Arquitectura Empresarial y cumplimiento normativo

Agosto 2011

Objetivo
Ofrecer una visin sobre las posibilidades de apoyar la atencin de requerimientos regulatorios relacionados con arquitectura de informacin a travs de conceptos y elementos de arquitectura empresarial

Arquitectura empresarial & cumplimiento

Agosto 2 011 2

Contenidos

Agosto 2 011

Arquitectura empresarial & cumplimiento

Agosto 2 011

Arquitectura empresarial & cumplimiento

Introduccin
La importancia y complejidad de la gestin de las TI ha generado regulaciones y normativas que, en general, buscan lograr un uso eficiente de las TI que se sustente en un alineamiento constante de las estrategia y acciones de TI con las de negocio; estas regulaciones se apoyan en modelos y prcticas que desarrollan en especial la gobernabilidad y el control alrededor de un marco de servicios y procesos de TI y que de manera paulatina permite a la organizacin alcanzar mayores niveles de madurez en la gestin de TI para aumentar la oportunidad, calidad y valor de las TI en el quehacer de la organizacin. Estas regulaciones establecen compromisos que, aunque en general son coincidentes con las necesidades de la organizacin para obtener mayor valor de las TI, plantean retos concretos que deben resolverse en plazos o en condiciones especficas.

Arquitectura empresarial & cumplimiento

Agosto 2 011 5

Introduccin
En este escenario es necesario integrar estos compromisos regulatorios dentro de los requerimientos y compromisos de la organizacin como elementos que apoyan una mejor gestin a travs de una transformacin de la forma en que la organizacin integra las TI en sus dinmicas de gobierno, desarrollo y operacin. Tambin es necesario evitar convertir los requerimientos normativos o regulatorios en objetivos finales, ya que esto tiende ms bien a romper el alineamiento que se busca entre TI y negocio y puede generar tanto una falsa sensacin de mejora como esfuerzos que no llega a tener impacto en el valor que la organizacin recibe del uso de las TI. La integracin de la arquitectura de informacin puede entenderse y gestionarse mejor en un contexto de arquitectura empresarial, evidenciando el valor potencial de la AE para resolver temas de estrategia, operacin y cumplimiento en una organizacin.
Arquitectura empresarial & cumplimiento
Agosto 2 011 6

Agosto 2 011

Arquitectura empresarial & cumplimiento

Normativa & Arquitectura

Considerando que las TI se han convertido en un instrumento esencial en la prestacin de los servicios del sector pblico y representan rubros importantes en su presupuestos, tanto la Contralora General de la Repblica (CGR) como la Superintendencia General de Entidades Financieras (SUGEF) emitieron normativas que buscan fortalecer la gobernabilidad, administracin y control de los recursos invertidos en TI. Estas normas, sobre todo la de SUGEF, estn alineadas con las definiciones de COBIT. En COBIT 4.0/4.1 el proceso PO-02, Definir la Arquitectura de Informacin establece, entre otros aspectos, la existencia de un Modelo de Arquitectura de Informacin (MAI). Este proceso tiene definidos cuatro objetivos de control, que permiten identificar elementos concretos que sustentan y evidencian la existencia del MAI y cmo ste se relaciona con otros procesos y objetivos de control de TI.
Agosto 2 011 8

Arquitectura empresarial & cumplimiento

Normativa & Arquitectura

Ambas normativas tcnicas (la de la CGR y la de la SUGEF) son vinculantes para muchas organizaciones que ya han desarrollado diferentes proyectos, inversiones y actividades que ofrecen una base para el desarrollo y uso del MAI. En el caso de la normativa de la SUGEF, existe tambin una definicin de prioridades para lograr niveles de madurez mnimos para procesos de COBIT, relacionadas con auditoras externas sobre esos niveles de madurez. La SUGEF proporciona herramientas para apoyar la valoracin de madurez, apegndose a las definiciones de COBIT4.

Arquitectura empresarial & cumplimiento

Agosto 2 011 9

Normativa & Arquitectura

Las definiciones de PO02 en Cobit se plantean alrededor de objetivos de control y no ofrecen una descripcin especfica o concreta de los elementos que la organizacin requiere para cumplirlos. Es necesario definir conceptos y alcances concretos, que apoyen el gobierno, gestin, operacin y cumplimiento alrededor de la arquitectura de informacin y la integren con otros elementos de gobierno y gestin de las TI, considerando adems un aumento gradual y sostenible en capacidades y madurez. PO2, Definir la arquitectura de informacin PO02.1, Modelo de arquitectura de informacin PO02.2, Diccionario empresarial y reglas de sintaxis de datos PO2.3, Esquema de clasificacin de datos PO2.4, Administracin de la integridad
Agosto 2 011 10

Arquitectura empresarial & cumplimiento

Entradas y salidas - para PO2, PO3 y DS11

Planes estratgicos y tcticos de TI Factibilidad de requerimientos del negocio Revisin post-implantacin Informacin de desempeo y capacidad Entrada de desempeo a planeacin de TI Planes estratgicos y tcticos de TI Actualizaciones de los estndares tecnolgicos Informacin sobre el desempeo y la capacidad Plan optimizado de sistemas del negocio Arquitectura de informacin Diccionario de datos. Clasificaciones asignadas de datos Manuales de usuario, de operacin, de soporte, tcnicos y de administracin Acuerdos operativos de servicio (OLAs) Plan de proteccin y de almacenamiento de respaldos

Diccionario de datos Clasificaciones asignadas de datos

PO-02 Definir la Arquitectura de la Informacin

Arquitectura de informacin Plan optimizado de sistemas de negocio

PO-03 Determinar la Direccin Tecnolgica

DS-11 Administrar datos

Esquema de clasificacin de datos Procedimientos y herramientas de clasificacin Arquitectura de informacin Plan optimizado de sistemas de negocio Diccionario de datos Clasificaciones asignadas de datos Arquitectura empresarial & cumplimiento

Oportunidades tecnolgicas Estndares tecnolgicos Actualizaciones rutinarias del estado de la tecnologa Plan de infraestructura tecnolgica Requerimientos de infraestructura

Reportes de desempeo del proceso Instrucciones para administracin de datos.

Agosto 2 011 11

Prioridades, segn normativa de SUGEF

PO-02

Arquitectura empresarial & cumplimiento

Agosto 2 011 12

Niveles de madurez, para PO-02

Nivel 2
Procedimientos similares para AI; intuitivos e informales, seguidos por personas. Habilidades derivadas del ejercicio y la experiencia. Los requerimientos tcticos impulsan los desarrollos

Nivel 3
Entendimiento claro y divulgacin de responsabilidades sobre AI. Procedimientos y herramientas estandarizados. Existen polticas de AI. Existe una funcin formal de administracin de AI, que la estandariza y supervisa. Uso de herramientas automatizadas; las definiciones de AI se apegan a productos/proveedores de SABD. Hay capacitacin formal.

Nivel 4
Soporte completo al desarrollo e implementacin de la AI. Se mide el xito de la AI. Uso generalizado de herramientas (aunque no estn integradas). Hay mtricas y sistema de medicin. El enfoque es proactivo y se enfoca en necesidades (futuras) de negocio. La administracin de datos se involucra activamente en el desarrollo de aplicaciones. Repositorio automatizado. Se implementan modelos complejos de datos. Sistemas ejecutivos y de toma de decisiones aprovechan la informacin existente. Agosto 2 011
13

Arquitectura empresarial & cumplimiento

Normativa & Arquitectura de informacin

A partir de elementos de alto nivel (estratgicos) sustentar elementos concretos de AI que soportan tanto la operacin como procesos de comunicacin y priorizacin. Conciliar definiciones usuales con definiciones formales. Desarrollar una estrategia que se apoya en procesos en diferentes grados de madurez y con dependencias y prioridades divergentes. Integrar la AI como parte de la operacin, los proyectos y gobernabilidad corporativa.

Arquitectura empresarial & cumplimiento

Agosto 2 011 14

Normativa & Arquitectura de informacin

Es necesario: Conciliar e integrar temas de operacin, transformacin y cumplimiento. Involucrar de manera clara a mltiples actores de la organizacin e integrar los temas de informacin con los de estrategia, operacin, negocio y TI. Establecer prioridades y definir y desarrollar una estrategia de transformacin organizacional. Establecer conceptos y modelos comunes, complementando los de la normativa.
Arquitectura empresarial & cumplimiento
Agosto 2 011 15

Normativa & Arquitectura de informacin

En este contexto se pueden integrar dos conceptos clave para lograr el xito: Una metodologa de transformacin, como Transform de PwC, que pueda articular una serie de temas y actividades que deben gestionarse para lograr la atencin exitosa la operacin a la vez que lograr una transformacin empresarial controlada y sostenible. Por otro lado, el enfoque de Arquitectura Empresarial (AE), que ofrece un marco para integrar la arquitectura de informacin con otros temas que son clave para que la organizacin pueda identificar, definir, obtener y utilizar las condiciones y capacidades organizacionales necesarias para satisfacer de manera efectiva y eficiente su cometido y sus objetivos.
Arquitectura empresarial & cumplimiento

Transformacin organizacional

Arquitectura empresarial

Agosto 2 011 16

Retos de una transformacin empresarial

Desarrollar cambios

Impactar la operacin

Maana

Actuar sobre todas las dimensiones relevantes

Hoy

Orientar e integrar el cambio con la operacin

Arquitectura empresarial & cumplimiento
Agosto 2 011 17

Agosto 2 011

Arquitectura empresarial & cumplimiento

18

Qu es arquitectura empresarial?
Arquitectura Empresa(rial) Una descripcin formal de un sistema o plan de un sistema, a un nivel que permite su implementacin. La estructura de componentes, sus interrelaciones y los principios y lineamientos que gobiernan su diseo y evolucin a travs del tiempo. Un conjunto de organizaciones con metas comunes

Una prctica empresarial que permite establecer y desarrollar definiciones formales de planes y sistemas de forma consistente, eficiente y sostenible para disponer de un conjunto articulado de soluciones que apoya directamente las metas de la organizacin.
Arquitectura empresarial & cumplimiento
Agosto 2 011 19

La AE en el contexto empresarial
Planificacin estratgica
Direccin estratgica

Arquitectura empresarial

Gobernabilidad desde la arquitectura

Dirige la organizacin

Direccin estructurada

Desarrollo de soluciones
Gobernabilidad de proyectos

Gestin de operaciones

Entrega cambios

Gestin de portafolio de proyectos

Entrega de soluciones

Arquitectura empresarial & cumplimiento

Agosto 2 011 20

AE y otros mtodos para la transformacin y gestin

Tpicamente, toda organizacin aplica metodologas y tiene habilidades aplicables en el desarrollo y uso de AE: Casos de negocio Gestin de stakeholders Gestin de proyectos, programas o portafolios Diseo de aplicaciones CMMi Por otra parte, si no se hace desarrollo de AE, hay temas que se desarrollan sin metodologa o del todo no se tratan.
Agosto 2 011 21

Arquitectura empresarial & cumplimiento

Enfoques para desarrollar AE

Arquitectura empresarial & cumplimiento

Temas tpicos de AE

Agosto 2 011 22

Stakeholders y puntos de vista

Riesgo

Mi hogar
Mi cuarto

Seguridad Mantenimiento

Negocio

Tareas del da a da

Salud

Servicios pblicos

Diseo
Arquitectura empresarial & cumplimiento

Construccin
Agosto 2 011 23

Stakeholders y puntos de vista

Riesgo

Mi sistema
Mi aplicacin

Seguridad Mantenimiento

Operaciones Negocio

Regulaciones especficas

Integracin

Diseo
Arquitectura empresarial & cumplimiento

Construccin
Agosto 2 011 24

Stakeholders y puntos de vista

Arquitectura empresarial & cumplimiento

Agosto 2 011 25

Stakeholders y puntos de vista

Catlogos Lista de elementos Matrices Relacin entre dos listas de elementos Diagramas Relaciones entre mltiples elementos

(Descripcin de) Bloques de construccin

Arquitectura empresarial & cumplimiento

Agosto 2 011 26

Los dominios de AE y sus relaciones

Arquitectura base / inicial
Arquitectura empresarial

Arquitectura meta / objetivo

Arquitectura de negocio
Arquitectura de informacin Arquitectura de aplicaciones Arquitectura tecnolgica

Arquitectura de negocio
Arquitectura de Sistemas de Informacin Arquitectura de TI Arquitectura de informacin Arquitectura de aplicaciones Arquitectura tecnolgica

Arquitectura empresarial & cumplimiento

Agosto 2 011 27

La gobernabilidad de la AE
Gobierno Corporativo Comit de arquitectura
Aprobar Revisar

Principios y estrategias de negocio

Principios y estrategias de Arquitectura Empresarial

Marco de referencia Herramientas Principios & estndares Mtricas Roles & responsabilidades Aseguramiento

Autoridad de diseo de AE
Mandatos

Visin Alcances

Modelo de negocio

Modelo de informacin

Modelo de aplicaciones

Modelo de tecnologas

Administrador del Portafolio de proyectos

Planificacin del portafolio Programacin de cambios Gobernabilidad de programas y proyectos Aseguramiento de calidad Gestin del cambio

PROGRAMA A Proyecto A.1 Proyecto A.2 Proyecto B Proyecto C

PROGRAMA n Proyecto n.1 Proyecto n.2 Proyecto X

Arquitectura empresarial & cumplimiento

Agosto 2 011 28

Qu significa la AE para una organizacin?

Un ordenamiento tipo urbanstico: varios conjuntos de definiciones y servicios para mejorar la integracin, reducir el riesgo y los costos, asegurar mejores condiciones de operacin y aumentar el retorno de inversiones. La formalizacin de los requerimientos, los diseos, la supervisin y la dispensaciones. Integrar y potenciar habilidades y conocimientos que ya tenemos, pero que estn aislados. Integrar conocimientos y prcticas propias de AE, para contar con un proceso y un lenguaje comn para apoyar las transformaciones organizacionales. Aprovechar, reutilizar y potenciar inversiones que ya hemos hecho y conocimientos disponibles en el mercado: manejar los bloques de construccin (y bloques de arquitectura). Un compromiso de la organizacin con la coordinacin, la planificacin, la reutilizacin y la visin de futuro: menos proyectos y menos esfuerzos. Un proceso de maduracin de capacidades y competencias. Un conjunto de diagramas, matrices y catlogos para apoyar la gobernabilidad y la gestin.
Arquitectura empresarial & cumplimiento
Agosto 2 011 29

Un enfoque prctico para AE: TOGAF

Dentro de las prcticas y marcos de AE, TOGAF ofrece un enfoque concreto y completo, centrado en cmo desarrollar elementos formales y de valor para la organizacin, por lo que puede adoptarse como la base para orientar el desarrollo de una prctica de AE que sea capaz de generar valor desde etapas tempranas de desarrollo y de ofrecer el soporte para orientar todos los procesos de transformacin en la organizacin. Este enfoque es adecuado, por ejemplo, para integrar los requerimientos regulatorios y de negocio y tener una valoracin objetiva y significativa de la situacin de partida y una definicin formal, clara y compartida de la situacin futura.
Arquitectura empresarial & cumplimiento
Agosto 2 011 30

Agosto 2 011

Arquitectura empresarial & cumplimiento

31

AE y cumplimiento
La introduccin de los conceptos y prcticas de AE permiten desarrollar capacidades y habilidades organizacionales para impulsar de manera general un mejor alineamiento y gobierno de las TI como parte de los temas clave para la operacin y desarrollo de una organizacin. La arquitectura de informacin es uno de los dominios de AE, y su desarrollo se puede apoyar en una serie de elementos, relaciones y artefactos de arquitectura empresarial, facilitando una serie de definiciones que complementan las que plantea Cobit sobre este tema. Consideraciones sobre riesgos y beneficios permiten complementar las definiciones regulatorias para definir y priorizar el alcance y madurez objetivo de procesos de TI, logrando generar valor efectivo para una organizacin.

Arquitectura empresarial & cumplimiento

Agosto 2 011 32

Los dominios (tpicos) de AE: Retos

Estas denominaciones de dominios evidencian retos tpicos sobre las responsabilidades: Arquitectura de Sistemas de Informacin sugiere un tema tecnolgico. Adems, hace parte de la Arquitectura de TI, que parecer ser, naturalmente, responsabilidad de TI. Por tanto, la Arquitectura de Informacin, sera una responsabilidad de TI, que permite operar las aplicaciones. Entonces, la dependencia de la AI de la AN, se pierde.
Arquitectura empresarial & cumplimiento
Agosto 2 011 33

Metamodelo de contenidos de TOGAF

En enfoque consistente para establecer relaciones y artefactos que las expresan adecuadamente y satisfacen requerimientos de negocio y regulatorios de manera ms til

Fuente: TOGAF v9, The OpenGroup Arquitectura empresarial & cumplimiento

Agosto 2 011 34

Metamodelo de contenidos de TOGAF

La mejor forma de revisar las relaciones de funciones, procesos y unidades organizacionales con las entidades de datos es a travs de los servicios de negocio.

Arquitectura empresarial & cumplimiento

Agosto 2 011 35

Artefactos para AI Principios de AE Catlogos Los datos e informacin son y se

Entidad de datos/Componente de datos gestionan como activos

Matrices
Entidad de datos/Funcin de negocio (mostrando qu datos soportan que funciones de negocio y que unidades de negocio poseen que datos) Servicios de negocio/Informacin (desarrolla como parte de la arquitectura de negocio) Sistema/Datos (relacionada con la arquitectura de aplicaciones)

Diagramas
Clases de datos Diseminacin de datos Ciclo de vida de datos Seguridad de datos Migracin de datos Jerarqua de clases de datos

Guas
Agosto 2 011 36

Arquitectura empresarial & cumplimiento

(Ideas sobre) Arquitectura en COBIT5

Arquitectura empresarial & cumplimiento

Agosto 2 011 37

Arquitectura en COBIT5: Cambios en PO

Arquitectura empresarial & cumplimiento

Agosto 2 011 38

Arquitectura en COBIT5: Arq. Empresarial.

Arquitectura empresarial & cumplimiento

Agosto 2 011 39

AE y cumplimiento
La AI, vista de en el contexto de AE, supone: Establecer definiciones y modelos sobre informacin, que permiten revisar y definir con los stakeholders de negocio la estrategia de informacin/datos. Establecer claramente que los temas de datos se derivan de temas del negocio para orientar las aplicaciones (y no al contrario) Definir y articular varios diccionarios (catlogos), que sirven a diferentes stakeholders. Definir y controlar definiciones de la situacin actual y de la situacin meta. Establecer una estrategia para definir y replicar un mtodo para definir segmentos de AI en varias iteraciones y usando bloques de construccin. Contar con un esquema de clasificacin de informacin y datos que sustente la gestin de datos e informacin como activos. Sustentar operaciones y servicios para orientar los aspectos operativos del uso de datos/informacin. Integrar los temas de AI con las otras dimensiones de AE, siguiendo una visin definida a nivel organizacional.
Arquitectura empresarial & cumplimiento
Agosto 2 011 40

Agosto 2 011

Arquitectura empresarial & cumplimiento

41

Conclusiones
Lograr un cumplimiento sustentable de normativas externas requiere una transformacin organizacional, que integra mltiples stakeholders de la organizacin. Las organizaciones requieren definir conceptos y alcances concretos, que apoyen el gobierno, gestin, operacin y cumplimiento alrededor de la arquitectura de informacin y, como parte de la AE, la integren con otros elementos de gobierno y gestin de las TI, considerando un aumento gradual y sostenible en capacidades y madurez. El desarrollo de una arquitectura de informacin debe responder a la criticidad y prioridades del negocio: es recomendable un desarrollo inicial sobre un rea especfica, para una posterior generalizacin, aprovechando el concepto de bloques de arquitectura/construccin. Si no se entienden sus alcances, los nombres de los dominios de AE pueden causar la exclusin o auto-exclusin de stakeholders clave en temas de AE. El metamodelo y artefactos tpicos de AE (TOGAF) son tiles para sustentar la definicin, uso y desarrollo de la AI y en general para apoyar los objetivos de las normativas tcnicas. La AE ser parte integral de la dinmica de gobernabilidad, transformacin, operacin y cumplimiento de las organizaciones.

Arquitectura empresarial & cumplimiento

Agosto 2 011 42

El presente documento ha sido preparado a efectos de orientacin general sobre materias de inters y no constituye asesoramiento profesional alguno. No deben llevarse a cabo actuaciones en base a la informacin contenida en este documento, sin obtener el especfico asesoramiento profesional. No se efecta manifestacin ni se presta garanta alguna (de carcter expreso o tcito) respecto de la exactitud o integridad de la informacin contenida en el mismo y, en la medida legalmente permitida. PricewaterhouseCoopers Consultores S.A, sus socios, empleados o colaboradores no aceptan ni asumen obligacin, responsabilidad o deber de diligencia alguna respecto de las consecuencias de la actuacin u omisin por su parte o de terceros, en base a la informacin contenida en este documento o respecto de cualquier decisin fundada en la misma. 2011 PricewaterhouseCoopers Consultores S.A. Todos los derechos reservados. "PwC" se refiere a PricewaterhouseCoopers Interamericas, miembro de PricewaterhouseCoopers International Limited; cada una de las cuales es una entidad legal separada e independiente.