Presentación Solución de Presentación Solución de GobernabilidadGobernabilidad

SIATI

Sisdata, c.a.

SISDATA, C.A.

• Experiencia de 36 años en desarrollo e implementación de sistemas bancarios

• Fábrica de software de punta

• Consultoría en metodologías y buenas prácticas

• Implementación e integrador de sistemas

• Apoyo de personal altamente calificado con sólida experiencia en sistemas bancarios

DURAN & ASOCIADOS, C.A.

• Experiencia de 6 años en consultoría, talleres, formación e implementación de metodologías y buenas prácticas, adecuación al cumplimiento de normas y regulaciones en tecnología de información y gestión de riesgos operacionales, gobierno de TI.

• Análisis, gestión y evaluación de riesgo operacional y tecnológico

• Auditoría basada en riesgo

• Apoyo consultor en implantación de sistemas

• Apoyo de personal altamente calificado con sólida experiencia en metodologías • Modelos de medición de gestión bancaria

Quienes Somos

Sisdata, c.a.

SISDATA, C.A.

• Instalación de los sistemas y generación de bases de datos COBIT para el Banco

• Levantamiento de información de gobierno de TI y su integración con COBIT y otros sistemas del banco

• Desarrollo de adaptaciones e interfases y carga de recursos de TI de COBIT

• Entrenamiento de utilización de los sistemas

• Pruebas e implementación de los sistemas

• Producción de informes

DURAN & ASOCIADOS, C.A.

• Levantamiento de información de la situación actual de los procesos de TI y objetivos de control de COBIT

• Análisis y evaluación de los niveles de madurez y satisfacción con normativas

• Evaluación de integración con COBIT de los sistemas de riesgo del banco

• Asesoramiento en la guías de implementación de COBIT con el habilitador

• Revisión y análisis de los controles actuales e indicadores de desempeño • Seguimiento de la implementación de los sistemas

Roles y Responsabilidades

El Desarrollo de las El Desarrollo de las PrácticasPrácticas

Orientación para el mejoramiento

5

Qué es el Gobierno de TI

Es parte integral del Gobierno Corporativo, el cual se basa en liderazgo, estructuras y procesos que aseguren que la tecnología de información de la corporación se soporte y abarque los objetivos y estrategias de la organización, siendo este Gobierno responsabilidad de la directiva y gerencia ejecutiva.

Determina el marco de trabajo para soportar la toma de decisiones y asignar la responsabilidad para fomentar el comportamiento deseado en el uso de la Tecnología de Información.

Es el instrumento que permite valorar el equilibrio de poderes y autonomía de las unidades en función de lograr los objetivos comunes.

Gobierno Corporativo: Adecuación

• Adherirse a las legislación, cumplir con las políticas internas y requerimientos de auditoría

Rendimiento• Mejora en la rentabilidad, eficiencia,

efectividad, crecimiento

6

Porqué se requiere el Gobierno de TI

La gestión de tecnología es compleja en la medida que la organización madura

La alta disponibilidad y el mantenimiento de los servicios de carácter estratégico y obligatorio

Se debe alinear la tecnología (y mantenerla) a las estrategias del negocio

Fortalecer la seguridad en sus principios básicos: Confidencialidad, Integridad y Disponibilidad

Cumplir con las regulaciones y

Hacer rentable la tecnología (Costo/Valor)

7

Entrega de valor

Asegurar el enlace ente los planes de TI y los planes del negocio; en la definición, mantenimiento y validación de las propuestas de valor de TI, y en la alineación de las operaciones de TI con las operaciones corporativas.

Ejecutar la propuesta de valor a través del ciclo de desarrollo, asegurándose que la TI haga la entrega de los beneficios prometidos contra la estrategia, concentrándose en la optimización de costos y probando el valor intrínseco de la TI.

La óptima inversión y la adecuada gerencia de los recursos críticos de TI: aplicaciones, información, infraestructura y capital humano. Factores claves relacionados a la optimización del conocimiento e infraestructura.

El Comité de Riesgos debe tener claro entendimiento del apetito corporativo de riesgos, comprendiendo los requerimientos por regulación, transparencia en lo relativo al significado de riesgos, internalizando las responsabilidades de la gerencia de riesgos en toda la organización.

Monitorear la estrategia de implantación, la culminación del proyecto, el uso de los recursos, el rendimiento de los procesos y la entrega de servicios utilizando tableros de control (balanced scorecards); que trasladen la estrategia en acción para alcanzar los objetivos, midiéndolos más allá de las mediciones convencionales.

Medición de rendimiento

Gerencia de riesgos

Gerencia de recursos

Alineación estratégica

Áreas de atención del Gobierno de TI

8

Areas de atención del Gobierno de TI

ExpectativasExpectativas HallazgosHallazgos

Mejora sustancial de los procesos

Automatizar en forma rápida y eficiente

Alto retorno sobre la inversión

Creación de valor en función de la eficiencia y efectividad

Mejora sustancial de los procesos

Automatizar en forma rápida y eficiente

Alto retorno sobre la inversión

Creación de valor en función de la eficiencia y efectividad

Fallas en la implantación de sistemas

Debilidad de soporte

Tecnología inadecuada

Proyectos desfasados

Decisiones sin soporte de información

Los procesos no son tan eficientes a pesar de la tecnología

Fallas en la implantación de sistemas

Debilidad de soporte

Tecnología inadecuada

Proyectos desfasados

Decisiones sin soporte de información

Los procesos no son tan eficientes a pesar de la tecnología

Análisis de Brecha

Análisis de Brecha

9

Cómo interactua el Gobierno Corporativo y el Gobierno de TI

Estrategia

Procesos

Resultados

Valor de las acciones de la Corporativa

ConocimientoInformaciónCapacidad

Recursos

RiesgosActivosRendimiento

Validación

Dirige

Mide

Mejora

Reporta

Utiliza

10

RendimientoObjetivos del Negocio

AdecuaciónSUDEBAN - Regulaciones

COSOGobierno Corporativo

Marco de trabajoGobierno de TI

ISO9001:2000

ISO17000

ISO20000

Estandares y mejores prácticas

ProcedimientosProcesos y Procedimientos

Impulsores de valor del negocio

Seguridad de Información

ITIL

Tablero de Mando (BSC)

El modelo a implementar en la organización

11

Gerencia de Negocios

Establece la dirección de TI, monitorea los resultados e insiste en las medidas de corrección

Define los requerimientos del negocio para TI y asegura que el valor sea despachado y los riesgos sean

Provee y mejora los servicios de TI tal como son requeridos por el negocio

Provee independencia y aseguramiento para demostrar despacha lo que es requerido

Mide y evalúa el cumplimiento de las normativas con politicas, enfocados en la prevención de los riesgos

Riesgo y Cumplimiento

Auditoría de TI

Gerencia de TI

Directorio Ejecutivo

Conductores de valor del Gobierno de TI

12

i

Los recursos de TI Capital humanoy procesos

Información

Los procesos del negocio

Los objetivos del negocios

proveen

a

para alcanzar

La metodología aplicada en la consultoría, permite que se evalúen y determinen las necesidades para que cada etapa se estructure en función de la estrategia tecnológica y su armonización con la estrategia del negocio, constituyendo con esto el Gobierno Corporativo del banco

El camino a la constitución del Gobierno de TI

Conductores de Valor

de los Accionistas

Valor generado por la TI

Administración de riesgo

Alineación estratégica de

TI

Medición de desempeño

Contribuir en el logro de la minimización de las brechas entre los objetivos del negocio, las necesidades de control y los niveles de servicios en un entorno adecuado de gestión de riesgos.

Contribuir en el logro de la minimización de las brechas entre los objetivos del negocio, las necesidades de control y los niveles de servicios en un entorno adecuado de gestión de riesgos.

TECNOLOGIA DEINFORMACION Y

COMUNICACIONES

TECNOLOGIA DEINFORMACION Y

COMUNICACIONESBENEFICIOSBENEFICIOS

RIESGOSRIESGOS

SupervisiónSupervisión

GENERA

GARANTIZA

FACILITADISMINUYE

AUMENTA

NormativaNormativa

ControlesControles

Auditoría de Sistemas

Negocios

Seguridad de Información

Vicepresidencia de Tecnología

Administración Integral de Riesgos

El espíritu de la Norma

14

El Banco Mercantil ha solicitado a SISDATA, una propuesta en la que se desarrolle un proceso de implementación del marco referencial de COBIT®, con los elementos que impulsen la operacionalización de los modelos disponibles en el SIATI para el banco, de tal forma que se identifiquen los factores claves que identifiquen el alcance de implementación y recomendaciones para adecuación, que podrían incidir en el proceso de. En síntesis, un apoyo asesor-especialista que determine la orientación de trabajo, recopilación de las fuentes de información, incorporación de las pautas del marco COBIT® en los procesos de TIC para obtener un aprovechamiento efectivo del habilitador en el formatelicimiento del gobierno de TIC en el banco.

Para el objetivo se han configurado cuatro fases que permitirán de forma estructurada identificar la viabilidad de los modelos, los insumos que se requieren para “alimentarlos” y los productos que se obtendrán de los mismos. Las fases se indican a continuación:

Evaluación

Fijación de objetivos

Desarrollo

ConsolidaciónFase IV

Fase III

Fase II

Fase I

Propuesta

15

El marco de trabajo utilizado se esquematiza de la siguiente forma:

Evaluación contra Estándares

Desarrollo de instrumentos de

recolección y análisis

Información general de la Organización y contexto de TIC

Análisis de BrechaEvaluación entorno

de TI

Análisis de aspectos Fundación TIC,

Gobierno y Auditoría

Recomendaciones y propuestas de ajuste para implementación

Recomendaciones y propuestas de ajuste para implementación

Modelo de gestión en SIATI

Modelo de gestión en SIATI

Talleres de sensibilización

Talleres de sensibilización

Esquema Global de Trabajo

Multisistemas del Control Interno de Tecnología de Información

Gobierno de Tecnología de Información

Sisdata, c.a.

Análisis y Evaluación de Riesgo Tecnológico

Auditoría de Tecnología de Información

Marco Referencial y Componentes de COBIT