Embed Size (px)
Citation preview
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 1
Alineando el Gobierno, Riesgo y
Cumplimiento de TI con COBIT 5 Caso de Estudio Ecopetrol Alberto León Lozano, Oficial de Cumplimiento de TI Vicepresidencia de Innovación y
Tecnología, Ecopetrol (Colombia)
Jornadas Técnicas Noviembre 5 y 6 de 2014
Madrid, España
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 2
Información de la Compañía
Ecopetrol es la compañía más grande de Colombia y es
una empresa integrada en la cadena del petróleo.
Ubicada entre las 40 petroleras más grandes del mundo y
entre las cuatro principales en Latinoamérica.
Además de Colombia, presencia en actividades de
exploración y producción en Brasil, Perú y Estados Unidos.
Ecopetrol cuenta con la mayor refinería de Colombia, la
mayor parte de la red de oleoductos y poliductos del país.
Está incrementando significativamente su participación en
biocombustibles.
www.ecopetrol.com
Información General
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 3
Información general de la Compañía
Más de 400.000 accionistas
Más de 7.000 trabajadores de planta
Más de 24.000 contratistas
Dispersión geográfica
Operaciones internacionales
Regulación local e internacional
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 4
Contexto Empresarial
Dinámico
Retador
Demandante
Complejo
Importante
Gobierno
Riesgo
Cumplimiento
Exige
Gestión
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 5
Adopción de Marcos de referencia
2007 Se adopta el modelo COSO para gestión de control interno
2008 Se adopta el modelo COBIT para gestión de gobierno, riesgos y cumplimiento en TI.
2009 Se implementan los procesos y objetivos de control básicos
2010 Se diseñan procesos y servicios de TI basados en ITIL
2011 Se inicia optimización con Servicios Compartidos de TI e integración de la Gestión por Procesos en el Sistema Integral de Gestión y Control empresarial
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 6
Implementación
COBIT 4.1
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 7
Sistema de
Gestión de
Calidad
Sistema de Gestión de Tecnología
de la Información
Sistema de Gestión
Integral de Riesgos
Modelo de Procesos
CobiT Control Objectives for Information and related Technology
Sistemas de Gestión en Ecopetrol - 2009
Sistema de Control Interno
COSO
Ley Sox Alineación y articulación de los Sistemas de Gestión y Control existentes.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 8
Se implementaron los Procesos de TI, incorporando los Objetivos de Control COBIT 4.1
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 9
Objetivos Objetivos de control específicos Controles
PO4 Definir procesos, organización y relaciones 8
AI2 Adquirir y mantener software aplicativo 20
AI3 Adquirir y mantener infraestructura de TI 5
AI4 Facilitar la operación y el uso 6
AI6 Administrar cambios 5
AI7 Instalar y acreditar soluciones y cambios 9
DS2 Administrar servicios de terceros 5
DS4 Asegurar servicio continuo 4
DS5 Asegurar seguridad a los sistemas 18
DS8 Administrar mesa de servicios e incidentes 11
DS9 Administrar la configuración 1
DS11 Administrar datos 5
DS12 Administrar el ambiente físico 2
DS13 Administrar las operaciones 3
ME1 Supervisar y evaluar los procesos de TI 8
Total 110
Se priorizaron los Controles sobre los Riesgos clave relacionados con Integridad, Confidencialidad y Disponibilidad de la Información
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 10
Se Identificaron las aplicaciones relacionadas con los flujos de información financiera – contable, cubriendo todos los procesos de negocio
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 11
Plan de Trabajo 2009
Diseño de 28 Procesos
Implementación de 14 Procesos SOX
Capacitación, divulgación y refuerzo
Implementación Procesos Adicionales
Operación SGTI
Soporte SGTI
Actividades EneroEnero Feb Marzo Abril Mayo Junio Julio Agosto Sep Oct Nov DICSe realizó del Diseño e Implementación de los Procesos para integrar el Sistema de Gestión de TI
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 12
Diseño de los procesos - Entregables
Ficha de Caracterización
Diagrama de Flujo
Narrativa
Matriz de Riesgos y Controles
Normativa
Medición de Madurez
Matriz RACI
Material de Entrenamiento
(ejemplo>>)
(Guía de documentación – “Norma 0”)
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 13
Sostenibilidad – Matriz RACI
ID Descripción Dirección UIE UID UIN UIS UGA CSIGestión
Documental
PO2 Definir la Arquitectura de la Información A C C C C R C CPO4 Definir procesos, organización y relaciones de TI A C C C C R C CPO7 Administrar recursos humanos de TI A I I I I R I IPO8 Administrar la calidad A I I I I R I IPO9 Evaluar y administrar riesgos de TI A C C C C R C CPO10 Administrar proyectos A R R R R R R RAI1 Identificar soluciones automatizadas A R R R C C C CAI2 Adquirir y mantener software aplicativo A R R R C C C CAI3 Adquirir y mantener la infraestructura tecnologica A C C C R C C IAI4 Facilitar la operación y el uso A R R R R C C IAI5 Adquirir recursos de TI A R R R R R R RAI6 Administrar cambios A R R R R C C CAI7 Instalar y acreditar soluciones y cambios A R R R R C R IDS1 Definir y administrar los niveles de servicio A R R R R R C RDS2 Administrar servicios de terceros A R R R R R C IDS3 Administrar desempeño y capacidad A C C C R C I IDS4 Garantizar la continuidad del servicio A R R R R C C IDS5 Garantizar la seguridad de los sistemas A I I I R C R IDS7 Educar y entrenar a los usuarios A R R R R R R RDS8 Administrar la mesa de servicios e incidentes A C C C R C C CDS9 Administrar la configuración A I I I R C C IDS10 Administrar los problemas A C C C R C C CDS11 Administrar los Datos A C C C R C C CDS12 Administrar el ambiente físico A I I I R I C IDS13 Administrar las operaciones A I I I R I C IME1 Monitorear y evaluar el desempeño de TI A C C C C R C IME2 Monitorear y evaluar el control interno A R R R R R R RME3 Garantizar cumplimiento regulatorio A C C C C C R C
Se establecieron los roles y responsabilidades sobre el diseño y la operación de los procesos, en cabeza de los líderes
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 14
Gestión de Cambio
Buy SmartDraw!- purchased copies print this
document without a watermark .
Visit www.smartdraw.com or call 1-800-768-3729.
Indicador de
Entendimiento
Global: encuesta
Indicador de
Disposición: Test
Indicador de
entendimiento
específico: $v. técnica
Se integró un frente de gestión de Cambio alineado con la estrategia de Implantación y Sostenibilidad
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 15
Factores Clave de Éxito y
Lecciones Aprendidas (1/2)
• Enfoque de gestión por procesos.
• Estructuración de la iniciativa como un Proyecto y Respaldo Pleno de la Dirección, Monitoreo frecuente.
• Establecimiento de un frente de gestión de cultura, entrenamiento y acreditación de profesionales.
• Apropiación, por parte de los dueños de los procesos, riesgos y controles.
• Integración con las áreas involucradas e iniciativas relacionadas (internas y externas) generación de sinergias
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 16
Factores Clave de Éxito y
Lecciones Aprendidas (2/2)
• Procedimiento de control de cambios establecido y aplicado.
• Gestión sobre las lecciones aprendidas.
• Definición de las estrategias y acciones de sostenibilidad
• Fuerte interacción con auditorías
• Acreditación por parte de terceros independientes y competentes
• Apoyo en Consultorías de alto nivel.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 17
Caso de Estudio Publicado en ISACA 2010
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-Ecopetrol.aspx
• Implementación COBIT 4.1 para Gobierno, Riesgo y Cumplimiento de TI.
• Primera empresa latinoamericana y segunda empresa del sector oil&gas en publicar caso de estudio COBIT en ISACA.
• Caso de Estudio referenciado en una Tesis de Maestría en Gestión de TI en la Universidad de Greenwich - UK >>
• Caso de Estudio presentado en conferencias del IIA, ISACA y referenciado por varias empresas en procesos de implementación >>
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 18
Evolución y Madurez
de los procesos de TI
2
3 3 3 3
3.8 3.9 4
3.63.9 4
2008 2009 2010 2011 2012 2013 2014 2015
Capacidad Desempeño Nivel de Madurez Optimizado
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 19
Mediciones de Madurez en Procesos
2008 Se realiza medición inicial e identificación de brechas. Informe >> Nivel promedio: 2
2009 Se realiza medición por parte de externo. Informe>> Nivel promedio 3
2010 Se realiza medición por parte de externo. Informe>> Nivel promedio 3
2011 Se define modelo que integra medición de Capacidad y Desempeño de los procesos. Informe>>. Se aplica piloto.
2012 .
2013 Se realiza Medición, integrando Capacidad y Desempeño. Informe>>. Nivel promedio 3.7
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 20
Consolidación de la Gestión Integral
por procesos y el Control Interno
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 21
Integración COBIT - ITIL
• Se comprobó la Viabilidad de la Alineación e Integración
• Los modelos se complementan en Definición y Alcance
• Se lograron procesos integrados que incorporan los controles en su diseño y operación
• Se tienen cubiertos los Riesgos clave de los procesos
• Se propicia la conformidad frente a los referentes de evaluación
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 22
Gestión de Riesgos Estratégicos de TI
Con base en la Práctica COSO ERM – Se gestionan los riesgos empresariales de TI, sobre los procesos.
Se aplica el ciclo anual de Planeación, Identificación, Valoración, Tratamiento, Monitoreo y Comunicación de riesgos empresariales de TI.
Productos en gestión permanente:
• Lista de Riesgos, alineados con objetivos de procesos
• Matrices RAM
• Planes de Tratamiento y KRI´s
• Reportes de mensuales de Monitoreo
PROBABILIDAD
Prácticamente
imposible que
ocurra el próximo
año
Poco probable
que ocurra el
próximo año
Es posible que
ocurra el próximo
año
Bastante probable
que ocurra el
próximo año
Ocurrirá con alto
nivel de certeza el
próximo año
Ha ocurrido en la
Industria
Ha ocurrido en los
últimos 10 años
en Ecopetrol
Ha ocurrido en los
últimos 5 años
Ha ocurrido en el
último año
Ha ocurrido más
de una vez en el
último año
Raro Improbable Posible Probable Con Certeza
A B C D E
IMP
AC
TO
Catastrófico 5
Mayor 4
Moderado 3
Menor 2
Insignificante 1
Ninguno 0
Planear
Identificar
EvaluarTratar
Monitorear
Comunicar
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 23
Resultados – Madurez en Procesos
Los procesos de TI se establecieron e integraron al SGCI y Centro de Servicios Compartidos. La madurez en procesos se estabilizó en Nivel 3 y se
mide en Capacidad y Desempeño
• 2009 - Adopción de Modelo de Referencia COBIT e Implantación de 28 Procesos, priorizados 14 SOX
• 2010 – Consolidación con el Sistema de Gestión Integral e Incorporación a Servicios Compartidos
• Evaluación de Madurez (Capacidad), con informe comparativo por Sector, Región e Industria
• 2011 - Se entrega Modelo de Madurez (Capacidad – Desempeño), incluyendo los elementos del SIGC.
• 2013 Medición de Madurez de los Procesos de TI bajo el marco del SGCI en capacidad y desempeño. Nivel de Madurez en Capacidad: 3.8 y en Desempeño: 3.6
2
3 3 3 3
3,8 3,9 4
3,6 3,9 4
2008 2009 2010 2011 2012 2013 2014 2015
Capacidad Desempeño Nivel de Madurez Optimizado
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 24
Medición del Proceso 2009
Medición del Proceso 2010
Madurez objetivo
0
1
2
3
4
5
AI1- Identificar soluciones
automatizadas
AI2- Adquirir y mantener software aplicativo
AI3- Adquirir y Mantener
Infraestructura Tecnológica
AI4- Facilitar la operación y el uso
AI6- Administrar cambios
AI7- Instalar y acreditar soluciones y
cambios
DS2- Administrar Servicios Prestados por Terceros
DS4- Gestión de Continuidad
Tecnológica
DS5- Garantizar la Seguridad de los Sistemas
DS8- Administrar la Mesa de Servicio y
los Incidentes
DS9- Administrar la Configuración
DS11- Administrar los Datos
DS12- Administración del Ambiente
Físico
DS13- Administrar las Operaciones
Estado de los procesosMedición del Proceso 2009
Medición del Proceso 2010
Madurez objetivo
Resultados – Madurez en Procesos – 2009-2010
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 25
Resultados – Madurez en Procesos - 2013 - 2014
Nivel de Capacidad Nivel de Desempeño Promedio Actual
Deseado
Resultado
Promedio 2013
Nivel deseado
2014
3.8 3.9
Resultado
Promedio 2013
Nivel deseado
2014
3.6 3.9
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 26
Resultados de Cumplimiento Racionalización de Controles
• Establecimiento de Riesgos y Controles clave • Prioridad sobre riesgos relacionados con
Disponibilidad, Integridad y Confidencialidad de la Información
• Énfasis en cobertura de aplicaciones Financieras y Críticas de Negocio
• Formalización en asignación de responsabilidades y aseguramiento de evidencias
• Racionalización y Optimización, basada en criterios de Riesgos
• Actualmente, 28 controles de Gobierno de TI y 25 de Operaciones de TI.
Los controles clave de TI se establecieron y han sido afinados con criterios n basado en riesgos. Se proyecta estabilidad
Los controles clave de TI se establecieron y han sido afinados con criterios de Racionalización y Optimización basado en riesgos. Se proyecta estabilidad
en la cantidad actual de 53 controles.
2009 2010 2011 2012 2013 2014
111
86
5 11
34 28
0 0
39
23 22 25
DTI UTI
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 27
Resultados - Nivel de Cumplimiento de controles
• Se desarrollan Ciclos de Monitoreo Permanente con realimentación y aseguramiento de Acciones de Mejora
• Se apoya en la Inspección de evidencias, generación de ajustes en diseño y operatividad de controles
• Se refuerza con las autoevaluaciones por parte de los responsables de los procesos.
• Alineación con el indicador de Control Interno empresarial
El nivel de Cumplimiento se ha incrementado y estabilizado, con base en los procesos y apalancado por las autoevaluaciones, ciclos permanentes de Monitoreo y aseguramiento de las acciones de mejora identificadas.
70%
90% 96% 97% 98%
93% 98% 100%
0%
20%
40%
60%
80%
100%
120%
2008 2009 2010 2011 2012 2013 2014 2015
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 28
Resultados de Cumplimiento Hallazgos de Auditoría
Las Auditorias Internas se realizan con énfasis en el aseguramiento de los controles SOX, desarrollando ciclos de evaluación sobre diseño y
operatividad, formalizando y asegurando los planes de mejora requeridos.
2008 2009 2010 2011 2012 2013 2014
20
65
42
0 4 6 3
70
68
20
16 2 8
Diseño Operación
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 29
Resultados de Cumplimiento Acciones de Mejora
Se identifican las acciones hacia su causa ra z, asegurando el cumplimiento y n de la efectividad de las mismas, proyectadas hacia el indicador de
Se identifican las acciones hacia su causa raíz, asegurando el cumplimiento y evaluación de la efectividad de las mismas, proyectadas hacia el indicador de
transparencia.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 30
Resultados de Cumplimiento Auditorías Externas
En las Auditor as Externas no se han reportado En las Auditorías Externas no se han reportado
hallazgos de controles inefectivos a cargo de TI.
Se han identificado controles Efectivos con oportunidades de mejora para los cuales, se
ejecutaron Planes de Acción
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 31
Consolidación del Proceso de TI - 2012
Integrados al Sistema de Gestión y Control Empresarial. Incorpora trazabilidad con el Compendio de Mejores Prácticas adoptado y los Objetivos de Control definidos. Establece las funciones de Gobierno y Gestión de TI
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 32
Alineación con
COBIT 5
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 33
Análisis de COBIT 5
2009 Implementación de COBIT 4.1
2010 Conocimiento de los borradores de COBIT 5 y generación de aportes a ISACA
2011 Estudio detallado de los borradores de COBIT 5 y generación de aportes a ISACA
2012 Estudio detallado de los documentos finales de COBIT 5 y análisis para proyección de alineación y extensión hacia COBIT 5, como un referente en Gobierno de TI.
2013 Inicia la Alineación con prácticas COBIT 5
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 34
Caso de Estudio Publicado en ISACA 2014
http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/COBIT-Focus-Volume-3-July-2014.aspx#1
• Alineando el para Gobierno, Riesgo y Cumplimiento de TI con COBIT 5.
• Con base en los procesos de TI implementados con el referente COBIT 4.1
• Aprovechando las mejoras propiciadas por la consolidación organizacional,
• la función de TI se articula con el Sistema de Gestión Integral por Procesos Empresarial,
• logrando una madurez que se alinea con los principios, catalizadores y procesos de COBIT 5.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 35
PROCESOS COBIT 5
Tomamos los procesos definidos por COBIT 5 para mapearlos con los procesos de Ecopetrol aplicados a la función de TI
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 36
MARCO DE PROCESOS ECOPETROL VS. COBIT 5
ED
M01
ED
M02
ED
M03
ED
M04
ED
M05
AP
O01
AP
O02
AP
O03
AP
O04
AP
O05
AP
O06
AP
O07
AP
O08
AP
O09
AP
O10
AP
O11
AP
O12
AP
O13
BA
I01
BA
I02
BA
I03
BA
I04
BA
I05
BA
I06
BA
I07
BA
I08
BA
I09
BA
I010
DS
S01
DS
S02
DS
S03
DS
S04
DS
S05
DS
S06
ME
A01
ME
A02
ME
A03
Formulación de la Estrategia de TI 3 3 3 3 3 3 3 3 3
Gestión de Arquitectura Empresarial 3 3 3 3
Formulación de iniciativas de TI 3 3 3
Programación de Programas y Proyectos de TI 3 3 3 3 3 3
Gestión de Portafolio de programas y Proyectos de TI 3 3 3 3
Implementación de Programas y Proyectos de TI 3 3 3 3 3 3 3
Seguridad Informática 3 3 3 3
Continuidad del Servicio de TI 3 3 3 3
Configuración y activos de TI 3 3 3 3
Capacidad de TI 3 3 3 3
Disponibilidad de TI 3 3 3 3
Cambios de TI 3 3 3 3 3 3
Requerimientos de TI 3 3 3
Problemas de TI 3 3 3 3
Eventos de TI 3 3
Incidentes de TI 3 3 3
Planeación estrategica 3 3 3 3
Planeación del desarrollo de nuevos negocios 3 3 3 3 3 3 3 3
Planeación del desarrollo de programas y proyectos 3 3 3 3 3 3 3 3
Planeación del desarrollo y alineación Organizacional 3 3 3 3
Priorización de inversiones y planeación financiera
Implementación de nuevos negocios 3 3 3 3 3 3 3
Implementación de programas / proyectos 3 3 3 3 3 3 3
Planeación operativa integrada de cadena de suministro 3
Implementación del desarrollo y alineación organizacional 3 3 3 3 3 3
Gestión de cadena de suministros 3 3
Gestión de Tecnología de negocio 3 3 3 3 3 3
Gestión de Talento Humano 3 3
Gestión de abastecimiento 3 3
Gestión financiera 3
Evaluación, seguimiento y control de la gestión 3 3 3 3 3 3 3
Verificación objetiva interna 3 3 3 3 3
Otras prácticas 3 3 3 3 3 3
Proc
esos
Ecop
etro
l
Procesos COBIT 5
Otro
s pro
ceso
s
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 37
EVOLUCIÓN DE ECOPETROL EN FUNCIÓN DE LOS PRINCIPIOS COBIT 5
Satisfacer las Necesidades de las Partes
Interesadas
Generación de Valor
Gestión de realización de Beneficios
Optimización de Riesgos
Aseguramiento de valor por medio de la cascada de Metas
Gestión de Información y tecnologías asociadas ,como activo s
transversales de la Compañía
Extensión de los catalizadores de TI para el Gobierno y gestión a
través de toda la organización
Cubrir la Empresa de extremo a extremo Gestionar de forma integral Gobierno Corporativo , las TI y la
información de la e empresa
Aplicar un marco de referencia Único
Integrado
Alineación de marco de gobierno y gestión a través de toda la
organización
Estandarización de practicas de gestión (Riegos, controles,
información, innovación, seguridad, entre otras)
Hacer posible un enfoque Holístico
(Integral, como un todo)
Definición a nivel empresarial de componentes interactivos para la
gestión integral de todos los aspectos de gobierno (TI, RRHH,
Producción…)
Cobertura de Catalizadores
Separar el Gobierno de la Gestión de TI Definición de estructuras organizativas para la gestión
independiente y/o especializada del gobierno y la gestión de TI
Principios COBIT 5 Nivel de Evolución y cobertura de
componentes por parte de Ecopetrol - TI
En progreso y maduración Definido y en adopción
Bajo nivel de definición
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 38
EVOLUCIÓN DE ECOPETROL – TI EN FUNCIÓN DE LOS CATALIZADORES COBIT 5
Principios, políticas y marcos de referencia Establecimiento de guías practicas, marcos de gestión, definición de políticas y aplicación de
principios para la gestión de TI y la Organización.
Definición y adopción de marco de Gestión basado en procesos para lograr objetivos
de la organización. Los procesos
Definición de estructuras organizacionales adecuadas para el gobierno y gestión de la
organización Las estructuras organizativas
Generación de prácticas orientadas al fortalecimiento de cultura de transparencia,
ética, desarrollo, empoderamiento, sentido de pertenencia y reciprocidad dentro del
desarrollo de las actividades de gobierno y gestión
Implementación de prácticas transversales de seguridad y gestión de la información,
implementando consideraciones de calidad, uso, estandarización, capitalización del
conocimiento, brindándole a la información un tratamiento y estatus de activo de la
compañía.
La cultura ética y comportamiento
La Información
Catalizadores COBIT 5.0 Nivel de Evolución y cobertura de
componentes por parte de ECP / TI
Los servicios, Infraestructura y aplicaciones
Las personas habilidades y competencias
Definición e implementación de estructura de servicios, soportados por procesos que
gobiernan y gestionan la tecnología requerida, su infraestructura y aplicaciones dentro
de un marco de valor, calidad, seguridad y continuidad.
Definición de entornos y prácticas orientadas a fortalecimiento de recursos y
capacidades de las personas que habilitan los procesos y servicios. (Gestión de
desempeño de personas, planes de carrera, formación, capacitación, desarrollo de
competencias.. Entre otros)
En progreso y maduración Definido y en adoptado
Bajo nivel de definición
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 39
EL MODELO DE EVALUACIÓN DE PROCESOS CUBRE EL ENFOQUE DE COBIT 5 ®
Cobit 4.15 ® Modelo de Evaluación de Procesos de Ecopetrol
Inexistente Inicial Repetible Definido Administrad
o Optimizado
1 2 3 4 5 0
Estrategia y Direcciona
miento
Gente
Modelo de Evaluación de Procesos de TI Ecopetrol - Indicadores de Capacidad
Operaciones Riesgos y Controles
Recursos Información
& Conocimient
Monitoreo & Mejora
Atributos Genéricos de Capacidad y Desempeño
Modelo de Evaluación de Procesos Indicadores de Gestión
rendimiento/Desempeño
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 40
EL MODELO DE EVALUACIÓN DE PROCESOS CUBRE EL ENFOQUE DE COBIT 5 ®
Atributos cubiertos por el modelo de evaluación de Ecopetrol vs. definido por Cobit 5
► EL modelo actual de evaluación de procesos de
Ecopetrol incorpora elementos claves de mejores
prácticas como PMI, COBIT, ITIL, ISO 27000, TOGAF.
Adicionalmente, aborda la evaluación de madurez de los
procesos bajo las perspectivas de “capacidad” y
“desempeño” lo que permite tener un marco de
evaluación comparable con el adoptado por COBIT 5®.
► En la evaluación de procesos, es importante analizar
dentro de la función de tecnología las actividades y/o
proceso relacionados con la Innovación y Optimización,
puntos importantes resaltados en COBIT ® 5.0
► De igual forma hay un énfasis significativo en las
estructuras de gobierno de la Información y
relacionamiento con el negocio para lograr mayor
alineación y penetración con el negocio y optimizar los temas relacionados con la seguridad de la información.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 41
Alineación con COBIT 5 – Conclusiones (1/2)
• Se comprobó la alineación de la función con el marco COBIT 5 (Principios, Catalizadores y Procesos).
• La extensión se genera de una vista integrada y fuerte orientación a la gestión por procesos, medición y mejora continua.
• Se requieren esfuerzos de sostenibilidad basados en la cultura y modelos operativos
• Se proyecta como referente para Acreditación.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 42
Alineación con COBIT 5 – Conclusiones (2/2)
• Esta iniciativa implica esfuerzos importantes, pero propicia impactos positivos sobre la fiabilidad del sistema de control interno de la empresa, generando claramente información confiable que apoya los procesos y la estrategia de negocio.
• La implementación de COBIT 5 sobre un modelo de procesos de operación basado en una versión anterior requiere una estrategia que permita el aprovechamiento de las nuevas prácticas sin afectar los resultados actuales. Basado en la apropiación, la articulación y la comunicación con todos los involucrados
• La evaluación de la madurez sobre la capacidad y el desempeño de los procesos, es una fuente importante para determinar las oportunidades de mejora y sostenibilidad. Debe ser permanente y estricta en su metodología, competencias de los evaluadores y participación de los dueños de proceso
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 43
Resultados y factores de éxito
RESULTADOS:
• Impacto en la confiabilidad de la información
• Confianza en el sistema de control interno de TI
FACTORES DE ÉXITO:
• El proceso de implementación y sostenibilidad del modelo
• Integración y articulación con temas organizacionales asociados,
• Evaluación interna y externa permanente,
• Gestión sobre la cultura,
• Apoyo en servicios de consultoría efectivos
• Gestión sobre lecciones aprendidas
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 44
Logros del Talento Humano - Gente Ecopetrol
Ejecutivos:
• Javier Gutierrez – Presidente
• Nestor Saavedra – Vicepresidente de Innovación y Tecnología
• Jorge Gómez – Director de Tecnología de Información
• José Isaías Martínez – Jefe Unidad de Gestión y Arquitectura
• Jeimy Cano – Coordinador de Seguridad de Información
• William Mora – Jefe Unidad Servicios Compartidos de TI
Equipos de trabajo de las áreas:
Vicepresidencia de Servicios y Tecnología (2009-2011), Dirección de Tecnología de Información, Unidad Servicios Compartidos de TI, Vicepresidencia Financiera, Vicepresidencia de Estrategia y Crecimiento, Vicepresidencias Ejecutivas del Upstream y Downstream, Dirección de Servicios Compartidos, Dirección de Auditoría Interna, Dirección de Abastecimiento, Unidad de Ética y Cumplimiento, Unidad de Gestión de Riesgos, Coordinación de Aseguramiento SOX, Comité temático de control interno, consultores, contratistas y Outsourcing de TI.
Alberto León Lozano
Para uso restringido en Ecopetrol S.A. Todos los derechos reservados. Ninguna parte de esta presentación puede ser reproducida o utilizada en ninguna forma o por ningún medio sin permiso explícito de Ecopetrol S.A.
