Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NDICE
1.
2.
3.
4.
5.
6.
6.
7.
Introduccin
Coso Internal Control Integrated Framework
Balance Scorecard Cumplimiento Legal
ISO 38500 - COBIT / ValIT
ISO 27000 ISO 20000 (ITIL V3) - ISO 24762
Metodologa.
Desarrollo del proyecto.
Fases de desarrollo del proyecto
Introduccin
Complejidad social
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones
que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o
terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier
sistema.
Texto men 2
!
"
#$
)
#$
&
'(
"
Introduccin
#$"
"
!*
"
#$"
! $ %$ !
"
)))*
"""!
&!
"&
'" $ &
!$ "$
"
" (&
"#
#$
Texto men 2
Introduccin
Niveles de gobernanza
Gobernanza corporativa (COSO)
La provisin de la estructura que permita determinar los objetivos de la
Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
Gobernanza de SI
Gobernanza de TIC
Gobernanza
Corporativa
Niveles de Gobernanza
No obstante, la Gobernanza no tiene que ver con qu decisiones son tomadas - eso
es Gestin -; sino que tiene que ver con quin toma las decisiones y con cmo se toman.
Texto men 2
Introduccin
Marcos de Control
En la actualidad existe diferentes metodologas orientadas al control de las organizaciones, cada una de
ellas abarca diferentes mbitos, de forma que se complementan.
"
Texto men 2
#"$
%!
!&
&#
Introduccin
Niveles de gobernanza
%* ) *) +
-. / *
-. / *
'
!+ 7 ' * + '
"
(3 &" %#%
+
4
*/
+5
6 , #) 4 $%4 )
%! !"$!1 2
+'
)
) '
9 0
) * ) *'
8 * +
*7) ) +
) + + , $* ) '
' ''
)
$*
)
+
'
*' '
Control Interno
OBJETIVOS DE COSO
Mejorar la calidad de la informacin financiera
concentrndose en el manejo corporativo, las normas ticas
y el control interno.
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el control
interno.
Funciones y responsabilidades
La Alta Gerencia es la responsable ltima del sistema de control. La integridad y la tica
deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los
gerentes que a su vez son los responsables en sus respectivas reas.
El Consejo de Administracin fija las pautas y la visin global del negocio. El Consejo
debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas
financieras, legales y de auditora interna.
La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y
permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica
adecuada.
Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar
el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de
trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los cdigos
de conducta, a las polticas establecidas o la legalidad de las acciones realizadas.
Evaluacin de riesgos
Determinacin de los
Objetivos.
Objetivos globales (tales como
la Misin).
Objetivos especficos de las
diversas actividades (por ej.
Produccin), estos subobjetivos medibles a travs de
metas deben ser coherentes.
Informacin y comunicacin
Debe asegurase que se obtenga
informacin de calidad y no meros
datos.
La informacin debe ser protegida
ya que se trata de un activo valioso.
Las vas de comunicacin interna
deben asegurar que el personal
conozca los elementos suficientes
para cumplir con su tarea.
Supervisin
Las actividades de supervisin
continua y evaluaciones puntuales.
Las deficiencias detectadas deben
ser oportunamente comunicadas.
Agencias Gubernamentales:
AGPD.
Ministerio de Industria.
Ministerio del Interior.
Foros sectoriales:
Asociaciones Profesionales.
Basilea II
BalancedScoredCard:
Lenguaje comn entre entornos diferentes.
Establecimiento de un mapa estratgico con
"dnde queremos estar".
Estudio del impacto de determinadas
acciones:
Seleccionar acciones.
Estudiar el impacto en el BSC.
Elaborar una regla.
URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639
20
ISO/IEC 38500:2008
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologas de la informacin de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:
Generar confianza en los stakeholders (empleados, clientes, proveedores,
socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organizacin.
Informar y guiar a la alta direccin en el gobierno TIC en su organizacin.
Proveer de bases para la evaluacin objetiva del Gobierno Corporativo TIC
ISO 38500
ISO/IEC 38500:2008
BENEFICIOS DE LA IMPLANTACIN DEL ESTNDAR:
Adecuada aplicacin y operacin de activos de TIC.
Asignacin de responsabilidades.
Continuidad del negocio
Sostenibilidad.
Alineacin de TIC con los objetivos del negocio.
Asignacin eficiente de recursos.
Innovacin en los servicios, los mercados y las empresas.
Mejora de imagen y reputacin en el mercado frente a los reguladores,
agentes sociales y con los stakeholders.
Optimizacin en los costes de una organizacin
Inversin efectiva en TIC.
Cumplimiento legal.
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
Con el Gobierno Corporativo permite asegurar una informacin eficaz y el
cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.
ISO38500
MODELO
ISO/IEC 38500:2008
26
27
ISO38500 COBIT
' ,
*
"
"
"%
'( )
#
%
*
#
$
&
'
+
'
*
*
+
!
$
-
ISO38500 COBIT
MARCO DE REFERENCIA
ISO38500 COBIT
MARCO DE REFERENCIA EL CUBO DE COBIT
INFRAESTRUCTURA
TI
S
de
APLICACIONES
PROCESOS
PERSONAS
DOMINIOS
ACTIVIDADES
R
EC
U
R
SO
Conjunto estrucutrado de
PROCESOS de TI
D
AD
AD
IA
IA ID A
ID AD
D
C
L
C
ID
A
M
A
L
A
N
D
I
I
I
D
R
I
IC
IE
C
R
IB
O
IL
N
EF FIC NF
B
EN EG
O
A
D
T
E
I
I
P
O
F
F
IN
C
IS
N
D
O
C
INFORMACI
N
INFORMACI
REQUISITOS de la ORGANIZACIN
para la INFORMACIN
ISO38500 COBIT
El conjunto estructurado de 34 PROCESOS
[objetivos de control de alto nivel] se agrupa de forma
natural en 4 DOMINIOS.
OBJETIVOS DE CONTROL
[PO]
PLANIFICAR y ORGANIZAR
10 Procesos de TI
[AI]
ADQUIRIR e IMPLANTAR
07 Procesos de TI
[DS]
[ME]
MONITORIZAR y EVALUAR
04 Procesos de TI
ISO38500 COBIT
:!
%! .
:!
OBJETIVOS DE CONTROL
%! # !( %#%
!&(
&$ &#
!
-
*
.
MARCO DE REFERENCIA
O B I
(3 &"#
$ !
&
)!
& *
*
*
42
*
6
" (
! #
*
.
& <#&
;
#&
$ #( 3
;
&!
&.#( <#&
&
%!
#&
!
*
*
0
1*
*
&
!( &!.#&
;
/2
*
*
$ & #&
)
.
#%
&
&
!
"$ #( #&
! $ !
*
2
*
5
!
*
2
ISO38500 COBIT
:!
%! .
:!
OBJETIVOS DE CONTROL
%! # !( %#%
!&(
&$ &#
$ = &
)!
2
"!=
"!
* 7
MARCO DE REFERENCIA
O B I
&
&
&
.
2
!
(3 &"#
2
*
"!
2
*
!
"!
& *
$
!
% = &
" (
2
%
! #
2
%
& <#&
;
$ #( 3
;
#&
&!
* 7
*
6
#&
&.#( <#&
&
%!
$
$ >
2
!
$ =
2
*
2
!
2
!
2
%
%
%
*
%
%
%
%
!( &!.#&
;
>
=
==
=
!
*
2
2
2
2
% =
# =
2
2
$ & #&
2
#
#%
&
&
!
"$ #( #&
.
8
.
2
!
#
#
#
#
*
$
2
2
2
2
ISO38500 COBIT
DIRECTRICES DE GESTIN
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
ISO27000
Gestin y Seguridad TIC
$%+'$,( -..//012234
!5 0
,
89 0
1223 6
0
4 12227
+
6$%+7
http://www.iso.ch
11 reas de Control
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad
Continuidad de Negocio
,
,
+ ) "
,
!
,
#$(
(
$
#$(
#$(
9,(89%+% :, #$
"
+ ) "
#$(
Objetivos e indicadores
$
%
*
!
'
+
siendo su comportamiento.
Predicen la probabilidad es xito o fracaso en el futuro. Son
indicadores gua.
;
9
:,
9
:,
!
.
0
*,
'
alcanzado.
( )
presenta el
( )
*
!
$ !
*
*
$ !
KPI
Reducir el tiempo y
esfuerzo requeridos
para hacer cambios.
KPI
Reducir el nmero de
interrupciones
causadas por errores
de gestin de
cambios.
Perspectiva Interna
KGI
KPI
Reducir el nmero de
soluciones de emergencia.
Reducir el trabajo adicional
causado por
especificaciones de
cambio inadecuadas.
Aprender e innovar
KGI
KPI
Formacin
completada en cuatro
(4) meses.
ADQUIRIR
EVALUAR
VALORAR
PROCESO DE AUDITORA
JUSTIFICAR
basada en:
[ADQUIRIR] conocimiento, a travs de:
- entrevistando
- obteniendo
[EVALUAR] la conveniencia de los controles establecidos:
- considerando
[VALORAR] la suficiencia:
- probando que
[JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen:
- ejecutando
- identificando
Una secuencia de
actividades para
construir un Gobierno
TIC sostenible en la
Organizacin
% + **
*
% + **
*
*
A )?
*
A )?
' . / *
' . / *
'
'
!9
!9
#) 9 ' '
#) 9 ' '
( *
'
( *
'
(
)
(
)
)?
)?
$* , ) + '
$* , ) + '
" 8 *
" 8 *
# 7 ++
# 7 ++
'
'
* )@ +
* )@ +
# 7 ++'
# 7 ++'
( ) +' ' +
( ) +' ' +
)
) )?
) )?
( '
( '
Una secuencia de
actividades para
construir un Gobierno
TIC sostenible en la
Organizacin
?
?
)
'
+
'
+
*
*
* C
* C
;
@
+
;
@
+
**
' C
**
' C
B
B
* *C
* *C
B+
B+
+ 7
+ 7
9' ' C
9' ' C
B +
B +
)* ) C
)* ) C
!6 +
!6 +
* /
* /
B' /
B' /
! *
*
C
! *
*
C
+C
+C
3 #&
%#%!
3
)
)
*
)
/
)
*
,
*
+
$&! !& #
E(
A *
+'
) F
% G
' +
)
))
*
* ) + +,
)
*
+
*
H
#
*
A *
+
% G
#)
% G *
/8
9 +'
8 *
A *
) +
G) *
8 * +
++
'
$ #(!#& #
E(
% + **
% G *
* , ) +
&
!(
&
%#%
*
'
8 *
*
)
*
8 * +
* *
'' +
& 9+?
$ +
)?
% + **
*
!+ * ) * F
$* ) + + '
. / *
'
Metodologa
METODOLOGA EMPLEADA
proponemos una metodologa para abarcar cada uno de los requisitos del
proyecto
COSO Committee of Sponsoring Organizations.
UNE ISO/IEC 27001:2005: certificacin de los SGSI
ISO/IEC 27002 : cdigo de buenas prcticas de seguridad.
UNE ISO/IEC 20000 Tecnologa de la informacin. Gestin del servicio.
ITIL V3
ISO38500 - COBIT / Val IT publicado por IT GOBERNANCE INSTITUTE:
Objetivos de control de informacin y tecnologas relacionadas.
ISO24762 - BUSSINES CONTINUITY MANAGEMENT GOOD PRACTICE
GUIDELINES (2006) publicado por THE BUSINESS CONTINUITY
INSTITUTE: gua de buenas prcticas de planes de continuidad del
negocio.
COSO-ERM , MAGERIT, NIST, UNE 71504 : metodologas de anlisis de
riesgos.