Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

GRC
GRC: Gobierno, administracin del riesgo y cumplimiento. Tmino sombrilla, cada vez ms utilizado que cubre estas tres reas de actividades de las empresas. Estas reas de actividad estn siendo progresivamente ms alineados e integrados para mejorar el rendimiento de la empresa y la entrega de las

Definiciones GRC*
GRC: GobiernoEl ejercicio de la autoridad,
control, gobierno, acuerdo. Riesgo (Administracin)Peligro, riesgo de prdida, dao o destruccin (el acto o arte de la gestin, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propsito, conducta, administracin, direccin, control)

CumplimientoEl acto de cumplimiento,

un rendimiento, en cuanto a su deseo, demanda o propuesta; concesin; presentacin

* Diccionario en lnea Webster

Tipos de Gobierno
Existen diferentes tipos de

gobierno:

Gobierno Corporativo Gobierno de Proyectos Gobierno de Tecnologas de Informacin Gobierno Ambiental Gobierno Econmico y Financiero

Cada tipo tiene una o ms fuentes

de orientacin, cada uno con objetivos similares pero con frecuencia varan trminos y las tcnicas para su realizacin.

Implementando Gobierno
La integracin de la aplicacin

de las actividades de GRC dentro de una empresa requiere un enfoque sistmico para el eficaz logro de los objetivos empresariales de sus grupos de inters. Estos enfoques se basan normalmente en facilitadores de diversos tipos (por ejemplo, los

Un ejemplo de modelo GRC

Del Red Book GRC de OCEG

Capability Model version 2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI
ISO/IEC 38500: 2008

Gobierno Corporativo de

Tecnologa de Informacin
1.1 Alcance Este estndar establece los principios rectores para

directores de organizaciones (incluyendo propietarios, miembros del consejo, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de la tecnologa de la informacin (TI) dentro de sus organizaciones. Esta norma se aplica a la gestin de los procesos de gestin (toma de decisiones) relativas a los servicios de informacin y comunicacin utilizados por una organizacin. Estos procesos pueden ser controlados por

Gobierno Corporativo de TI
ISO/IEC 38500: 2008

(cont.)

Gobierno Corporativo de Tecnologa de Informacin

2.1 Principios 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 Principio Principio Principio Principio Principio Principio 1: 2: 3: 4: 5: 6: Responsabilidad Estrategia Adquisicin Desempeo Conformidad Comportamiento Humano

Gobierno Corporativo de TI
ISO/IEC 38500: 2008

(cont.)

Gobierno Corporativo de Tecnologa de Informacin

2.2 Modelo Los administradores debe gobernar las TI a travs de tres tareas principales: a) Evaluar el uso actual y futuro de TI. b) Preparacin directa y la aplicacin de planes y polticas para garantizar que el uso de las TI cumple con los objetivos de negocio. c) Monitorear la conformidad de las polticas, y el desempeo contra los planes.

ISACA y COBIT
ISACA promueve activamente la

investigacin que se traduce en el desarrollo de productos relevantes y tiles para los profesionales de Gobierno de TI, riesgo, control, aseguramiento y seguridad. ISACA desarrolla y mantiene el internacionalmente reconocido marco de referencia COBIT, ayudar a los profesionales de TI y lderes empresariales a cumplir con sus responsabilidades de gobierno de TI, mientras que la entrega de valor al negocio.

COBIT: Gobierno de TI de las Empresas (GEIT)

Gobierno de TI Administracin Control Auditora Val IT 2.0
(2008)

Risk IT
(2009)

nac l Al ed n i cu l ov E

COBIT1

COBIT2

COBIT3

COBIT4.0/4.1

1996

1998

2000

2005/7

2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

COBIT 5 en Resumen
COBIT 5 rene a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y un marco de gestin basado en un conjunto holstico de siete facilitadores que optimiza la informacin y la inversin en tecnologa y el uso para el beneficio de las partes interesadas.

El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a

crear valor ptimo de TI mediante el mantenimiento de un equilibrio entre la obtencin de beneficios y la optimizacin de los niveles de riesgo y el uso de los recursos. COBIT 5 permite que la informacin y la tecnologa relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y reas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de inters internos y externos. Los principios y los facilitadores de COBIT 5 son de carcter genrico y til para las empresas de todos los tamaos, ya sea comercial, sin fines de lucro o en el sector pblico.

Los Principios de COBIT 5

1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administracin 2. Cubrir la Organizacin de forma integral

Principios de COBIT 5

4. Habilitar un enfoque holistico

3. Aplicar un solo marco integrado

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

Habilitadores de COBIT 5
2. Procesos 3. Estructuras Organizacionales 4. Cultura, tica y Comportamiento

1. Principios, Polticas y Marcos

5. Informacin

6. Servicios, Infraestructura y Aplicaciones

7. Personas, Habilidades y Competencias

RECURSOS

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

Gobierno (y administracin) en COBIT 5

Gobierno asegura que los objetivos de la empresa se

logren mediante la evaluacin de las necesidades de las partes interesadas, las condiciones y opciones, estableciendo la direccin a travs de la priorizacin y decisin, y monitoreando el desempeo, el cumplimiento y el progreso contra acordaron direccin y objetivos (EDM). Administracin planea, construye, ejecuta y monitorea actividades alineadas con la direccin establecida por el rgano de gobierno para alcanzar los objetivos de la empresa(PBRM). El ejercicio de gobierno y la gestin eficaz en la prctica requiere el uso adecuado de todos los facilitadores. El proceso COBIT como modelo de referencia nos permite enfocar fcilmente sobre las actividades empresariales relevantes.

Gobierno en COBIT 5
El modelo de referencia COBIT 5 subdivide proceso de las prcticas relacionadas con la TI y las actividades de la empresa en dos grandes reas: la gobernanza y la gestin con la administracin dividida en dominios de los procesos El dominio GOBIERNO contiene cinco procesos de gobierno, dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Las prcticas se definen.
01 Asegurar el marco de gobierno y el mantenimiento de su configuracin. 02 Asegurar la entrega beneficios. 03 Garantizar la optimizacin de riesgos. 04 Garantizar la optimizacin de recursos. 05 Garantizar la transparencia de los terceros interesados .

Los cuatro dominios de gestin estn en lnea con las reas de responsabilidad de planear, construir,

Evaluar, Dirijir y Monitorear

EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento

Gobierno en COBIT 5
EDM02 Asegurar la Entrega de Valor EDM03 Asegurar la Optimizacin de los Riesgos EDM04 Asegurar la Optimizacin de los Recursos

(cont.)
EDM05 Asegurar la Transparencia a las partes interesadas

Procesos para el Gobierno Corporativo de TI

Alinear, Planear y Organizar

APO01 Administrar el Marco de la Administracin de TI APO02 Administrar la Estrategia APO03 Administrar la Arquitectura Corporativa APO04 Administrar la Innovacin APO05 Administrar el Portafolio APO06 Administrar el Presupuesto y los Costos APO07 Administrar el Recurso Humano

Monitorear, Evaluar y Valorar

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de Servicios

APO10 Administrar los Proveedores

APO11 Administrar la Calidad

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

MEA01 Monitorear, Evaluar y Valorar el Desempeo y Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar Programas y Proyectos BAI02 Administrar la Definicin de Requerimientos BAI03 Administrar la Identificacin y Construccin de Soluciones BAI04 Administrar la Disponibilidad y Capacidad BAI05 Administrar la Habilitacin del Cambio BAI06 Administrar Cambios BAI07 Administrar la Aceptacin de Cambios y Transiciones

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuracin

Entregar, Servir y Dar Soporte

DSS01 Administrar las Operaciones DSS02 Administrar las Solicitudes de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad DSS05 Administrar los Servicios de Seguridad DSS06 Administrar los Controles en los Procesos de Negocio MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Administracin de Riesgos en COBIT 5

El dominio de Gobierno cotiene cinco procesos de gobierno, uno de los cuales se enfoca en el riesgo relacionado con los objetivos de los terceros interesados: EDM03 Asegurar la optimizacin de riesgos. Descripcin de procesos
Asegurar que el apetito de riesgo de la empresa y la tolerancia se entiende, articulado y comunicado, y que el riesgo de valor de la empresa en relacin con el uso de las TI es identificado y gestionado.

Proceso de declaracin de propsito

Asegurar que riesgos relacionados con TI de la empresa no supere la tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de TI de valor de la empresa es identificado y manejado, y la posibilidad de fallas de cumplimiento es mnimo.

Administracin de Riesgos en COBIT 5 (cont.)

El dominio de Gestin Alinear, Planear y Organizar contiene un proceso de riesgos relacionados: APO12 Gestionar el riesgo. Descripcin del proceso
Continuamente identificar, evaluar y reducir los riesgos relacionados con TI dentro de los niveles de tolerancia establecidos por la direccin ejecutiva de la empresa.

Proceso de Declaracin de Propsito

Integrar la gestin de riesgos empresariales relacionados con la TI con el ERM en general, y equilibrar los costos y beneficios de la gestin de riesgos relacionados con TI de la empresa.

Evaluar, Dirijir y Monitorear

EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento

Administracin de Riesgos en COBIT 5 (cont.)

EDM02 Asegurar la Entrega de Valor EDM03 Asegurar la Optimizacin de los Riesgos EDM04 Asegurar la Optimizacin de los Recursos EDM05 Asegurar la Transparencia a las partes interesadas

Procesos para el Gobierno Corporativo de TI

Alinear, Planear y Organizar

APO01 Administrar el Marco de la Administracin de TI APO02 Administrar la Estrategia APO03 Administrar la Arquitectura Corporativa APO04 Administrar la Innovacin APO05 Administrar el Portafolio APO06 Administrar el Presupuesto y los Costos APO07 Administrar el Recurso Humano

Monitorear, Evaluar y Valorar

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de Servicios

APO10 Administrar los Proveedores

APO11 Administrar la Calidad

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

MEA01 Monitorear, Evaluar y Valorar el Desempeo y Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar Programas y Proyectos BAI02 Administrar la Definicin de Requerimientos BAI03 Administrar la Identificacin y Construccin de Soluciones BAI04 Administrar la Disponibilidad y Capacidad BAI05 Administrar la Habilitacin del Cambio BAI06 Administrar Cambios BAI07 Administrar la Aceptacin de Cambios y Transiciones

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuracin

Entregar, Servir y Dar Soporte

DSS01 Administrar las Operaciones DSS02 Administrar las Solicitudes de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad DSS05 Administrar los Servicios de Seguridad DSS06 Administrar los Controles en los Procesos de Negocio MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Administracin de Riesgos en COBIT 5 (cont.)

Todas las actividades de la empresa tienen una exposicin de riesgos asociados derivados de las amenazas ambientales que aprovechan las vulnerabilidades habilitador
EDM03 Asegurar optimizacin del riesgo asegura que el enfoque de riesgo de los terceros interesado este enfocado a como sern tratados los riesgos que enfrenta la empresa. APO12 Gestin de Riesgo proporciona a las empresas la gestin de riesgos (ERM) las diposiciones que aseguren que la direccin dada por los terceros interesados es seguida por la empresa. Todos los dems procesos incluye prcticas y actividades que son diseadas para tratar el riesgo relacionado (evitar, reducir / mitigar / controlar/ compartir / transferir / aceptar).

Administracin de Riesgos en COBIT 5 (cont.)

Adems de las actividades, COBIT 5 sugiere las responsabilidades, funciones y responsabilidades de las empresas y el gobierno / administracin estructuras (tablas RACI) para cada proceso. Estos incluyen roles para riesgos relacionados.

O dna na l P, ng il A

Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.

Cumplimiento en COBIT 5
El dominio de la gestin Monitorear, Evaluar y valorar contiene un proceso de cumplimiento enfocado: MEA03 supervisar, evaluar y evaluar el cumplimiento de los requisitos externos. Descripcin del proceso Evaluar que los procesos de TI y procesos de negocios apoyados por TI cumplen con las leyes, regulaciones y requerimientos contractuales. Conseguir garantas de que los requisitos se han identificado y se cumplan, e integrar el cumplimiento de TI con el cumplimiento general de la empresa. Proceso de propsito de declaracin Asegrese de que la empresa cumple con todos

Cumplimiento en COBIT 5 (cont.)

Evaluar, Dirijir y Monitorear
EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento

Procesos para el Gobierno Corporativo de TI

EDM02 Asegurar la Entrega de Valor EDM03 Asegurar la Optimizacin de los Riesgos EDM04 Asegurar la Optimizacin de los Recursos EDM05 Asegurar la Transparencia a las partes interesadas

Alinear, Planear y Organizar

APO01 Administrar el Marco de la Administracin de TI APO02 Administrar la Estrategia APO03 Administrar la Arquitectura Corporativa APO04 Administrar la Innovacin APO05 Administrar el Portafolio APO06 Administrar el Presupuesto y los Costos APO07 Administrar el Recurso Humano

Monitorear, Evaluar y Valorar

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de Servicios

APO10 Administrar los Proveedores

APO11 Administrar la Calidad

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

MEA01 Monitorear, Evaluar y Valorar el Desempeo y Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar Programas y Proyectos BAI02 Administrar la Definicin de Requerimientos BAI03 Administrar la Identificacin y Construccin de Soluciones BAI04 Administrar la Disponibilidad y Capacidad BAI05 Administrar la Habilitacin del Cambio BAI06 Administrar Cambios BAI07 Administrar la Aceptacin de Cambios y Transiciones

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuracin

Entregar, Servir y Dar Soporte

DSS01 Administrar las Operaciones DSS02 Administrar las Solicitudes de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad DSS05 Administrar los Servicios de Seguridad DSS06 Administrar los Controles en los Procesos de Negocio MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Cumplimiento en COBIT 5 (cont.)

Cumplimiento legal y regulatorio es una parte clave de la gestin efectiva de una empresa, de ah su inclusin en el trmino GRC y en los objetivos de la empresa COBIT 5 y la estructura soportante proceso facilitador (MEA03). Adicionalmente al MEA03, todas las actividades de la empresa incluyen las actividades de control que estn diseados para asegurar el cumplimiento no slo externamente impuestas exigencias legislativas o reglamentarias, sino tambin con las empresas gobernabilidad

Cumplimiento en COBIT 5 (cont.)

Adems de las actividades, COBIT 5 sugiere las responsabilidades, funciones y responsabilidades de las empresas y el gobierno / administracin estructuras (tablas RACI) para cada proceso. Estos incluyen una funcin relacionada con el cumplimiento.

Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.

Resumen
El marco COBIT 5 incluye la orientacin necesaria para apoyar los objetivos de GRC de la empresa y actividades de apoyo:
Actividades de gobierno relacionadas a GEIT (5 procesos) Procesos de gestin de riesgos y apoyo para la gestin de riesgos a travs del espacio GEIT Cumplimiento: un enfoque especfico en las actividades de cumplimiento en el marco y cmo encajan dentro de la imagen completa de la empresa

La inclusin de los acuerdos de GRC en el marco de negocio para GEIT ayuda a las empresas a evitar el problema principal con soluciones GRC -silos de actividad!
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.