacitación del personal involucrado.

Incorporar la gestión del IT Governance al marco de Gobierno C i


18

Corporativo.

III. RecomendacionesTendencias y Contexto

Marcos de referencia disponibles COSO

SarbanesOxley

Basel IISolvencyII

8. EU AuditRichtlinie

AktG/ GmbHG

Governance

Ap R

Pro

Serv

Qu

a

GovernanceCOBIT®

IT P

rocess

pp

lication

s-

Risks &

Secu

oject M

anage

vice Man

age

ality Man

age

COBITValIT

Management

IT Factoryes

.

urity

emen

t

emen

t

emen

t

ValIT

SixSigma

CMMI

Factory IT Factory

V-Modell

ISO

27002BS

25999PMI ITIL

SixSigmaISO9000Factory


27002 25999 PRINCE2 ISO20000

III. RecomendacionesGestión del Cumplimiento y del IT Governance

- esquema general

Establecer un marco comprehensivo



- algunos KPI relevantes

A. Estrategia del proyecto de cumplimiento con la normativa SUGEF 14-09 A.1 Incorporación del proyecto de cumplimiento en el plan estratégico de negocio

No forma parte Hay algunas Cumplir con□ No forma parte de la estrategia de Negocio..

□ Hay algunas referencias generales sobre cumplimiento.

□ Cumplir con SUGEF 1409 es una prioridad estratégica documentada en el Plan de Negocio.

A.2 Estrategia formalmente declarada a un año plazoA.2 Estrategia formalmente declarada a un año plazo

□ Llegar a un nivel de normalidad.

□ Considerar CobiT 5.

□ Implementar CobiT 5.

A.3 Prácticas y normativas complementarias que actualmente se aplican como complemento a

CobiT 4 0CobiT 4.0

□ Ninguna otra (solo CobiT 4).

□ Se utilizan referencias de otras normativas.

□ Se han implementado varias normas complementarias (ITIL, ISO, …)

A.4 Esquema de atención al cumplimiento con SUGEF 14-09

□ La meta última es mantener un nivel de normalidad.

□ Se considera que CobiT podría mejorar algunos aspectos de la gestión de TI

□ CobiT es un insumo valioso para orientar, medir y mejorar la gestión de TI


gestión de TI. TI.



B. Dirección del proyecto

B.1 Responsabilidad en la dirección del proyecto de cumplimiento con SUGEF 14-09

□ Responsabilidad de un asesor externo.

□ Responsabilidad completa del área de TI.

□ Responsabilidad compartida entre TI y Negocio.

B.2 Cantidad de personas responsables a tiempo completo del proyecto de cumplimiento con

SUGEF 14-09

□ Ninguna persona.

□ 1 persona.

□ 2 o más personas. □ □ □

B.3 Participación de la Adminsitración en el proyecto

□ Se le informa de la

□ Han recibido alg na

□ CobiT es uno de los ins mos para el□ de la

calificación. □ alguna

capacitación en CobiT.

□ insumos para el Gobierno Corporativo.




C. Seguimiento al logro de beneficios y objetivos C.1 Cantidad de autoevaluaciones anuales

□ Ninguna. □ 1 (según requiere SUGEF)

□ 2 o más.

C.2 Se ha implementado un Sistema de Gestión de la Calidad de TI

□ No se ha implementado.

□ Se ha implementado para algunos procesos y

t l t

□ Se ha implementado y se aplica consistentemente.

eventualmente su aplicación es inconsistente.

C.3 Se han formalizado procedimientos de medición de la mejora continua de la gestión de TI

No se han De manera Se ha formalizado□ No se han formalizado. □

De manera puntual, se identifican algunas oportunidades de mejora.

□ Se ha formalizado un procedimiento de medición y se aplica consistentemente.

C.4 Se ha formalizado un procedimiento para la identificación y gestión de inconformidades en la

gestión y controles de TI

□ No se identifican y documentan formalmente

□ Se identifican únicamente para algunos procesos y eventualmente

□ Se ha formalizado el proceso y se aplica consistentemente.


yel proceso es inconsistente

Gracias por su atenciónatención

¿Preguntas?¿ egu tas

Contactos:Luis RiveraManagement Consulting ServicesT léf +506 2201 4171Teléfono +506 [email protected]

Laura MurilloManagement ConsultingTeléfono +506 2201-4156Teléfono +506 2201 [email protected]

© 2012 KPMG S.A., sociedad anónima costarricense y firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”) una entidad suiza. Derechos reservados. Impreso en Costa Rica

KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”) una entidad suiza.

kpmg - presentacion gobierno de ti - 24oct2012€¦ · no se ha alineado el catálogo de servicios...

Documents