Implementar un BSC de TI bajo el Marco de Trabajo COBIT...
Balanced Scorecard de TI con COBIT 5 Beneficios y desafíos para Auditoría Lic. Franco N. Rigante, CISA,CRISC,PMP
Conferencista – Biografía Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad de Buenos Aires, certificado como PMP, con estudios de Posgrado en Administración Administración y Planeamiento Estratégico. Estratégico.
Trabajó durante 10 años en el Banco Central de la República Argentina, auditando sistemas informáticos de entidades financieras. Actualmente es Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee experiencia laboral en Alemania, España y Honduras, fue profesor en una Maestría de Auditoría y en carreras universitarias de grado, se ha desempeñado como Consultor para el BID y el Banco Mundial y ha dictado conferencias conferencias para PMI (Argentina), ITSMF (España) e ISACA (Uruguay). Es autor de artículos sobre IT-GRC para medios gráficos especializados y forma parte del equipo de trabajo de ISACA Madrid para la traducción oficial al castellano de COBIT 5.
Agenda – Road Map
Introducción
Balanced
Estrategia
Scorecard
Aplicando COBIT 5 al Balanced Scorecard
Balanced Scorecard y Auditoría
Conclusiones y Cierre
Definiciones de Estrategia 1. f. Arte de dirigir las operaciones militares. 2. f. Arte, traza para dirigir un asunto. 3. f. f. Mat. En un proceso regulable, conjunto conjunto de las
reglas que aseguran una decisión óptima en cada Stratos=Ejército y Agein=Guía) - RAE. momento. (Del griego Stratos=Ejército
Estrategia Estr ategia Org Organizacion anizacional al Describe de qué manera la organización se propone maximizar la Creación de Valor: Medio para alcanzar la Misión y la Visión Un posicionamiento único de la org o rganización anización Opciones y alternativas frente a competidores Define lo que la organización organización hace y NO hace
• • • •
Fuente: Michael Porter What is strategy ?” , “ What ?” Harvard Business Review, Nov/1996
Herramientas Estratégicas
Mapa Estratégico y Perspectivas
Agenda – Road Map
Introducción
Balanced
Estrategia
Scorecard
Aplicando COBIT 5 al Balanced Scorecard
Balanced Scorecard y Auditoría
Conclusiones y Cierre
Balanced Scorecard - Definición “Sistema de gestión y planificación estratégica usado
para alinear las actividades del negocio con la visión y la estrategia, mejorando la comunicación interna y externa y monitoreando la performance de la empresa contra los objetivos estratégicos.” (Balanced Scorecard Institute)
Robert Kaplan
David Norton
BSC: 4 Perspectivas Balanceadas
9
Relacionando las 4 Perspectivas
Agenda – Road Map
Introducción
Balanced
Estrategia
Scorecard
Aplicando COBIT 5 al Balanced Scorecard
Balanced Scorecard y Auditoría
Conclusiones y Cierre
Escenario Real: COBIT 5 + BSC COBIT 5
ITIL
CMMI
PMBOK
BALANCED SCORECARD
6SIGMA
Mapa de procesos de COBIT 5
Relación de COBIT 5 con el BSC
Modelo de Objetivos en Cascada
Facilitadores interconectados para alcanzar las Metas de TI
Objetivos Gobierno / Metas Negocio
Metas del Negocio a Metas de TI
Metas de TI y Procesos de TI
Construyendo el Balanced Scorecard Tenemos trazabilidad total desde: los Procesos de TI hasta los Objetivos de Gobierno •
Se pueden establecer métricas a distintos niveles: Objetivos de Gobierno Metas del Negocio Ejemplos de Metas de TI Métricas en COBIT 5 Metas del Proceso de TI
•
Métricas: Proceso y Metas de TI
Sólo las Primarias
Se repiten por Meta de TI
Específicas
Ejemplo: Métricas de Distinto Nivel Meta de IT y métrica relacionada: Alineamiento entre IT y la estrategia del Negocio. métrica: % de objetivos estratégicos de la empresa que son soportados por objetivos estratégicos de IT. •
Meta del Proceso EDM01 y métrica relacionada: Aseguramiento de que el sistema de IT Governance está funcionando en forma efectiva. métrica: Frecuencia de revisiones independientes del sistema de IT Governance. •
Construyendo el Balanced Scorecard (Ejemplo de 2 Niveles posibles)
Basado en Metas de TI Basado en Procesos de TI
Enfoque basado en Metas de TI
Identificar Metas de TI relacionadas Establecer Metas de Negocio críticas
Seleccionar métricas claves para cada Meta de TI relevante
Enfoque basado en Procesos de TI
Establecer Metas de Negocio críticas
Identificar Metas de TI relacionadas
Identificar Procesos relacionados
Seleccionar métricas claves para cada Proceso
Propagar hacia arriba a las Metas de TI
Metas del Negocio Críticas La Dirección establecerá cuáles serán las Metas de Negocio claves que TI debe soportar y potenciar •
Identificación de Metas del TI críticas Se priorizarán aquellas Metas de TI que soportan en forma Primaria (P) a las Metas de Negocio seleccionadas en el paso anterior •
Metas de TI por Perspectivas BSC Perspectiva Financiera – Metas de TI: Alineamiento de TI con la Estrategia de Negocio Compliance de TI y soporte para el Compliance del Negocio con regulaciones externas y leyes vigentes Compromiso de la Alta Dirección con la toma de decisiones de TI Gestión de los Riesgos de TI para el Negocio Beneficios alcanzados de las inversiones relacionadas con TI Transparencia de los costos, los beneficios y los riesgos de TI •
•
•
•
•
•
Perspectiva del Cliente – Metas de TI: Entrega de servicios de TI en línea con necesidades del Negocio Adecuado uso de aplicaciones, información y soluciones de TI •
•
Metas de TI por Perspectivas BSC Perspectiva Interna – Metas de TI: •
•
•
•
•
•
•
Agilidad de TI Seguridad de la Información, aplicaciones e infraestructura de TI Optimización de los activos, recursos y capacidades de TI Facilitación y soporte de los procesos del Negocio integrándoles TI Entrega de programas brindando beneficios en tiempo y forma Disponibilidad de información confiable para toma de decisiones Compliance de IT con las políticas internas
Perspectiva del Aprendizaje y Crecimiento – Metas de TI: •
•
Personal de TI competente y motivado Conocimiento y experiencia para la innovación del Negocio
Métricas claves por Perspectivas BSC Perspectiva Financiera – 5 Métricas claves: •
•
•
•
•
% de Objetivos estratégicos de la empresa soportados por los objetivos estratégicos de TI Nº de puntos de NO-Compliance relacionados con TI reportados al Directorio o causando perjuicio en la opinión pública % de Roles gerenciales con responsabilidades claramente definidas para las decisiones de TI % de procesos críticos del Negocio y servicios de TI cubierto por las evaluaciones de riesgos % de servicios de TI con costos y beneficios claramente definidos
Métricas claves por Perspectivas BSC Perspectiva del Cliente – Métricas claves: •
•
•
Nº de interrupciones en servicios al cliente causados por incidentes TI Cantidad de quejas y reclamos de clientes por servicios de TI Niveles de satisfacción de la Dirección con los costos de servicios de TI
Perspectiva Interna – Métricas claves: •
•
•
% de Proyectos en tiempo y dentro del presupuesto Cantidad de incidentes relacionados con falta de compliance interno % de Stakeholders satisfechos con la entrega de programas
Métricas claves por Perspectivas BSC Perspectiva del Aprendizaje – 5 Métricas claves: •
•
•
•
•
% del Staff cuyo skill es acorde con las necesidades del rol % del Staff satisfecho con las condiciones laborales Nº de productos aprobados basados en iniciativas de innovación Nivel de concientización y entendimientos sobre las oportunidades de innovación para el Negocio Nivel de satisfacción de los Stakeholders con las ideas innovadoras
Catálogo de Métricas del BSC Para cada una de las Métricas seleccionadas de COBIT se detallará: Código y descripción Meta de TI que está midiendo y Perspectiva del BSC relacionada Unidad de medida (%, cantidad, días, etc) Valor objetivo y límites de valores posibles (ejemplo 0 a 100) Semáforo, según rango de valores Responsable del resultado de la métrica Frecuencia de la medición Fórmula de cálculo / Método de resolución Insumos necesarios para el cálculo y resolución Peso (relevancia) de la métrica respecto a la Meta de TI •
•
•
•
•
•
•
•
•
•
Implementación de las Métricas Parámetros iniciales
Selección y ponderación de métricas Ejemplo: “Alineamiento de TI con la Estrategia de Negocio”: •
Posee 3 métricas que pueden ponderarse de distinta forma
Resultados por Metas de TI
Resultados por Metas de Negocio
Resultados por Perspectivas BSC
Agenda – Road Map
Introducción
Balanced
Estrategia
Scorecard
Aplicando COBIT 5 al Balanced Scorecard
Balanced Scorecard y Auditoría
Conclusiones y Cierre
Auditoría del BSC – Hoja de Ruta
Entrevistar a Roles Claves •
•
•
•
CIO (Chief Information Officer) Área de Control de Gestión Alta Gerencia / Board / Comités Responsables de las principales métricas: –
–
–
–
•
Information Security Manager Business Continuity Manager Chief Risk Officer Chief Operations Officer
Usuarios claves del Negocio
Evidencia a Requerir y Analizar •
•
•
•
•
•
•
•
•
Organigrama, Misiones y Funciones relacionados Políticas y Procedimientos en relación con el BSC Plan Estratégico de Negocio y de IT Catálogo de Indicadores implementados Actas de Comités y Minutas de reunión Documentación Técnica del Software del BSC Diseño de interfaces utilizados como input Esquema de permisos y seguridad del BSC Evidencia de Capacitación y entrenamiento sobre BSC
Riesgos frecuentes de un BSC •
•
•
•
•
•
•
Falta de soporte e involucramiento de la Alta Gerencia Falta de una estrategia bien definida desde la Alta Gerencia Objetivos y métricas no alineados a las perspectivas BSC como un sistema de medición pero no de gestión. Mala comunicación del BSC a la Organización Definición ambigua de objetivos y métricas Acceso no autorizado a parámetros críticos: –
•
Valores objetivos, fórmulas de cálculo, rangos de semáforos, etc
Integridad o confidencialidad de resultados comprometida
Riesgos frecuentes en un BSC •
•
•
•
•
•
•
•
•
Inadecuada priorización de las Metas de Negocio Metas de TI críticas para el Negocio no identificadas Ausencia de procedimientos formales para utilizar el BSC Falta de capacitación sobre el mejor uso del BSC Resistencia al cambio por sensación de control Selección de demasiadas métricas difíciles de mantener Dificultades para conseguir los inputs para los cálculos Necesidad de ingresos de datos críticos en forma manual Seleccionar sólo métricas favorables
Evaluando las métricas •
•
•
•
•
•
•
•
Relevancia: ¿Es significativo contar con esta métrica? Interesados: ¿Qué necesidad de los Stakeholders cubre? Consistencia: ¿Cómo se asegura durante todo el proceso? Costo-Beneficio: ¿Se justifica el esfuerzo de mantenerla? Comportamiento: ¿Esta métrica puede distorsionarlo? Interpretación: ¿Esta métrica evita ambigüedades? Iniciativas: ¿Cómo sus resultados impulsarán mejoras? Ámbito: ¿Alcanzar el valor objetivo es facultad de TI?
¿BSC en la Gerencia de Auditoría? Perspectiva Financiera: •
% de Cumplimiento del Presupuesto de Auditoría
Perspectiva del Cliente: •
% de Clientes Internos satisfechos con las Auditorías
Perspectiva Interna: •
Frecuencia de revisiones a la metodología de Auditoría
Perspectiva de Aprendizaje: •
% de Horas de entrenamiento recibidos por los Auditores
Agenda – Road Map
Introducción
Balanced
Estrategia
Scorecard
Aplicando COBIT 5 al Balanced Scorecard
Balanced Scorecard y Auditoría
Conclusiones y Cierre
Beneficios de implementar un BSC
•
Alineamiento de objetivos de IT con estrategia del Negocio Traducción de la visión y misión en metas concretas. Comunicación efectiva y mayor entendimiento compartido Retroalimentación y aprendizaje estratégico
•
Entendimiento de las relaciones lógicas de “causa y efecto”
•
•
•
•
Mayor enfoque en intangibles, no sólo en finanzas. Responsabilidades individuales claras sobre resultados Detección temprana de áreas de oportunidad de mejoras
•
Priorización adecuada de iniciativas estratégicas
•
•
Recomendaciones finales •
•
•
•
•
•
•
•
•
•
Asegurar el apoyo clave de la Dirección Identifica e involucrar a todos los interesados Utilizar brainstorming y benchmarking para métricas Comenzar con pocas métricas (< 20) Documentar y formalizar el Catálogo de Métricas “Quick-wins”: métricas fáciles de obtener y entender Probar el modelo en planillas de cálculo
Utilizar gráficos simples y concretos Someterlo a mejora continua para mayor madurez Una vez implementado el BSC: Utilizarlo!
Conclusiones de Cierre
Mejor!
Preguntas y Respuestas
¡Muchas Gracias! Lic. Franco N. Rigante, CISA,CRISC,PMP
[email protected] Blog: http://francoitgrc.wordpress.com @FrancoIT_GRC
