Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia de Ayuda para Le ISO 38500
Guia de Ayuda para Le ISO 38500
IT Governance Institute
TM
TM
Control para la Informacin y Tecnologas Relacionadas (COBIT ) y Val IT , y ofrece investigacin
original y casos de estudio para ayudar a lderes empresariales y consejos de administracin a cumplir
con sus responsabilidades en el gobierno de TI y a los profesionales de TI a entregar servicios de valor
aadido.
Lmite de responsabilidad
TM
ITGI ha diseado y creado esta publicacin, titulada en su versin espaola ITGI Facilita la Adopcin
de ISO/IEC 38500:2008 (la Obra), principalmente como un recurso educativo. ITGI no afirma que el uso
de cualquier parte de la obra asegurar un resultado exitoso. No debe considerarse que la Obra incluya
cualquier informacin, procedimientos y pruebas adecuadas o excluya otra informacin, procedimientos y
pruebas que estn razonablemente dirigidos a la obtencin de los mismos resultados. En la determinacin
de la adecuacin de cualquier procedimiento de informacin o de prueba, los profesionales del control
deben aplicar su propio criterio profesional a las circunstancias de control especficas presentadas por el
entorno concreto de sistemas o de TI.
Reserva de derechos
2009 ITGI. Todos los derechos reservados. Ninguna parte de esta publicacin puede ser usada,
copiada, modificada, distribuida, visualizada o almacenada en un sistema de recuperacin o transmitida
en cualquier forma por cualquier medio (electrnico, mecnico, fotocopia, grabacin o de otro tipo) sin la
previa autorizacin por escrito de ITGI. La reproduccin y el uso de cualquier parte de esta publicacin se
permiten nicamente para uso acadmico, interno y no comercial y para encargos de consulta y
asesoramiento, y debe incluir plena atribucin de la fuente del material. No se concede ningn otro
derecho o permiso respecto a esta obra.
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 EE.UU.
Telfono: +1.847.660.5700
Fax: +1.847.253.1443
E-mail: info@itgi.org
Sitio Web: www.itgi.org
Agradecimientos
ITGI desea reconocer a:
Investigador
Gary Hardy, CGEIT, IT Winners, South Africa
Revisores Expertos
Gregory T. Grocholski, CISA, The Dow Chemical Company, USA
Tony Hayes, FCPA, Queensland Government, Australia
John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia
Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia
Robert E. Stroud, CA Inc., USA
John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada
Wim Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment and
Governance Research Institute, Belgium
Vatsaraman Venkatakrishnan, CISA, CISM, CGEIT, ACA, Emirates Airlines, UAE
Patronato de ITGI
Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, UK, International President
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Belgium, Vice President
Yonosuke Harada, CISA, CISM, CAIS, InfoCom Research Inc., Japan, Vice President
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vice President
Jos ngel Pea Ibarra, CGEIT, Consultora en Comunicaciones e Info., SA & CV, Mxico,
Vice President
Robert E. Stroud, CA Inc., USA, Vice President
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, Vice President
Frank Yam, CISA, CIA, CCP, CFE, CFSA, FFA, FHKCS, FHKIoD, Focus Strategic Group, Hong
Kong, VicePresident
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International
President
Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retired), USA, Past International President
Comit de Gobierno de TI
Tony Hayes, FCPA, Queensland Government, Australia, Chair
Sushil Chatterji, Edutech Enterprises, Singapore
Kyung-Tae Hwang, CISA, Dongguk University, Korea
John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA
Hugh Penri-Williams, CISA, CISM, CCSA, CIA, Accenture Technology Services, France
Gustavo Adolfo Sols Montes, CISA, CISM, Grupo Cynthus, Mxico
Robert E. Stroud, CA Inc., USA
John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada
Wimp Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment
and Governance Research Institute, Belgium
Patrocinadores y afiliados a ITGI
American Institute of Certified Public Accountants
ASIS International
The Center for Internet Security
Common wealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Information Systems Security Association
Institut of Governance des Systems dInformation
Institute of Management Accountants Inc.
ISACA
ISACA Chapters
ITGI Japan
Introduccin
1
Nunca ha sido
mayor la
necesidad de
obtener ms
valor de las
inversiones
en TI y de
gestionar un
abanico cada
vez mayor de
riesgos
relacionados
con TI.
Un gobierno
empresarial
eficaz de TI se
traducir en la
mejora del
desempeo y
en el
cumplimiento
de requisitos
externos.
ISACA fue fundada en 1969 y cuenta actualmente con ms de 86.000 socios en ms de 160 pases.
ISACA es un reconocido lder mundial en gobierno de TI, el control, la seguridad y el aseguramiento. ISACA patrocina
conferencias internacionales, publica el ISACA Journal , y desarrolla normas internacionales de control y auditora
de sistemas de informacin. Tambin administra tres certificaciones de prestigio internacional: Certified Information
Systems Auditor (CISA), Certified Information Security Manager (CISM) and Certified in the Governance of
Enterpriser IT (CGEIT).
El enfoque de ITGI
Las guas de
ITGI, basadas
en los marcos
de COBIT y
Val IT,
permiten a
administrador
es y
directores de
empresa un
mejor
entendimiento
de cmo
dirigir y
gestionar el
uso de TI en
la empresa.
Para las definiciones de los seis principios expuestos en esta seccin, por favor refirase al estndar IS0/IEC
38500-2008, que puede comprarse a Distribuidores Autorizados, tales como ANSI, 25 West 43rd Street, New York,
NY 10036, EE.UU., +1.212.642.4900, o http://webstore.ansi.org u otro vendedor autorizado.
3
Las tablas RACI identifican quines son los responsables, los que rinden cuentas, los consultados e informados
para una tarea.
Principio 2-Estrategia
La meta es
entregar valor
en apoyo de
los objetivos
estratgicos,
considerando
los riesgos
asociados en
relacin con
el apetito de
riesgo del
consejo de
direccin.
Principio 3-Adquisicin
La puesta en
prctica no es
slo una
cuestin de
tecnologa,
sino ms bien
de una
combinacin
de cambio
organizacional,
procesos de
negocio
revisados,
entrenamiento
y posibilitar el
cambio.
Principio 4-Desempeo
Dos factores
crticos de xito
del gobierno son
la aprobacin de
objetivos por las
partes
interesadas, y la
aceptacin de la
rendicin de
cuentas para el
logro de los
objetivos por
parte de los
directores y
administradores.
Principio 5-Conformidad
Qu significa en la prctica?: En el actual mercado global, gracias a
Internet y a las avanzadas tecnologas, las empresas necesitan cumplir con
un nmero creciente de requisitos legales y regulatorios. Debido a los
escndalos corporativos y las anomalas financieras en aos recientes, los
consejos directivos tienen plena conciencia de la existencia y las
implicaciones de las leyes y los reglamentos cada vez ms estrictos. Las
partes interesadas requieren una mayor garanta de que las empresas estn
cumpliendo con las leyes y regulaciones y que se ajusten a las mejores
prcticas del gobierno corporativo en su entorno operativo. Adems, debido
a que las TI han facilitado procesos de negocio perfectamente integrados
entre empresas, tambin hay una creciente necesidad de ayudar a
garantizar que los contratos incluyen importantes requisitos relacionados
con TI en reas como la privacidad, la confidencialidad, la propiedad
intelectual y la seguridad.
Los directores necesitan asegurar que el cumplimiento de requisitos
externos se considera como parte de la planificacin estratgica y no como
una costosa ocurrencia de ltimo momento. Ellos tambin necesitan marcar
la pauta en la alta direccin, estableciendo polticas y procedimientos a
seguir por su gerencia y staff, para asegurar que se logren los objetivos de
la empresa, se minimicen los riesgos y se superen los cumplimientos. La
alta direccin debe lograr un equilibrio adecuado entre el desempeo y la
conformidad, asegurando que los objetivos de desempeo no pongan en
peligro el cumplimiento y, por el contrario, que el rgimen de cumplimiento
es adecuado y no restringe demasiado el funcionamiento de la empresa.
Cmo las guas de ITGI facilitan las mejores prcticas?
Los objetivos de control y las prcticas de control de C OBIT
proporcionan una base para el establecimiento de un ambiente de
control apropiado y para la evaluacin de la idoneidad de los controles
de TI en la empresa. Los modelos de madurez permiten a la direccin
evaluar y comparar la capacidad de los procesos de TI.
El proceso COBIT PO1 Definir un plan estratgico de TI, ayuda a
asegurar la alineacin entre los planes de TI y los objetivos estratgicos
del negocio, incluyendo los requisitos enfocados al gobierno.
El proceso COBIT ME2 Monitorizar y evaluar los controles de TI,
permite que los directores valoren si los controles son adecuados para
satisfacer los requisitos de conformidad.
El proceso COBIT ME3 Asegurar el cumplimiento de los requisitos
externos, ayuda a asegurar que se identifiquen los requerimientos
externos, que los directores definan el enfoque para el cumplimiento, y
que el propio cumplimiento de TI sea supervisado, evaluado e integrado
como una parte de la conformidad general de los requerimientos de la
empresa.
La publicacin IT Assurance Guide: Using COBIT explica cmo es que
los auditores pueden proporcionar garanta independiente de
cumplimiento y adhesin a las polticas internas derivadas de directivas
internas o requerimientos legales, regulatorios o contractuales,
confirmando que se tomen las acciones correctivas para enfrentar
Cualquier cambio
viabilizado por TI,
incluyendo el
mismo gobierno
de TI,
generalmente
requiere
significativos
cambios
culturales y de
comportamiento
en las empresas,
los clientes y los
socios de
negocios.
Aspectos tales
como la
privacidad y el
fraude son
preocupaciones
crecientes para
las personas;
se requiere
gestionar esos
y otros riesgos
para que la
gente confe en
los sistemas de
TI que utilizan.
Un gobierno
empresarial
eficaz de TI se
traducir en la
mejora del
desempeo y
en el
cumplimiento
de requisitos
externos.
Las mejores
prcticas en
COBIT son un
enfoque comn
para un buen
control de TI
implementado
por gerentes de
TI y del negocio,
y evaluado en la
misma base por
auditores.
Monitorizar:
Las publicaciones The Board Briefing on IT Governance, 2nd Edition y
Unlocking Value: An Executive Primer on the Critical Role of IT
Governance, describen lo que los consejos de direccin deberan hacer
para supervisar efectivamente el gobierno corporativo.
COBIT proporciona guas bajo la forma de procesos recomendados para
supervisar y evaluar las TI (dominio ME), cubriendo la medicin del
desempeo, la efectividad del control interno, conformidad con
requisitos externos y la consecucin de un eficaz gobierno corporativo.
COBIT y Val IT incluyen ejemplos de metas y mtricas para apoyar el
establecimiento de un proceso de supervisin efectivo alineado con
metas y objetivos de negocio.
La fase Implementar la solucin de la publicacin IT Governance
Implementation Guide: Using C OBIT and Val IT, 2nd Edition, explica
cmo introducir el gobierno de TI en las operaciones de negocio
normales y cmo supervisar y medir el xito de las mejoras en el
gobierno de TI.
Val IT se
introdujo para
ampliar la
orientacin de
ITGI en el rea
de inversiones
viabilizadas por
TI.
Dirigir
Monitorizar
Comportamiento
humano
Evaluar
Desempeo
Conformidad
Estrategias
Adquisicin
Producto ITGI
Responsabilidades
COBIT est
siendo
globalmente
adoptado de
modo creciente
como el modelo
de control
estndar de
facto
COBIT
Val IT
La combinacin
de Val IT y
COBIT
proporciona una
base completa
para establecer
un esquema de
gobierno
efectivo sobre
las actividades
relacionadas
con TI.
- Aligning COBIT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit.