Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

GRC
GRC: Gobierno, administracin del riesgo y cumplimiento. Tmino sombrilla, cada vez ms utilizado que cubre estas tres reas de actividades de las empresas. Estas reas de actividad estn siendo progresivamente ms alineados e integrados para mejorar el rendimiento de la empresa y la entrega de las necesidades de las partes interesadas.

Definiciones GRC*
GRC: GobiernoEl ejercicio de la autoridad, control,
gobierno, acuerdo. iesgo !"dministracin#$eligro, riesgo de prdida, da%o o destruccin !el acto o arte de la gestin, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propsito, conducta, administracin, direccin, control#

&umplimientoEl acto de cumplimiento, un

rendimiento, en cuanto a su deseo, demanda o propuesta' concesin' presentacin

( )iccionario en l*nea +ebster

Tipos de Gobierno
E,isten di-erentes tipos de gobierno.
Gobierno &orporativo Gobierno de $royectos Gobierno de Tecnolog*as de /n-ormacin Gobierno "mbiental Gobierno Econmico y 0inanciero

&ada tipo tiene una o ms -uentes de

orientacin, cada uno con objetivos similares pero con -recuencia var*an trminos y las tcnicas para su realizacin.

Implementando Gobierno
1a integracin de la aplicacin de las

actividades de G & dentro de una empresa requiere un en-oque sistmico para el e-icaz logro de los objetivos empresariales de sus grupos de inters. Estos en-oques se basan normalmente en -acilitadores de diversos tipos !por ejemplo, los principios, las pol*ticas, modelos, marcos, estructuras organizacionales#.

Un ejemplo de modelo GRC

)el ed 2oo3 G & de 4&EG &apability

5odel version 6.7(

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI
/849/E& :;<==. 6==;

Gobierno Corporativo de Tecnologa

de Informacin
1.1 Alcance Este estndar establece los principios rectores para directores de

organizaciones !incluyendo propietarios, miembros del consejo, directores, socios, ejecutivos de alto nivel, o similar# sobre el uso e-icaz, e-iciente y aceptable de la tecnolog*a de la in-ormacin !T/# dentro de sus organizaciones. Esta norma se aplica a la gestin de los procesos de gestin !toma de decisiones# relativas a los servicios de in-ormacin y comunicacin utilizados por una organizacin. Estos procesos pueden ser controlados por especialistas en T/ dentro de la organizacin o de los proveedores de servicios e,ternos, o por unidades de negocio dentro de la organizacin.

Gobierno Corporativo de TI (cont.)

/849/E& :;<==. 6==;

Gobierno Corporativo de Tecnologa de Informacin

2.1 Principios 2.1.1 Principio 1: 2.1.2 Principio 2: 2.1.! Principio !: 2.1.$ Principio $: 2.1.' Principio ': 2.1.( Principio (: Responsabilidad strategia Ad"#isicin %esempe&o Conformidad Comportamiento )#mano

Gobierno Corporativo de TI (cont.)

/849/E& :;<==. 6==;

Gobierno Corporativo de Tecnologa de Informacin

2.2 *odelo 1os administradores debe gobernar las T/ a travs de tres tareas principales. a# Evaluar el uso actual y -uturo de T/. b# $reparacin directa y la aplicacin de planes y pol*ticas para garantizar que el uso de las T/ cumple con los objetivos de negocio. c# 5onitorear la con-ormidad de las pol*ticas, y el desempe%o contra los planes.

ISACA

C!"IT

/8"&" promueve activamente la investigacin

que se traduce en el desarrollo de productos relevantes y >tiles para los pro-esionales de Gobierno de T/, riesgo, control, aseguramiento y seguridad. /8"&" desarrolla y mantiene el internacionalmente reconocido marco de re-erencia &42/T, ayudar a los pro-esionales de T/ y l*deres empresariales a cumplir con sus responsabilidades de gobierno de T/, mientras que la entrega de valor al negocio.

C!"IT# Gobierno de TI de las $mpresas (G$IT)

Gobierno de TI Administracin Control Auditora ,al I- ".#
."##(/

0is1 I."##'/

nac l Al ed n* i c) l ov E

COBIT1

COBIT2

COBIT3

COBIT4.0/4.1

&''+

&''(

"###

"##$/%

"#&"

Un Marco Empresarial de ISACA en www.isaca.org/co!it

So)rce: CO2I-3 $ Introd)ction 4resentation 5 "#&" ISACA3 All rights reserved

C!"IT % en Res&men
C+,IT ' re>ne a los cinco principios que permiten a la empresa de construir una gobernabilidad e-ectiva y un marco de gestin basado en un conjunto ?ol*stico de siete facilitadores que optimiza la informacin y la inversin en tecnologa y el uso para el bene-icio de las partes interesadas.

$l marco C!"IT %
En pocas palabras, &42/T < ayuda a las empresas a crear valor

ptimo de T/ mediante el mantenimiento de un equilibrio entre la obtencin de bene-icios y la optimizacin de los niveles de riesgo y el uso de los recursos. &42/T < permite que la in-ormacin y la tecnolog*a relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de e,tremo a e,tremo del negocio y reas -uncionales de responsabilidad, teniendo en cuenta los intereses relacionados con la T/ de grupos de inters internos y e,ternos. 1os principios y los facilitadores de &42/T < son de carcter genrico y >til para las empresas de todos los tama%os, ya sea comercial, sin -ines de lucro o en el sector p>blico.

'os (rincipios de C!"IT %

&. Satis6acer las necesidades de las partes interesadas $. Separar el Go!ierno de la Administraci*n ". C)!rir la Organi7aci*n de 6orma integral

4rincipios de CO2I- $

9. :a!ilitar )n en6o;)e holistico

8. Aplicar )n solo marco integrado

So)rce: CO2I-3 $ 6ig)re ". 5 "#&" ISACA3 All rights reserved.

)abilitadores de C!"IT %
". 4rocesos 8. Estr)ct)ras Organi7acionales 9. C)lt)ra >tica = Comportamiento

&. 4rincipios 4ol<ticas = Marcos

$. In6ormaci*n

+. Servicios In6raestr)ct)ra = Aplicaciones

%. 4ersonas :a!ilidades = Competencias

0ECU0SOS

So)rce: CO2I-3 $ 6ig)re &". 5 "#&" ISACA3 All rights reserved.

Gobierno ( administraci*n) en C!"IT %

Gobierno asegura que los objetivos de la empresa se logren

mediante la eval#acin de las necesidades de las partes interesadas, las condiciones y opciones, estableciendo la direccin a travs de la priorizacin y decisin, y monitoreando el desempe%o, el cumplimiento y el progreso contra acordaron direccin y objetivos - %*.. Administracin planea/ constr#0e/ e1ec#ta 0 monitorea actividades alineadas con la direccin establecida por el rgano de gobierno para alcanzar los objetivos de la empresa-P,R*.. El ejercicio de gobierno y la gestin eficaz en la prctica requiere el uso adecuado de todos los facilitadores. El proceso COBIT como modelo de referencia nos permite enfocar fcilmente sobre las acti idades empresariales rele antes.

Gobierno en C!"IT %
@ El modelo de re-erencia &42/T < subdivide proceso de las prcticas relacionadas con la T/ y las actividades de la empresa en dos grandes reas. la gobernanza y la gestin con la administracin dividida en dominios de los procesos @ El dominio G42/E A4 contiene cinco procesos de gobierno, dentro de cada proceso, evaluar, dirigir y supervisar !E)5# 1as prcticas se de-inen.
?=7 "segurar el marco de gobierno y el mantenimiento de su con-iguracin. ?=6 "segurar la entrega bene-icios. ?=: Garantizar la optimizacin de riesgos. ?=B Garantizar la optimizacin de recursos. ?=< Garantizar la transparencia de los terceros interesados .

@ 1os cuatro dominios de gestin estn en l*nea con las reas de responsabilidad de planear, construir, ejecutar y monitorear !$2 5#.

Gobierno en C!"IT % (cont.)

!aluar" #iri$ir % &onitorear
#&01 Aseg)rar ;)e se 6i@a el Marco de Go!ierno = s) Mantenimiento #&02 Aseg)rar la Entrega de ,alor #&03 Aseg)rar la Optimi7aci*n de los 0iesgos #&04 Aseg)rar la Optimi7aci*n de los 0ec)rsos

'rocesos (ara el Gobierno Cor(orati!o de TI

#&0. Aseg)rar la -ransparencia a las partes interesadas

Alinear" 'lanear % Or)ani*ar

A'O01 Administrar el Marco de la Administraci*n de -I A'O02 Administrar la Estrategia A'O03 Administrar la Ar;)itect)ra Corporativa A'O04 Administrar la Innovaci*n A'O0. Administrar el 4orta6olio A'O0/ Administrar el 4res)p)esto = los Costos A'O00 Administrar el 0ec)rso :)mano

&onitorear" !aluar % -alorar

A'O01 Administrar las 0elaciones

A'O02 Administrar los Contratos de Servicios

A'O10 Administrar los 4roveedores

A'O11 Administrar la Calidad

A'O12 Administrar los 0iesgos

A'O13 Administrar la Seg)ridad

& A01 Monitorear Eval)ar = ,alorar el AesempeCo = C)mplimiento

Construir" Ad+uirir e Im(lementar

BAI01 Administrar 4rogramas = 4ro=ectos BAI02 Administrar la Ae6inici*n de 0e;)erimientos BAI03 Administrar la Identi6icaci*n = Constr)cci*n de Sol)ciones BAI04 Administrar la Aisponi!ilidad = Capacidad BAI0. Administrar la :a!ilitaci*n del Cam!io BAI0/ Administrar Cam!ios BAI00 Administrar la Aceptaci*n de Cam!ios = -ransiciones

& A02 Monitorear Eval)ar = ,alorar el Sistema de Control Interno

BAI01 Administrar el Conocimiento

BAI02 Administrar los Activos

BAI10 Admnistrar la Con6ig)raci*n

ntre)ar" ,er!ir % #ar ,o(orte

#,,01 Administrar las Operaciones #,,02 Administrar las Solicit)des de Servicios = los Incidentes #,,03 Administrar 4ro!lemas #,,04 Administrar la Contin)idad #,,0. Administrar los Servicios de Seg)ridad #,,0/ Administrar los Controles en los 4rocesos de Begocio & A03 Monitorear Eval)ar = ,alorar el C)mplimiento con 0e;)isitos EDternos

'rocesos (ara la Administracin de TI Cor(orati!a

So)rce: CO2I-3 $ 6ig)re &+. 5 "#&" ISACA3 All rights reserved.

Administraci*n de Ries+os en C!"IT %

@ El dominio de Gobierno cotiene cinco procesos de gobierno, uno de los cuales se en-oca en el riesgo relacionado con los objetivos de los terceros interesados. %*2! Aseg#rar la optimi3acin de riesgos. @ %escripcin de procesos
@ "segurar que el apetito de riesgo de la empresa y la tolerancia se entiende, articulado y comunicado, y que el riesgo de valor de la empresa en relacin con el uso de las T/ es identi-icado y gestionado. "segurar que riesgos relacionados con T/ de la empresa no supere la tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de T/ de valor de la empresa es identi-icado y manejado, y la posibilidad de -allas de cumplimiento es m*nimo.

@ Proceso de declaracin de propsito

@

Administraci*n de Ries+os en C!"IT % (cont.)

@ El dominio de Gestin "linear, $lanear y 4rganizar contiene un proceso de riesgos relacionados. AP+12 Gestionar el riesgo. @ %escripcin del proceso
@ &ontinuamente identi-icar, evaluar y reducir los riesgos relacionados con T/ dentro de los niveles de tolerancia establecidos por la direccin ejecutiva de la empresa.

@ Proceso de %eclaracin de Propsito

@ /ntegrar la gestin de riesgos empresariales relacionados con la T/ con el E 5 en general, y equilibrar los costos y bene-icios de la gestin de riesgos relacionados con T/ de la empresa.

Administraci*n de Ries+os en C!"IT % (cont.)

!aluar" #iri$ir % &onitorear
#&01 Aseg)rar ;)e se 6i@a el Marco de Go!ierno = s) Mantenimiento

'rocesos (ara el Gobierno Cor(orati!o de TI

#&0. Aseg)rar la -ransparencia a las partes interesadas

#&02 Aseg)rar la Entrega de ,alor

#&03 Aseg)rar la Optimi7aci*n de los 0iesgos

#&04 Aseg)rar la Optimi7aci*n de los 0ec)rsos

Alinear" 'lanear % Or)ani*ar

A'O01 Administrar el Marco de la Administraci*n de -I A'O02 Administrar la Estrategia A'O03 Administrar la Ar;)itect)ra Corporativa A'O04 Administrar la Innovaci*n A'O0. Administrar el 4orta6olio A'O0/ Administrar el 4res)p)esto = los Costos A'O00 Administrar el 0ec)rso :)mano

&onitorear" !aluar % -alorar

A'O01 Administrar las 0elaciones

A'O02 Administrar los Contratos de Servicios

A'O10 Administrar los 4roveedores

A'O11 Administrar la Calidad

A'O12 Administrar los 0iesgos

A'O13 Administrar la Seg)ridad

& A01 Monitorear Eval)ar = ,alorar el AesempeCo = C)mplimiento

Construir" Ad+uirir e Im(lementar

BAI01 Administrar 4rogramas = 4ro=ectos BAI02 Administrar la Ae6inici*n de 0e;)erimientos BAI03 Administrar la Identi6icaci*n = Constr)cci*n de Sol)ciones BAI04 Administrar la Aisponi!ilidad = Capacidad BAI0. Administrar la :a!ilitaci*n del Cam!io BAI0/ Administrar Cam!ios BAI00 Administrar la Aceptaci*n de Cam!ios = -ransiciones

& A02 Monitorear Eval)ar = ,alorar el Sistema de Control Interno

BAI01 Administrar el Conocimiento

BAI02 Administrar los Activos

BAI10 Admnistrar la Con6ig)raci*n

ntre)ar" ,er!ir % #ar ,o(orte

#,,01 Administrar las Operaciones #,,02 Administrar las Solicit)des de Servicios = los Incidentes #,,03 Administrar 4ro!lemas #,,04 Administrar la Contin)idad #,,0. Administrar los Servicios de Seg)ridad #,,0/ Administrar los Controles en los 4rocesos de Begocio & A03 Monitorear Eval)ar = ,alorar el C)mplimiento con 0e;)isitos EDternos

'rocesos (ara la Administracin de TI Cor(orati!a

So)rce: CO2I-3 $ 6ig)re &+. 5 "#&" ISACA3 All rights reserved.

Administraci*n de Ries+os en C!"IT % (cont.)

@ Todas las actividades de la empresa tienen una e,posicin de riesgos asociados derivados de las amenazas ambientales que aprovec?an las vulnerabilidades ?abilitador
@ %*2! Aseg#rar optimi3acin del riesgo asegura que el en-oque de riesgo de los terceros interesado este en-ocado a como sern tratados los riesgos que en-renta la empresa. @ AP+12 Gestin de Riesgo proporciona a las empresas la gestin de riesgos !E 5# las diposiciones que aseguren que la direccin dada por los terceros interesados es seguida por la empresa. @ Todos los dem4s procesos incluye prcticas y actividades que son dise%adas para tratar el riesgo relacionado !evitar, reducir 9 mitigar 9 controlar9 compartir 9 trans-erir 9 aceptar#.

Administraci*n de Ries+os en C!"IT % (cont.)

@ "dems de las actividades, &42/T < sugiere las responsabilidades, -unciones y responsabilidades de las empresas y el gobierno 9 administracin estructuras !tablas "&/# para cada proceso. stos incl#0en roles para riesgos relacionados.

O dna na l '" n) il A

So)rce: COBIT 5: Enabling Processes page &#(. 5 "#&" ISACA3 All rights reserved.

C&mplimiento en C!"IT %
@ El dominio de la gestin 5onitorear, Evaluar y valorar contiene un proceso de cumplimiento en-ocado: * A2! s#pervisar/ eval#ar 0 eval#ar el c#mplimiento de los re"#isitos e5ternos. @ %escripcin del proceso @ Evaluar que los procesos de T/ y procesos de negocios apoyados por T/ cumplen con las leyes, regulaciones y requerimientos contractuales. &onseguir garant*as de que los requisitos se ?an identi-icado y se cumplan, e integrar el cumplimiento de T/ con el cumplimiento general de la empresa. @ Proceso de propsito de declaracin @ "seg>rese de que la empresa cumple con todos los requerimientos e,ternos aplicables.

C&mplimiento en C!"IT % (cont.)

!aluar" #iri$ir % &onitorear
#&01 Aseg)rar ;)e se 6i@a el Marco de Go!ierno = s) Mantenimiento

'rocesos (ara el Gobierno Cor(orati!o de TI

#&02 Aseg)rar la Entrega de ,alor #&03 Aseg)rar la Optimi7aci*n de los 0iesgos #&04 Aseg)rar la Optimi7aci*n de los 0ec)rsos #&0. Aseg)rar la -ransparencia a las partes interesadas

Alinear" 'lanear % Or)ani*ar

A'O01 Administrar el Marco de la Administraci*n de -I A'O02 Administrar la Estrategia A'O03 Administrar la Ar;)itect)ra Corporativa A'O04 Administrar la Innovaci*n A'O0. Administrar el 4orta6olio A'O0/ Administrar el 4res)p)esto = los Costos A'O00 Administrar el 0ec)rso :)mano

&onitorear" !aluar % -alorar

A'O01 Administrar las 0elaciones

A'O02 Administrar los Contratos de Servicios

A'O10 Administrar los 4roveedores

A'O11 Administrar la Calidad

A'O12 Administrar los 0iesgos

A'O13 Administrar la Seg)ridad

& A01 Monitorear Eval)ar = ,alorar el AesempeCo = C)mplimiento

Construir" Ad+uirir e Im(lementar

BAI01 Administrar 4rogramas = 4ro=ectos BAI02 Administrar la Ae6inici*n de 0e;)erimientos BAI03 Administrar la Identi6icaci*n = Constr)cci*n de Sol)ciones BAI04 Administrar la Aisponi!ilidad = Capacidad BAI0. Administrar la :a!ilitaci*n del Cam!io BAI0/ Administrar Cam!ios BAI00 Administrar la Aceptaci*n de Cam!ios = -ransiciones

& A02 Monitorear Eval)ar = ,alorar el Sistema de Control Interno

BAI01 Administrar el Conocimiento

BAI02 Administrar los Activos

BAI10 Admnistrar la Con6ig)raci*n

ntre)ar" ,er!ir % #ar ,o(orte

#,,01 Administrar las Operaciones #,,02 Administrar las Solicit)des de Servicios = los Incidentes #,,03 Administrar 4ro!lemas #,,04 Administrar la Contin)idad #,,0. Administrar los Servicios de Seg)ridad #,,0/ Administrar los Controles en los 4rocesos de Begocio & A03 Monitorear Eval)ar = ,alorar el C)mplimiento con 0e;)isitos EDternos

'rocesos (ara la Administracin de TI Cor(orati!a

So)rce: CO2I-3 $ 6ig)re &+. 5 "#&" ISACA3 All rights reserved.

C&mplimiento en C!"IT % (cont.)

@ &umplimiento legal y regulatorio es una parte clave de la gestin e-ectiva de una empresa, de a?* su inclusin en el trmino G & y en los objetivos de la empresa &42/T < y la estructura soportante proceso -acilitador !5E"=:#. @ "dicionalmente al 5E"=:, todas las actividades de la empresa incluyen las actividades de control que estn dise%ados para asegurar el cumplimiento no slo e,ternamente impuestas e,igencias legislativas o reglamentarias, sino tambin con las empresas gobernabilidad determinados principios, pol*ticas y procedimientos.

C&mplimiento en C!"IT % (cont.)

@ "dems de las actividades, &42/T < sugiere las responsabilidades, -unciones y responsabilidades de las empresas y el gobierno 9 administracin estructuras !tablas "&/# para cada proceso. stos incl#0en #na f#ncin relacionada con el c#mplimiento.

So)rce: COBIT 5: Enabling Processes page "&8. 5 "#&" ISACA3 All rights reserved.

Res&men
? El marco CO2I- $ incl)=e la orientaci*n necesaria para apo=ar los o!@etivos de G0C de la empresa = actividades de apo=o:
? Actividades de go!ierno relacionadas a GEI- .$ procesos/ ? 4rocesos de gesti*n de riesgos = apo=o para la gesti*n de riesgos a travEs del espacio GEI? C)mplimiento: )n en6o;)e espec<6ico en las actividades de c)mplimiento en el marco = c*mo enca@an dentro de la imagen completa de la empresa

? Fa incl)si*n de los ac)erdos de G0C en el marco de negocio para GEI- a=)da a las empresas a evitar el pro!lema principal con sol)ciones G0C Gsilos de actividadH
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other p bli!ation or prod !t.