Beruflich Dokumente
Kultur Dokumente
GRC
GRC:Governance,RiskManagement
yCompliance
Gobierno,administracindelriesgoy
cumplimiento.
Tminosombrilla,cadavezms
utilizadoquecubreestastresreasde
actividadesdelasempresas.
Estasreasdeactividadestnsiendo
progresivamentemsalineadose
integradosparamejorarelrendimiento
delaempresaylaentregadelas
necesidadesdelaspartesinteresadas.
DefinicionesGRC*
GRC:
GobiernoElejerciciodelaautoridad,control,
gobierno,acuerdo.
Riesgo (Administracin)Peligro,riesgode
prdida,daoodestruccin(elactooartedela
gestin,lamaneradetratar,dirigir,seguiradelante,o
utilizar,conunpropsito,conducta,administracin,
direccin,control)
CumplimientoElactodecumplimiento,un
rendimiento,encuantoasudeseo,demandao
propuesta;concesin;presentacin
*DiccionarioenlneaWebster
TiposdeGobierno
Existendiferentestiposdegobierno:
GobiernoCorporativo
GobiernodeProyectos
GobiernodeTecnologasdeInformacin
GobiernoAmbiental
GobiernoEconmicoyFinanciero
Cadatipotieneunaomsfuentesde
orientacin,cadaunoconobjetivos
similaresperoconfrecuenciavaran
trminosylastcnicasparasu
realizacin.
ImplementandoGobierno
Laintegracindelaaplicacindelas
actividadesdeGRCdentrodeuna
empresarequiereunenfoquesistmico
paraeleficazlogrodelosobjetivos
empresarialesdesusgruposdeinters.
Estosenfoquessebasannormalmente
enfacilitadoresdediversostipos(por
ejemplo,losprincipios,laspolticas,
modelos,marcos,estructuras
organizacionales).
UnejemplodemodeloGRC
DelRedBookGRCdeOCEGCapability
Modelversion2.1*
GobiernoCorporativodeTI
ISO/IEC38500:2008
GobiernoCorporativodeTecnologa
deInformacin
1.1Alcance
Esteestndarestablecelosprincipiosrectoresparadirectoresde
organizaciones(incluyendopropietarios,miembrosdelconsejo,
directores,socios,ejecutivosdealtonivel,osimilar)sobreeluso
eficaz,eficienteyaceptabledelatecnologadelainformacin(TI)
dentrodesusorganizaciones.
Estanormaseaplicaalagestindelosprocesosdegestin(tomade
decisiones)relativasalosserviciosdeinformacinycomunicacin
utilizadosporunaorganizacin.Estosprocesospuedenser
controladosporespecialistasenTIdentrodelaorganizacinodelos
proveedoresdeserviciosexternos,oporunidadesdenegociodentro
delaorganizacin.
GobiernoCorporativodeTI(cont.)
ISO/IEC38500:2008
GobiernoCorporativodeTecnologa
deInformacin
2.1Principios
2.1.1Principio1:Responsabilidad
2.1.2Principio2:Estrategia
2.1.3Principio3:Adquisicin
2.1.4Principio4:Desempeo
2.1.5Principio5:Conformidad
2.1.6Principio6:ComportamientoHumano
GobiernoCorporativodeTI(cont.)
ISO/IEC38500:2008
GobiernoCorporativodeTecnologa
deInformacin
2.2Modelo
LosadministradoresdebegobernarlasTIatravsdetrestareas
principales:
a)EvaluarelusoactualyfuturodeTI.
b)Preparacindirectaylaaplicacindeplanesypolticaspara
garantizarqueelusodelasTIcumpleconlosobjetivosde
negocio.
c)Monitorearlaconformidaddelaspolticas,yeldesempeo
contralosplanes.
GobiernoCorporativodeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
RetosdeTI
GobiernodeTI
GobiernodeTI
GobiernodeTI
El costo de las inversiones actuales y futuras
en informacin
informacin.
en
tecnologa
de
GobiernodeTI
Por otro parte:
La gerencia requiere servicios que presenten
GobiernodeTI
El factor diferenciador entre los que lo
GobiernodeTI
NECESIDADDEGOBIERNODETI
SiTIsevaagestionarcomounnegocio
dentrodelnegocio,elconceptodegobierno
(procesoenelqueseayudalagerenciapara
conseguirsusobjetivos)estambin
aplicablealagestindeTI.
GobiernodeTI
NECESIDADDEGOBIERNODETI
El Gobierno de TI provee las estructuras que
GobiernodeTI
Unaestructuraderelacionesyprocesospara
dirigirycontrolarlaempresaconelobjeto
dealcanzarlosobjetivosdelaempresay
aadirvalormientrasseequilibranlos
riesgosyelretornosobreTIysusprocesos.
PrincipiosdelGobiernodeTI
ISACAyCOBIT
ISACA
promueve
activamente
la
investigacin que se traduce en el desarrollo
de productos relevantes y tiles para los
profesionales de Gobierno de TI, riesgo,
control, aseguramiento y seguridad.
ISACA
desarrolla
y
mantiene
el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los profesionales
de TI y lderes empresariales a cumplir con
sus responsabilidades de gobierno de TI,
mientras que la entrega de valor al negocio.
COBIT:GobiernodeTIdelasEmpresas(GEIT)
Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0
Administracin
(2008)
Control
Risk IT
(2009)
Auditora
COBIT1
1996
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1 COBIT 5
2005/7
2012
COBIT5enResumen
COBIT5 renealoscincoprincipiosque
permitenalaempresadeconstruiruna
gobernabilidad efectivayunmarcode
gestin basadoenunconjuntoholsticode
sietefacilitadoresqueoptimizala
informacin ylainversinentecnologa y
elusoparaelbeneficiodelaspartes
interesadas.
ElmarcoCOBIT5
Enpocaspalabras,COBIT5ayudaalasempresasacrearvalor
ptimodeTImedianteelmantenimientodeunequilibrio
entrelaobtencindebeneficiosylaoptimizacindelos
nivelesderiesgoyelusodelosrecursos.
COBIT5permitequelainformacinylatecnologa
relacionadaparasergobernadoyadministradodemanera
integralparaelconjuntodelaempresa,teniendoenelplenode
extremoaextremodelnegocioyreasfuncionalesde
responsabilidad,teniendoencuentalosinteresesrelacionados
conlaTIdegruposdeintersinternosyexternos.
Losprincipios ylosfacilitadores deCOBIT5sondecarcter
genricoytilparalasempresasdetodoslostamaos,yasea
comercial,sinfinesdelucrooenelsectorpblico.
LosPrincipiosdeCOBIT5
1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el
Gobierno de la
Administracin
2. Cubrir la
Organizacin de
forma integral
Principios
de COBIT 5
4. Habilitar
un enfoque
holistico
3. Aplicar un
solo marco
integrado
HabilitadoresdeCOBIT5
3. Estructuras
Organizacionales
2. Procesos
4. Cultura, tica
y Comportamiento
5. Informacin
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
Gobierno(yadministracin)enCOBIT5
Gobierno aseguraquelosobjetivosdelaempresaselogren
mediantelaevaluacin delasnecesidadesdelaspartes
interesadas,lascondicionesyopciones,estableciendola
direccin atravsdelapriorizacinydecisin,y
monitoreando eldesempeo,elcumplimientoyelprogreso
contraacordarondireccinyobjetivos(EDM).
Administracin planea,construye,ejecutaymonitorea
actividadesalineadasconladireccinestablecidaporelrgano
degobiernoparaalcanzarlosobjetivosdelaempresa(PBRM).
Elejerciciodegobiernoylagestineficazenlaprcticarequiere
elusoadecuadodetodoslosfacilitadores.ElprocesoCOBIT
comomodelodereferencianospermiteenfocarfcilmentesobre
lasactividadesempresarialesrelevantes.
GobiernoenCOBIT5
ElmodelodereferenciaCOBIT5subdivideprocesodelas
prcticasrelacionadasconlaTIylasactividadesdelaempresa
endosgrandesreas:lagobernanzaylagestinconla
administracindivididaendominiosdelosprocesos
EldominioGOBIERNOcontienecincoprocesosdegobierno,
dentrodecadaproceso,evaluar,dirigirysupervisar(EDM)Las
prcticassedefinen.
01Asegurarelmarcodegobiernoyelmantenimientodesuconfiguracin.
02Asegurarlaentregabeneficios.
03Garantizarlaoptimizacinderiesgos.
04Garantizarlaoptimizacinderecursos.
05Garantizarlatransparenciadelostercerosinteresados.
Loscuatrodominiosdegestinestnenlneaconlasreasde
responsabilidaddeplanear,construir,ejecutarymonitorear
(PBRM).
GobiernoenCOBIT5(cont.)
Procesos para el Gobierno Corporativo de TI
EDM02 Asegurar
la Entrega de Valor
EDM03 Asegurar
la Optimizacin de
los Riesgos
EDM04 Asegurar
la Optimizacin de
los Recursos
EDM05 Asegurar
la Transparencia a
las partes
interesadas
APO08 Administrar
las Relaciones
APO02 Administrar
la Estrategia
APO09 Administrar
los Contratos de
Servicios
Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa
APO04 Administrar
la Innovacin
APO10 Administrar
los Proveedores
APO11 Administrar
la Calidad
BAI04 Administrar la
Disponibilidad y
Capacidad
APO05 Administrar
el Portafolio
APO06 Administrar
el Presupuesto y los
Costos
APO12 Administrar
los Riesgos
APO13 Administrar
la Seguridad
BAI05 Administrar la
Habilitacin del
Cambio
BAI06 Administrar
Cambios
APO07 Administrar
el Recurso Humano
MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento
BAI02 Administrar
la Definicin de
Requerimientos
BAI03 Administrar
la Identificacin y
Construccin de
Soluciones
BAI08 Administrar el
Conocimiento
BAI09 Administrar
los Activos
BAI10 Admnistrar la
Configuracin
BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones
MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno
DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes
DSS03 Administrar
Problemas
DSS04 Administrar
la Continuidad
DSS05 Administrar
los Servicios de
Seguridad
DSS06 Administrar
los Controles en los
Procesos de Negocio
MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos
Asegurarqueelapetitoderiesgodelaempresaylatoleranciase
entiende,articuladoycomunicado,yqueelriesgodevalordela
empresaenrelacinconelusodelasTIesidentificadoy
gestionado.
Procesodedeclaracindepropsito
AsegurarqueriesgosrelacionadosconTIdelaempresanosuperela
toleranciaalriesgoyelapetitoderiesgo,elimpactodelosriesgosde
TIdevalordelaempresaesidentificadoymanejado,yla
posibilidaddefallasdecumplimientoesmnimo.
EldominiodeGestinAlinear,PlanearyOrganizar
contieneunprocesoderiesgosrelacionados:APO12
Gestionarelriesgo.
Descripcindelproceso
Continuamenteidentificar,evaluaryreducirlosriesgos
relacionadosconTIdentrodelosnivelesdetolerancia
establecidosporladireccinejecutivadelaempresa.
ProcesodeDeclaracindePropsito
Integrarlagestinderiesgosempresariales
relacionadosconlaTIconelERMengeneral,y
equilibrarloscostosybeneficiosdelagestinderiesgos
relacionadosconTIdelaempresa.
EDM02 Asegurar
la Entrega de Valor
EDM03 Asegurar
la Optimizacin de
los Riesgos
EDM04 Asegurar
la Optimizacin de
los Recursos
EDM05 Asegurar
la Transparencia a
las partes
interesadas
APO08 Administrar
las Relaciones
APO02 Administrar
la Estrategia
APO09 Administrar
los Contratos de
Servicios
Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa
APO04 Administrar
la Innovacin
APO10 Administrar
los Proveedores
APO11 Administrar
la Calidad
BAI04 Administrar la
Disponibilidad y
Capacidad
APO05 Administrar
el Portafolio
APO06 Administrar
el Presupuesto y los
Costos
APO12 Administrar
los Riesgos
APO13 Administrar
la Seguridad
BAI05 Administrar la
Habilitacin del
Cambio
BAI06 Administrar
Cambios
APO07 Administrar
el Recurso Humano
MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento
BAI02 Administrar
la Definicin de
Requerimientos
BAI03 Administrar
la Identificacin y
Construccin de
Soluciones
BAI08 Administrar el
Conocimiento
BAI09 Administrar
los Activos
BAI10 Admnistrar la
Configuracin
BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones
MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno
DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes
DSS03 Administrar
Problemas
DSS04 Administrar
la Continuidad
DSS05 Administrar
los Servicios de
Seguridad
DSS06 Administrar
los Controles en los
Procesos de Negocio
MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos
Todaslasactividadesdelaempresatienenunaexposicinde
riesgosasociadosderivadosdelasamenazasambientales
queaprovechanlasvulnerabilidadeshabilitador
EDM03Aseguraroptimizacindelriesgo aseguraqueel
enfoquederiesgodelostercerosinteresadoesteenfocadoa
comoserntratadoslosriesgosqueenfrentalaempresa.
APO12GestindeRiesgoproporcionaalasempresasla
gestinderiesgos(ERM)lasdiposicionesqueasegurenquela
direccindadaporlostercerosinteresadosesseguidaporla
empresa.
Todoslosdemsprocesos incluyeprcticasyactividades
quesondiseadasparatratarelriesgorelacionado(evitar,
reducir/mitigar/controlar/compartir/transferir/aceptar).
Compliance
Audit
ChiefInformationOfficer
HeadArchitect
HeadDevelopment
HeadITOperations
HeadITAdministration
ServiceManager
InformationSecurityManager
BusinessContinuityManager
PrivacyOfficer
HeadHumanResources
EnterpriseRiskCommittee
ArchitectureBoard
ValueManagementOffice
ProjectManagementOffice
ChiefInformationSecurityOfficer
Steering(Programmes/Projects)Committee
StrategyExecutiveCommittee
BusinessProcessOwners
BusinessExecutives
ChiefOperatingOfficer
ChiefFinancialOfficer
ChiefRiskOfficer
Defineariskmanagement
actionportfolio.
APO12.06
Respondtorisk.
ChiefExecutiveOfficer
KeyManagementPractice
APO12.01
Collectdata.
APO12.02
Analyserisk.
APO12.03
Maintainariskprofile.
APO12.04
Articulaterisk.
APO12.05
Board
APO12RACIChart
Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.
Cumplimiento enCOBIT5
EldominiodelagestinMonitorear,Evaluaryvalorar
contieneunprocesodecumplimientoenfocado:MEA03
supervisar,evaluaryevaluarelcumplimientodelos
requisitosexternos.
Descripcin delproceso
EvaluarquelosprocesosdeTIyprocesosdenegocios
apoyadosporTIcumplenconlasleyes,regulacionesy
requerimientoscontractuales.Conseguirgarantasdeque
losrequisitossehanidentificadoysecumplan,eintegrar
elcumplimientodeTIconelcumplimientogeneraldela
empresa.
Procesodepropsitodedeclaracin
Asegresedequelaempresacumplecontodoslos
requerimientosexternosaplicables.
EDM02 Asegurar
la Entrega de Valor
EDM03 Asegurar
la Optimizacin de
los Riesgos
EDM04 Asegurar
la Optimizacin de
los Recursos
EDM05 Asegurar
la Transparencia a
las partes
interesadas
APO08 Administrar
las Relaciones
APO02 Administrar
la Estrategia
APO09 Administrar
los Contratos de
Servicios
Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa
APO04 Administrar
la Innovacin
APO10 Administrar
los Proveedores
APO11 Administrar
la Calidad
BAI04 Administrar la
Disponibilidad y
Capacidad
APO05 Administrar
el Portafolio
APO06 Administrar
el Presupuesto y los
Costos
APO12 Administrar
los Riesgos
APO13 Administrar
la Seguridad
BAI05 Administrar la
Habilitacin del
Cambio
BAI06 Administrar
Cambios
APO07 Administrar
el Recurso Humano
MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento
BAI02 Administrar
la Definicin de
Requerimientos
BAI03 Administrar
la Identificacin y
Construccin de
Soluciones
BAI08 Administrar el
Conocimiento
BAI09 Administrar
los Activos
BAI10 Admnistrar la
Configuracin
BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones
MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno
DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes
DSS03 Administrar
Problemas
DSS04 Administrar
la Continuidad
DSS05 Administrar
los Servicios de
Seguridad
DSS06 Administrar
los Controles en los
Procesos de Negocio
MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos
InformationSecurityManager
BusinessContinuityManager
EnterpriseRiskCommittee
ChiefInformationSecurityOfficer
ProjectManagementOffice
PrivacyOfficer
ServiceManager
HeadITAdministration
HeadITOperations
HeadArchitect
HeadDevelopment
HeadHumanResources
ArchitectureBoard
ChiefRiskOfficer
ChiefInformationOfficer
Audit
Compliance
ValueManagementOffice
Steering(Programmes/Projects)Committee
BusinessProcessOwners
StrategyExecutiveCommittee
BusinessExecutives
ChiefOperatingOfficer
ChiefFinancialOfficer
KeyManagementPractice
MEA03.01
Identifyexternal
compliancerequirements.
MEA03.02
Optimiseresponseto
externalrequirements.
MEA03.03
Confirmexternalcompliance.
MEA03.04
Obtainassuranceof
externalcompliance.
ChiefExecutiveOfficer
MEA03RACIChart
Board
Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.
Resumen
El marco COBIT 5 incluye la orientacin necesaria para
apoyar los objetivos de GRC de la empresa y actividades
de apoyo:
Actividades de gobierno relacionadas a GEIT (5 procesos)
Procesos de gestin de riesgos y apoyo para la gestin de
riesgos a travs del espacio GEIT
Cumplimiento: un enfoque especfico en las actividades de
cumplimiento en el marco y cmo encajan dentro de la
imagen completa de la empresa
FIN DE LA SESIN 3 Y 4