Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

GRC
GRC:

Gobierno, administracin del riesgo y

cumplimiento.

Tmino sombrilla, cada vez ms utilizado

que cubre estas tres reas de actividades
de las empresas.

Estas reas de actividad estn siendo

progresivamente ms alineados e
integrados para mejorar el rendimiento de
la empresa y la entrega de las necesidades
de las partes interesadas.
Definiciones GRC*
GRC:

GobiernoEl ejercicio de la autoridad, control,

gobierno, acuerdo.

iesgo !"dministracin#$eligro, riesgo de

prdida, da%o o destruccin !el acto o arte de la gestin, la
manera de tratar, dirigir, seguir adelante, o utilizar, con un
propsito, conducta, administracin, direccin, control#

&umplimientoEl acto de cumplimiento, un

rendimiento, en cuanto a su deseo, demanda o propuesta'
concesin' presentacin
( )iccionario en l*nea +ebster
Tipos de Gobierno

E,isten di-erentes tipos de gobierno.

Gobierno &orporativo

Gobierno de $royectos

Gobierno de Tecnolog*as de /n-ormacin

Gobierno "mbiental

Gobierno Econmico y 0inanciero

&ada tipo tiene una o ms -uentes de

orientacin, cada uno con objetivos
similares pero con -recuencia var*an
trminos y las tcnicas para su realizacin.
Implementando Gobierno

1a integracin de la aplicacin de las

actividades de G& dentro de una
empresa requiere un en-oque sistmico
para el e-icaz logro de los objetivos
empresariales de sus grupos de inters.

Estos en-oques se basan normalmente en

-acilitadores de diversos tipos !por
ejemplo, los principios, las pol*ticas,
modelos, marcos, estructuras
organizacionales#.
Un ejemplo de modelo GRC

)el ed 2oo3 G& de 4&EG &apability

5odel version 6.7(
* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.
Gobierno Corporativo de TI

/849/E& :;<==. 6==;

Gobierno Corporativo de Tecnologa

de Informacin

1.1 Alcance

Este estndar establece los principios rectores para directores de

organizaciones !incluyendo propietarios, miembros del consejo,
directores, socios, ejecutivos de alto nivel, o similar# sobre el uso e-icaz,
e-iciente y aceptable de la tecnolog*a de la in-ormacin !T/# dentro de
sus organizaciones.

Esta norma se aplica a la gestin de los procesos de gestin !toma de

decisiones# relativas a los servicios de in-ormacin y comunicacin
utilizados por una organizacin. Estos procesos pueden ser controlados
por especialistas en T/ dentro de la organizacin o de los proveedores de
servicios e,ternos, o por unidades de negocio dentro de la organizacin.
Gobierno Corporativo de TI (cont.)
/849/E& :;<==. 6==;
Gobierno Corporativo de Tecnologa
de Informacin
2.1 Principios
2.1.1 Principio 1: Responsabilidad
2.1.2 Principio 2: strategia
2.1.! Principio !: Ad"#isicin
2.1.$ Principio $: %esempe&o
2.1.' Principio ': Conformidad
2.1.( Principio (: Comportamiento )#mano
Gobierno Corporativo de TI (cont.)
/849/E& :;<==. 6==;
Gobierno Corporativo de Tecnologa de
Informacin
2.2 *odelo
1os administradores debe gobernar las T/ a travs de tres tareas
principales.
a# Evaluar el uso actual y -uturo de T/.
b# $reparacin directa y la aplicacin de planes y pol*ticas para
garantizar que el uso de las T/ cumple con los objetivos de negocio.
c# 5onitorear la con-ormidad de las pol*ticas, y el desempe%o contra
los planes.
ISACA C!"IT

/8"&" promueve activamente la investigacin

que se traduce en el desarrollo de productos
relevantes y >tiles para los pro-esionales de
Gobierno de T/, riesgo, control, aseguramiento
y seguridad.

/8"&" desarrolla y mantiene el

internacionalmente reconocido marco de
re-erencia &42/T, ayudar a los pro-esionales de
T/ y l*deres empresariales a cumplir con sus
responsabilidades de gobierno de T/, mientras
que la entrega de valor al negocio.
Gobierno de TI
COBIT4.0/4.1
Administracin
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA en www.isaca.org/co!it
Auditora
COBIT1
C!"IT# Gobierno de TI de las $mpresas (G$IT)
"##$/% "### &''(

E
v
o
l
)
c
i
*
n

d
e
l

A
l
c
a
n
c
e
&''+ "#&"
,al I- ".#
."##(/
0is1 I-
."##'/
So)rce: CO2I-
3
$ Introd)ction 4resentation 5 "#&" ISACA
3
All rights reserved
C!"IT % en Res&men
C+,IT ' re>ne a los cinco principios que
permiten a la empresa de construir una
gobernabilidad e-ectiva y un marco de
gestin basado en un conjunto ?ol*stico de
siete facilitadores que optimiza la
informacin y la inversin en tecnologa y el
uso para el bene-icio de las partes interesadas.
$l marco C!"IT %

En pocas palabras, &42/T < ayuda a las empresas a crear valor

ptimo de T/ mediante el mantenimiento de un equilibrio entre la
obtencin de bene-icios y la optimizacin de los niveles de riesgo
y el uso de los recursos.

&42/T < permite que la in-ormacin y la tecnolog*a relacionada

para ser gobernado y administrado de manera integral para el
conjunto de la empresa, teniendo en el pleno de e,tremo a e,tremo
del negocio y reas -uncionales de responsabilidad, teniendo en
cuenta los intereses relacionados con la T/ de grupos de inters
internos y e,ternos.

1os principios y los facilitadores de &42/T < son de carcter

genrico y >til para las empresas de todos los tama%os, ya sea
comercial, sin -ines de lucro o en el sector p>blico.
'os (rincipios de C!"IT %
So)rce: CO2I-
3
$ 6ig)re ". 5 "#&" ISACA
3
All rights reserved.
4rincipios
de CO2I- $
&. Satis6acer
las
necesidades
de las partes
interesadas
". C)!rir la
Organi7aci*n de
6orma integral
8. Aplicar )n
solo marco
integrado
9. :a!ilitar
)n en6o;)e
holistico
$. Separar el
Go!ierno de la
Administraci*n
)abilitadores de C!"IT %
So)rce: CO2I-
3
$ 6ig)re &". 5 "#&" ISACA
3
All rights reserved.
&. 4rincipios 4ol<ticas = Marcos
". 4rocesos
8. Estr)ct)ras
Organi7acionales
9. C)lt)ra >tica
= Comportamiento
$. In6ormaci*n
+. Servicios
In6raestr)ct)ra
= Aplicaciones
%. 4ersonas
:a!ilidades =
Competencias
0ECU0SOS
Gobierno ( administraci*n) en
C!"IT %

Gobierno asegura que los objetivos de la empresa se logren

mediante la eval#acin de las necesidades de las partes interesadas,
las condiciones y opciones, estableciendo la direccin a travs de la
priorizacin y decisin, y monitoreando el desempe%o, el
cumplimiento y el progreso contra acordaron direccin y objetivos
-%*..

Administracin planea/ constr#0e/ e1ec#ta 0 monitorea

actividades alineadas con la direccin establecida por el rgano de
gobierno para alcanzar los objetivos de la empresa-P,R*..

El ejercicio de gobierno y la gestin eficaz en la prctica requiere el

uso adecuado de todos los facilitadores. El proceso COBIT como
modelo de referencia nos permite enfocar fcilmente sobre las
actiidades empresariales releantes.
Gobierno en C!"IT %
?
El modelo de re-erencia &42/T < subdivide proceso de las prcticas
relacionadas con la T/ y las actividades de la empresa en dos
grandes reas. la gobernanza y la gestin con la administracin
dividida en dominios de los procesos
?
El dominio G42/E@4 contiene cinco procesos de gobierno,
dentro de cada proceso, evaluar, dirigir y supervisar !E)5# 1as
prcticas se de-inen.
?
=7 "segurar el marco de gobierno y el mantenimiento de su con-iguracin.
?
=6 "segurar la entrega bene-icios.
?
=: Garantizar la optimizacin de riesgos.
?
=A Garantizar la optimizacin de recursos.
?
=< Garantizar la transparencia de los terceros interesados.
?
1os cuatro dominios de gestin estn en l*nea con las reas de
responsabilidad de planear, construir, ejecutar y monitorear
!$25#.
!aluar" #iri$ir % &onitorear 'rocesos (ara el Gobierno Cor(orati!o de TI
'rocesos (ara la Administracin de TI Cor(orati!a
Alinear" 'lanear % Or)ani*ar
Construir" Ad+uirir e Im(lementar
ntre)ar" ,er!ir % #ar ,o(orte
&onitorear" !aluar
% -alorar


























#&01 Aseg)rar
;)e se 6i@a el Marco
de Go!ierno = s)
Mantenimiento
#&02 Aseg)rar
la Entrega de ,alor
#&03 Aseg)rar
la Optimi7aci*n de
los 0iesgos
#&04 Aseg)rar
la Optimi7aci*n de
los 0ec)rsos
#&0. Aseg)rar
la -ransparencia a
las partes
interesadas
A'O01 Administrar
el Marco de la
Administraci*n de -I
A'O02 Administrar
la Estrategia
A'O04 Administrar
la Innovaci*n
A'O03 Administrar
la Ar;)itect)ra
Corporativa
A'O0. Administrar
el 4orta6olio
A'O0/ Administrar
el 4res)p)esto = los
Costos
A'O00 Administrar
el 0ec)rso :)mano
A'O01 Administrar
las 0elaciones
A'O02 Administrar
los Contratos de
Servicios
A'O11 Administrar
la Calidad
A'O10 Administrar
los 4roveedores
A'O12 Administrar
los 0iesgos
A'O13 Administrar
la Seg)ridad
BAI01 Administrar
4rogramas =
4ro=ectos
BAI02 Administrar
la Ae6inici*n de
0e;)erimientos
BAI04 Administrar la
Aisponi!ilidad =
Capacidad
BAI03 Administrar
la Identi6icaci*n =
Constr)cci*n de
Sol)ciones
BAI0. Administrar la
:a!ilitaci*n del
Cam!io
BAI0/ Administrar
Cam!ios
BAI00 Administrar la
Aceptaci*n de
Cam!ios =
-ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Activos
BAI10 Admnistrar la
Con6ig)raci*n
#,,01 Administrar
las Operaciones
#,,02 Administrar
las Solicit)des de
Servicios = los
Incidentes
#,,04 Administrar la
Contin)idad
#,,03 Administrar
4ro!lemas
#,,0. Administrar
los Servicios de
Seg)ridad
#,,0/ Administrar
los Controles en los
4rocesos de Begocio
&A01 Monitorear
Eval)ar = ,alorar el
AesempeCo =
C)mplimiento
&A02 Monitorear
Eval)ar = ,alorar el
Sistema de Control
Interno
&A03 Monitorear
Eval)ar = ,alorar el
C)mplimiento con
0e;)isitos EDternos
Gobierno en C!"IT % (cont.)
So)rce: CO2I-
3
$ 6ig)re &+. 5 "#&" ISACA
3
All rights reserved.
Administraci*n de Ries+os en C!"IT
%
?
El dominio de Gobierno cotiene cinco procesos de gobierno,
uno de los cuales se en-oca en el riesgo relacionado con los
objetivos de los terceros interesados. %*2! Aseg#rar la
optimi3acin de riesgos.
?
%escripcin de procesos
?
"segurar que el apetito de riesgo de la empresa y la tolerancia se
entiende, articulado y comunicado, y que el riesgo de valor de la
empresa en relacin con el uso de las T/ es identi-icado y gestionado.
?
Proceso de declaracin de propsito
?
"segurar que riesgos relacionados con T/ de la empresa no supere la
tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de T/
de valor de la empresa es identi-icado y manejado, y la posibilidad de
-allas de cumplimiento es m*nimo.
Administraci*n de Ries+os en C!"IT
% (cont.)
?
El dominio de Gestin "linear, $lanear y 4rganizar
contiene un proceso de riesgos relacionados. AP+12
Gestionar el riesgo.
?
%escripcin del proceso
?
&ontinuamente identi-icar, evaluar y reducir los riesgos
relacionados con T/ dentro de los niveles de tolerancia
establecidos por la direccin ejecutiva de la empresa.
?
Proceso de %eclaracin de Propsito
?
/ntegrar la gestin de riesgos empresariales relacionados con
la T/ con el E5 en general, y equilibrar los costos y
bene-icios de la gestin de riesgos relacionados con T/ de la
empresa.
!aluar" #iri$ir % &onitorear 'rocesos (ara el Gobierno Cor(orati!o de TI
'rocesos (ara la Administracin de TI Cor(orati!a
Alinear" 'lanear % Or)ani*ar
Construir" Ad+uirir e Im(lementar
ntre)ar" ,er!ir % #ar ,o(orte
&onitorear" !aluar
% -alorar


























#&01 Aseg)rar
;)e se 6i@a el Marco
de Go!ierno = s)
Mantenimiento
#&02 Aseg)rar
la Entrega de ,alor
#&03 Aseg)rar
la Optimi7aci*n de
los 0iesgos
#&04 Aseg)rar
la Optimi7aci*n de
los 0ec)rsos
#&0. Aseg)rar
la -ransparencia a
las partes
interesadas
A'O01 Administrar
el Marco de la
Administraci*n de -I
A'O02 Administrar
la Estrategia
A'O04 Administrar
la Innovaci*n
A'O03 Administrar
la Ar;)itect)ra
Corporativa
A'O0. Administrar
el 4orta6olio
A'O0/ Administrar
el 4res)p)esto = los
Costos
A'O00 Administrar
el 0ec)rso :)mano
A'O01 Administrar
las 0elaciones
A'O02 Administrar
los Contratos de
Servicios
A'O11 Administrar
la Calidad
A'O10 Administrar
los 4roveedores
A'O12 Administrar
los 0iesgos
A'O13 Administrar
la Seg)ridad
BAI01 Administrar
4rogramas =
4ro=ectos
BAI02 Administrar
la Ae6inici*n de
0e;)erimientos
BAI04 Administrar la
Aisponi!ilidad =
Capacidad
BAI03 Administrar
la Identi6icaci*n =
Constr)cci*n de
Sol)ciones
BAI0. Administrar la
:a!ilitaci*n del
Cam!io
BAI0/ Administrar
Cam!ios
BAI00 Administrar la
Aceptaci*n de
Cam!ios =
-ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Activos
BAI10 Admnistrar la
Con6ig)raci*n
#,,01 Administrar
las Operaciones
#,,02 Administrar
las Solicit)des de
Servicios = los
Incidentes
#,,04 Administrar la
Contin)idad
#,,03 Administrar
4ro!lemas
#,,0. Administrar
los Servicios de
Seg)ridad
#,,0/ Administrar
los Controles en los
4rocesos de Begocio
&A01 Monitorear
Eval)ar = ,alorar el
AesempeCo =
C)mplimiento
&A02 Monitorear
Eval)ar = ,alorar el
Sistema de Control
Interno
&A03 Monitorear
Eval)ar = ,alorar el
C)mplimiento con
0e;)isitos EDternos
Administraci*n de Ries+os en C!"IT
% (cont.)
So)rce: CO2I-
3
$ 6ig)re &+. 5 "#&" ISACA
3
All rights reserved.
Administraci*n de Ries+os en C!"IT
% (cont.)
?
Todas las actividades de la empresa tienen una e,posicin de
riesgos asociados derivados de las amenazas ambientales que
aprovec?an las vulnerabilidades ?abilitador
?
%*2! Aseg#rar optimi3acin del riesgo asegura que el
en-oque de riesgo de los terceros interesado este en-ocado a como
sern tratados los riesgos que en-renta la empresa.
?
AP+12 Gestin de Riesgo proporciona a las empresas la gestin
de riesgos !E5# las diposiciones que aseguren que la direccin
dada por los terceros interesados es seguida por la empresa.
?
Todos los dem4s procesos incluye prcticas y actividades que son
dise%adas para tratar el riesgo relacionado !evitar, reducir 9 mitigar
9 controlar9 compartir 9 trans-erir 9 aceptar#.
Administraci*n de Ries+os en C!"IT
% (cont.)
?
"dems de las actividades, &42/T < sugiere las responsabilidades,
-unciones y responsabilidades de las empresas y el gobierno 9 administracin
estructuras !tablas "&/# para cada proceso. stos incl#0en roles para
riesgos relacionados.
So)rce: COBIT

5: Enabling Processes page &#(. 5 "#&" ISACA

3
All rights reserved.
A
l
i
)
n
"

'
l
a
n

a
n
d

O
r
)
a
n
i
s
e
C&mplimiento en C!"IT %
?
El dominio de la gestin 5onitorear, Evaluar y valorar
contiene un proceso de cumplimiento en-ocado: *A2!
s#pervisar/ eval#ar 0 eval#ar el c#mplimiento de los
re"#isitos e5ternos.
?
%escripcin del proceso
?
Evaluar que los procesos de T/ y procesos de negocios
apoyados por T/ cumplen con las leyes, regulaciones y
requerimientos contractuales. &onseguir garant*as de que los
requisitos se ?an identi-icado y se cumplan, e integrar el
cumplimiento de T/ con el cumplimiento general de la
empresa.
?
Proceso de propsito de declaracin
?
"seg>rese de que la empresa cumple con todos los
requerimientos e,ternos aplicables.
!aluar" #iri$ir % &onitorear 'rocesos (ara el Gobierno Cor(orati!o de TI
'rocesos (ara la Administracin de TI Cor(orati!a
Alinear" 'lanear % Or)ani*ar
Construir" Ad+uirir e Im(lementar
ntre)ar" ,er!ir % #ar ,o(orte
&onitorear" !aluar
% -alorar


























#&01 Aseg)rar
;)e se 6i@a el Marco
de Go!ierno = s)
Mantenimiento
#&02 Aseg)rar
la Entrega de ,alor
#&03 Aseg)rar
la Optimi7aci*n de
los 0iesgos
#&04 Aseg)rar
la Optimi7aci*n de
los 0ec)rsos
#&0. Aseg)rar
la -ransparencia a
las partes
interesadas
A'O01 Administrar
el Marco de la
Administraci*n de -I
A'O02 Administrar
la Estrategia
A'O04 Administrar
la Innovaci*n
A'O03 Administrar
la Ar;)itect)ra
Corporativa
A'O0. Administrar
el 4orta6olio
A'O0/ Administrar
el 4res)p)esto = los
Costos
A'O00 Administrar
el 0ec)rso :)mano
A'O01 Administrar
las 0elaciones
A'O02 Administrar
los Contratos de
Servicios
A'O11 Administrar
la Calidad
A'O10 Administrar
los 4roveedores
A'O12 Administrar
los 0iesgos
A'O13 Administrar
la Seg)ridad
BAI01 Administrar
4rogramas =
4ro=ectos
BAI02 Administrar
la Ae6inici*n de
0e;)erimientos
BAI04 Administrar la
Aisponi!ilidad =
Capacidad
BAI03 Administrar
la Identi6icaci*n =
Constr)cci*n de
Sol)ciones
BAI0. Administrar la
:a!ilitaci*n del
Cam!io
BAI0/ Administrar
Cam!ios
BAI00 Administrar la
Aceptaci*n de
Cam!ios =
-ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Activos
BAI10 Admnistrar la
Con6ig)raci*n
#,,01 Administrar
las Operaciones
#,,02 Administrar
las Solicit)des de
Servicios = los
Incidentes
#,,04 Administrar la
Contin)idad
#,,03 Administrar
4ro!lemas
#,,0. Administrar
los Servicios de
Seg)ridad
#,,0/ Administrar
los Controles en los
4rocesos de Begocio
&A01 Monitorear
Eval)ar = ,alorar el
AesempeCo =
C)mplimiento
&A02 Monitorear
Eval)ar = ,alorar el
Sistema de Control
Interno
&A03 Monitorear
Eval)ar = ,alorar el
C)mplimiento con
0e;)isitos EDternos
C&mplimiento en C!"IT % (cont.)
So)rce: CO2I-
3
$ 6ig)re &+. 5 "#&" ISACA
3
All rights reserved.
C&mplimiento en C!"IT % (cont.)
?
&umplimiento legal y regulatorio es una parte clave de la
gestin e-ectiva de una empresa, de a?* su inclusin en el
trmino G& y en los objetivos de la empresa &42/T < y
la estructura soportante proceso -acilitador !5E"=:#.
?
"dicionalmente al 5E"=:, todas las actividades de la
empresa incluyen las actividades de control que estn
dise%ados para asegurar el cumplimiento no slo
e,ternamente impuestas e,igencias legislativas o
reglamentarias, sino tambin con las empresas
gobernabilidad determinados principios, pol*ticas y
procedimientos.
C&mplimiento en C!"IT % (cont.)
?
"dems de las actividades, &42/T < sugiere las responsabilidades, -unciones
y responsabilidades de las empresas y el gobierno 9 administracin estructuras
!tablas "&/# para cada proceso. stos incl#0en #na f#ncin relacionada
con el c#mplimiento.
So)rce: COBIT

5: Enabling Processes page "&8. 5 "#&" ISACA

3
All rights reserved.
Res&men
?
El marco CO2I- $ incl)=e la orientaci*n necesaria para
apo=ar los o!@etivos de G0C de la empresa = actividades
de apo=o:
?
Actividades de go!ierno relacionadas a GEI- .$ procesos/
?
4rocesos de gesti*n de riesgos = apo=o para la gesti*n de
riesgos a travEs del espacio GEI-
?
C)mplimiento: )n en6o;)e espec<6ico en las actividades de
c)mplimiento en el marco = c*mo enca@an dentro de la
imagen completa de la empresa
?
Fa incl)si*n de los ac)erdos de G0C en el marco de
negocio para GEI- a=)da a las empresas a evitar el
pro!lema principal con sol)ciones G0C Gsilos de
actividadH
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other pbli!ation or prod!t.