ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 1 Alineando el Gobierno, Riesgo y Cumplimiento de TI con COBIT 5 Caso de Estudio Ecopetrol Alberto León Lozano, Oficial de Cumplimiento de TI Vicepresidencia de Innovación y Tecnología, Ecopetrol (Colombia) Jornadas Técnicas Noviembre 5 y 6 de 2014 Madrid, España
45
Embed
Alineando el Gobierno, Riesgo y Cumplimiento de TI … · 2014-11-14 · DS2 relacionados con Administrar servicios de terceros 5 ... DS1 Definir y administrar los niveles de servicio
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 1
Alineando el Gobierno, Riesgo y
Cumplimiento de TI con COBIT 5 Caso de Estudio Ecopetrol Alberto León Lozano, Oficial de Cumplimiento de TI Vicepresidencia de Innovación y
Tecnología, Ecopetrol (Colombia)
Jornadas Técnicas Noviembre 5 y 6 de 2014
Madrid, España
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 2
Información de la Compañía
Ecopetrol es la compañía más grande de Colombia y es
una empresa integrada en la cadena del petróleo.
Ubicada entre las 40 petroleras más grandes del mundo y
entre las cuatro principales en Latinoamérica.
Además de Colombia, presencia en actividades de
exploración y producción en Brasil, Perú y Estados Unidos.
Ecopetrol cuenta con la mayor refinería de Colombia, la
mayor parte de la red de oleoductos y poliductos del país.
Está incrementando significativamente su participación en
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 5
Adopción de Marcos de referencia
2007 Se adopta el modelo COSO para gestión de control interno
2008 Se adopta el modelo COBIT para gestión de gobierno, riesgos y cumplimiento en TI.
2009 Se implementan los procesos y objetivos de control básicos
2010 Se diseñan procesos y servicios de TI basados en ITIL
2011 Se inicia optimización con Servicios Compartidos de TI e integración de la Gestión por Procesos en el Sistema Integral de Gestión y Control empresarial
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 11
Plan de Trabajo 2009
Diseño de 28 Procesos
Implementación de 14 Procesos SOX
Capacitación, divulgación y refuerzo
Implementación Procesos Adicionales
Operación SGTI
Soporte SGTI
Actividades EneroEnero Feb Marzo Abril Mayo Junio Julio Agosto Sep Oct Nov DICSe realizó del Diseño e Implementación de los Procesos para integrar el Sistema de Gestión de TI
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 13
Sostenibilidad – Matriz RACI
ID Descripción Dirección UIE UID UIN UIS UGA CSIGestión
Documental
PO2 Definir la Arquitectura de la Información A C C C C R C CPO4 Definir procesos, organización y relaciones de TI A C C C C R C CPO7 Administrar recursos humanos de TI A I I I I R I IPO8 Administrar la calidad A I I I I R I IPO9 Evaluar y administrar riesgos de TI A C C C C R C CPO10 Administrar proyectos A R R R R R R RAI1 Identificar soluciones automatizadas A R R R C C C CAI2 Adquirir y mantener software aplicativo A R R R C C C CAI3 Adquirir y mantener la infraestructura tecnologica A C C C R C C IAI4 Facilitar la operación y el uso A R R R R C C IAI5 Adquirir recursos de TI A R R R R R R RAI6 Administrar cambios A R R R R C C CAI7 Instalar y acreditar soluciones y cambios A R R R R C R IDS1 Definir y administrar los niveles de servicio A R R R R R C RDS2 Administrar servicios de terceros A R R R R R C IDS3 Administrar desempeño y capacidad A C C C R C I IDS4 Garantizar la continuidad del servicio A R R R R C C IDS5 Garantizar la seguridad de los sistemas A I I I R C R IDS7 Educar y entrenar a los usuarios A R R R R R R RDS8 Administrar la mesa de servicios e incidentes A C C C R C C CDS9 Administrar la configuración A I I I R C C IDS10 Administrar los problemas A C C C R C C CDS11 Administrar los Datos A C C C R C C CDS12 Administrar el ambiente físico A I I I R I C IDS13 Administrar las operaciones A I I I R I C IME1 Monitorear y evaluar el desempeño de TI A C C C C R C IME2 Monitorear y evaluar el control interno A R R R R R R RME3 Garantizar cumplimiento regulatorio A C C C C C R C
Se establecieron los roles y responsabilidades sobre el diseño y la operación de los procesos, en cabeza de los líderes
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 23
Resultados – Madurez en Procesos
Los procesos de TI se establecieron e integraron al SGCI y Centro de Servicios Compartidos. La madurez en procesos se estabilizó en Nivel 3 y se
mide en Capacidad y Desempeño
• 2009 - Adopción de Modelo de Referencia COBIT e Implantación de 28 Procesos, priorizados 14 SOX
• 2010 – Consolidación con el Sistema de Gestión Integral e Incorporación a Servicios Compartidos
• Evaluación de Madurez (Capacidad), con informe comparativo por Sector, Región e Industria
• 2011 - Se entrega Modelo de Madurez (Capacidad – Desempeño), incluyendo los elementos del SIGC.
• 2013 Medición de Madurez de los Procesos de TI bajo el marco del SGCI en capacidad y desempeño. Nivel de Madurez en Capacidad: 3.8 y en Desempeño: 3.6
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 26
Resultados de Cumplimiento Racionalización de Controles
• Establecimiento de Riesgos y Controles clave • Prioridad sobre riesgos relacionados con
Disponibilidad, Integridad y Confidencialidad de la Información
• Énfasis en cobertura de aplicaciones Financieras y Críticas de Negocio
• Formalización en asignación de responsabilidades y aseguramiento de evidencias
• Racionalización y Optimización, basada en criterios de Riesgos
• Actualmente, 28 controles de Gobierno de TI y 25 de Operaciones de TI.
Los controles clave de TI se establecieron y han sido afinados con criterios n basado en riesgos. Se proyecta estabilidad
Los controles clave de TI se establecieron y han sido afinados con criterios de Racionalización y Optimización basado en riesgos. Se proyecta estabilidad
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 27
Resultados - Nivel de Cumplimiento de controles
• Se desarrollan Ciclos de Monitoreo Permanente con realimentación y aseguramiento de Acciones de Mejora
• Se apoya en la Inspección de evidencias, generación de ajustes en diseño y operatividad de controles
• Se refuerza con las autoevaluaciones por parte de los responsables de los procesos.
• Alineación con el indicador de Control Interno empresarial
El nivel de Cumplimiento se ha incrementado y estabilizado, con base en los procesos y apalancado por las autoevaluaciones, ciclos permanentes de Monitoreo y aseguramiento de las acciones de mejora identificadas.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 29
Resultados de Cumplimiento Acciones de Mejora
Se identifican las acciones hacia su causa ra z, asegurando el cumplimiento y n de la efectividad de las mismas, proyectadas hacia el indicador de
Se identifican las acciones hacia su causa raíz, asegurando el cumplimiento y evaluación de la efectividad de las mismas, proyectadas hacia el indicador de
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 31
Consolidación del Proceso de TI - 2012
Integrados al Sistema de Gestión y Control Empresarial. Incorpora trazabilidad con el Compendio de Mejores Prácticas adoptado y los Objetivos de Control definidos. Establece las funciones de Gobierno y Gestión de TI
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 33
Análisis de COBIT 5
2009 Implementación de COBIT 4.1
2010 Conocimiento de los borradores de COBIT 5 y generación de aportes a ISACA
2011 Estudio detallado de los borradores de COBIT 5 y generación de aportes a ISACA
2012 Estudio detallado de los documentos finales de COBIT 5 y análisis para proyección de alineación y extensión hacia COBIT 5, como un referente en Gobierno de TI.
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 42
Alineación con COBIT 5 – Conclusiones (2/2)
• Esta iniciativa implica esfuerzos importantes, pero propicia impactos positivos sobre la fiabilidad del sistema de control interno de la empresa, generando claramente información confiable que apoya los procesos y la estrategia de negocio.
• La implementación de COBIT 5 sobre un modelo de procesos de operación basado en una versión anterior requiere una estrategia que permita el aprovechamiento de las nuevas prácticas sin afectar los resultados actuales. Basado en la apropiación, la articulación y la comunicación con todos los involucrados
• La evaluación de la madurez sobre la capacidad y el desempeño de los procesos, es una fuente importante para determinar las oportunidades de mejora y sostenibilidad. Debe ser permanente y estricta en su metodología, competencias de los evaluadores y participación de los dueños de proceso
ISACA Madrid - Jornadas Técnicas 2014 Caso Ecopetrol - A,León - Pág. 44
Logros del Talento Humano - Gente Ecopetrol
Ejecutivos:
• Javier Gutierrez – Presidente
• Nestor Saavedra – Vicepresidente de Innovación y Tecnología
• Jorge Gómez – Director de Tecnología de Información
• José Isaías Martínez – Jefe Unidad de Gestión y Arquitectura
• Jeimy Cano – Coordinador de Seguridad de Información
• William Mora – Jefe Unidad Servicios Compartidos de TI
Equipos de trabajo de las áreas:
Vicepresidencia de Servicios y Tecnología (2009-2011), Dirección de Tecnología de Información, Unidad Servicios Compartidos de TI, Vicepresidencia Financiera, Vicepresidencia de Estrategia y Crecimiento, Vicepresidencias Ejecutivas del Upstream y Downstream, Dirección de Servicios Compartidos, Dirección de Auditoría Interna, Dirección de Abastecimiento, Unidad de Ética y Cumplimiento, Unidad de Gestión de Riesgos, Coordinación de Aseguramiento SOX, Comité temático de control interno, consultores, contratistas y Outsourcing de TI.
Para uso restringido en Ecopetrol S.A. Todos los derechos reservados. Ninguna parte de esta presentación puede ser reproducida o utilizada en ninguna forma o por ningún medio sin permiso explícito de Ecopetrol S.A.