Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara
GRC GRC:
Gobierno, administracin del riesgo y
cumplimiento.
Tmino sombrilla, cada vez ms utilizado
que cubre estas tres reas de actividades de las empresas.
Estas reas de actividad estn siendo
progresivamente ms alineados e integrados para mejorar el rendimiento de la empresa y la entrega de las necesidades de las partes interesadas. Definiciones GRC* GRC:
GobiernoEl ejercicio de la autoridad, control,
gobierno, acuerdo.
iesgo !"dministracin#$eligro, riesgo de
prdida, da%o o destruccin !el acto o arte de la gestin, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propsito, conducta, administracin, direccin, control#
&umplimientoEl acto de cumplimiento, un
rendimiento, en cuanto a su deseo, demanda o propuesta' concesin' presentacin ( )iccionario en l*nea +ebster Tipos de Gobierno
E,isten di-erentes tipos de gobierno.
Gobierno &orporativo
Gobierno de $royectos
Gobierno de Tecnolog*as de /n-ormacin
Gobierno "mbiental
Gobierno Econmico y 0inanciero
&ada tipo tiene una o ms -uentes de
orientacin, cada uno con objetivos similares pero con -recuencia var*an trminos y las tcnicas para su realizacin. Implementando Gobierno
1a integracin de la aplicacin de las
actividades de G& dentro de una empresa requiere un en-oque sistmico para el e-icaz logro de los objetivos empresariales de sus grupos de inters.
Estos en-oques se basan normalmente en
-acilitadores de diversos tipos !por ejemplo, los principios, las pol*ticas, modelos, marcos, estructuras organizacionales#. Un ejemplo de modelo GRC
)el ed 2oo3 G& de 4&EG &apability
5odel version 6.7( * Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org. Gobierno Corporativo de TI
/849/E& :;<==. 6==;
Gobierno Corporativo de Tecnologa
de Informacin
1.1 Alcance
Este estndar establece los principios rectores para directores de
organizaciones !incluyendo propietarios, miembros del consejo, directores, socios, ejecutivos de alto nivel, o similar# sobre el uso e-icaz, e-iciente y aceptable de la tecnolog*a de la in-ormacin !T/# dentro de sus organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin !toma de
decisiones# relativas a los servicios de in-ormacin y comunicacin utilizados por una organizacin. Estos procesos pueden ser controlados por especialistas en T/ dentro de la organizacin o de los proveedores de servicios e,ternos, o por unidades de negocio dentro de la organizacin. Gobierno Corporativo de TI (cont.) /849/E& :;<==. 6==; Gobierno Corporativo de Tecnologa de Informacin 2.1 Principios 2.1.1 Principio 1: Responsabilidad 2.1.2 Principio 2: strategia 2.1.! Principio !: Ad"#isicin 2.1.$ Principio $: %esempe&o 2.1.' Principio ': Conformidad 2.1.( Principio (: Comportamiento )#mano Gobierno Corporativo de TI (cont.) /849/E& :;<==. 6==; Gobierno Corporativo de Tecnologa de Informacin 2.2 *odelo 1os administradores debe gobernar las T/ a travs de tres tareas principales. a# Evaluar el uso actual y -uturo de T/. b# $reparacin directa y la aplicacin de planes y pol*ticas para garantizar que el uso de las T/ cumple con los objetivos de negocio. c# 5onitorear la con-ormidad de las pol*ticas, y el desempe%o contra los planes. ISACA C!"IT
/8"&" promueve activamente la investigacin
que se traduce en el desarrollo de productos relevantes y >tiles para los pro-esionales de Gobierno de T/, riesgo, control, aseguramiento y seguridad.
/8"&" desarrolla y mantiene el
internacionalmente reconocido marco de re-erencia &42/T, ayudar a los pro-esionales de T/ y l*deres empresariales a cumplir con sus responsabilidades de gobierno de T/, mientras que la entrega de valor al negocio. Gobierno de TI COBIT4.0/4.1 Administracin COBIT3 Control COBIT2 Un Marco Empresarial de ISACA en www.isaca.org/co!it Auditora COBIT1 C!"IT# Gobierno de TI de las $mpresas (G$IT) "##$/% "### &''(
E v o l ) c i * n
d e l
A l c a n c e &''+ "#&" ,al I- ".# ."##(/ 0is1 I- ."##'/ So)rce: CO2I- 3 $ Introd)ction 4resentation 5 "#&" ISACA 3 All rights reserved C!"IT % en Res&men C+,IT ' re>ne a los cinco principios que permiten a la empresa de construir una gobernabilidad e-ectiva y un marco de gestin basado en un conjunto ?ol*stico de siete facilitadores que optimiza la informacin y la inversin en tecnologa y el uso para el bene-icio de las partes interesadas. $l marco C!"IT %
En pocas palabras, &42/T < ayuda a las empresas a crear valor
ptimo de T/ mediante el mantenimiento de un equilibrio entre la obtencin de bene-icios y la optimizacin de los niveles de riesgo y el uso de los recursos.
&42/T < permite que la in-ormacin y la tecnolog*a relacionada
para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de e,tremo a e,tremo del negocio y reas -uncionales de responsabilidad, teniendo en cuenta los intereses relacionados con la T/ de grupos de inters internos y e,ternos.
1os principios y los facilitadores de &42/T < son de carcter
genrico y >til para las empresas de todos los tama%os, ya sea comercial, sin -ines de lucro o en el sector p>blico. 'os (rincipios de C!"IT % So)rce: CO2I- 3 $ 6ig)re ". 5 "#&" ISACA 3 All rights reserved. 4rincipios de CO2I- $ &. Satis6acer las necesidades de las partes interesadas ". C)!rir la Organi7aci*n de 6orma integral 8. Aplicar )n solo marco integrado 9. :a!ilitar )n en6o;)e holistico $. Separar el Go!ierno de la Administraci*n )abilitadores de C!"IT % So)rce: CO2I- 3 $ 6ig)re &". 5 "#&" ISACA 3 All rights reserved. &. 4rincipios 4ol<ticas = Marcos ". 4rocesos 8. Estr)ct)ras Organi7acionales 9. C)lt)ra >tica = Comportamiento $. In6ormaci*n +. Servicios In6raestr)ct)ra = Aplicaciones %. 4ersonas :a!ilidades = Competencias 0ECU0SOS Gobierno ( administraci*n) en C!"IT %
Gobierno asegura que los objetivos de la empresa se logren
mediante la eval#acin de las necesidades de las partes interesadas, las condiciones y opciones, estableciendo la direccin a travs de la priorizacin y decisin, y monitoreando el desempe%o, el cumplimiento y el progreso contra acordaron direccin y objetivos -%*..
actividades alineadas con la direccin establecida por el rgano de gobierno para alcanzar los objetivos de la empresa-P,R*..
El ejercicio de gobierno y la gestin eficaz en la prctica requiere el
uso adecuado de todos los facilitadores. El proceso COBIT como modelo de referencia nos permite enfocar fcilmente sobre las actiidades empresariales releantes. Gobierno en C!"IT % ? El modelo de re-erencia &42/T < subdivide proceso de las prcticas relacionadas con la T/ y las actividades de la empresa en dos grandes reas. la gobernanza y la gestin con la administracin dividida en dominios de los procesos ? El dominio G42/E@4 contiene cinco procesos de gobierno, dentro de cada proceso, evaluar, dirigir y supervisar !E)5# 1as prcticas se de-inen. ? =7 "segurar el marco de gobierno y el mantenimiento de su con-iguracin. ? =6 "segurar la entrega bene-icios. ? =: Garantizar la optimizacin de riesgos. ? =A Garantizar la optimizacin de recursos. ? =< Garantizar la transparencia de los terceros interesados. ? 1os cuatro dominios de gestin estn en l*nea con las reas de responsabilidad de planear, construir, ejecutar y monitorear !$25#. !aluar" #iri$ir % &onitorear 'rocesos (ara el Gobierno Cor(orati!o de TI 'rocesos (ara la Administracin de TI Cor(orati!a Alinear" 'lanear % Or)ani*ar Construir" Ad+uirir e Im(lementar ntre)ar" ,er!ir % #ar ,o(orte &onitorear" !aluar % -alorar
#&01 Aseg)rar ;)e se 6i@a el Marco de Go!ierno = s) Mantenimiento #&02 Aseg)rar la Entrega de ,alor #&03 Aseg)rar la Optimi7aci*n de los 0iesgos #&04 Aseg)rar la Optimi7aci*n de los 0ec)rsos #&0. Aseg)rar la -ransparencia a las partes interesadas A'O01 Administrar el Marco de la Administraci*n de -I A'O02 Administrar la Estrategia A'O04 Administrar la Innovaci*n A'O03 Administrar la Ar;)itect)ra Corporativa A'O0. Administrar el 4orta6olio A'O0/ Administrar el 4res)p)esto = los Costos A'O00 Administrar el 0ec)rso :)mano A'O01 Administrar las 0elaciones A'O02 Administrar los Contratos de Servicios A'O11 Administrar la Calidad A'O10 Administrar los 4roveedores A'O12 Administrar los 0iesgos A'O13 Administrar la Seg)ridad BAI01 Administrar 4rogramas = 4ro=ectos BAI02 Administrar la Ae6inici*n de 0e;)erimientos BAI04 Administrar la Aisponi!ilidad = Capacidad BAI03 Administrar la Identi6icaci*n = Constr)cci*n de Sol)ciones BAI0. Administrar la :a!ilitaci*n del Cam!io BAI0/ Administrar Cam!ios BAI00 Administrar la Aceptaci*n de Cam!ios = -ransiciones BAI01 Administrar el Conocimiento BAI02 Administrar los Activos BAI10 Admnistrar la Con6ig)raci*n #,,01 Administrar las Operaciones #,,02 Administrar las Solicit)des de Servicios = los Incidentes #,,04 Administrar la Contin)idad #,,03 Administrar 4ro!lemas #,,0. Administrar los Servicios de Seg)ridad #,,0/ Administrar los Controles en los 4rocesos de Begocio &A01 Monitorear Eval)ar = ,alorar el AesempeCo = C)mplimiento &A02 Monitorear Eval)ar = ,alorar el Sistema de Control Interno &A03 Monitorear Eval)ar = ,alorar el C)mplimiento con 0e;)isitos EDternos Gobierno en C!"IT % (cont.) So)rce: CO2I- 3 $ 6ig)re &+. 5 "#&" ISACA 3 All rights reserved. Administraci*n de Ries+os en C!"IT % ? El dominio de Gobierno cotiene cinco procesos de gobierno, uno de los cuales se en-oca en el riesgo relacionado con los objetivos de los terceros interesados. %*2! Aseg#rar la optimi3acin de riesgos. ? %escripcin de procesos ? "segurar que el apetito de riesgo de la empresa y la tolerancia se entiende, articulado y comunicado, y que el riesgo de valor de la empresa en relacin con el uso de las T/ es identi-icado y gestionado. ? Proceso de declaracin de propsito ? "segurar que riesgos relacionados con T/ de la empresa no supere la tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de T/ de valor de la empresa es identi-icado y manejado, y la posibilidad de -allas de cumplimiento es m*nimo. Administraci*n de Ries+os en C!"IT % (cont.) ? El dominio de Gestin "linear, $lanear y 4rganizar contiene un proceso de riesgos relacionados. AP+12 Gestionar el riesgo. ? %escripcin del proceso ? &ontinuamente identi-icar, evaluar y reducir los riesgos relacionados con T/ dentro de los niveles de tolerancia establecidos por la direccin ejecutiva de la empresa. ? Proceso de %eclaracin de Propsito ? /ntegrar la gestin de riesgos empresariales relacionados con la T/ con el E5 en general, y equilibrar los costos y bene-icios de la gestin de riesgos relacionados con T/ de la empresa. !aluar" #iri$ir % &onitorear 'rocesos (ara el Gobierno Cor(orati!o de TI 'rocesos (ara la Administracin de TI Cor(orati!a Alinear" 'lanear % Or)ani*ar Construir" Ad+uirir e Im(lementar ntre)ar" ,er!ir % #ar ,o(orte &onitorear" !aluar % -alorar
#&01 Aseg)rar ;)e se 6i@a el Marco de Go!ierno = s) Mantenimiento #&02 Aseg)rar la Entrega de ,alor #&03 Aseg)rar la Optimi7aci*n de los 0iesgos #&04 Aseg)rar la Optimi7aci*n de los 0ec)rsos #&0. Aseg)rar la -ransparencia a las partes interesadas A'O01 Administrar el Marco de la Administraci*n de -I A'O02 Administrar la Estrategia A'O04 Administrar la Innovaci*n A'O03 Administrar la Ar;)itect)ra Corporativa A'O0. Administrar el 4orta6olio A'O0/ Administrar el 4res)p)esto = los Costos A'O00 Administrar el 0ec)rso :)mano A'O01 Administrar las 0elaciones A'O02 Administrar los Contratos de Servicios A'O11 Administrar la Calidad A'O10 Administrar los 4roveedores A'O12 Administrar los 0iesgos A'O13 Administrar la Seg)ridad BAI01 Administrar 4rogramas = 4ro=ectos BAI02 Administrar la Ae6inici*n de 0e;)erimientos BAI04 Administrar la Aisponi!ilidad = Capacidad BAI03 Administrar la Identi6icaci*n = Constr)cci*n de Sol)ciones BAI0. Administrar la :a!ilitaci*n del Cam!io BAI0/ Administrar Cam!ios BAI00 Administrar la Aceptaci*n de Cam!ios = -ransiciones BAI01 Administrar el Conocimiento BAI02 Administrar los Activos BAI10 Admnistrar la Con6ig)raci*n #,,01 Administrar las Operaciones #,,02 Administrar las Solicit)des de Servicios = los Incidentes #,,04 Administrar la Contin)idad #,,03 Administrar 4ro!lemas #,,0. Administrar los Servicios de Seg)ridad #,,0/ Administrar los Controles en los 4rocesos de Begocio &A01 Monitorear Eval)ar = ,alorar el AesempeCo = C)mplimiento &A02 Monitorear Eval)ar = ,alorar el Sistema de Control Interno &A03 Monitorear Eval)ar = ,alorar el C)mplimiento con 0e;)isitos EDternos Administraci*n de Ries+os en C!"IT % (cont.) So)rce: CO2I- 3 $ 6ig)re &+. 5 "#&" ISACA 3 All rights reserved. Administraci*n de Ries+os en C!"IT % (cont.) ? Todas las actividades de la empresa tienen una e,posicin de riesgos asociados derivados de las amenazas ambientales que aprovec?an las vulnerabilidades ?abilitador ? %*2! Aseg#rar optimi3acin del riesgo asegura que el en-oque de riesgo de los terceros interesado este en-ocado a como sern tratados los riesgos que en-renta la empresa. ? AP+12 Gestin de Riesgo proporciona a las empresas la gestin de riesgos !E5# las diposiciones que aseguren que la direccin dada por los terceros interesados es seguida por la empresa. ? Todos los dem4s procesos incluye prcticas y actividades que son dise%adas para tratar el riesgo relacionado !evitar, reducir 9 mitigar 9 controlar9 compartir 9 trans-erir 9 aceptar#. Administraci*n de Ries+os en C!"IT % (cont.) ? "dems de las actividades, &42/T < sugiere las responsabilidades, -unciones y responsabilidades de las empresas y el gobierno 9 administracin estructuras !tablas "&/# para cada proceso. stos incl#0en roles para riesgos relacionados. So)rce: COBIT
5: Enabling Processes page &#(. 5 "#&" ISACA
3 All rights reserved. A l i ) n "
' l a n
a n d
O r ) a n i s e C&mplimiento en C!"IT % ? El dominio de la gestin 5onitorear, Evaluar y valorar contiene un proceso de cumplimiento en-ocado: *A2! s#pervisar/ eval#ar 0 eval#ar el c#mplimiento de los re"#isitos e5ternos. ? %escripcin del proceso ? Evaluar que los procesos de T/ y procesos de negocios apoyados por T/ cumplen con las leyes, regulaciones y requerimientos contractuales. &onseguir garant*as de que los requisitos se ?an identi-icado y se cumplan, e integrar el cumplimiento de T/ con el cumplimiento general de la empresa. ? Proceso de propsito de declaracin ? "seg>rese de que la empresa cumple con todos los requerimientos e,ternos aplicables. !aluar" #iri$ir % &onitorear 'rocesos (ara el Gobierno Cor(orati!o de TI 'rocesos (ara la Administracin de TI Cor(orati!a Alinear" 'lanear % Or)ani*ar Construir" Ad+uirir e Im(lementar ntre)ar" ,er!ir % #ar ,o(orte &onitorear" !aluar % -alorar
#&01 Aseg)rar ;)e se 6i@a el Marco de Go!ierno = s) Mantenimiento #&02 Aseg)rar la Entrega de ,alor #&03 Aseg)rar la Optimi7aci*n de los 0iesgos #&04 Aseg)rar la Optimi7aci*n de los 0ec)rsos #&0. Aseg)rar la -ransparencia a las partes interesadas A'O01 Administrar el Marco de la Administraci*n de -I A'O02 Administrar la Estrategia A'O04 Administrar la Innovaci*n A'O03 Administrar la Ar;)itect)ra Corporativa A'O0. Administrar el 4orta6olio A'O0/ Administrar el 4res)p)esto = los Costos A'O00 Administrar el 0ec)rso :)mano A'O01 Administrar las 0elaciones A'O02 Administrar los Contratos de Servicios A'O11 Administrar la Calidad A'O10 Administrar los 4roveedores A'O12 Administrar los 0iesgos A'O13 Administrar la Seg)ridad BAI01 Administrar 4rogramas = 4ro=ectos BAI02 Administrar la Ae6inici*n de 0e;)erimientos BAI04 Administrar la Aisponi!ilidad = Capacidad BAI03 Administrar la Identi6icaci*n = Constr)cci*n de Sol)ciones BAI0. Administrar la :a!ilitaci*n del Cam!io BAI0/ Administrar Cam!ios BAI00 Administrar la Aceptaci*n de Cam!ios = -ransiciones BAI01 Administrar el Conocimiento BAI02 Administrar los Activos BAI10 Admnistrar la Con6ig)raci*n #,,01 Administrar las Operaciones #,,02 Administrar las Solicit)des de Servicios = los Incidentes #,,04 Administrar la Contin)idad #,,03 Administrar 4ro!lemas #,,0. Administrar los Servicios de Seg)ridad #,,0/ Administrar los Controles en los 4rocesos de Begocio &A01 Monitorear Eval)ar = ,alorar el AesempeCo = C)mplimiento &A02 Monitorear Eval)ar = ,alorar el Sistema de Control Interno &A03 Monitorear Eval)ar = ,alorar el C)mplimiento con 0e;)isitos EDternos C&mplimiento en C!"IT % (cont.) So)rce: CO2I- 3 $ 6ig)re &+. 5 "#&" ISACA 3 All rights reserved. C&mplimiento en C!"IT % (cont.) ? &umplimiento legal y regulatorio es una parte clave de la gestin e-ectiva de una empresa, de a?* su inclusin en el trmino G& y en los objetivos de la empresa &42/T < y la estructura soportante proceso -acilitador !5E"=:#. ? "dicionalmente al 5E"=:, todas las actividades de la empresa incluyen las actividades de control que estn dise%ados para asegurar el cumplimiento no slo e,ternamente impuestas e,igencias legislativas o reglamentarias, sino tambin con las empresas gobernabilidad determinados principios, pol*ticas y procedimientos. C&mplimiento en C!"IT % (cont.) ? "dems de las actividades, &42/T < sugiere las responsabilidades, -unciones y responsabilidades de las empresas y el gobierno 9 administracin estructuras !tablas "&/# para cada proceso. stos incl#0en #na f#ncin relacionada con el c#mplimiento. So)rce: COBIT
5: Enabling Processes page "&8. 5 "#&" ISACA
3 All rights reserved. Res&men ? El marco CO2I- $ incl)=e la orientaci*n necesaria para apo=ar los o!@etivos de G0C de la empresa = actividades de apo=o: ? Actividades de go!ierno relacionadas a GEI- .$ procesos/ ? 4rocesos de gesti*n de riesgos = apo=o para la gesti*n de riesgos a travEs del espacio GEI- ? C)mplimiento: )n en6o;)e espec<6ico en las actividades de c)mplimiento en el marco = c*mo enca@an dentro de la imagen completa de la empresa ? Fa incl)si*n de los ac)erdos de G0C en el marco de negocio para GEI- a=)da a las empresas a evitar el pro!lema principal con sol)ciones G0C Gsilos de actividadH ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other pbli!ation or prod!t.