FACULTAD DE INGENIERIA

ESCUELA ACADMICO PROFESIONAL DE INGENIERA DE SISTEMAS

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

AUDITORIADESISTEMAS
Ing.Yamil Quiones Nieto

GRC
GRC:Governance,RiskManagement
yCompliance
Gobierno,administracindelriesgoy
cumplimiento.
Tminosombrilla,cadavezms
utilizadoquecubreestastresreasde
actividadesdelasempresas.
Estasreasdeactividadestnsiendo
progresivamentemsalineadose
integradosparamejorarelrendimiento
delaempresaylaentregadelas
necesidadesdelaspartesinteresadas.

DefinicionesGRC*
GRC:
GobiernoElejerciciodelaautoridad,control,
gobierno,acuerdo.

Riesgo (Administracin)Peligro,riesgode
prdida,daoodestruccin(elactooartedela
gestin,lamaneradetratar,dirigir,seguiradelante,o
utilizar,conunpropsito,conducta,administracin,
direccin,control)

CumplimientoElactodecumplimiento,un
rendimiento,encuantoasudeseo,demandao
propuesta;concesin;presentacin

*DiccionarioenlneaWebster

TiposdeGobierno
Existendiferentestiposdegobierno:
GobiernoCorporativo
GobiernodeProyectos
GobiernodeTecnologasdeInformacin
GobiernoAmbiental
GobiernoEconmicoyFinanciero

Cadatipotieneunaomsfuentesde

orientacin,cadaunoconobjetivos
similaresperoconfrecuenciavaran
trminosylastcnicasparasu
realizacin.

ImplementandoGobierno
Laintegracindelaaplicacindelas

actividadesdeGRCdentrodeuna
empresarequiereunenfoquesistmico
paraeleficazlogrodelosobjetivos
empresarialesdesusgruposdeinters.
Estosenfoquessebasannormalmente
enfacilitadoresdediversostipos(por
ejemplo,losprincipios,laspolticas,
modelos,marcos,estructuras
organizacionales).

UnejemplodemodeloGRC
DelRedBookGRCdeOCEGCapability

Modelversion2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

GobiernoCorporativodeTI
ISO/IEC38500:2008

GobiernoCorporativodeTecnologa

deInformacin
1.1Alcance
Esteestndarestablecelosprincipiosrectoresparadirectoresde

organizaciones(incluyendopropietarios,miembrosdelconsejo,
directores,socios,ejecutivosdealtonivel,osimilar)sobreeluso
eficaz,eficienteyaceptabledelatecnologadelainformacin(TI)
dentrodesusorganizaciones.
Estanormaseaplicaalagestindelosprocesosdegestin(tomade
decisiones)relativasalosserviciosdeinformacinycomunicacin
utilizadosporunaorganizacin.Estosprocesospuedenser
controladosporespecialistasenTIdentrodelaorganizacinodelos
proveedoresdeserviciosexternos,oporunidadesdenegociodentro
delaorganizacin.

GobiernoCorporativodeTI(cont.)
ISO/IEC38500:2008

GobiernoCorporativodeTecnologa
deInformacin
2.1Principios
2.1.1Principio1:Responsabilidad
2.1.2Principio2:Estrategia
2.1.3Principio3:Adquisicin
2.1.4Principio4:Desempeo
2.1.5Principio5:Conformidad
2.1.6Principio6:ComportamientoHumano

GobiernoCorporativodeTI(cont.)
ISO/IEC38500:2008

GobiernoCorporativodeTecnologa
deInformacin
2.2Modelo
LosadministradoresdebegobernarlasTIatravsdetrestareas
principales:
a)EvaluarelusoactualyfuturodeTI.
b)Preparacindirectaylaaplicacindeplanesypolticaspara
garantizarqueelusodelasTIcumpleconlosobjetivosde
negocio.
c)Monitorearlaconformidaddelaspolticas,yeldesempeo
contralosplanes.

GobiernoCorporativodeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

RetosdeTI

GobiernodeTI

GobiernodeTI

GobiernodeTI
El costo de las inversiones actuales y futuras

en informacin
informacin.

en

tecnologa

de

El potencial que tienen las tecnologas para

cambiar radicalmente las organizaciones y

las prcticas de negocio, crear nuevas
oportunidades y reducir costos.

GobiernodeTI
Por otro parte:
La gerencia requiere servicios que presenten

incrementos en calidad, en funcionalidad

y en facilidad de uso, as como una mejora
continua y una disminucin de los
tiempos de entrega; al tiempo que
demanda que esto se realice a un costo ms
bajo.

GobiernodeTI
El factor diferenciador entre los que lo

consiguen y los que no, radica en la

participacin de gerencia en las decisiones
clave de TI.

GobiernodeTI
NECESIDADDEGOBIERNODETI
SiTIsevaagestionarcomounnegocio
dentrodelnegocio,elconceptodegobierno
(procesoenelqueseayudalagerenciapara
conseguirsusobjetivos)estambin
aplicablealagestindeTI.

GobiernodeTI
NECESIDADDEGOBIERNODETI
El Gobierno de TI provee las estructuras que

unen los procesos de TI, los recursos de TI y

la informacin con las estrategias y los
objetivos de la empresa.

GobiernodeTI
Unaestructuraderelacionesyprocesospara

dirigirycontrolarlaempresaconelobjeto
dealcanzarlosobjetivosdelaempresay
aadirvalormientrasseequilibranlos
riesgosyelretornosobreTIysusprocesos.

PrincipiosdelGobiernodeTI

ISACAyCOBIT
ISACA

promueve
activamente
la
investigacin que se traduce en el desarrollo
de productos relevantes y tiles para los
profesionales de Gobierno de TI, riesgo,
control, aseguramiento y seguridad.
ISACA
desarrolla
y
mantiene
el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los profesionales
de TI y lderes empresariales a cumplir con
sus responsabilidades de gobierno de TI,
mientras que la entrega de valor al negocio.

COBIT:GobiernodeTIdelasEmpresas(GEIT)

Evolucin del Alcance

Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0

Administracin

(2008)

Control
Risk IT
(2009)

Auditora
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1 COBIT 5

2005/7

2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

COBIT5enResumen
COBIT5 renealoscincoprincipiosque
permitenalaempresadeconstruiruna
gobernabilidad efectivayunmarcode
gestin basadoenunconjuntoholsticode
sietefacilitadoresqueoptimizala
informacin ylainversinentecnologa y
elusoparaelbeneficiodelaspartes
interesadas.

ElmarcoCOBIT5
Enpocaspalabras,COBIT5ayudaalasempresasacrearvalor

ptimodeTImedianteelmantenimientodeunequilibrio
entrelaobtencindebeneficiosylaoptimizacindelos
nivelesderiesgoyelusodelosrecursos.
COBIT5permitequelainformacinylatecnologa
relacionadaparasergobernadoyadministradodemanera
integralparaelconjuntodelaempresa,teniendoenelplenode
extremoaextremodelnegocioyreasfuncionalesde
responsabilidad,teniendoencuentalosinteresesrelacionados
conlaTIdegruposdeintersinternosyexternos.
Losprincipios ylosfacilitadores deCOBIT5sondecarcter
genricoytilparalasempresasdetodoslostamaos,yasea
comercial,sinfinesdelucrooenelsectorpblico.

LosPrincipiosdeCOBIT5
1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el
Gobierno de la
Administracin

2. Cubrir la
Organizacin de
forma integral

Principios
de COBIT 5

4. Habilitar
un enfoque
holistico

3. Aplicar un
solo marco
integrado

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

HabilitadoresdeCOBIT5
3. Estructuras
Organizacionales

2. Procesos

4. Cultura, tica
y Comportamiento

1. Principios, Polticas y Marcos

5. Informacin

6. Servicios,
Infraestructura
y Aplicaciones

7. Personas,
Habilidades y
Competencias

RECURSOS

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

Gobierno(yadministracin)enCOBIT5
Gobierno aseguraquelosobjetivosdelaempresaselogren

mediantelaevaluacin delasnecesidadesdelaspartes
interesadas,lascondicionesyopciones,estableciendola
direccin atravsdelapriorizacinydecisin,y
monitoreando eldesempeo,elcumplimientoyelprogreso
contraacordarondireccinyobjetivos(EDM).
Administracin planea,construye,ejecutaymonitorea
actividadesalineadasconladireccinestablecidaporelrgano
degobiernoparaalcanzarlosobjetivosdelaempresa(PBRM).
Elejerciciodegobiernoylagestineficazenlaprcticarequiere
elusoadecuadodetodoslosfacilitadores.ElprocesoCOBIT
comomodelodereferencianospermiteenfocarfcilmentesobre
lasactividadesempresarialesrelevantes.

GobiernoenCOBIT5
ElmodelodereferenciaCOBIT5subdivideprocesodelas
prcticasrelacionadasconlaTIylasactividadesdelaempresa
endosgrandesreas:lagobernanzaylagestinconla
administracindivididaendominiosdelosprocesos
EldominioGOBIERNOcontienecincoprocesosdegobierno,
dentrodecadaproceso,evaluar,dirigirysupervisar(EDM)Las
prcticassedefinen.
01Asegurarelmarcodegobiernoyelmantenimientodesuconfiguracin.
02Asegurarlaentregabeneficios.
03Garantizarlaoptimizacinderiesgos.
04Garantizarlaoptimizacinderecursos.
05Garantizarlatransparenciadelostercerosinteresados.

Loscuatrodominiosdegestinestnenlneaconlasreasde
responsabilidaddeplanear,construir,ejecutarymonitorear
(PBRM).

GobiernoenCOBIT5(cont.)
Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar
el Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar
la Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar
el Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar
la Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar
el Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar
la Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Administracin deRiesgos enCOBIT5

EldominiodeGobiernocotienecincoprocesosdegobierno,
unodeloscualesseenfocaenelriesgorelacionadoconlos
objetivosdelostercerosinteresados:EDM03Asegurarla
optimizacinderiesgos.
Descripcindeprocesos

Asegurarqueelapetitoderiesgodelaempresaylatoleranciase
entiende,articuladoycomunicado,yqueelriesgodevalordela
empresaenrelacinconelusodelasTIesidentificadoy
gestionado.

Procesodedeclaracindepropsito

AsegurarqueriesgosrelacionadosconTIdelaempresanosuperela
toleranciaalriesgoyelapetitoderiesgo,elimpactodelosriesgosde
TIdevalordelaempresaesidentificadoymanejado,yla
posibilidaddefallasdecumplimientoesmnimo.

Administracin deRiesgos enCOBIT5

(cont.)

EldominiodeGestinAlinear,PlanearyOrganizar
contieneunprocesoderiesgosrelacionados:APO12
Gestionarelriesgo.
Descripcindelproceso
Continuamenteidentificar,evaluaryreducirlosriesgos
relacionadosconTIdentrodelosnivelesdetolerancia
establecidosporladireccinejecutivadelaempresa.

ProcesodeDeclaracindePropsito
Integrarlagestinderiesgosempresariales
relacionadosconlaTIconelERMengeneral,y
equilibrarloscostosybeneficiosdelagestinderiesgos
relacionadosconTIdelaempresa.

Administracin deRiesgos enCOBIT5

(cont.)
Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar
el Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar
la Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar
el Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar
la Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar
el Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar
la Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Administracin deRiesgos enCOBIT5

(cont.)

Todaslasactividadesdelaempresatienenunaexposicinde
riesgosasociadosderivadosdelasamenazasambientales
queaprovechanlasvulnerabilidadeshabilitador
EDM03Aseguraroptimizacindelriesgo aseguraqueel
enfoquederiesgodelostercerosinteresadoesteenfocadoa
comoserntratadoslosriesgosqueenfrentalaempresa.
APO12GestindeRiesgoproporcionaalasempresasla
gestinderiesgos(ERM)lasdiposicionesqueasegurenquela
direccindadaporlostercerosinteresadosesseguidaporla
empresa.
Todoslosdemsprocesos incluyeprcticasyactividades
quesondiseadasparatratarelriesgorelacionado(evitar,
reducir/mitigar/controlar/compartir/transferir/aceptar).

Administracin deRiesgos enCOBIT5

(cont.)
Ademsdelasactividades,COBIT5sugierelasresponsabilidades,
funcionesyresponsabilidadesdelasempresasyelgobierno/
administracinestructuras(tablasRACI)paracadaproceso.Estos
incluyenrolesparariesgosrelacionados.

Compliance

Audit

ChiefInformationOfficer

HeadArchitect

HeadDevelopment

HeadITOperations

HeadITAdministration

ServiceManager

InformationSecurityManager

BusinessContinuityManager

PrivacyOfficer

HeadHumanResources

EnterpriseRiskCommittee

ArchitectureBoard

ValueManagementOffice

ProjectManagementOffice

ChiefInformationSecurityOfficer

Steering(Programmes/Projects)Committee

StrategyExecutiveCommittee

BusinessProcessOwners

BusinessExecutives

ChiefOperatingOfficer

ChiefFinancialOfficer

ChiefRiskOfficer

Defineariskmanagement
actionportfolio.
APO12.06
Respondtorisk.

ChiefExecutiveOfficer

KeyManagementPractice
APO12.01
Collectdata.
APO12.02
Analyserisk.
APO12.03
Maintainariskprofile.
APO12.04
Articulaterisk.
APO12.05

Board

APO12RACIChart

Align, Plan and Organise

Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.

Cumplimiento enCOBIT5
EldominiodelagestinMonitorear,Evaluaryvalorar
contieneunprocesodecumplimientoenfocado:MEA03
supervisar,evaluaryevaluarelcumplimientodelos
requisitosexternos.
Descripcin delproceso
EvaluarquelosprocesosdeTIyprocesosdenegocios
apoyadosporTIcumplenconlasleyes,regulacionesy
requerimientoscontractuales.Conseguirgarantasdeque
losrequisitossehanidentificadoysecumplan,eintegrar
elcumplimientodeTIconelcumplimientogeneraldela
empresa.
Procesodepropsitodedeclaracin
Asegresedequelaempresacumplecontodoslos
requerimientosexternosaplicables.

Cumplimiento enCOBIT5 (cont.)

Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar
el Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar
la Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar
el Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar
la Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar
el Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar
la Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Cumplimiento enCOBIT5 (cont.)

Cumplimientolegalyregulatorioesunaparte
clavedelagestinefectivadeunaempresa,deah
suinclusineneltrminoGRCyenlosobjetivos
delaempresaCOBIT5ylaestructurasoportante
procesofacilitador(MEA03).
AdicionalmentealMEA03,todaslasactividadesde
laempresaincluyenlasactividadesdecontrolque
estndiseadosparaasegurarelcumplimientono
sloexternamenteimpuestasexigencias
legislativasoreglamentarias,sinotambinconlas
empresasgobernabilidaddeterminadosprincipios,
polticasyprocedimientos.

Cumplimiento enCOBIT5 (cont.)

Ademsdelasactividades,COBIT5sugierelasresponsabilidades,
funcionesyresponsabilidadesdelasempresasyelgobierno/
administracinestructuras(tablasRACI)paracadaproceso.Estos
incluyenunafuncinrelacionadaconelcumplimiento.

InformationSecurityManager

BusinessContinuityManager

EnterpriseRiskCommittee

ChiefInformationSecurityOfficer

ProjectManagementOffice

PrivacyOfficer

ServiceManager

HeadITAdministration

HeadITOperations

HeadArchitect

HeadDevelopment

HeadHumanResources

ArchitectureBoard

ChiefRiskOfficer

ChiefInformationOfficer

Audit

Compliance

ValueManagementOffice

Steering(Programmes/Projects)Committee

BusinessProcessOwners

StrategyExecutiveCommittee

BusinessExecutives

ChiefOperatingOfficer

ChiefFinancialOfficer

KeyManagementPractice
MEA03.01
Identifyexternal
compliancerequirements.
MEA03.02
Optimiseresponseto
externalrequirements.
MEA03.03
Confirmexternalcompliance.
MEA03.04
Obtainassuranceof
externalcompliance.

ChiefExecutiveOfficer

MEA03RACIChart

Board

Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.

Resumen
El marco COBIT 5 incluye la orientacin necesaria para
apoyar los objetivos de GRC de la empresa y actividades
de apoyo:
Actividades de gobierno relacionadas a GEIT (5 procesos)
Procesos de gestin de riesgos y apoyo para la gestin de
riesgos a travs del espacio GEIT
Cumplimiento: un enfoque especfico en las actividades de
cumplimiento en el marco y cmo encajan dentro de la
imagen completa de la empresa

La inclusin de los acuerdos de GRC en el marco de

negocio para GEIT ayuda a las empresas a evitar el
problema principal con soluciones GRC -silos de
actividad!
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.

FIN DE LA SESIN 3 Y 4