Caso de éxito en la implementación del Gobierno de Tecnologías, COBIT en el Banco Supervielle S.A Jonathan Martínez
[email protected] UCE, Facultad de Ciencias Económicas, Escuela de Ing. en Finanzas, Curso Sistemas de I nf. Estratégicos, Aula 35. 25/05/2014
--- El término Gobierno de TI no es una --Abstract frase común dentro de las conversaciones entre los profesionales de tecnologías de información y mucho menos fuera del entorno de tecnología. Sin embargo, su concepto es muy valioso ya que producto de una correcta implementación de un modelo de Gobierno de TI, habilita a la organización receptora con las herramientas necesarias para tomar decisiones óptimas respecto a la realización de inversiones en tecnología considerando la dirección, requerimientos del negocio y su comportamiento financiero. Asimismo, otras ventajas importantes de la implantación de un modelo de Gobierno de TI son maximizar el valor agregado al negocio por parte de las inversiones en TI, y monitorear y dar seguimiento de la realización del beneficio inicialmente estimado para dichas inversiones. En el año 2009 el Banco Supervielle S.A. lanzo un proyecto denominado “Gobierno de TI”, donde la Gerencia General del Banco era el “Sponsor” y la Gerencia
Coordinadora de TI y sus Gerentes los líderes del mismo. El desafío que tenía el proyecto no era menor, y entre sus principales temas que motivaron a su formación eran los de mejorar la alineación estratégica al negocio, tratar de generar un lenguaje que el negocio pueda interpretar y que las ares de TI también lo puedan manejar, mejorar y entender el cumplimiento del control interno de la TI como así también concientizar en la responsabilidad que cumple cada rol dentro de los procesos de TI. --- Gobierno de TI, valor agregado --Keywords
I. INTRODUCCIÓN En el pasado, considerar la función de TI de una organización como una función meramente de soporte – una función separada y diferenciada del resto del negocio- era una práctica común. Actualmente, la mayor parte de la inversión en infraestructura y nuevas aplicaciones de TI abarcan líneas y funciones del negocio. Algunas organizaciones incluso llegan a integrar a socios y clientes en sus procesos internos. Por consiguiente los directores ejecutivos y los directores de TI cada vez más sienten la necesidad de aumentar las relaciones entre TI y el negocio.
Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de las Tecnologías de la Información (TI) relacionadas. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restr icciones restr icciones de tiempo, distancia y velocidad) esta criticidad emerge de la creciente dependencia en información y en los sistemas que proporcionan dicha información. La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas” y la guerra de información. El coste de las inversiones actuales y futuras en información y en tecnología de información. El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. Para muchas organizaciones, la información y la tecnología que la soporta, representan los activos más valiosos de la empresa. Es más, en nuestro competitivo y rápidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la gerencia requiere servicios que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, así como una mejora continua y una disminución de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo más bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones punteras, sin embargo, también comprenden y administran los riesgos asociados con la implementación de nuevas tecnologías
II. METODOLOGÍA A. ¿Qué es el Gobierno de Tecnologías de información? El gobierno TI es el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección de la empresa para movilizar los recursos de forma eficiente. (Bligoo) El proceso de gobierno de una empresa es mucho más que el establecimiento de un comité o la asignación e un cargo a un grupo de empleados. (Bligoo) 1
Para que un gobierno pueda ser eficiente debe incluir un modelo, una serie de estructuras que se relacionen entre sí, y que soporten de manera clara y transparente en la dirección y control de las tecnologías de información. (Bligoo) En base a lo anterior el gobierno deberá asegurar una definición clara de los conceptos que se manejan en la empresa, así como una asignación correcta de responsabilidades para la dirección y control de cada actividad. (Bligoo)
con los planes estratégicos y operacionales del negocio. (Network-Sec) Hay numerosos cambios en TI y en la construcción de redes que hacen énfasis en la necesidad de manejar mejor los riesgos relacionados con TI. La dependencia de la información electrónica y de los sistemas de TI es esencial para respaldar procesos críticos de negocio. (Network-Sec) Los negocios exitosos necesitan manejar mejor la compleja tecnología que predomina en todas sus organizaciones para responder rápida y seguramente a las necesidades del negocio. (Network-Sec) Además, el entorno regulador está exigiendo un control más estricto sobre la información. Esto, a s u vez, está condicionado por el incremento de la importancia de desastres en los sistemas de información y el incremento de fraude electrónico. (Network-Sec) La gestión de los riesgos relacionados con TI está siendo entendida ahora como una parte clave del gobierno de la empresa. (Network-Sec)
Figura 1. Funciones del Gobierno de TI (Bligoo)
El gobierno de TI ofrece a las empresas grandes beneficios. Existen muchas empresas que poseen agendas que contemplan cambios inmediatos y continuos, el éxito de estas empresas depende de la aplicación de buenas prácticas en el gobierno TI para minimizar costes y aumentar la eficiencia en la organización. (Bligoo)
B. La necesidad del cambio del rol de TI Es necesario un cambio en el rol de TI para extraer el máximo rendimiento a una inversión en TI y usar la tecnología como un arma competitiva. De esta forma conseguimos que la actitud de TI frente al negocio pase de ser meramente reactiva a ser proactiva, anticipándose a las necesidades de la organización. (Network-Sec) La investigación de las prácticas de gestión de TI en cientos de compañías en todo el mundo ha revelado que la mayoría de las organizaciones no están optimizando su inversión en TI. (Network-Sec) El factor diferenciador entre los que lo consiguen y los que no, radican en la participación de gerencia en las decisiones clave de TI. La correcta participación de la gerencia en dichas decisiones aporta un valor real a la inversión en TI al tiempo que sirven para evitar desastres relacionados con TI. (Network-Sec)
C. Necesidad de Gobierno de TI Si TI se va a gestionar como un negocio dentro del negocio, el concepto de gobierno (proceso en el que se ayuda la gerencia para conseguir sus objetivos) es también aplicable a la gestión de TI. (Network-Sec) En muchas organizaciones, TI es fundamental para mantener y hacer que crezca el negocio. Como consecuencia, la gerencia necesita entender la importancia estratégica de TI y debería tener en su agenda el gobierno de TI. (Network-Sec) El principal objetivo del gobierno de TI es entender las cuestiones y la importancia estratégica de TI para permitir a la organización que mantenga sus operaciones e implemente las estrategias necesarias para sus proyectos y actividades futuras. (Network-Sec) El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza buenas (o mejores) prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan sus objetivos del negocio. (Network-Sec) El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva. (Network-Sec)
Se debe diferenciar entre decisiones estratégicas y operacionales, y dichas decisiones deben estar alineadas 2
D. Proceso de implantación de Gobierno TI El proceso de implantación de gobierno de TI asiste a los diferentes niveles de la organización con una detallada hoja de ruta que le ayuda en la implementación de sus necesidades de Gobierno TI usando COBIT. Identifica qué componentes de COBIT deben ser mejorados desde las necesidades iniciales hasta la implantación de la solución. La hoja de ruta presenta un proyecto que puede ser largo y que requiere prácticas estrictas de gestión de proyectos. (NetworkSec)
Implementar la solución. Conforme los proyectos van avanzando, el resultado del mismo debe ser monitorizado y dichos resultados deben servir para tomar decisiones acerca de las siguientes iteraciones sobre cada uno de los procesos que se han implantado. (Network-Sec)
E. COBIT y Gobierno de TI Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su información, como para sus activos. (Network-Sec) La gerencia deberá además optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnología, sistemas de aplicación y datos. (Network-Sec) Para cumplir con esta responsabilidad, así como para alcanzar sus objetivos, la gerencia debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. (Network-Sec)
Figura 2. Proceso de implantación de Gobierno TI (Network-Sec) Dicha hoja de ruta es un primer paso para implantar los requerimientos de gobierno de TI. Las fases del proceso de implantación de gobierno de TI en una organización son: (Network-Sec)
Identificar necesidades. Los siguientes cuatro pasos son necesarios en la fase inicial de un proyecto de implantación de Gobierno de TI: (Network-Sec) 1. Entender en entorno en el que se va a desarrollar el proceso de implantación de gobierno de TI y establecer un proyecto adecuado. 2. Entender los objetivos de negocio y cómo trasladarlos a objetivos de TI. 3. Entender los riesgos potenciales y la forma en la que estos pueden afectar a los objetivos de TI. 4. Definir el alcance del proyecto y qué procesos deben ser implantados o mejorados.
Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayudan a satisfacer las múltiples necesidades de la administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. (Network-Sec) Provee buenas prácticas y presenta actividades en una estructura manejable y lógica. Las “Buenas prácticas” de COBIT reúne el consenso conse nso de expertos quienes ayudarán a optimizar la inversión de la información y proporcionarán un mecanismo de medición que permitirá juzgar cuando las actividades van por el camino equivocado. (Network-Sec)
F. El modelo del marco de trabajo de COBIT El marco de trabajo de COBIT, por tanto, relaciona los requerimientos de la información y de gobierno a los objetivos de la función de servicios TI. (Overti)
Análisis de la solución. Esta fase prevé la solución y está compuesta de tres pasos. Se debe fijar el estado de madurez actual de los procesos de TI seleccionados y el estado de madurez objetivo en el que se desea que estén tras implantar la solución. El análisis de la distancia entre la situación actual y la situación en la que se desea estar se convierte en oportunidades de mejora. (Network-Sec) Planificación de la solución. En esta fase se identifican iniciativas de mejora factibles y las traslada a proyectos justificados. Tras su aprobación, dichos proyectos deben ser integrados en la estrategia de mejora con un plan detallado para alcanzar la solución. (Network-Sec)
Figura 3. COBIT Gestión, Control, Alineamiento y Monitorización (Overti) 3
Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. En detalle, el marco de trabajo general de COBIT está compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno. (Overti)
El desafío que tenía el proyecto no era menor, y entre sus principales temas que motivaron a su formación eran los de mejorar la alineación estratégica al negocio, tratar de generar un lenguaje que el negocio pueda interpretar y que las ares de TI también lo puedan manejar, mejorar y entender el cumplimiento del control interno de la TI como así también concientizar en la responsabilidad que cumple cada rol dentro de los procesos de TI. (Isaca) Por último y no menor el cumplimiento normativo y regulatorio que los diferentes entes de control regulan a nuestra actividad. (Isaca) Basados entre estos principales puntos antes mencionados, entendíamos que COBIT era el mejor marco de referencia para tener de guía en nuestro camino a recorrer. (Isaca)
Figura 4. Cubo de COBIT (Overti)
G. COBIT en el Banco Supervielle S.A. Banco Supervielle es uno de los principales Bancos privados de la República Argentina cuyos orígenes se remontan a 1887 y actualmente se concentra principalmente en la provisión de servicios bancarios y financieros a individuos y pequeñas y medianas empresas. (Isaca) Su red bancaria incluye 103 sucursales y 66 centros de servicios y 270 cajeros automáticos ubicados en las principales provincias del país. (Isaca) Banco Supervielle ocupaba el puesto decimoprimero en términos de depósitos, el decimosegundo en términos de total de activos y total de préstamos entre bancos del sector privado en la Argentina, el sexto en términos de depósitos y el séptimo en términos de total de activos y total de préstamos entre los grupos privados bancarios de capital nacional. (Isaca)
Como primera tarea o puntapié inicial, se realizó una medición de nivel de madurez de los procesos actuales. Basados en COBIT, mejores prácticas (ITIL, ISO, IRAM, etc.) y normativas locales, se identificaron los niveles de madurez actuales. Para dicho trabajo se utilizaron formularios y se plasmaron en un resultado resumen para un mejor entendimiento. (Isaca) A su vez, una vez entendido el nivel actual, se trató en la alta gerencia y el directorio el nivel de madurez deseado y los tiempos estimados para lograr dicho nivel, estipulando metas a corto, mediano y largo plazo. (Isaca)
I. COBIT como herramienta de Gobierno de TI en Banco Supervielle S.A Para citar algunos planes en los cuales el Banco se encuentra trabajando actualmente que derivaron del proyecto de Gobierno de TI y en los cuales está presente COBIT, podemos mencionar los siguientes: (Isaca)
En los últimos años la Alta Dirección del Banco comenzó a trabajar en un plan con el objetivo de mejorar la alineación de la TI al negocio, su entrega de valor, y a la vez administrar los riesgos y los recursos de manera más eficaz y eficiente. (Isaca)
H. Gobierno de TI en el Banco Supervielle S.A. En el año 2009 el Banco lanzo un proyecto denominado “Gobierno de TI”, TI” , donde la Gerencia General del Banco era el “Sponsor” y la Gerencia Coordinadora de TI y sus Gerentes los líderes del mismo. (Isaca)
Capacitación: Una de los primeras tareas fue la de capacitar y concientizar en materia de control interno, el Marco y las mejores prácticas. Para ello a través de nuestro capitulo local de ISACA ® (ADACSI). Se capacitaron en COBIT Fundamentos® a todos los gerentes y reportes de las áreas de Tecnología y Sistemas, incluyendo gerencias de Seguridad de la información, Desarrollo y Mantenimiento de Sistemas, Riesgos de TI y continuidad del Negocio, Administración de Proyectos, Testing y QA como así también áreas de Procesos y por supuesto Infraestructura Tecnológica. (Isaca) Redefinición de los procesos internos de TI, basados en los dominios de COBIT. En base a la agrupación lógica de los procesos que intervienen en el ciclo de vida de los procesos de TI del Banco se redefinieron los mismos en base a los expuestos por COBIT agrupados en los diferentes dominios del marco. En 4
este punto se encontraron ciertos procesos que dependían del grado de madurez actual y que su adaptación requeriría mayores tiempos e inversión. (Isaca) Redefinición de Roles, Responsabilidades y nuevas funciones: Para asegurar el logro de las diferentes iniciativas y alcanzar a cumplir las premisas del proyecto que son ni más ni menos que las necesidades de la organización, en base a un detallado análisis se fortalecieron e instauraron las áreas de Control de proyectos (PMO) y Gestión de Riesgos Informáticos y Continuidad del Negocio (IT Risk Governance). (Isaca) Tablero de Control: Se elaboraron una serie de indicadores basados en las principales métricas de COBIT para medir el cumplimiento de las principales actividades de control de los dominios. Estas métricas tienen su propio plan de implementación y el mismo es gradual y depende de la criticidad del proceso a medir. (Isaca) Análisis de Riesgos. Un punto fundamental es la inclusión de la Gestión de los Riesgos de TI. Para llevar adelante este plan se mejoró la metodología y la gestión de los riesgos se basó en forma inicial a RISK IT. (Isaca) Un punto importante es que en el ciclo anual de Gestión de Riesgos de TI, se utilizan los principales puntos de control enmarcados en COBIT para cada proceso de TI y el análisis de Riesgos parte de dicha guía para asegurar el alineamiento a dicho Marco entre otros factores importantes. (Isaca)
III. RESULTADOS OBTENIDOS Utilizando los objetivos de control y procesos de COBIT como marco de referencia, permitieron al Banco Supervielle, trazar un camino para alcanzar el nivel de madurez fijado como meta tanto en tiempo como en calidad. (Isaca) Un número importante de iniciativas se encuentran bajo ejecución y muchas de ellas como las relacionadas a mejorar la continuidad del negocio han mejorado su nivel de madurez. (Isaca) Tanto la Gerencia como la Dirección están convencidas que tomando como referencia el Marco COBIT, permitirá al Banco alcanzar su objetivo de crecimiento planteado. (Isaca)
asociados con la información y sus tecnologías relacionadas. La gerencia, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información actúen con la debida diligencia. La orientación al negocio es el tema principal de COBIT. Está diseñado no sólo para ser utilizado por usuarios y auditores, sino que, lo más importante, está diseñado para ser utilizado por los propietarios de los procesos de negocio como una guía guía clara y entendible. Los dueños de los procesos deben ser responsables de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados. El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y práctica.
V. BIBLIOGRAFÍA Bligoo. (s.f.). Bligoo (s.f.). Bligoo.. Recuperado el 25 de Mayo de 2014, de http://tecnologiainformatica.bligoo.com/gobier no-ti#.U4KcZ_nQBcQ Isaca. (s.f.). Isaca (s.f.). Isaca.. Recuperado el 2005 de Mayo de 2014, de http://www.isaca.org/KnowledgeCenter/cobit/Pages/COBIT-Caso-de-EstudioBanco-Supervielle-SA-Argentina.aspx Network-Sec. (s.f.). Hacienda. (s.f.). Hacienda. Recuperado Recuperado el 25 de Mayo de 2010, de http://www.hacienda.go.cr/cifh/sidovih/spaw2/ uploads/images/file/Implant%20Gobierno%20 de%20TI.pdf Overti. (s.f.). Overti. Recuperado Overti. Recuperado el 25 de Mayo de 2014, de http://www.overti.es/procesositsm/cobit.aspx
IV. CONCLUSIONES COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de los riesgos así como de los beneficios 5
