experiencias en la implementación de itil en conjunto … · octubre 2006mayo 2005 página 3...
TRANSCRIPT
Mayo 2005 Página 1Octubre 2006Octubre 2006
Experiencias en la implementación de ITIL en conjunto con CobiT:
El caso de GRUMA
Mayo 2005 Página 2Octubre 2006
•Introducción
•Marco Conceptual
•Procesos de TI “Estableciendo el Trabajo”
•Gente (Organización) “Alineando Roles con el
Trabajo”
•Seguimiento “Identificar Plan de Mejora”
•Control (Riesgos) “Aplicar Gobierno”
Agenda
Mayo 2005 Página 3Octubre 2006Octubre 2006
•GRUMA, S.A. de C.V., es el líder en laproducción de tortillas y harina de maíz a nivelmundial. Actualmente GRUMA tieneoperaciones en Estados Unidos, Europa,México, Centroamérica, Venezuela, Australia yChina.
•Las Acciones de GRUMA Serie B han cotizadoen la Bolsa Mexicana de Valores, S.A. de C.V.,desde 1994. Los ADSs registrados, cada unorepresentando cuatro Acciones Serie B,comenzaron a listarse en la Bolsa de Valores deNueva York en noviembre de 1998.
GRUMA
Introducción
Mayo 2005 Página 4Octubre 2006Octubre 2006
Desde la perspectiva de sistemas y de control interno, la
parte más importante de SOX es la sección 404. Esta
sección requiere que las compañías que cotizan en las
bolsas de valores de EUA, el comprobar la efectividad de
sus controles internos para sus reportes financieros anuales.
La sección 404 también requiere que auditores
independientes prueben y reporten la validez de estos
controles.
Sarbanes-Oxley Act (SOX)
Introducción
Mayo 2005 Página 5Octubre 2006Octubre 2006
Marco Conceptual
Mayo 2005 Página 6Octubre 2006Octubre 2006
Que es el Cumplimiento de una Regulación Externa?
Es la interpretación de lo que la regulación dice, el
entendimiento de donde está tu compañía, el documentar un
plan para lograr el cumplimiento, ejecutar el plan, e idear las
medidas y controles que prueben que se ha implementado el
plan.
Entendimiento
Marco Conceptual
Mayo 2005 Página 7Octubre 2006Octubre 2006
IS organizations are using compliance to reap benefits, such as
creating standard business processes and consolidating applications.
Most enterprises will comply by the deadline but do not aim to be
exceptional.
The compliance effortisn’tleading to big IS budget increases.
The pressure for standardization is increasing. To make compliance
easier, and to lower audit and head count costs, IS organizations are
standardizing IS processes, applications and infrastructure.
Compliance is ushering in a more structured approach to IS processes.
Initially, this is happening around financial reporting, but it will spread to
all IS processes.
Mejores Prácticas
Marco Conceptual
Mayo 2005 Página 8Octubre 2006
•El utilizar ambientes de control estándar
beneficiará a GRUMA:
–Nos permitirá adaptarnos más rápidamente cuando
se introduzca modificaciones o nuevas regulaciones,
mediante cambios incrementales a los controles
existentes.
–Nos permitirá priorizar el gasto en controles que
logren el mayor impacto.
–Minimiza el duplicar trabajo para el cumplimiento
entre las diferentes áreas de sistemas de GRUMA.
–Establece un entendimiento común entre sistemas y
los auditores internos y externos.
Ambientes Estándares de Control
Marco Conceptual
Mayo 2005 Página 9Octubre 2006
Regulaciones Externas Estándares de Industria
Ambientes Estándares de Control
So
lució
n 1
So
lució
n 2
So
lució
n 3
So
lució
n 4
So
lució
n 5
So
lució
n N……
Ambientes Estándares de Control
Marco Conceptual
Cobit,
ISO 17799:2005
ITIL
MOF
Mayo 2005 Página 10Octubre 2006
Ambientes Estándares de Control GRUMA
Marco Conceptual
Cambio Operación Soporte Optimización
Cambios
Seguridad
Infraestructura
Operación
Soporte
Administración
Comité
Cambios
Comité
Operación
Comité
Servicio
Comité
Proyectos
C O
B I T
Procesos
ITIL
Organización
TI
Mayo 2005 Página 11Octubre 2006
Arquitectura Tecnológica
Marco Conceptual
Mayo 2005 Página 12Octubre 2006Octubre 2006
Cliente
Proveedor
de Tecnología de IT,
Aplicaciones, etc.
Selección de Tecnología
Esfuerzo del Proveedor
Esfuerzo del Cliente
Coeficiente de Eficiencia del Cliente
Coeficiente de Eficiencia del ProveedorX = Cumplimiento
Marco Conceptual
Mayo 2005 Página 13Octubre 2006Octubre 2006
•Document Management
•Business Process Management
•Project Management
•Risk Assessment
•Change Management
•Network Security
•Host Control
•Malicious Software Prevention
•Application Security
•Messaging and Collaboration
•Data Classification and Protection
•Identity Management
•Authentication, Authorization, and Access Control
•Training
•Physical Security
•Vulnerability Identification
•Monitoring and Reporting
•Disaster Recovery and Failover
•Incident Management and Trouble-Tracking
Tecnología para el Cumplimiento
Marco Conceptual
Mayo 2005 Página 14Octubre 2006Octubre 2006
Procesos de TI“Estableciendo el Trabajo”
Mayo 2005 Página 15Octubre 2006Octubre 2006
Ciclo General de Procesos
Procesos de TI
Mayo 2005 Página 16Octubre 2006Octubre 2006
Grupos de Procesos y sus Revisiones
Procesos de TI
Mayo 2005 Página 17Octubre 2006Octubre 2006
Reactive
ProactiveAnalyze trends
Set thresholds
Predict problems
Measure appli-cation availability
Automate
Mature problem, configuration, change, asset and performance mgmt. processes
Fight firesInventory Desktop SW
distributionInitiate
problem mgmt. processAlert and
event mgmt.Measure component
availability (up/down)
IT as a service providerDefine services,
classes, pricingUnderstand costsGuarantee SLAsMeasure & report
service availabilityIntegrate processesCapacity
mgmt.
Service
ValueIT as strategic
business partnerIT and business
metric linkageIT/business
collaboration improves business process Real-time
infrastructureBusiness planning
Level 1
Level 2
Level 3
Level 4
ChaoticAd hoc
Undocumented
Unpredictable
Multiple help
desks
Minimal IT
operations
User call notification
Level 0
Tool Leverage
Manage IT as a Business
Service Delivery Process Engineering
Operational Process Engineering
Service and Account Management
Procesos de TI
Modelo de Maduración de Procesos
Mayo 2005 Página 18Octubre 2006Octubre 2006
Gente (Organización)“Alinear Roles con el Trabajo”
Mayo 2005 Página 19Octubre 2006Octubre 2006
•Se requirió pasar de una organizaciones central diseñadasen base a silos tecnológicos, al igual que organizacionesdistribuidas diseñadas en base a personal con multi-asignaciones, a un estructura organizacional modular,basada en procesos, apalancando competencias y mejoresprácticas.
Organizaciones Distribuidas
diseñadas en base a Personas
Organizaciones Centrales
Diseñadas en base a Silos
Organizaciones Hibridas
(Centrales/Distribuidas)
Retos del Cambio
Gente (Organización)
Mayo 2005 Página 20Octubre 2006Octubre 2006
Diseño General de la Organización de
Servicios de TI Central de GRUMA
Gente (Organización)
Mayo 2005 Página 21Octubre 2006Octubre 2006
Matriz de Responsabilidades (RACI)
Gente (Organización)
R = Ejecuta
A = Responsable
C = Se Consulta (dos
sentidos)
I = Se Informa
Mayo 2005 Página 22Octubre 2006Octubre 2006
Seguimiento“Identificar Plan de Mejora”
Mayo 2005 Página 23Octubre 2006Octubre 2006
Comités de Seguimiento del Cambio
Seguimiento
Mayo 2005 Página 24Octubre 2006Octubre 2006
Comité Cambios
Seguimiento
Mayo 2005 Página 25Octubre 2006Octubre 2006
Comité Operación
Seguimiento
Mayo 2005 Página 26Octubre 2006Octubre 2006
Riesgos (Control)“Aplicar Gobierno”
Mayo 2005 Página 27Octubre 2006Octubre 2006
Establecer el Contexto
Identificar los Riesgos
Analizar los Riesgos
Evaluar los Riesgos
Tratar los Riesgos
Com
unic
ar
y C
onsultar
Monitore
ar
y R
evis
ar
Establecer el Contexto
Identificar los Riesgos
Analizar los Riesgos
Evaluar los Riesgos
Tratar los Riesgos
Com
unic
ar
y C
onsultar
Mo
nito
rear
y R
evis
ar
Evaluación de Riesgos
7
1
2
3
4
5
6
Riesgos (Control)
Administración de Riesgos
Mayo 2005 Página 28Octubre 2006Octubre 2006
Riesgos (Control)
Tratamiento de Riesgos
Mayo 2005 Página 29Octubre 2006Octubre 2006
•Un control puede ser definido como“undispositivo o
mecanismo usado para regular o guiar la operación de
una máquina, aparato osistema”.
•Las organizaciones usan controles para regular sus
procesos de negocio, de tal forma de restringir o corregir
mal comportamiento, reduciendo o prevenir la
replicación de problemas y errores.
•Las organizaciones implementan normalmente
controles para reducir riesgos de fraude, proteger los
activos de la compañía, prevenir revelación no
autorizada de sus secretos, cumplir con regulaciones,
mejorar su eficiencia.
Controles
Riesgos (Control)
Mayo 2005 Página 30Octubre 2006
Controles de IT
Controles Generales
Controles de Aplicaciones
Controles
Controles de Negocio
Controles de TI
•Se definieron dos grandes categorías de controles para
TI: Controles generales y controles de aplicaciones.
Controles
Riesgos (Control)
Mayo 2005 Página 31Octubre 2006
Controles Generales
•Controles Generales aplican a toda la
infraestructura de TI de la compañía. Y son
anteriores a los controles de las aplicaciones.
Los controles generales se clasifican en:
–Organización de sistemas o TI.
–Creación y comunicación de políticas.
–Seguridad de TI.
–Control de cambios.
–Manejo de incidentes y problemas.
–Monitoreo de eventos y rendimiento. Controles de IT
Controles
Generales
Controles de Aplicaciones
Controles
Controles de Negocio
Controles de TI
Riesgos (Control)
Mayo 2005 Página 32Octubre 2006Octubre 2006
•Controles de Aplicaciones son diferentes para
cada aplicación que la compañía usa para
operar el negocio. En este contexto, los
controles de aplicación son componentes de IT
que refuerzan controles de negocio.
•Procedimientos de preparación de datos.
•Chequeo de precisión, completes y autorización.
•Integridad en el procesamiento de datos. (SOD).
•Distribución de Salida.
•Protección de transmisión de información sensitiva.
Controles de Aplicaciones
Controles de IT
Controles
Generales
Controles de
Aplicaciones
Controles
Controles de Negocio
Controles de TI
Riesgos (Control)
Mayo 2005 Página 33Octubre 2006Octubre 2006
Riesgos (Control)
Desarrollo de Controles
Mayo 2005 Página 34Octubre 2006Octubre 2006
Riesgos (Control)
Riesgos SOX - Cobit
Mayo 2005 Página 35Octubre 2006Octubre 2006
Riesgos (Control)
Planeación SOX - Cobit
Mayo 2005 Página 36Octubre 2006Octubre 2006
Maduración de Controles
Riesgos (Control)
Mayo 2005 Página 37Octubre 2006Octubre 2006
Preguntas